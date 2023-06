Passwörter sind schwer zu merken und zu schützen, da Cyberkriminelle sie leicht knacken oder abgreifen können. Daher stellen sie für Sicherheitsfachkräfte und Benutzer gleichermaßen eine Quelle der Frustration dar. Um die Sicherheit einer Organisation zu erhöhen, werden Benutzer häufig dazu angehalten, ihre Passwörter regelmäßig zu ändern oder zu aktualisieren. Zu den augenscheinlich hilfreichen Tipps, die Benutzern gegeben werden, gehören: Verwenden Sie mindestens 15 Zeichen, mischen Sie Buchstaben und Symbole, verwenden Sie keine fortlaufenden Zahlen, persönlichen Informationen und nichts, das leicht zu erraten ist wie »P@sswort«. Dies bürdet Benutzern nicht nur eine große Sicherheitsverantwortung auf. Es führt auch zu häufigen Anrufen bei den Helpdesks, weil Nutzer oft nicht in der Lage sind, sich jede neue, noch kompliziertere Kennwortkombination zu merken, und sich aus den Systemen aussperren. Dadurch werden wertvolle Zeit, Energie und Ressourcen verschwendet.

Oft werden Benutzer auch dazu angehalten, Lösungen wie Passwort-Manager zu verwenden, um sich keine komplexen und ständig wechselnden Passwörter merken zu müssen. Das Problem hierbei: Die Benutzer tragen immer noch die Verantwortung für ihre Passwörter. Und da alle Passwörter in einem einzigen, leicht zugänglichen Repository gespeichert sind, kann ein erfolgreicher Hack des Passwort-Managers selbst – der ebenfalls ein eigenes Passwort benötigt – katastrophale Folgen haben. Der Hack des Passwort-Manager-Anbieters LastPass ist nur ein Beispiel für den Schaden, der durch solche Angriffe entstehen kann. Deshalb ist es sinnvoller, ganz auf Passwörter zu verzichten und ein neues Sicherheitskonzept zu verfolgen.

Hackers Liebling: Passwortbasierte Angriffe

Hacker brechen nicht mehr ein, sie loggen sich ein. Ein überwältigender Anteil der Datensicherheitsverletzungen beginnt mit einem passwortbasierten Angriff. Laut dem Data Breach Investigations Report 2022 von Verizon wurden über 80 Prozent der Verletzungen von Webanwendungen durch gestohlene Anmeldeinformationen verursacht, wobei fast 20 Prozent der Verletzungen auf Phishing zurückzuführen waren.

Dies überrascht nicht, denn wenn die Anmeldedaten eines Unternehmens passwortbasiert sind, werden sie in Datenbanken gespeichert, die Hacker auch direkt angreifen können. Es spielt keine Rolle, ob ein Kennwort mehr als 1000 Zeichen lang und voller Symbole ist, denn sobald ein Benutzer einer raffinierten Phishing-E-Mail zum Opfer fällt, ist die Komplexität seines Kennworts irrelevant. Indem Unternehmen sich von Passwörtern verabschieden, können sie verhindern, dass ihre Anmeldedaten an verschiedenen Orten und in verschiedenen Datenbanken gespeichert werden, wo sie von Hackern gestohlen werden können.

Zero-Trust-Prinzipien: Jeden und alles die ganze Zeit überprüfen

In den letzten Jahren haben der Ansatz und die Techniken, die in der Zero-Trust-Security Anwendung finden, neue Möglichkeit eröffnet, Benutzer, Nutzerverhalten und die Geräte, die sie für den Zugriff auf Systeme verwenden, aktiv zu authentisieren und zu überwachen – und dies wirklich kontinuierlich und sicher, ohne dabei die Arbeitsabläufe der Nutzer zu behindern.

Diese Lösungen der nächsten Generation machen Passwörter sowie passwortbasierte Multi-Faktor-Authentifizierung (MFA) überflüssig, die Magic-Links und Einmal-Passwörter verwenden, welche anfällig für Fälschung oder für Man-in-the-Middle-Angriffe sind. Stattdessen werden unveränderliche kryptografische Anmeldeinformationen eingesetzt.

Statt Passwörtern erhält jeder Nutzer einen Berechtigungsnachweis auf seinem Gerät, der nicht bewegt, geklont oder manipuliert werden kann und in einem Trusted Platform Module (TPM) auf dem Gerät gespeichert und geschützt ist. Dieser Ansatz ermöglicht es Unternehmen, sich gegen Hacks und Passwort-Exploits zu schützen, die in der Regel zu Ransomware-Angriffen führen.

