Der Einsatz von Passwörtern gilt schon seit längerem als überholt: Zu oft wählen Nutzer zu einfache Kennwörter aus, teilen sie mit Kollegen oder bewahren sie an leicht zugänglichen Stellen auf. Deswegen gehen immer mehr Unternehmen dazu über, Passwörter gänzlich abzuschaffen und stattdessen zu passwortlosen Login-Praktiken zu wechseln.
Passend zum Welt-Passwort-Tag folgen hier nun ein paar Best Practices für Unternehmen, die sie auf ihrer Reise hin in eine passwortlose Zukunft unterstützen sollen:
1) Benutzer und ihre Anwendungsfälle berücksichtigen
- Was sind die Bedürfnisse, Verhaltensweisen und Risikoprofile der Benutzer im Unternehmen?
- Verwenden sie mobile Geräte, Desktop-Geräte oder gemeinsam genutzte Arbeitsstationen?
Fazit: Unterschiedliche Benutzer können unterschiedliche Sicherheitsstufen innerhalb der Organisation erfordern.
2) Funktionsübergreifende Abstimmung erreichen
- Sind alle relevanten Abteilungen innerhalb der Organisation in die Planungsmeetings für den Wechsel hin zu passwortlosen Praktiken einbezogen?
- Wurde die Personalabteilung zusammen mit der IT-Abteilung an einen Tisch geholt, um einen Konsens über Schulungspraktiken zu erzielen?
Fazit: Es gilt, die Bedürfnisse aller Abteilungen bei der Gestaltung Ihres passwortlosen Workflows zu berücksichtigen
3) Bewertung der bestehenden technischen Umgebung, Investitionen und Ressourcen
- Ist ein aktuelles Identity Access Management (IAM)-System im Einsatz?
- Befindet sich dieses IAM vor Ort oder in der Cloud?
- Wie komplex ist die Software-Lieferkette?
- Sind die entsprechenden technischen Ressourcen verfügbar, um eine passwortlose Lösung zu implementieren und zu integrieren?
Fazit: Soll die Lösung fürs erste On-Premise-Lösung sein, stellen Smartcards den ersten Schritt in Richtung passwortlose Lösung dar. Wenn die Cloud bereits im Einsatz ist, ist die Zeit vielleicht reif für FIDO2/WebAuthn-konforme Hardware-Sicherheitsschlüssel.
4) Aufenthaltsort der Belegschaft überblicken
- Wo befindet sich die Mehrzahl der Nutzer? Im Büro oder im Home-Office?
- Wie gelangen sie dort an die zugangsrelevante Hardware?
- Wird die Logistik der Auslieferung und Aktivierung intern abgewickelt oder outgesourced?
Fazit: Remote-Onboarding kann einen Schritt in Richtung passwortlose Anmeldung erfordern. Wenn Mitarbeiter sich von entfernten Standorten aus einloggen und sich authentifizieren müssen, ist es zwingend erforderlich, einen Weg hin zum passwortlosen Betrieb zu finden.
5) Planung von Schulungen und Support
- Wie soll die Abwicklung von Schulungen und Mitarbeitersupport im Rahmen passwortloser Authentifizierung aussehen?
- Existiert ein Kommunikationsplan mit zugänglichen Assets zur Unterstützung der Nutzer?
Fazit: Eine frühzeitige Auswahl klarer Kommunikationsmittel in Zusammenarbeit mit der Personalabteilung oder anderen Stakeholdern ist für einen fließenden Übergang ebenso wichtig wie diese den Mitarbeitern mit ausreichend Vorlauf anzukündigen.
6) Die erzielten Erfolge messen
- Existiert bereits ein Ansatz für die Auswertung und Präsentation der erzielten Erfolge beim Übergang zum passwortlosen Betrieb?
- Was sind in diesem Falle die entscheidenden Kennzahlen, die einen Erfolg ausmachen?
Fazit: Die Kennzahlen variieren von Unternehmen zu Unternehmen. Einige der gängigsten sind Bottom-Line-Metriken, die Geld und Zeit sparen, wie zum Beispiel eingesparte Helpdesk-Stunden, eingesparte Onboarding-Erst- und Folgeressourcen oder Einsparungen bei der Hardware.
7) Zusätzliche technische Dienstleistungen in Betracht ziehen
- Ist weitere externe Expertise notwendig, um den Übergang zu bewältigen?
Fazit: Sobald das Fachwissen der derzeitigen Mitarbeiter eingeschätzt wurde, sollte man in Erwägung ziehen, externe Beratungshilfe von Anbietern in Anspruch zu nehmen, die bereits andere Unternehmen auf dem Weg zum passwortlosen Betrieb begleitet haben. Der Umfang des veranschlagten Zeitplans kann bestimmen, wie viel zusätzliches Budget in die Inanspruchnahme technischer Dienstleistungen investiert werden sollte. Wenn keine feste Frist für die Implementierung besteht, kann man auch langsamer vorgehen. Wenn aber die Implementierung durch einen vorangegangenen Compliance-Verstoß eilt, können externe Experten den Übergang zum passwortlosen Betrieb beschleunigen und bei der Fehlervermeidung unterstützen.
Berücksichtigen Entscheider diese Punkte, steht einer passwortlosen Zukunft in ihrem Betrieb nichts mehr im Wege.