Die Risiken der passwortgeschützten Authentifizierung

Passwörter können teuer werden – durch Datenlecks und kostspieliges Zurücksetzen. Doch es gibt einen Ausweg, der Ihre Daten und Ihren Gewinn schont!

Feb 17, 2022 - 4 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Vor einigen Jahren war ich auf Geschäftsreise im Ausland und freute mich nach einem Tag voller Meetings auf einen ruhigen Abend. Ich checkte im Hotel ein und wollte dann noch schnell meine privaten E-Mails abrufen, um anschliessend am Strand zu entspannen. Denn glücklicherweise war ich auf einer Tropeninsel gelandet. 

Ich öffnete also mein Gmail-Konto und bekam sofort eine Warnung, dass Google etwas Ungewöhnliches festgestellt hatte. Offenbar hatte jemand von Florida aus auf mein Konto zugegriffen. Sofern ich mich nicht in Florida aufhielt, sollte ich mich deshalb schnellstmöglich ausloggen. Und ich war keineswegs in Florida. Ich war auf einer Tropeninsel. Ich klickte also auf OK. Und schon konnte ich mich nicht mehr mit meinem Gerät anmelden. 

Vermutlich wurde Florida als mein Standort ermittelt, weil meine Daten über diesen US-Bundesstaat geleitet worden waren. Das ist aber wieder ein anderes Thema. Ich konnte also nicht mehr auf meinen Computer zugreifen. Da ich im Marketing für eine Sicherheitsfirma arbeite, hatte ich selbstverständlich alle Sicherheitsprotokolle befolgt. Dadurch war mein Konto allerdings so stark geschützt, dass ich nicht einmal selbst hineinkam. Und auch mein Passwort war so kompliziert, dass es mir einfach nicht mehr einfallen wollte. 

Seit dem Aufkommen der Zwei- und Multi-Faktor-Authentifizierung und biometrischer Protokolle hat sich in Sachen Kennwortwiederherstellung einiges getan. Doch längst nicht alle Unternehmen nutzen diese Verfahren. In meinem Fall war es zum Glück nicht so dramatisch. Ich hatte eine Stunde lang gut damit zu tun, wieder an meine Daten zu kommen. Doch es kann auch deutlich gravierendere finanzielle Folgen haben, wenn sich Unternehmen bei der Authentifizierung ausschliesslich auf die herkömmliche Kombination aus Benutzername und Kennwort verlassen. Hier erfahren Sie, welche Gefahren lauern, wenn Sie nicht auf eine passwortfreie Lösung umsteigen. 

Passwortlösungen und ihr finanzielles Risiko

Wenn man sich bei einem neuen Dienst anmeldet, muss man meistens eine E-Mail-Adresse und ein Passwort eingeben. Dieses Passwort sollte natürlich möglichst sicher sein. Es sollte Gross- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Wenn man das Thema Datensicherheit ernst nimmt, denkt man sich also ein möglichst kompliziertes Kennwort aus. Manchmal gerät es dann jedoch so kompliziert, dass es einem im Notfall einfach nicht mehr einfallen will. Und genau aus diesem Grund begehen auch Sie vermutlich einen der grössten Fehler beim Thema Passwörter: Sie verwenden dasselbe Passwort auf mehreren Seiten. Keine Sorge, damit sind Sie keineswegs allein!

Doch es verursacht auch ein ernstes und potentiell kostspieliges Problem für die Unternehmen, die diese Dienste anbieten und für die Sicherheit unserer Daten sorgen müssen. Laut einer Studie des Weltwirtschaftsforums gehen 80 % aller Datenpannen auf den Verlust oder den Diebstahl von Passwörtern zurück. Und wenn Sie nur ein Passwort für verschiedene Dienste verwenden, sind diese folglich alle gefährdet. Hackerangriffe verursachen jede Minute unglaubliche 2,6 Mio. EUR Schaden weltweit, so dass man sich möglichst keine Fehler erlauben sollte. Bei Passwörtern gibt es also erhebliche Nachteile.

Wenn Passwörter missbraucht werden, beschränken sich die Kosten keineswegs nur auf die Einhegung der dadurch entstehenden Datenverluste. Laut einer internen Studie belaufen sich die Kosten, die Callcentern durch eingehende Anrufe entstehen, auf 36 EUR. Und bei 30 % der eingehenden Anrufe geht es um das Zurücksetzen von Passwörtern. Wenn Unternehmen also ihren Kundenservice auslagern, können sich diese Kosten schnell summieren. So können Unternehmen bei durchschnittlich 1'000 Anrufen pro Tag über 12'000 EUR allein für das Zurücksetzen von Kennwörtern ausgeben. Und das jeden Tag! Das sind über 3,6 Mio. EUR pro Jahr, die man ohne Passwörter komplett gespart hätte. 

Das richtige Gleichgewicht 

Die Zahlen sprechen Bände. Passwörter sind sowohl für die Finanzen als auch in Sachen Sicherheit ein Irrweg. Damit ein Passwort hinreichend komplex und somit wirklich sicher ist, wird es entweder von den Benutzern viel zu leicht vergessen, die dann (sehr kostenintensive) Hilfe benötigen, um wieder auf ihr Konto zugreifen zu können. Oder es wird gleich für mehrere Benutzerkonten und Dienste verwendet, was wiederum der Passwortsicherheit schadet und die Gefahr erhöht, dass gleich mehrere Unternehmen von Datenverlusten und Hackerangriffen in Mitleidenschaft gezogen werden. 