Durch die Verwendung von passwortloser MFA können Unternehmen Zero-Trust-Sicherheitsprinzipien durchsetzen, die dafür sorgen, dass sich nur autorisierte Benutzer und Geräte, die bekannt und genehmigt sind sowie alle notwendigen Sicherheitsanforderungen erfüllen, tatsächlich anmelden können. Alle auf Anmeldeinformationen basierenden Angriffe werden abgewehrt.

Vereinfachung der Sicherheit und Befähigung der Benutzer

Das Abschaffen von Passwörtern bringt für Unternehmen erhebliche Sicherheitsvorteile mit sich. Zudem sind die führenden Authentisierungslösungen einfach zu implementieren und zu warten und beseitigen auch die Produktivitätseinbußen, die Benutzer bei herkömmlichen MFA-Verfahren in der Regel erleiden.

Da unnötige Reibungsverluste bei der Anmeldung vermieden werden, ist es nicht mehr notwendig, ein zweites Gerät zu nutzen, um einen Code oder Link zu empfangen. Außerdem sind die Benutzer nicht mehr dafür verantwortlich, komplexe Passwörter zu wählen und diese häufig zu ändern. Vergessene Passwörter und deren Zurücksetzen am Helpdesk gehören der Vergangenheit an. Stattdessen können Unternehmen ihre Sicherheit dank eines passwortlosen Authentifizierungsansatzes, der eine kontinuierliche risikobasierte Authentifizierung ermöglicht, auf effektive und effiziente Weise erhöhen.

Mit der Eliminierung von Passwörtern können Unternehmen passwortbasierte Angriffe im Keim ersticken. Die Umstellung auf eine Phishing-resistente MFA, die Faktoren wie Biometrie, kryptografische Sicherheitsschlüssel und Sicherheitsprüfungen von Benutzern und Geräten zum Zeitpunkt der Anmeldung sowie auch anschließend kontinuierlich durchführt, erlaubt nun den Schutz von Netzwerken und Ressourcen, der über eine einzige Plattform zentral angepasst, verwaltet und überwacht werden kann.

Da Unternehmen einer Flut an Cyberangriffen ausgesetzt sind, sollte das Überdenken der Authentifizierungsverfahren im gesamten Unternehmen oberste Priorität haben, um die Sicherheit von Kunden, Mitarbeitern und Partnern zu gewährleisten. Diejenigen Unternehmen, die Passwörter abschaffen und zu kryptografischen Passkeys übergehen, erleichtern nicht nur den Arbeitsalltag der Benutzer und verbessern deren Produktivität. Sie beseitigen auch einen der Hauptangriffsvektoren, den Hacker nutzen, um sich Zugang zu Unternehmenssystemen zu verschaffen.

Jasson Casey, Chief Technology Officer, Beyond Identity

Die Verifizierung der Benutzeridentität ist im digitalen Zeitalter integraler Bestandteile der Online-Nutzung. Wie erzeugen Unternehmen ein optimales Zusammenspiel von Datenschutz, dem Vertrauen der Nutzer und einem bestmöglichen Kundenerlebnis?

Laut Bundesregierung wird 2021 das Jahr der digitalen Identitäten: Die Überarbeitung der eIDAS-Verordnung, die die Standards in der EU regelt, steht bevor und der Identitätsnachweis per Smartphone soll ermöglicht werden [1]. Die Verifizierung der Benutzeridentität ist im digitalen Zeitalter allgegenwärtig, ob wir Kleidung online bestellen, Nachrichten an Arbeitskollegen schicken oder den favorisierten Streaming-Dienst aufrufen – 83 % der heutigen Anwendungen erfordern, dass sich Anwender in einer bestimmten Art und Weise authentifizieren, um sich Zugang zu diesen Online-Services zu verschaffen [2]. Doch wie sind die digitalen Identitäten überhaupt entstanden und was bedeuten sie für Unternehmen (den Datenschutz, das Vertrauen der Nutzer oder das Kundenerlebnis) heute?

Die Entwicklung digitaler Identitäten. Die Identität umfasst im klassischen Sinne die typischen Wesensmerkmale eines Menschen, wie Alter, Geschlecht, Herkunft bis hin zu biometrischen Kennzeichen, Charaktereigenschaften und individueller Lebensgeschichte. Viele Merkmale der Offline-Identität wurden mit dem Aufkommen des Internets nach und nach Online abgebildet. Schließlich wurden den Nutzern immer mehr digitale Dienste und Services angeboten, bei denen sie sich so registrieren mussten, dass jederzeit die Identität zur Personalisierung von Inhalten nachvollzogen werden konnte.

Als das Web vor mehr als 30 Jahren für kommerzielle Zwecke geöffnet wurde, existierten kaum brauchbare Nutzungsstandards. Von Authentifizierung ganz zu schweigen. Online-Anbieter adaptierten daher die Methode der Benutzername-Passwort-Identifikation, wodurch unterschiedliche separate Systeme entstanden, die die Nutzeridentität für verschiedene Anwendungsfälle erfassen, speichern und verarbeiten. Damit hinterließen die Nutzer bei jedem Mal eine Art digitalen Fußabdruck zu ihren personenbezogenen Informationen, einschließlich der Kontaktinformationen (Name, E-Mail, Adresse etc.). Der Wert der Nutzerdaten gewann dadurch an Bedeutung für Unternehmen. Sie erkannten die Chance, mithilfe der Verwertung der Nutzerdaten, mehr über die Kundenbedürfnisse zu erfahren und damit personifizierte Services zur Verfügung zu stellen.

Die bewusste Nutzung und Analyse der personenbezogenen Daten, die sich zunehmend in personalisierten Werbeanzeigen widerspiegelten, befeuerten die »Angst vorm gläsernen Menschen« – ein Begriff, der mit den Protesten anlässlich der Volkszählung Anfang der 1980er Jahre aufkam und die Preisgabe privater Daten und die Durchleuchtung der Privatsphäre kritisierte. Aber auch Skandale über Überwachungs- und Spionagepraktiken, die von Whistleblowern aufgedeckt wurden, schürten in der Gesellschaft den Glauben an den gläsernen Menschen. Dem steigenden Interesse an Informationen über Personen ist seit Mai 2018 die Datenschutzgrundverordnung (DSGVO) entgegengesetzt und regelt die Verarbeitung personenbezogener Daten in der EU. Unternehmen müssen zur Erfüllung der DSGVO einen transparenten Umgang mit den Nutzerdaten pflegen, die jederzeit eingesehen und gegebenenfalls gelöscht werden können. Nur so haben Nutzer weitestgehend die Kontrolle über ihre digitalen Identitäten. Unternehmen stehen gleichzeitig in der Pflicht, über Zugriffsmanagement die Richtigkeit der digitalen Identitäten zu kontrollieren und Cyberattacken zu verhindern. Personenbezogene Daten rückten mit der Zeit nicht nur ins Visier von wirtschaftlichen Akteuren. Auch das Interesse von Cyberkriminellen steigt, die mithilfe raffinierter Angriffe digitale Identitäten stehlen, um sie im Darknet zu veräußern, vom Unternehmen Lösegeld zu fordern oder im Namen anderer Bestellungen zu tätigen.

Der Wert digitaler Identitäten. Für böswillige Akteure sind persönliche Daten eine gewinnbringende Beute. Identitätsdiebstahl, auch »Broken Authentication« genannt, ist eine der häufigsten Methoden bei beobachteten Datenschutzverstößen und hat häufig schwerwiegende Folgen für Einzelpersonen und Unternehmen [3]. Bereits 2019 erlitten rund 70 % der Unternehmen in Deutschland Schäden durch Cyberattacken [4].

Durch Credential-Stuffing-Angriffe, bei denen geleakte Log-in-Daten anderer Plattformen verwendet werden, erhalten Cyberkriminelle Zugang zu weiteren Benutzerkonten. Log-in-Daten sowie weitere personenbezogene Informationen werden im Darknet gehandelt: Zugangsinformationen zu Streaming-Diensten gibt es für 10 Dollar, eine Patientenakte kostet ca. 1.000 Dollar und eine Reisepassnummer um die 2.000 Dollar [5]. Der rasant steigende Wert, den digitale Identitäten für Internetkriminelle haben, erfordert ein verstärktes Bewusstsein für den Umgang sowohl von Nutzerseite als auch von Unternehmensseite. Denn heutzutage lassen sich mit den richtigen Informationen durch die Digitalisierung vieler Dienste tiefgreifende Veränderungen vornehmen, wie beispielsweise anhand von Steuer-, Bank-, und Krankenaktendaten oder Meldenachweisen. Durch den falschen Umgang mit persönlichen Daten ist es heutzutage recht einfach geworden, in die Situation zu geraten, ein weiteres Konto zu besitzen von dem man selbst nichts weiß.

