:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Authentifizierung Am Ende bleibt das Passwort
Schon oft wurden Passwörter in der IT-Welt für risikoreich und tot erklärt. Doch obwohl das erste Merkmal zutrifft, werden sie vermutlich alles andere überleben. Ansätze für sicherere Alternativen gibt es längst. Sie sind aber entweder technisch anspruchsvoller zu realisieren oder sie beanspruchen mehr Zeit als die Eingabe von Passwörtern und stoßen von daher auf weniger Akzeptanz bei den Anwendern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Mehr Sicherheit als Passwörter allein bietet Multi-Faktor-Authentifizierung. Hierbei finden mindesten zwei der drei allgemein gängigen Authentifizierungsmethoden Anwendung. Diese drei beantworten 1. was man weiß, 2. was man hat, 3. wer man ist.
Der heute meistgenutzte Faktor ist der erste (Something you know). Passwörter und Persönliche Identifikationsnummer (PINs) spielen hier eine zentrale Rolle, genauso wie etwa Sicherheitsabfragen nach dem Vornamen der Mutter oder dem Geburtsort.
Auch beim zweiten Faktor (Something you have) kommen Passwörter zum Einsatz, etwa beim Smartphone, wenn der Besitzer sich mit seinem Nutzernamen und Passwort anmeldet, um einen Code auf sein Device gesendet zu bekommen, mit dem er sich authentifizieren kann.
Aktuell streitet man sich allerdings darüber, wie sicher dieser Weg wirklich ist. Der Vollständigkeit halber sei hier erwähnt, dass es sich bei dem dritten Faktor (Something you are) vorwiegend um biometrische Authentifizierungsverfahren handelt. Dazu gehören etwa der Fingerabdruck und Retina- und Gesichtsscans. Passwortfrei, aber technisch extrem anspruchsvoll und daher nicht in jedem Fall umsetzbar. Außerdem funktioniert Biometrie selbst mit entstehenden Standards wie denen der FIDO Alliance nicht immer einwandfrei.
Bei der Adaptiven Authentifizierung prüft das System, auf das ein Nutzer zugreifen möchte, zudem den Kontext des Logins (von wem, wo, mit welchem Gerät etc.) und entscheidet dann, welche der drei oben genannten Faktoren verwendet werden. Einfach und bequem, bleibt das Passwort auch hier immer eine Option für die Einwahl, gelegentlich auch in Form von OTPs (One Time Passwords). Einmalpasswörter sind allerdings längst nicht so anwenderfreundlich. Zudem sind sie teuer und ihre Logistik ist komplex. Im Fall einer fortlaufenden Authentifizierung lassen sich Passwörter schließlich auch während einer Session periodisch immer mal wieder zwischendurch anfordern. Das kann aber für Anwender schnell zur ermüdenden und lästigen Angelegenheit werden.
Starke Online-Identitäten als Herausforderung
Starke Online-Identitäten setzen sich zusammen aus Identifikations- und Authentifikationstechnologien sowie Datenspeichermöglichkeiten für persönliche Identitätsmerkmale. Sie ermöglichen starke und widerstandsfähige Verbindung digitaler Identitäten mit einer bestimmten physikalischen Person, Einheit oder Organisation, um eine vertrauensvolle Interaktion und Kommunikation zwischen Individuen und Organisationen zu ermöglichen. Im Idealfall behält der Nutzer dabei die volle Hoheit und Kontrolle über all seine Daten und eingegebenen Informationen. Allerdings existiert bislang so eine Lösung noch nicht am Markt. So bereiten starke Online-Identitäten im Alltag heute noch Kopfzerbrechen. Ob es jemals eine einheitliche Identity-Lösung gibt, die alle genannten Anforderungen erfüllt, ist fraglich.
Aber auch die schwachen Varianten wie Geräte-IDs oder Identifier von Dingen im Internet of Things (IoT) machen Nutzernamen und Passwörter nicht überflüssig, selbst bei Einsatz mehrerer Authentikatoren gleichzeitig. So muss es für den Fall, dass für eine bestimmte Transaktion nicht ausreichend Authentikatoren zur Verfügung stehen, oft immer noch Passwörter zur Reserve geben.
Kein Anbieter wird schließlich einen Anwender ausschließen wollen. Allein auf starke Online-Identifizierungsverfahren zu setzen, könnte sie sonst Kunden und damit profitables Geschäft kosten. Passwörter haben sich bereits zu stark in den Köpfen eingebrannt, um sie schnell loszuwerden. Und nicht nur dort: Viele in Unternehmen seit Jahren bestehende Systeme und Nutzerkonten lassen für den Zugang nur Passwörter zu. Das Gleiche gilt für viele mobile Anwendungen, Webseiten und Dienste. So bleibt am Ende zur Sicherheit nur die Option, Passwörter regelmäßig zu wechseln statt sie komplett durch andere Verfahren zu ersetzen.
* Über den Autor
Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich mit digitalen Identitäten, Identity und Access Management, GRC (Governance, Risk Management, Compliance) und Cloud Computing beschäftigt.
(ID:44243149)
:quality(80)/p7i.vogel.de/wcms/53/c5/53c5fc5c6538b26c4a0cdd08c7ed66d5/0111572686.jpeg "Beyond-Identity-Studie zeigt: Das Vertrauen in Passwörter ist trotz Sicherheitsrisiken und Nutzerfrustration ungebrochen vorhanden. (Bild: FAMILY STOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/70/e2706988f44ee47bf83165b05ad86852/0109498539.jpeg "Es gibt keinen guten Grund, warum Anwender für Benutzeraccounts schwache Passwörter wie 123456 oder Passwort verwenden sollten, aber viele tun es dennoch! (Bild: thodonal - stock.adobe.com)")