Passwörter: Risikofaktor Nummer 1 in Unternehmen

Passwörter sind Risikofaktor Nummer 1 in der IT. Lernen Sie in diesem Blog wirksame Gegenstrategien – wie die passwortfreie Authentifizierung – kennen.

Okt 7, 2021 - 3 Min.
Picture of: Alina Fill
Alina Fill

Passwörter bereiten IT-Verantwortlichen regelmässig Kopfzerbrechen. Eine aktuelle Nevis-Studie belegt, wie sie bevorzugt gegensteuern: Auf Platz 1 der Massnahmen für mehr IT-Sicherheit liegt die Festlegung von Mindestlängen für Passwörter (62 Prozent), auf Platz 2 das Erzwingen regelmässiger Passwortänderungen (52 Prozent). Nicht ganz unschuldig daran sind die Endnutzer, also Kunden und Mitarbeiter, die in der Mehrzahl zu nicht gerade sicheren Passwort-Kombinationen neigen. Ein Klassiker sind hier die jährlich wiederkehrenden Listen der beliebtesten – und gleichzeitig unsichersten – Passwörter, in denen „123456“, „password“ und deren Abwandlungen die unrühmlichen ersten Plätze belegen. Natürlich können Administratoren solche Negativbeispiele genauso ausschliessen wie zu kurze Passwörter oder solche ohne Zahlen und Sonderzeichen. Doch ihre Probleme sind damit keineswegs beseitigt.

Ursache hierfür ist die weiter zunehmende Anzahl von Hackerangriffen, die sich die grosse Schwäche des Passwort-Systems zunutze machen. Wird es nicht durch weitere Sicherheitsmassnahmen flankiert, genügt auf Nutzerseite oft schon eine einzige Unachtsamkeit, um ein Einfallstor für kriminelle Hacker zu öffnen. Zwei aktuell besonders häufig genutzte Angriffsarten – die sich in ihrer Methodik drastisch unterscheiden – sind das Credential Stuffing und das Social Engineering.

Credential Stuffing

Beim Credential Stuffing setzen Cyberkriminelle auf die Bequemlichkeit vieler User, die für unterschiedliche Onlinedienste immer wieder dasselbe Passwort verwenden. Ein Fehlverhalten mit Folgen – schliesslich wurden seit 2019 in mehreren grossen Data Breaches etwa bei Marriott, Equifax oder LinkedIn Millionen Login-Daten erbeutet. Im Zuge dessen hat auch das Credential Stuffing einen rasanten Aufschwung erlebt. Durch das automatisierte Durchprobieren von Benutzername-Passwort-Kombinationen in verschiedenen Online-Diensten lässt sich in kürzester Zeit ermitteln, ob der erbeutete „Schlüssel“ auch auf andere Schlösser passt – und den Hackern Zugriff auf weitere Nutzer- oder E-Mail-Konten gewährt.

Social Engineering

Das Social Engineering repräsentiert das andere methodische Extrem: Statt wie beim Credential Stuffing über die breite Masse von Nutzername-Passwort-Kombinationen und automatisiertes Ausprobieren Erfolge zu erzielen, richtet sich die Attacke gezielt auf ausgewählte Mitarbeiter. Dazu sammeln die Cyberkriminellen zunächst in sozialen Netzwerken Informationen zu Unternehmensstrukturen und Vorgesetzten. Im Anschluss versuchen sie, die Mitarbeiter durch gefälschte E-Mails und Websites dazu zu verleiten, ihre Passwörter preiszugeben. Dabei sollen die Opfer stets glauben, sie würden mit einem Vorgesetzten oder der firmeneigenen IT-Abteilung kommunizieren. Oft setzen die Kriminellen bei ihren gefälschten Nachrichten auf vermeintliche Dringlichkeit und Eile, um den Angegriffenen möglichst wenig Zeit zum Nachdenken oder für kritische Nachfragen im Unternehmen zu lassen.

Retter in der Not? 2FA und MFA

Wenn Passwörter allein zu anfällig sind, müssen sie ergänzt werden – und zwar durch eine Methode, mit der sich der Nutzer zweifelsfrei gegenüber einem Onlinedienst authentifizieren kann, ohne dass auch Hacker auf diese Identifikationsmerkmale zugreifen können. Diese Grundidee steckt hinter der Zwei-Faktor- (2FA) und Multi-Faktor-Authentifizierung (MFA). Statt nur Name und Passwort einzugeben, muss der Nutzer zusätzlich ein physisches Token vorweisen – etwa in Form einer Chipkarte mit zugehörigem Lesegerät – oder einen Code eingeben, der ihm beispielsweise per SMS auf ein zuvor registriertes Mobilfunkgerät gesendet wird. Zeitlich begrenzt gültige Codes können auch über die Authenticator-Apps von Google oder Microsoft ausgegeben werden. Noch sicherer wird die Authentisierung, wenn statt zweier Berechtigungsnachweise gleich mehrere miteinander kombiniert werden können – hier kommt die sogenannte Multi-Faktor-Authentifizierung ins Spiel.

Die SMS bringt’s nicht mehr

Doch auch die Authentifizierung mit zwei und mehr Faktoren garantiert keine Unverwundbarkeit in puncto Datensicherheit, wie ein Test der Website Motherboard ergab. So ermöglichte etwa die fürs Unternehmensmarketing entwickelte Software Sakari den Massenversand von SMS – wobei als Absender beliebige Mobilfunknummern hinterlegt werden konnten. Da Sakari auch die an diese Nummern gerichteten SMS empfängt, liessen sich so die von einem Authentifizierungsserver via SMS versandten Zweifaktor-Codes abfangen. Auch wenn die Sicherheitslücke mittlerweile von Mobilfunkunternehmen geschlossen wurde, zeigt sie die prinzipielle Verwundbarkeit eines SMS-basierten Systems.

Passwortfrei mit Biometrie

Besser wäre es also, bei der MFA auf einen Faktor zur Authentifizierung zu setzen, den Hacker nicht ohne Weiteres abfangen können und der gleichzeitig ein Höchstmass an Sicherheit garantiert. Möglich wird das durch die passwortfreie Authentisierung: Dreh- und Angelpunkt des Konzepts sind die biometrischen Sensoren, die in modernen Smartphones verbaut sind und die eine eindeutige Authentifizierung des Nutzers anhand seiner Gesichtszüge (Face ID) oder Fingerabdrücke ermöglichen. Dabei verlassen die sensiblen biometrischen Kennzahlen das Gerät zu keinem Zeitpunkt – sie sind ausschliesslich lokal auf dem jeweiligen Gerät vorhanden und werden dort in einem speziell abgesicherten Chip-Set, der Secure Enclave, abgelegt.

Biometrische Merkmale und die passwortfreie Authentifizierung bieten naturgemäss eine grosse Sicherheit und können so die Verwendung von Passwörtern vollständig ersetzen. Dadurch erhöht sich nicht nur die End-to-End-Sicherheit von 2FA und MFA, auch die Nutzer profitieren von einem gegenüber anderen zur Authentifizierung genutzten Verfahren stark verbesserten Komfort: Sie müssen sich weder lange Passwörter merken noch Zahlenkolonnen abtippen; stattdessen genügt ein Blick aufs Smartphone-Display oder eine Berührung des Fingerabdruck-Sensors.

 

Entscheidender Faktor für mehr Sicherheit: Multi-Faktor-Authentifizierung