Grundpfeiler für den Umgang mit persönlichen Daten. Unternehmen stehen vor der Herausforderung, die Nutzung ihrer Online-Dienste für den Nutzer so nahtlos und einfach wie möglich zu gestalten, dabei gleichzeitig DSGVO-konform zu handeln und die bestmögliche Sicherheit für die persönlichen Daten zu gewährleisten.

Einfachheit

Die Einmalanmeldung Single Sign-On (SSO) vereinfacht den Authentifizierungsprozess sowohl für Kunden als auch für Unternehmen: Benutzer melden sich bei einer Anwendung wie Google Mail an und werden automatisch bei weiteren Anwendungen angemeldet, unabhängig von der verwendeten Plattform, Technologie oder Domäne. Dadurch, dass nur ein Datensatz zur Identifikation verwendet wird, sinkt das Risiko, dass Zugangsdaten entschlüsselt oder vergessen werden.

Klassische Ein-Faktor-Anmeldungen mit Benutzername und Passwort können nicht vor Credential-Stuffing-Angriffen schützen. Die Multi-Faktor-Authentifizierung (MFA) ergänzt Passwörter um eine weitere Möglichkeit zum Nachweis der Identität, entweder durch Biometrie oder einen Code, der per SMS oder E-Mail übermittelt wird. Diese Verteidigungsmaßnahme zu überwinden ist schwieriger, da vom Nutzer ein zusätzlicher Schritt erforderlich wird, der bestenfalls mit einem zusätzlichen Gerät in Verbindung steht. Um Kunden diesen Aufwand zu vereinfachen, kann die kontextbezogene Multi-Faktor-Authentifizierung (adaptive MFA) zum Einsatz kommen: Sie fordert einen zusätzlichen Faktor nur bei verdächtigem Verhalten oder dem Zugriff auf sensitive Daten, beispielsweise wenn Transaktionen von einem anderen Ort oder neuem Gerät aus durchgeführt werden oder Nutzer auf hinterlegte Zahlungsmittel zugreifen möchten.

Geht es um einen DSGVO-konformen Umgang mit personenbezogenen Daten, hilft eine Customer-Identity-and-Access-Management-Lösung (CIAM) als Erweiterung zum traditionellen Identity and Access Management (IAM) dabei, zentralisierte Kundenprofile zu erstellen. Denn im Wesentlichen ist eine CIAM-Lösung eine API, die zwischen verschiedenen Anwendungen und Komponenten vermittelt und heterogene Daten an einem Ort zusammenführt. Die zentralisierte Benutzerverwaltung eliminiert Datensilos und doppelte Daten. Alles, was Unternehmen für den sicheren Login und die Berechtigungen der Benutzer benötigen, ist an einem Ort zusammengefasst, von dem aus Admins schnell Berechtigungen erteilen und entziehen können. Diese einheitliche Sicht auf den Kunden begünstigt neben der Analyse auch die Erfüllung der Berichtsanforderungen der Datenschutzgesetze, da alle Profildaten zugänglich und übertragbar sind.

Ausblick. Die Entwicklung der digitalen Identität ging Hand in Hand mit der Entwicklung der virtuellen Welt. Von separat agierenden Online-Diensten, die silobasiert die Nutzerdaten authentifizierten, bis hin zu anbieterübergreifenden und nutzerorientierten Strategien, die gleichzeitig Datenschutzkonformität und Sicherheit priorisieren – die digitale Identität wurde stets mit mehr Informationen angereichert. Und hier ist noch lange nicht Schluss: Die Identifikation über einzigartige biologische Komponenten der Offline-Persönlichkeit wie Stimme, Iris, Fingerabdruck oder Gesicht wird bereits eingesetzt. Erkennungstools, die die Gangart oder die Venen analysieren, sind auf dem Vormarsch.

Von Unternehmen erfordert der Umgang mit biometrischen Daten besondere Sorgfalt, schließlich können einmal geleakte biometrische Daten nicht zurückgesetzt werden wie ein Passwort. Wie auch die Offline-Identität stetig im Wandel ist, so sind die digitalen Identitäten und der Umgang damit einer prozesshaften Entwicklung unterworfen. Im Spannungsfeld von Bequemlichkeit, Privatsphäre, Regulierungen und Sicherheit hilft eine CIAM-Lösung; vor allem dann, wenn sie es erlaubt, Sicherheitstechnologien ergänzend und aufeinander einzusetzen.

Kevin Switala,

Enterprise Account Executive

bei Auth0