Banken, Versicherungen, Automobilhersteller, Pharma-Konzerne und Chemie-Industrie – es gibt kaum eine Branche, die nicht von einer Zero-Trust-Strategie spricht. Für CISOs und CIOs ist das Thema dauerpräsent, obwohl Unternehmen doch eigentlich Trust suchen. Wie gelingt es also, Mitarbeitern und ihren Zugriffen auf die Unternehmens-IT gänzlich vertrauen zu können?
Ob bei der Anmeldung auf dem PC, dem Öffnen von Applikationen oder dem Zugriff auf Social Media – Passwörter bestimmen auch heute noch den Großteil der Authentifizierungsverfahren in unserem digitalen Alltag. Das Problem dabei: Passwörter sind umständlich zu merken und anfällig für Angriffe von Kriminellen. Abhilfe kann die vollständige Eliminierung von passwortbasierten Anmeldungen in Verbindung mit mehreren Faktoren zur Identifikation eines Anwenders verschaffen, meint Jochen Koehler, Leiter der Region Zentraleuropa beim Authentifizierungsspezialist HYPR.
Ulrich Parthier: Herr Koehler, Zero Trust gewinnt als Sicherheitsmodell immer mehr Popularität. Was macht es so sicher und damit bei CISOs und CIOs gleichermaßen beliebt?
Jochen Koehler: Zero Trust ist im Gegensatz zu eher kurzlebigen Sicherheitsmodellen im Cybersecurity-Bereich mehr als nur ein Hype, es hat sich regelrecht als eine grundlegende Strategie vieler Unternehmen etabliert. Wie der Name es bereits vermuten lässt, verfolgt Zero Trust einen Ansatz, der nichts und niemandem innerhalb und außerhalb der Unternehmensgrenzen per se vertraut, seien es Mitarbeiter, Kunden oder Anwendungen. Entstanden ist dieses Misstrauen, da aufgrund der sich immer weiter aus dem Perimeter hinausbewegenden Geräte und Anwendungen keine Zugriffssicherheit mehr gegeben ist. Das macht eine eindeutige Identifikation von Gerät und Anwender unmöglich. Das wichtigste Element einer Zero-Trust-Strategie ist deshalb die Identität. Hier spielt die Anwenderauthentifizierung eine entscheidende Rolle, denn sie liefert den Nachweis über die Identität der Person, die auf und über das entsprechende Gerät zugreift. Diese eindeutige Identifizierung des Anwenders steht am Anfang einer jeden Zero-Trust-Architektur. Richtig umgesetzt wird diese letztendlich zu einer Trust-Architektur, denn das eigentliche Ziel der Unternehmen ist ja das Vertrauen, und nicht das Nicht-Vertrauen. Moderne Lösungen müssen also in der Lage sein, nicht nur das Gerät, sondern auch den Anwender zweifelsfrei zu identifizieren. Und spätestens da haben passwortbasierte Authentifizierungsverfahren ihre Grenzen erreicht.
Ulrich Parthier: Auf Passwörter alleine verlassen sich heute schon die wenigstens Unternehmen. Welche Formen der Multi-Faktor-Authentifizierung (MFA) werden heute eingesetzt und welche Rolle spielt Single Sign-On in diesem Kontext?
Jochen Koehler: Unternehmen haben längst erkannt, dass der Einsatz von Passwörtern als Authentifizierungsfaktor schlicht nicht mehr sicher ist. Nachweise über Zugangsberechtigungen und Identitäten müssen heute über eine Multi-Faktor-Authentifizierung (MFA) erbracht werden, die zusätzliche Faktoren zur Identifikation erfordert. In der Praxis kommen MFA-Lösungen jedoch oft erst als Sekundär-Authentifizierung zum Einsatz, also nachdem der Benutzer sich bereits mit einem Passwort, zum Beispiel am PC, anmelden musste. In diesen Fällen kann natürlich weder von Single Sign-On, noch von einer passwortlosen Anmeldung gesprochen werden. Eine sinnvolle Strategie zieht den MFA-Prozess vor, sodass die Identität nicht erst bei dem Zugriff auf eine Anwendung oder ein Single-Sign-On-Portal überprüft wird, sondern bereits, wenn sich die Person an ihrem Gerät anmeldet. Ähnlich wie bei dem Betreten eines gesicherten Gebäudes wird so der Haupteingang zum System abgesichert und die Identität per MFA überprüft.
