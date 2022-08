Authentifizierung ist derzeit eines der heißesten Branchenthemen im Umfeld der Cybersicherheit. Biometrie, Multi-Faktor-Authentifizierung und eine Reihe anderer Authentifizierungsmethoden haben dem Passwort den Rang abgelaufen. Oder nicht?

Um das herauszufinden, hat One Identity über 100 Sicherheits- und IT-Experten auf der InfoSecurity Europe 2022 direkt befragt. Die Ergebnisse werfen ein aktuelles Schlaglicht darauf, wie Unternehmen und Mitarbeiter mit Passwörtern und dem Thema Authentifizierung im Allgemeinen umgehen.

Die größte Sicherheitsbedrohung für das eigene Unternehmen ist demnach für 56 % der Befragten die gemeinsame Nutzung von Passwörtern für administrative Aufgaben. Wenn das kein Argument für die passwortlose Authentifizierung ist… Für 25 % der Befragten ist es die Befürchtung, dass Benutzer auf bösartige Links klicken oder betrügerische Anhänge öffnen. Mit 80 % unangefochten an der Spitze der Befürchtungen: menschliches Versagen als das größte anzunehmende Risiko für die Cybersicherheit eines Unternehmens.

Allerdings vertreten nicht alle Befragten gleichzeitig die Ansicht, dass Mitarbeiterschulungen automatisch der beste Weg sind, Cyberangriffe zu verhindern. Davon gehen immerhin 62 % der Befragten aus. Demgegenüber stehen 30 %, die es für wichtiger halten, ein Zero-Trust-Modell einzuführen.

Beim Thema Multi-Faktor-Authentifizierung gibt es einige ermutigende Werte zu vermelden: Stolze 99 % der Befragten geben an, dass ihr Unternehmen MFA für den Remote-Zugriff nutzt, bei 97 % ist dies per Unternehmensrichtlinie vorgeschrieben. Das bestätigt, was wir bereits wissen: Kenner der Materie sind mit dem Passwort als alleinige Authentifizierungsmethode längst nicht mehr zufrieden.

Wenn wir uns die Beziehung zwischen Benutzern und ihren Passwörtern genauer ansehen, treten interessante Ergebnisse zutage. Während relativ wenige Befragte ein Passwort wählen, das eine emotionale Bedeutung für sie hat (28 %), räumt eine überwältigende Mehrheit dennoch ein, ein Lieblingspasswort zu haben (84 %). Daraus lässt sich schließen, dass die meisten Benutzer Passwörter zwar nicht aus sentimentalen Gründen wiederverwenden, wohl aber aus praktischen Gründen. Es ist besorgniserregend, dass selbst IT- und Sicherheitsexperten diese unzeitgemäße, schlechte Angewohnheit beibehalten. Schließlich sollte gerade diese Gruppe am besten um die Risiken wissen, wenn ein und dasselbe Passwort mehrfach verwendet wird.

Ein weiterer Minuspunkt für das traditionelle Passwort: Wenn selbst Fachleute sich nicht an Best Practices orientieren, wie können wir dann erwarten, dass Laien es tun? Fakt ist, Benutzer haben heute derart viele Konten, dass es nicht mehr praktikabel ist, für jedes ein neues Passwort zu erstellen und es sich auch noch zu merken.

Bei modernen Authentifizierungsmethoden taucht dieses Problem nicht auf.

Offensichtlich verwenden Benutzer ihre Passwörter mehrfach. Allerdings entscheiden sich die meisten Anwender für komplexere Passwörter, je nachdem wie wichtig das betreffende System ist (96 %). 76 % der Befragten sind denn auch der Ansicht, dass Bank- oder Finanzdienstleistungen ein erstklassiges Passwort erfordern. Aber nur 7 % sprechen geschäftlichen E-Mails den gleichen Sicherheitslevel zu. Das mag zunächst plausibel klingen, verheißt aber nichts Gutes für Unternehmen, die routinemäßig sensible Informationen per E-Mail austauschen.

Schließlich kommen wir zu der Frage, wie IT- und Sicherheitsexperten ihre Passwörter speichern. Zumindest hier sind die Statistiken einigermaßen ermutigend: 65 % der Befragten nutzen einen Passwort-Manager, gemeinhin als die sicherste und bequemste Methode zur Aufbewahrung von Passwörtern bekannt. 23 % der Befragten notieren sich ihre Anmeldedaten. Nicht ideal, aber immer noch sicherer, als ein Passwort für mehrere Konten zu verwenden. Wir sind bei unserer Umfrage zwar auch auf einige Cyber-Savants gestoßen, die für sich in Anspruch nehmen, sich sämtliche Anmeldedaten merken zu können. Für uns sieht es aber trotzdem eher so aus als ob auch sie Passwörter für eine alarmierende Anzahl von Konten wiederverwenden.

Fazit

Die wichtigste Erkenntnis der Umfrage: Das Passwort ist definitiv auf dem Rückzug. Herkömmliche Passwörter sind nicht mehr zweckdienlich, und selbst führende Unternehmen in der Informationssicherheit scheitern daran, Best Practices umzusetzen. Schlicht, weil die Methode so unbequem ist. Unternehmen wenden sich in der Masse bereits alternativen Authentifizierungsmethoden zu und schreiben deren Anwendung fest. Es wird also vermutlich nicht lange dauern, bis dieser Trend auch den Rest der Gesellschaft erfasst.

Dan Conrad, One Identity