Der Abschied vom Passwort ist technisch längst möglich Passwörter bleiben, weil sie vertraut sind, nicht weil sie schützen

Ein Gastbeitrag von Jan Bee 5 min Lesedauer

Anbieter zum Thema

Cyberangriffe beginnen heute nur selten mit hochkomplexen Schwachstellen oder ausgefeilten technischen Exploits. In vielen Fällen ist der Einstieg deutlich banaler: über ein Passwort. Für Unternehmen wird das zunehmend zum handfesten Geschäftsrisiko, dem viele Sicherheitsteams inzwischen mit einem Wechsel zu identitätsbasierter Authentifizierung begegnen.

Ein einzelnes Passwort entscheidet häufig über den Erfolg ganzer Angriffsketten. Identitätsbasierte Verfahren ersetzen dieses Risiko durch geräte- und kontextgebundene Nachweise.(Bild: ©  ronstik - stock.adobe.com)
Ein einzelnes Passwort entscheidet häufig über den Erfolg ganzer Angriffsketten. Identitätsbasierte Verfahren ersetzen dieses Risiko durch geräte- und kontextgebundene Nachweise.
(Bild: © ronstik - stock.adobe.com)

Der aktuelle Verizon Data Breach Investigations Report zeigt, dass kompromittierte Zugangsdaten in rund 39 Prozent aller untersuchten Sicherheitsvorfälle eine Rolle spielen. Angreifer müssen sich also häufig gar nicht technisch in Systeme „hineinhacken“, sondern nutzen gestohlene oder wiederverwendete Logins, um sich Zugriff zu verschaffen.

Passwörter sind heute einer der einfachsten und meistgenutzten Angriffsvektoren. Phishing, die Wiederverwendung von Zugangsdaten und identitätsbasierte Angriffe nehmen dem­ent­spre­chend weiter zu. Vor diesem Hintergrund ist es nicht nur überholt, sich primär auf Passwörter zu verlassen. Es ist ein handfestes Geschäftsrisiko.

Die Rahmenbedingungen, für die Passwörter ursprünglich gedacht waren, existieren längst nicht mehr. Moderne Unternehmen arbeiten in verteilten SaaS-Landschaften, mit mobilen, hybriden Belegschaften und einer Vielzahl externer Anbindungen. Zugriffe auf Unternehmensressourcen finden von überall statt, permanent und oft unter Zeitdruck. Wenn die Authentifizierung Prozesse ausbremst oder versagt, suchen Mitarbeitende nach Abkürzungen. Genau diese Umgehungslösungen eröffnen Angreifern neue Möglichkeiten.

Eine aktuelle Umfrage von TeamViewer zeigt, dass mehr als ein Viertel der Beschäftigten in Deutschland bei der Arbeit auf private Tools oder Geräte zurückgreift, wenn die ihnen bereitgestellte Technik im Arbeitsalltag versagt. Im Durchschnitt geht pro Monat mehr als ein kompletter Arbeitstag durch diese und andere IT-Probleme verloren. In einem solchen Umfeld beeinträchtigt eine holprige Authentifizierung nicht nur die Produktivität. Sie verlagert Sicherheitsrisiken in die Hände von Anwenderinnen und Anwendern, die schlicht versuchen, ihre Arbeit zu erledigen.

Das eigentliche Problem mit Passwörtern

Passwörter scheitern also nicht, weil Mitarbeitende leichtsinnig handeln, sondern weil das dahinterliegende Modell ihnen zu viel Verantwortung aufbürdet. Komplexe Regeln für die Erstellung, regelmäßige Änderungen und ständige Abfragen erhöhen die Hürden, ohne das Risiko wirksam zu senken. Die Folgen dürften Security-Verantwortlichen in den meisten Unternehmen bekannt vorkommen: Zugangsdaten werden mehrfach verwendet, notiert, weitergegeben oder auf täuschend echte Phishing-Seiten eingegeben.

Aus Sicht der Security fehlt Passwörtern zudem der Kontext. Ein korrekt eingegebenes Passwort sagt nichts darüber aus, ob der Zugriff von einem vertrauenswürdigen Gerät, aus einer gemanagten Umgebung oder von einem ungewöhnlichen Standort erfolgt. Sicherheitsteams versuchen, diese Lücke mit zusätzlichen Kontrollen zu schließen, etwa durch Monitoring, Alarme oder bedingte Zugriffsregeln. Die grundlegende Schwäche bleibt jedoch bestehen.

So entsteht eine wachsende Diskrepanz zwischen der Art, wie Zugriffe abgesichert werden, und der Realität moderner Angriffe.

Identität ist zur ersten Verteidigungslinie geworden

Mit dem Wegfall klassischer Netzwerkgrenzen ist Identität zum zentralen Kontrollpunkt geworden. Jede Verbindung eines Nutzers, eines Geräts oder einer Anwendung stellt einen potenziellen Einstiegspunkt dar. Die Entscheidung darüber, wie die Authentifizierung stattfinden soll, wird damit zu einer grundlegenden Entscheidung für die Sicherheit und Widerstandsfähigkeit eines Unternehmens.

Single Sign-on ist ein sinnvoller Einstieg, entfaltet seine Wirkung aber nur bei konsequenter Umsetzung. Ausnahmen für einzelne Anwendungen oder fragmentierte Identitätssysteme schaffen Lücken, die schwer zu erkennen und noch schwerer zu kontrollieren sind. Wer Identität nur als Teillösung betrachtet, lässt genau dort Angriffsflächen offen, wo Angreifer zuerst hinschauen.