Entsprechende Technologien gibt es seit wenigen Jahren auf dem Markt, Unternehmen sollten bei der Auswahl aber sehr genau hinschauen. Oftmals ersetzen Touch ID, Hello-Kamera und andere Anmeldemechanismen den Einsatz von Passwörtern gar nicht, sondern verschieben sie lediglich in den Hintergrund. Das eingestellte Passwort ist dabei an den Fingerabdruck oder die biometrischen Gesichtserkennungspunkte gekoppelt. Sobald das System eine Zugangsberechtigung abfragt, kann der Nutzer es automatisch bestätigen. Die Gefahr von passwortbasierten Angriffen bleibt bestehen, während sich Unternehmen in falscher Sicherheit wiegen. Von dem gleichen Problem sind auch Ansätze auf Basis von One-Time-Password-Token (OTP) oder Authenticator-Apps betroffen. Sie funktionieren mit so genannten Shared Secrets, die vergleichbar mit hinterlegten Passwörtern sind, und bleiben so weiterhin vulnerabel. Die grundsätzliche Frage, die sich Unternehmen vor dem Hintergrund der aktuellen Sicherheitslage im digitalen Raum stellen müssen, lautet daher: Verbleibt die IT-Abteilung bei veralteten, passwortbasierten Technologien oder wendet sie sich modernen Alternativen wie den Authentifizierungs-Standards der FIDO (Fast Identity Online)-Allianz oder Public-Key-Kryptografie zu? Mithilfe intelligenter Lösungen sollte das Ziel sein, Zero Trust und eine vollständig passwortlose MFA zu verbinden.
Mit der Eliminierung von Passwörtern könnten 80 Prozent der Cyberangriff vermieden werden.
Jochen Koehler, Leiter der Region Zentraleuropa, HYPR
Ulrich Parthier: Warum ist der angesprochene Passwordless-Ansatz so wichtig?
Jochen Koehler: Auf der einen Seite haben wir den Sicherheits-Aspekt. Passwörter sind immer wieder Ziel von Attacken und schon seit langem auf Platz eins der Ursachen für erfolgreiche Angriffe gelistet. Zu schwache und oft verwendete Passwörter können leicht erraten oder ausgespäht werden – und sind so für rund 80 Prozent der IT-Sicherheitsvorfälle verantwortlich. Allein mit einem einzigen Data Breach im vergangenen Jahr, bekannt geworden als RockYou2021, wurden annähernd 9 Milliarden Passwörter erbeutet. Gleiches gilt für Multi-Faktor-Authentifikationen, die mit Shared Secrets und Push-Mitteilungen arbeiten. Besonders Phishing-Angriffe sind hier ein Problem und führen mit manipulierten Nachrichten zu kompromittierten Identitäten.
Aktuelle Beispiele wie die Angriffe der Gruppe „Lapsu$“ führen uns ganz konkret vor Augen, dass passwortbasierte MFA-Anmeldeprozesse nicht sicher sind. Auf der anderen Seite steht die Benutzerfreundlichkeit. Für die Mehrzahl der Anwender sind Passwörter einfach nur lästig. Permanent immer komplexer werdende Passwörter einzugeben, sich diese zu merken und noch dazu regelmäßig ändern zu müssen, sorgt für Unmut. Besonders ärgerlich wird es bei mehrfacher Falscheingabe für den Helpdesk, der diversen unabhängigen Erhebungen zufolge zwischen 25 und 40 Prozent seiner Support-Arbeiten mit Passwort-Resets verbringt. Passwörter verbrauchen unzählige Ressourcen und verursachen unnötige Kosten. Das verdeutlicht einmal mehr, dass die Umstellung auf passwortlose Authentifikationslösungen nicht nur eine erhöhte Anmelde-Sicherheit, sondern auch einen größeren Anwender-Komfort mit sich bringt – und im besten Fall spart sie sogar Kosten.
Ulrich Parthier: Herr Koehler, wir danken für das Gespräch.