In unserem Alltag nutzen wir eine Menge an digitalen Anwendungen, um zu kommunizieren, zu wirtschaften, zu konsumieren und auch unsere Freizeit zu gestalten.
Für jeden Dienst, für den wir uns anmelden, müssen wir ein Konto einrichten, und fast immer werden Passwörter zur Authentifizierung verwendet, um auf die Applikation zugreifen zu können. Doch die Sicherheit, die Passwörter zu bieten scheinen, ist trügerisch.
Sicherheitsmaßnahme wurde zum Risikofaktor
Was Systeme durch die eindeutige Identitätsfeststellung der UserInnen absichern sollte, stellt mittlerweile ein massives Sicherheitsproblem für Unternehmen dar: Denn mit jedem Kennwort ist eine Person verbunden, die mit ihren persönlichen Entscheidungen bestimmt, wie sicher (oder unsicher) sie ihren Authentifizierungsprozess gestaltet. Der menschliche Faktor ist daher der wichtigste Angriffsvektor für Cyberkriminelle.
So ist etwa in Europa im Jahr 2019 die Zahl der Phishing-Attacken um 718 Prozent gestiegen, wie Allot Research berichtet, und laut dem „Data Breach Investigations Report 2021“ von Verizon sind insgesamt mehr als 80 Prozent der Datenschutzverletzungen auf verlorene oder gestohlene Zugangsdaten zurückzuführen. Password Spraying, eine Art Brute-Force-Angriff, Keylogger, die zwischen Betriebssystem und Tastatur geschaltet sind und die Eingaben via Internet an einen anderen Rechner schicken, sowie Social Engineering, also das Ausnutzen menschlicher Unzulänglichkeiten, sind weitere gängige durch Passwörter eröffnete Eingangstore für kriminelle Aktivitäten.
Neben Imageverlust und Reputationsverlusten für eine betroffene Marke können besonders in Compliance-kritischen Branchen auch empfindliche Geldstrafen erhebliche Kosten verursachen, so auch drohende Erpressungsversuche der Angreifer. Es gibt also viele Gründe, weshalb Passwörter als Authentifizierungskriterium entgegen ihrer eigentlichen Intention den Sicherheitslevel von Unternehmen verringern und unwirtschaftlich sein können.
Mit Entfall von Passwörtern können Cyberkriminelle all die oben angeführten Schlupflöcher in die IT-Landschaften von Unternehmen oder Organisationen nicht nützen. Auch obsolet wird der oft kostenintensive Aufwand, Zugangsdaten möglichst sicher zu gestalten und zu verwalten. Denn die bei regelmäßigen Passwortwechseln anfallenden zeitraubenden Rücksetzungen der Kennwörter inklusive Anrufe beim Helpdesk, um Konten neu einzurichten, sind nicht mehr nötig. Das bedeutet sowohl für die MitarbeiterInnen wie auch die IT-Abteilungen eine enorme Entlastung.
Unterschiedliche technische Lösungen
Die große Herausforderung für passwortlose Authentifizierung liegt im Bereich der Identitätsfeststellung. Wenn jemand auf ein System zugreift und es keine wissensbasierte Anforderung gibt (z.B. ein Passwort oder einen PIN), müssen sich UserInnen auf eine andere Weise identifizieren können. Dies kann etwa über biometrische Verfahren (Face-ID, Fingerprint u.a.), den Einsatz von Sicherheits-Token (USB-Sticks oder TANs) und das „Huckepack-Verfahren“ erfolgen, bei dem bereits eine andere Anwendung, ein anderer Dienst oder ein Gerät die Person authentifiziert hat.
Windows Hello ist ein Beispiel, bei dem die Verwendung von Gesichts- oder Fingerabdruckerkennung eine Identitätsbestätigung für den Zugriff auf Windows 10 liefert. Passwortlose Lösungen, die mit Hardware und Betriebssystemen gebündelt werden oder Teil von Single-Sign-On-Anbieterfunktionen sind, sind jedoch in der Regel nur begrenzt einsetzbar und können nicht für mehrere Anwendungsfälle genutzt werden. Pure-Play-Anbieter, die ausschließlich Authentifizierungslösungen entwickeln, bieten in der Regel die besten Funktionen.
In allen handelsüblichen Smartphones ist bereits Biometrie eingebaut, die über TouchID-, FaceID- oder Fingerprint-Sensor die Identität ihrer BesitzerInnen schnell und bequem bestätigt, um zum Beispiel das Gerät zu entsperren. Diese Funktionalität nutzen Anbieter wie Secret Double Octopus oder hypr für ihre passwortlosen Authentifizierungslösungen. Veridium wiederum hat darüber hinaus eine Plattform entwickelt, die in ihrer speziellen, KI-basierten Nutzung der biometrischen Daten eine de facto nicht reproduzierbare Identität der UserInnen erstellt. Wie? Anhand der individuellen Bewegungsmuster der AnwenderInnen.
Breites Anwendungsgebiet
Insbesondere stark regulierte Branchen können vom Einsatz passwortloser Multi-Faktor-Authentifizierungslösungen profitieren. So stehen etwa Banken oft vor dem Problem, dass sich ihre MitarbeiterInnen durch ein komplexes Netz von historisch gewachsenen Authentifizierungslösungen kämpfen müssen, die von verschiedenen Anbietern stammen. Abgesehen von der grundsätzlichen Gefährdung der Systemsicherheit durch Passwörter ist die Verwaltung, Überwachung und Administration so vieler Optionen kostspielig und äußerst ineffizient. Eine passwortlose Lösung bietet hingegen ein hohes Maß an Sicherheit wie auch großen Komfort für die MitarbeiterInnen.
Im Gesundheitswesen etwa werden tagein, tagaus hochkritische Daten administriert und Millionen von Datensätzen neu abgespeichert, abgerufen oder miteinander vernetzt. Ob medizinisches oder administratives Personal in Gesundheitseinrichtungen, ApothekerInnen oder MitarbeiterInnen von Gesundheitskassen oder Versicherungen – sie alle haben in der einen oder anderen Form Zugriff auf diese Informationen. Eine sichere Mehr-Faktor-Authentifizierung ohne Passwörter minimiert wesentlich das Risiko, dass mit medizinischen Services verknüpfte Daten gestohlen und missbräuchlich verwendet werden und großer finanzieller wie auch ideeller Schaden entsteht.
Auch für Industrieunternehmen ist die Sicherheit ihrer IT-Landschaft unerlässlich, Password-Leaks oder andere Angriffe können existenzbedrohend für sie sein. Die Anforderungen an ihre Systeme sind äußerst vielfältig, da sie meist etliche Geschäftsbereiche wie Administration, Logistik, Produktion, HR oder Einkauf und Verkauf unter einem Dach vereinen. Ihre technische Basis sind daher oft verschiedene Plattformen und unterschiedliche Legacy-Anwendungen, auf die zugegriffen wird. Mit passwortloser Authentifizierung kann die Rechteverwaltung wesentlich vereinfacht werden und das kostenintensive Passwortmanagement entfallen.
Im Online-Handel ermöglichen passwortlose Lösungen ein angenehmes AnwenderInnenerlebnis und auch Telekom-Unternehmen profitieren mit geringeren Personalkosten und größerer KundInnenzufriedenheit davon, dass etwa die Registrierung einfacher, schneller und sicherer abläuft. Diese kurze Auflistung stellt nur einen Ausschnitt der Anwendungsmöglichkeiten dar, in welchen eine passwortlose Mehrfaktor-Authentifizierung nicht nur für höhere Sicherheit, sondern auch für einen wirtschaftlichen Mehrwehrt auf vielen Ebenen sorgt.
Steigende Marktchancen für passwortlose Authentifizierung
Der Wandel von der Verwendung der traditionellen Passwörter und von den damit verbundenen Risiken hin zur passwortlosen Authentifizierung wird weiter zunehmen. Besonders die aktuelle, weltweite Entwicklung zu immer mehr Remote Work trägt zu steigenden Marktchancen für passwortlose Lösungen bei. Da in vielen Unternehmen sich langfristig eine Mobile-Working-Kultur zu etablieren beginnt, ist es wichtiger denn je, den MitarbeiterInnen die Werkzeuge und Ressourcen an die Hand zu geben, um sicher online zu sein – sowohl im Privatleben als auch im Home-Office.
Passwortlose Authentifizierungslösungen, die es sowohl den IT-Teams von Unternehmen als auch den MitarbeiterInnen ermöglicht, in der neuen Normalität effizienter und sicherer zu arbeiten, werden in der Zukunft die neue Norm sein.