Was also lernen wir daraus? 

Kommen wir noch einmal zu meinem Eingangsbeispiel zurück. Auf meiner Tropeninsel war ich damals sehr davon beeindruckt, wie viel Google unternimmt, um die Sicherheit meiner Daten zu gewährleisten. Was mich allerdings weniger begeisterte, war die gute Stunde, die ich damit verbrachte, hektisch im Internet und speziell bei Google zu recherchieren, wie ich wieder an mein Konto komme. Und bis heute habe ich keine Ahnung, wie genau mir das gelungen ist. Doch nach einer Stunde, zahllosen Mausklicks, zurückgesetzten Passwörtern und diversen TANs konnte ich endlich wieder auf meine E-Mails zugreifen. Die waren dann allerdings nicht wirklich spannend. 

Das alles konnte nur passieren, weil ich das Thema Passwortsicherheit so ernst genommen hatte. Als ich die Geschichte in der Entwicklungsabteilung erzählte, gingen die Lacher natürlich auf meine Kosten. Doch da mir Sicherheit wichtig ist, werde ich mich auch in Zukunft immer für das sicherste Verfahren entscheiden. Weniger sicherheitsbewusste Nutzer sehen das aber vermutlich anders. Und genau deshalb müssen Unternehmen das richtige Gleichgewicht zwischen Anwenderfreundlichkeit und Sicherheit finden. 

Was ich damit sagen will?

Bestimmte Daten, wie Personen-, Patienten- und Finanzdaten, sollten bestmöglich geschützt werden. Denn wenn Unbefugte diese Daten in böswilliger Absicht erlangen, könnte das schwerwiegende Konsequenzen haben – vom Identitätsdiebstahl über finanzielle Verluste bis hin zu Rufschädigungen (für das Unternehmen). Dennoch sind die meisten Menschen nicht bereit, umständliche Sicherheitsprotokolle zu befolgen, nur um an ihr Social-Media-Konto zu kommen (auch wenn das vermutlich ratsam wäre). Also müssen die Unternehmen bei der Festlegung ihrer Datensicherheitsstrategie das Risiko frustrierter Kunden, die aus Bequemlichkeit den vermeintlich einfacheren Weg nehmen, gegen die Gefahr unbefugter Datenzugriffe abwägen.

Die Lösung

In einer perfekten Welt bräuchten wir überhaupt keine Passwörter. Und im Grunde leben wir bereits in so einer perfekten Welt. Das gilt zumindest beim Thema Datensicherheit. 

Dank der rasanten Entwicklung in der Mobil- und Computertechnologie ist die Lösung für eine passwortfreie Authentifizierung in greifbarer Nähe. Und «greifbar» ist hier tatsächlich wörtlich gemeint. Denn die meisten neuen (und sogar viele alte) Mobilgeräte und Computer erfüllen bereits die technischen Voraussetzungen für biometrische Verfahren. 

Der Begriff «Biometrie» ist Ihnen vielleicht schon geläufig. Wenn Sie in den vergangenen sechs oder sieben Jahren ein neues Mobilgerät eingerichtet haben, haben sie vermutlich irgendwann mal Ihren Fingerabdruck oder Ihr Gesicht eingescannt und gespeichert. Diese biometrischen Daten werden nur auf dem jeweiligen Gerät gespeichert und mit modernsten Sicherheitsprotokollen geschützt. So können Sie – und nur Sie – Ihre Identität ohne Sicherheitsbedenken bestätigen. Wenn man den Sicherheitsprozess nun um biometrische Merkmale ergänzt, schafft man damit nicht nur eines der sichersten Verfahren zum Schutz der Nutzerdaten – der Ansatz ist für die Anwender auch noch äusserst komfortabel. So kommt niemand auf die Idee, aus Bequemlichkeit den vermeintlich einfacheren Weg zu nehmen. Um Ihre Identität zu bestätigen, reicht ein einfacher Fingerabdruck oder ein Gesichtsscan über das jeweilige Gerät (z. B. Handy oder Token). (Notabene: Im Hintergrund ereignen sich dabei komplexe Abläufe. Weitere Informationen zu deren genauer Funktionsweise finden Sie im Nevis-Artikel «Die FIDO-Protokolle».)

Je nach Sicherheitsanforderungen, die sich nach der Schutzbedürftigkeit der jeweiligen Daten richten, können Unternehmen zudem eine Zwei- oder Multi-Faktor-Authentifizierung einrichten. Dabei werden weitere Faktoren abgefragt, um die Identität der Nutzer zu bestätigen. Hier kann es sich um einmalige PINs, Tokens oder – wie in meinem Eingangsbeispiel – Geoortung handeln. Ich selbst verwende bei all meinen Benutzerkonten und Diensten 2FA and MFA. Doch in meinem Fall sorgten die für einige Frustration, die ich mit einer biometrischen Lösung fällig hätte vermeiden können. Abschliessend kann man festhalten, dass wir uns zum Glück nie wirklich fragen müssen, wie oft uns diese Sicherheitsprotokolle wohl schon vor deutlich stressigeren Situationen und ernsteren Konsequenzen bewahrt haben. 

Fazit

Beim Thema Datensicherheit müssen Nutzer und Unternehmen zusammenarbeiten. Die Unternehmen können den Nutzern jedoch entgegenkommen, wenn sie moderne Technologien verwenden, die die meisten Nutzer kennen und auf deren Sicherheit sie vertrauen. Denn davon profitieren letztlich alle.