:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/7f/237f6b9aba3791359922c4a8177d9695/0114245336.jpeg "Auch 2023 steht am Anfang der meisten komplexen Cyberattacken noch immer eine einfache Phishing-E-Mail. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/98/02/9802905292c1188fc7967a35f617be9d/0114319926.jpeg "Eine Übersicht der drei häufigsten Firewall-Schwachstellen und wie Unternehmen sich schützen können. (Bild: jahidsuniverse - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/e0/bde04197ed5519a1743d39b5794da453/0114113339.jpeg ""Warum IT-Sicherheitsplattformen die Antwort auf komplexe Bedrohungen sind", ein Interview von Oliver Schonschek, Insider Research, mit Sven von Kreyfeld von Forescout. (Bild: Vogel IT-Medien / Forescout / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/e8/56e81a2cc5d033e060c48271040ce400/0114030088.jpeg "Angriffe auf die kritische Infrastruktur werden weiter zunehmen und Phishing wird ein wichtiger Angriffsvektor sein. Eine Phishing-sichere MFA kann helfen Risiken zu minimieren. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b0/1e/b01e79eb55bde7b9a2d1ec3f6bb609f1/0114319823.jpeg "Im Kampf gegen aktuelle Bedrohungen sind Intelligence-Tools eine gute Hilfe, da sich mit ihnen ein mehrschichtiger Sicherheitswall aufbauen lässt. (Bild: denisismagilov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Neue Ideen zur Zugangskontrolle Alternativen zum Passwort
Nachlässigkeit bei der Passwortwahl hat schon fast Tradition in vielen Unternehmen. Die lange Historie des Problems führt leider nicht dazu, dass sich Passwort-Alternativen schnell durchsetzen würden. Pfiffige Lösungen sind gefragt, die es Anwendern einfach machen und die trotzdem für Unternehmen auch managebar bleiben.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Wer für die IT-Sicherheit im Unternehmen verantwortlich zeichnet, kann es kaum noch hören: Viele Nutzer bevorzugen einfache, leicht zu merkende Passwörter, bleiben ihren Passwörtern auf ewig treu und haben sogar oftmals nur ein einziges Passwort. Gründe dafür gibt es viele: Laut einer Bitkom-Studie fühlt sich gut ein Drittel (36 Prozent) aller Bundesbürger mit der großen Menge an Passwörtern überfordert, die man sich für Computer, Smartphone, Geldautomaten und zahlreiche Online-Dienste ausdenken und dann merken soll. Die Folge: Mehr als ein Drittel der Internetnutzer in Deutschland (37 Prozent) verwendet ein- und dasselbe Passwort für mehrere Online-Zugänge, zum Beispiel zu E-Mail-Diensten, sozialen Netzwerken oder Online-Shops.
:quality(80)/images.vogel.de/vogelonline/bdb/1122700/1122739/original.jpg "Mit neuen Vorgaben will das amerikansiche NIST künftig den Einsatz von Kennwörtern leichter und sicherer machen. (pixabay)")
Passwort-Sicherheit
NIST definiert neue Passwort-Regeln
Auch wenn die Probleme rund um Passworte gut bekannt sind, gelöst sind sie noch lange nicht. Dabei steigt die Gefahr, dass Zugangsdaten gestohlen und missbraucht werden weiter an, denn die Zahl der genutzten Dienste und Apps, die eine Passworteingabe erfordern, wächst und damit auch die Basis für Phishing-Attacken und Lauschangriffe auf ungeschützte Verbindungen.
Lösungen für sichere Passwort-Verfahren sind gefragt
Wenn sich die Anwender die Risiken schwacher Passworte verdeutlichen, sind sie durchaus interessiert an alternativen Lösungen für die Zugangskontrolle. Laut Bitkom-Umfrage berichtet jeder vierte Internetnutzer (22 Prozent), dass seine Zugangsdaten zu einem Online-Dienst ausspioniert worden sind. Jeder dritte Internetnutzer (34 Prozent) verwendet inzwischen einen sogenannten Passwort-Safe oder Passwort-Manager, in dem die zahlreichen Zugangsdaten zu Online-Diensten und Geräten abgelegt werden können.
Sehr beliebt sind auch biometrische Verfahren. Die breite Mehrheit der Befragten (81 Prozent) könnte sich vorstellen, Verfahren wie Fingerabdruck-Scanner beim bargeldlosen Bezahlen einzusetzen. Immerhin gut ein Drittel (36 Prozent) würde den Iris-Scan des Auges nutzen, um eine Zahlung zu autorisieren. Eine Überprüfung anhand des Stimmprofils würde knapp ein Viertel (22 Prozent) einsetzen. Doch es gibt auch andere interessante Verfahren als alternative Zugangskontrolle, wie zum Beispiel der Web Summit 2016 zeigte.
Geographical Password: Personalisierte Standortdaten als Passwort
Eine der neuartigen Lösungen, die auf dem Web Summit 2016 vorgestellt wurden, ist ZSS Login. Die Idee dahinter: Nutzer merken sich keine komplexen Passworte mehr, sondern spezielle Orte, wie zum Beispiel ein bestimmtes Bistro in Paris, das ihnen bei einem Urlaub gut gefallen hat. Diesen bestimmten Ort wählt der Nutzer auf einer digitalen Karte aus, die von der Zugangslösung angezeigt wird. Ein Doppelklick auf das zum gewählten Ort gehörende Planquadrat liefert die Standortkoordinaten, die dann das Passwort bilden, ein sogenanntes Geographical Password, das der Unternehmensgründer 2014 in einem wissenschaftlichen Artikel (pdf) vorgestellt hat. ZSS Login gibt es als mobile App für iOS und als Desktop-Version, so dass man es mobil oder aber am Arbeitsplatz im Büro nutzen kann.
Ein offensichtliches Problem scheint „Shoulder Surfing“ zu sein, also die Gefahr, dass jemand beobachtet, welchen Ort der Nutzer als Lieblingsort und damit als Geographical Password gewählt hat. Diesem Risiko begegnet die Lösung dadurch, dass die digitale Karte und damit die jeweiligen Koordinaten des ausgewählten Ortes individualisiert werden. Anders ausgedrückt: Die Anwender nutzt einen automatisch generierten Schlüssel, mit dem die Standortdaten des speziellen Ortes und damit das Passwort personalisiert werden.
:quality(80)/images.vogel.de/vogelonline/bdb/1074700/1074722/original.jpg "Ein Passwort-Safe spart auf Dauer viel Mühe und Gehirnschmalz, wir stellen die gängigsten Kennwort-Manager vor. (DasWortgewand - Pixabay.com)")
Kennwortverwaltung
Beliebte Passwort-Manager im Überblick
Smartcards mit Zusatzfunktionen: Mikrofone reichen aus
MeReal Biometrics hat eine Smardcard entwickelt, die einen integrierten Fingerprint-Reader, einen NFC-Chip, einen EMV-Chip und eine Funktion zur akustischen Übertragung von Einmal-Passworten in sich vereint. Neben der Integration mehrerer Sicherheitsfaktoren auf der Smartcard ist insbesondere der akustische Datentransfer des One-Time-Passwords (OTP) spannend, denn damit können auch solche Geräte und Systeme angesprochen werden, die nicht über NFC / RFID zugänglich sind, aber dafür mit einem Mikrofon für den Empfang des Passwortes ausgestattet sind. Die Karte wird mittels erfolgreichem Fingerabdruck-Scan aktiviert. Für die Aufladung des Karten-Akkus gibt es spezielle Ladegeräte.
Fazit: Die Beispiele zeigen, dass neue Ansätze bei der Zugangskontrolle dabei helfen können, das leidige Passwort-Problem besser in den Griff zu bekommen. Entscheidend neben der Sicherheit der alternativen Verfahren ist immer auch die Nutzerakzeptanz. Hier bieten die neuen Lösungen spannende Funktionen, die Nutzer dabei unterstützen, den Zugang zu vertraulichen Daten und geschützten Diensten stärker abzusichern als bisher. Schwache Passworte, die kaum jeweils ausgewechselt und dafür bei vielen Online-Zugängen wiederverwendet werden, müssen und dürfen nicht sein.
(ID:44438150)
:quality(80)/p7i.vogel.de/wcms/25/f4/25f4a39b52ff796d993864930f16285b/0106960244.jpeg "Die persönliche Anmeldung bei Online-Diensten oder in Systemen per Passwort ist zu unsicher geworden – der Trend geht hin zu Authentifizierungsmethoden, die mehrere unabhängige Merkmale prüft. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b807ae9bd8f944e35952c4f3727741/0108720947.jpeg "Viele IT-Sicherheitsstandards enthalten die Empfehlung oder Anforderung, auch eine Liste bekannter kompromittierter Kennwörter zu verwenden, um die Verwendung von kompromittierten Kennwörtern zu verhindern – und das aus gutem Grund. Das Diagramm zeigt, welcher Prozentsatz des Datensatzes bekannter kompromittierter Kennwörter die Empfehlungen der Regulierungsbehörden erfüllen würde. (Bild: Specops Software)")