Abschied von „geteilten Geheimnissen“

Moderne Authentifizierungsverfahren wie Passkeys oder plattformgebundene Zugangsdaten setzen gezielt an diesen strukturellen Schwächen von Passwörtern an. Sie ersetzen geteilte Geheimnisse durch kryptographische Nachweise, die an ein konkretes Gerät gebunden und häufig biometrisch abgesichert sind. Die eigentlichen Zugangsdaten werden dabei nie in einer Form übertragen, die abgefangen oder erneut verwendet werden könnte.

Das reduziert die Angriffsfläche für gängige Methoden deutlich, einschließlich des Echtzeit-Phishings, bei dem Passwörter oder Einmalcodes abgegriffen werden. Gleichzeitig verbessert sich die Usability für die Nutzer, weil Zurücksetzungen, Kontosperren und wiederholte Abfragen entfallen, die den Arbeitsfluss bei passwortbasierter Authentifizierung massiv stören.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

In der Praxis zeigt sich bei der Umstellung auf passwortlose Verfahren oft ein wiederkehrendes Muster: Viele Mitarbeitende empfinden zunächst Unsicherheit, weil Passwörter für sie über Jahre ein vertrauter Bestandteil des Zugangs waren. Dahinter steht häufig die Sorge, Kontrolle zu verlieren oder im entscheidenden Moment nicht mehr auf Systeme zugreifen zu können. Unsere Erfahrung bei TeamViewer war jedoch eine andere. Die Einführung verlief deutlich reibungsloser als zunächst erwartet, und die Zahl der praktischen Probleme blieb überraschend gering. Vor allem wurde schnell sichtbar, dass Mitarbeitende mit dem Wegfall von Passwörtern nichts verlieren, sondern im Alltag spürbar gewinnen, denn der Zugang wird einfacher, schneller und komfortabler. Gerade diese unmittelbare Erleichterung hat wesentlich dazu beigetragen, dass die Akzeptanz nach kurzer Zeit deutlich gestiegen ist.

Ebenso wichtig ist ein weiterer Effekt. Der Vertrauensstatus eines Geräts wird direkt Teil der Authentifizierung. Ob ein Gerät bekannt, verwaltet oder compliant ist, fließt unmittelbar in die Zugriffsentscheidung ein, statt erst nachgelagert berücksichtigt zu werden.

Sicherheitsentscheidungen sind Geschäftsentscheidungen

Probleme bei der Anmeldung erhöhen also nicht nur das Risiko von Sicherheitsvorfällen. Sie stören Arbeitsabläufe, verzögern den Einstieg neuer Mitarbeitender und erschweren die schnelle Wiederaufnahme des Betriebs im Ernstfall. Eine solide Identitätsbasis sorgt dagegen für verlässlichen Zugriff und hilft, Security-Vorfälle schneller zu begrenzen.

Identitätssicherheit ist deshalb kein rein technisches Thema. Für Geschäftsleitungen zählt, welche Auswirkungen Identitätsrisiken auf Stabilität, Kontinuität und Handlungsfähigkeit eines Unternehmens haben.

Zu den neueren Aufgaben von CISOs und ihren Organisationen gehört es daher, diese Zusammenhänge verständlich zu machen. Sicherheitsmaßnahmen müssen sich wieder an den realen Arbeitsalltag anpassen. Alle Lösungen, die unter Druck nicht mehr funktionieren oder Arbeitsprozesse verzögern, gehören dagegen auf den Prüfstand. Dazu gehört die passwortbasierte Authentifizierung.

Das Risiko ist vermeidbar

Passwörter halten sich vor allem deshalb, weil sie vertraut sind, nicht weil sie effektiv wären. Oftmals spielen sie weiterhin eine zentrale Rolle in der Sicherheitsarchitektur. Angesichts skalierbarer Phishing-Kampagnen und zunehmenden Missbrauchs von Zugangsdaten bedeutet das heutzutage eine unnötig große Angriffsfläche. Entsprechend betonen auch Zero-Trust-Konzepte zunehmend phishing-resistente Authentifizierung als Mindeststandard.

Die technischen Voraussetzungen für den Abschied vom Passwort sind längst vorhanden. Die eigentliche Herausforderung besteht darin, sie konsequent umzusetzen. Security- und Compliance-Teams sowie die Geschäftsleitung müssen dafür ein gemeinsames Verständnis für die Risiken entwickeln.

Authentifizierung bedeutet heute mehr, als eine Person zu identifizieren. Es geht darum, Vertrauen in den Zugriff selbst herzustellen – kontinuierlich und kontextabhängig. Allein mit Passwörtern lässt sich dieser Anspruch nicht mehr erfüllen.

Über den Autor: Jan Bee ist Chief Information Security Officer bei TeamViewer. Zuvor war er als Director of Product Security tätig, wo er die Weiterentwicklung der Produktsicherheit sowie Initiativen im Bereich „Trust & Safety“ vorantrieb. Mit mehr als zwanzig Jahren Erfahrung im Bereich Informationssicherheit, darunter ein Jahrzehnt bei Google, verfügt er über fundiertes technisches Fachwissen in den Bereichen sichere Softwareentwicklung und Schutz von Nutzerdaten.

(ID:50895471)