Thomas Schneider, Regional Sales Director DACH & EMEA South bei Ping Identity
Rund 203 Milliarden Euro Schaden – so eine aktuelle Bitkom-Untersuchung – entstanden der deutschen Wirtschaft im vergangenen Jahr durch erfolgreiche Cyberangriffe. Ein erheblicher Teil dieser Angriffe lässt sich auf kompromittierte Anmeldedaten zurückführen. Social Engineering-, Phishing- und Spear Phishing-Angriffe, die auf den Erwerb von Nutzername-Passwort-Kombinationen abzielen, sind nach wie vor äußerst erfolgreich. Auch in Deutschland lässt die Mehrheit der User es nach wie vor an der erforderlichen Passwortsicherheit missen.
‚123456‘, ‚123456789‘, ‚1Qaz2wsx3edc‘, ‚12345‘ und ‚password‘ – laut einer Mitteilung des Hasso-Plattner-Instituts waren dies die fünf beliebtesten deutschen Passwörter des vergangenen Jahres. Da ist es kein Wunder, wenn es Cyberkriminellen leichtfällt, Useraccounts zu kompromittieren.
Laut der Web.de-Umfrage Passwort-Sicherheit bei deutschen Internet-Nutzern nutzen 57 Prozent aller Deutschen dasselbe Passwort für mehrere oder sogar gleich alle Online-Dienste. Ist dann ein Konto kompromittiert, haben die Cyberkriminellen meist gleich auch Zugriff auf weitere Accounts. Die Hälfte setzt auf Passwörter mit zehn oder weniger Zeichen – ist aber gleichzeitig besorgt, dass Cyberkriminelle ihre Anmeldedaten kompromittieren könnten. Rund jeder sechste gab in der Umfrage an, schon einmal Opfer eines Passwortdiebstahls geworden zu sein. Neun von zehn wünschen sich deshalb zusätzlichen Schutz bei der Anmeldung, wie eine 2-Faktor-Authentifizierung (2FA). 71 Prozent würden Nutzername-Passwort-Verfahren am liebsten gleich ganz gegen eine andere Login-Methode eintauschen. Am häufigsten favorisiert werden dabei biometrische Verfahren, wie Scans des Fingerabdrucks oder des Gesichts.
In diesem Jahr dürften sich die Sicherheitsbedenken erstmals durchsetzen. Es ist davon auszugehen, dass sich die Zahl der insgesamt im Einsatz befindlichen Nutzername-Passwort-Verfahren 2023 erstmalig reduzieren wird – auch in Deutschland. Passwortlose Anmeldeverfahren sind auf dem Vormarsch und werden die weniger sicheren und nutzerfreundlichen Nutzername-Passwort-Kombinationen über kurz oder lang verdrängen. In aller Regel stützen sie sich auf einen Besitzfaktor (z. B. ein mobiles Endgerät) oder einen inhärenten Faktor (z. B. biometrische Merkmale, wie das Gesicht oder einen Fingerabdruck), um die Identität des Nutzers sicher und anwenderfreundlich – da für diesen unkompliziert – zu überprüfen. Der Anfang vom Ende scheint angebrochen.
Dies ist vollauf zu begrüßen. Denn auf lange Sicht kann so mit einer allgemeinen Zunahme an Sicherheit und Nutzerfreundlichkeit gerechnet werden. Passwortlose Anmeldeverfahren, wie die Anmeldung über ein mobiles Endgerät oder einen biometrischen Scan, sind für Cyberkriminelle deutlich schwerer zu kompromittieren. Nicht zuletzt, da hier die Möglichkeit einer dezentralen Lagerung der Vergleichsdaten besteht. Zudem müssen hier keine komplizierten Buchstaben-Zahlen-Zeichen-Kombinationen umständlich auswendig gelernt, in regelmäßigen Abständen aktualisiert und vor allem: bei jeder Anmeldung erneut eingegeben werden.
Kurzfristig werden deutsche Unternehmen sich auch weiterhin um die Verbesserung ihrer Passworthygiene bemühen müssen. Es nimmt einige Zeit in Anspruch, ein passendes IAM-System, Scanner oder Token auszuwählen und zu implementieren. Für diese Zeitspanne ist es wichtig und richtig, das Risikobewusstsein der Belegschaft – gerade wenn es um Social Engineering-, Phishing- und Spear Phishing-Angriffe geht – weiter zu erhöhen. Einfach Druck auf die Belegschaft auszuüben, wird dagegen nur wenig helfen. Werden Angestellte von ihren Vorgesetzten gezwungen, einfach die Komplexität ihrer Passwörter zu erhöhen oder diese häufiger zu wechseln, wird das nur die Wahrscheinlichkeit erhöhen, dass diese am Ende wieder für mehrere Nutzerkonten verwendet werden. Das Sicherheitsproblem wird dann nur noch weiter verschärft – nicht gelöst.
Das wird erst mit passwortlosen Anmeldeverfahren wirklich gelingen. Nur so werden Unternehmen für ihre Mitarbeiter, Zulieferer, Partner und Kunden den Grad an Sicherheit und Nutzerfreundlichkeit erreichen, den diese tatsächlich benötigen.
Wenn es um digitale Nutzererlebnisse geht, gehen wir von Ping Identity keine Kompromisse ein. Für alle unsere Anwender müssen sie sowohl sicher als auch reibungslos ablaufen. Das ist digitale Freiheit. Wir lassen Unternehmen unsere erstklassigen Identitätslösungen mit den von ihnen genutzten Drittanbieterdiensten kombinieren, um den Passworteinsatz zurückzufahren, Betrug zu verhindern, Zero Trust-Ansätze zu unterstützen – und vieles mehr. Ermöglichen tut all dies unsere schnell und einfach zu bedienende Nutzeroberfläche mit Drag and Drop-Funktion. Kein Wunder, dass mehr als die Hälfte aller Fortune 100-Unternehmen auf Ping Identity setzen, wenn es darum geht, die digitalen Interaktionen ihrer Anwender zu schützen und ihnen gleichzeitig reibungslose Nutzererlebnisse zu bieten. Weitere Informationen finden Sie unter www.pingidentity.com.
Kafka Kommunikation GmbH & Co. KG
Telefon: 089 747470580
E-Mail: info@kafka-kommunikation.de