foto freepik
Log-ins mit Benutzername und Passwort sind nicht nur umständlich, sondern bergen auch Gefahren. Schließlich setzen Cyberkriminelle vor allem auf Phishing und Social Engineering, um Zugangsdaten abzugreifen. Daher ist es höchste Zeit für nutzerfreundliche und sichere Alternativen, meint Ingolf Rauh, Head Product und Innovation Management bei Swisscom Trust Services.
»Auf dem Gebiet von Datensicherheit und Datenschutz gibt es beständig Weiterentwicklungen. Die Europäische Kommission hat erst kürzlich die Anerkennung des Schweizer Datenschutzgesetzes als gleichwertig zur DSGVO verlängert [1]. Damit kann der Datenverkehr zwischen der Schweiz und EU-Ländern weiterhin frei bestehen bleiben und Bürger können sich sicher sein, dass die Übermittlung personenbezogener Daten angemessenen Datenschutzgesetzen unterliegt.
Trotz aller Bemühungen für mehr Cybersicherheit und stärkeren Schutz persönlicher Daten lauern im Netz aber immer noch altbekannte Gefahren. Passwörter sind eine der wichtigsten Schwachstellen, die Kriminelle nutzen, um an sensible Daten zu gelangen. Besonders Phishing und Social Engineering bleiben ernst zu nehmende Bedrohungen, da sie für Cyberkriminelle der einfachste Weg sind, um sich Zugriff auf Nutzerkonten zu verschaffen. Mit etwa 40 Prozent sind Datendiebstähle wie diese die häufigste Art der Cyberattacke [2]. Das mag unter anderem daran liegen, dass weder Phishing noch Social Engineering nennenswerte IT-Kenntnisse erfordern und die Tore zur Cyberkriminalität damit fast jedem offenstehen.
Und obwohl Experten, seit es Log-Ins mit Nutzername und Passwort gibt, wieder und wieder darauf hinweisen, wie sichere Passwörter aussehen sollen, wie lang sie sein müssen, dass man sie regelmäßig wechseln und nicht mehrfach verwenden soll, läuft ihr Rat häufig ins Leere. Nach wie vor wählen viele Nutzer aus Bequemlichkeit simple Passwörter, die den Sicherheitsanforderungen nicht genügen. Damit sind das klassische Passwort-System und seine Defizite oftmals die Ursache für Cybervorfälle.
Es ist an der Zeit für neue und innovative Ansätze zur Nutzerverifizierung im Internet. Konzepte, die sich nicht so leicht kompromittieren lassen und Nutzer sicher und einfach verwenden können, sind gefragt. Bereits seit 2013 setzt sich dafür die FIDO-Allianz ein und arbeitet auf eine Passwort-lose Zukunft hin. Die Alternative zu Nutzername und Passwort sehen sie in asymmetrischer Kryptografie, bei der Anwender ihrer Identität über einen privaten Schlüssel, der auf einem Gerät gespeichert ist, verifizieren. Dabei kann es sich etwa um einen USB-Stick handeln oder auch direkt um die Hardware eines Mobiltelefons. Bei der Authentifizierung muss der Schlüssel das Gerät nicht verlassen. Stattdessen wird eine sogenannte Challenge an das entsprechende Gerät gesendet, die nur mithilfe des privaten Schlüssels gelöst werden kann und so die Identität des Nutzers nachweist. Dieses Vorgehen macht die Methode besonders sicher.
Doch damit das auch so funktioniert, ist die initiale Identifikation des Nutzers entscheidend. Hierbei muss garantiert werden, dass sich hinter dem privaten Schlüssel tatsächlich die angegebene Person verbirgt. Dafür können BankIdent oder KI-unterstützte Videoidentifikation als sehr effiziente und benutzerfreundliche Methoden eingesetzt werden.
Zusätzlich bietet sich das weitgreifende Konzept der Self-Sovereign-Identity oder kurz SSI an. Damit können Nutzer in einem Wallet dezentral eine Art digitales Abbild ihrer Identität erschaffen und sich hierüber im digitalen Raum zweifelsfrei identifizieren. So müssen sie beispielsweise nicht bei jedem Online-Shop ein eigenes Benutzerkonto erstellen und können sogar den Bezahlvorgang über die digitale Identität abwickeln. Das erleichtert das Leben in einer digitalisierten Welt in vielerlei Hinsicht.
Es gibt damit keinen Grund, sich 2024 nicht endgültig von Passwörtern zu verabschieden.
Ingolf Rauh, Head Product und Innovation Management bei Swisscom Trust Services
[1] https://www.it-markt.ch/news/2024-01-16/eu-akzeptiert-schweizer-datenschutz-als-gleichwertig
[2] https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf