Beyond Identity: Daten schützen: Passwörter abschaffen
Chris Meidinger, Technical Director, EMEA bei Beyond Identity: »Die Flut erfolgreicher Angriffe macht deutlich, dass sich keine effektive Datensicherheit mehr auf Passwörtern aufbauen lässt. Passwörter sind des Cyberkriminellen bester Freund: Bei knapp 70 Prozent der Sicherheitsvorfälle in EMEA wurden entwendete Anmeldedaten missbraucht, zeigt der aktuelle Data Breach Investigations-Report von Verizon.
Mit gekaperten Passwörtern – egal, ob abgegriffen via einfachen Social-Engineering-Techniken, ausgefeilten Phishing-Angriffen oder direkt aus dem Arbeitsspeicher – spazieren Cyberkriminelle durch die Vordertür in Unternehmensnetzwerke hinein. Um sich und ihre Daten zu schützen, haben zwar viele Unternehmen zusätzliche Maßnahmen wie Multi-Faktor-Authentisierung (MFA) eingesetzt, aber das Resultat ist lediglich ein weiterer Arbeitsschritt für den Angreifer. Cyberkriminelle müssen bei traditioneller MFA neben dem klassischen Passwort nur noch einen MFA-Code klauen oder gegebenenfalls den User zu einem Klick im richtigen Moment bewegen. Mittlerweile haben effektive Hacker diese Angriffsschritte standardisiert.
Wirksamer, langfristiger Schutz von Unternehmensdaten erfordert die strategische Abschaffung klassischer Passwörter. Viele IT-Verantwortliche wählen den Ansatz, den Anteil an Anmeldungen mittels Passwort schrittweise zu reduzieren. Ein guter Anfang ist dort gemacht, wo Angreifer besonders leichtes Spiel haben, weil sie häufig nur ein gestohlenes Passwort von sensiblen Daten entfernt, sind: Bei SaaS- und Cloud-Apps. Gerade bei Salesforce oder Microsoft 365 handelt es sich oft um besonders schützenswerte Daten.
Zur Umsetzung bewähren sich die offenen Standards der FIDO (Fast IDentity Online) Alliance. Die gängigen, verwundbaren MFA-Techniken – egal ob Einmal-Passwörter/TOTP, Push-Nachrichten, SMS oder Magic-Links – sind obsolet. Eine Anmeldung auf Basis von FIDO zeichnet sich als passwortlos und Phishing-resistent aus. Werden weitere Kontextdaten herangezogen, können Zugänge kontextuell und risikobasiert gewährt und gekappt werden. MDM-, EDR-, XDR-, VPN- und sonstige Systeme sind oft bereits im Unternehmen vorhanden und produzieren wertvolle Daten, die sich hierfür optimal eignen. So bildet sich am Ende eine Zero-Trust-Authentisierung. Verlässliche Identitäten sind absolut erforderlich für Zero Trust und eine der Grundsäulen effektiver, moderner Datensicherheit.«