Thought Leadership
Unternehmen investieren immer mehr Geld, um sich vor Cyber-Kriminellen zu schützen. Laut einer Studie von Deloitte geben sie jährlich im Bereich Sicherheit rund 2.500 Euro für jeden Vollzeitmitarbeiter aus. Bei einer großen Belegschaft kommen dabei schnell mehrere Millionen Euro zusammen.
Doch alle diese Ausgaben nützen nichts, wenn bei den Authentifizierungsprozessen Passwörter verwendet werden, die ein hohes Sicherheitsrisiko darstellen.
Der aktuelle Data Breach Investigations Report von Verizon zeigt, dass kompromittierte Webanwendungen in 89 Prozent der Fälle auf gehackte und gestohlene Passwörter zurückgeführt werden können. Dabei kann es Monate dauern und Millionen von Euro kosten, diese Sicherheitsverletzungen wieder zu beheben. Welche finanziellen Schäden Unternehmen mit schlechter Passworthygiene drohen, macht der IBM-Bericht Cost of a Data Breach 2021 deutlich: Demnach liegen die durchschnittlichen Kosten einer Datenschutzverletzung für ein Unternehmen bei 3,9 Millionen Euro. Dabei variiert die Höhe je nach Angriffsart. Kosten Böswillige Insider-Angriffe Unternehmen durchschnittlich 4,32 Millionen Euro, schlagen Phishing-Attacken mit 4,27 Millionen Euro und kompromittierte Anmeldedaten mit 4 Millionen Euro zu Buche.
Was diese Angriffe eint, ist, dass Passwörter bzw. Passwortmissbrauch eine entscheidende Rolle spielt. So zielen Phishing-Angriffe zielen in der Regel darauf ab, Benutzer zur unwissentlichen Weitergabe von Passwörtern zu verleiten. Insider-Attacken beruhen häufig darauf, dass Passwörter nach einem Mitarbeiterwechsel nicht aktualisiert und geändert werden. Fazit: Bei all diesen Angriffen ist das Passwort das Hauptziel der Kriminellen.
Passworthygiene in Zeiten von Remote-Arbeit
Auch die Fernarbeit hat die Kosten für Datenschutzverletzungen zuletzt in die Höhe getrieben. Bei Unternehmen, in denen 81 bis 100 Prozent der Belegschaft remote arbeiten, betrugen die durchschnittlichen Kosten einer Datenschutzverletzung 5,1 Millionen Euro. Bei Unternehmen, in denen weniger als 10 Prozent der Mitarbeiter von zu Hause aus arbeiten, waren die Kosten hingegen deutlich niedriger und beliefen sich im Durchschnitt auf 3,25 Millionen Euro, was immer noch eine beträchtliche Summe ist.
Die Ursache für diese Differenz liegt an der hohen Zahl verschiedener, teils auch privater Geräte, mit welchen Remote-Mitarbeiter auf Ressourcen zugreifen. Da sie außerhalb der geschützten Unternehmensumgebung im Einsatz sind, haben die IT-Verantwortlichen keine Möglichkeit, das Risiko oder die Sicherheitslage dieser Geräte zu beurteilen. Die Mitarbeiter können einfach ihren Benutzernamen und ihr Kennwort eingeben und mit einem beliebigen, möglicherweise mit Malware infizierten Gerät, auf sensible Daten zugreifen – und schon hat ein Hacker Zugang zum Netzwerk.
Arbeiten Mitarbeiter im Homeoffice, dauert es zudem oft länger, bis Sicherheitsverstöße entdeckt werden. Den Angreifern bleibt so mehr Zeit, sich in den Systemen auszubreiten und Schaden anzurichten, was wiederum die Kosten für den Wiederherstellungsprozess in die Höhe treibt. Unternehmen, in denen mehr als 50 Prozent der Mitarbeiter remote arbeiten, benötigten im Schnitt 316 Tage, um Sicherheitsverletzungen zu erkennen und einzudämmen, während Unternehmen mit mehr Mitarbeitern im Büro hierfür nur 258 Tage brauchen. Dabei dauert die Identifizierung und Eindämmung von Sicherheitsverletzungen dann am längsten, wenn sie durch kompromittierte Zugangsdaten verursacht wurden: Bei den von IBM untersuchten passwortbezogenen Angriffen waren das im Durchschnitt 250 Tage, um sie zu erkennen, und weitere 90 Tage, um sie einzudämmen, insgesamt also 341 Tage. Das ist fast ein ganzes Jahr, indem die Angreifer eine Menge Schaden anrichten können.
Passwortrücksetzung = Produktivitätsverlust
Passwörter kosten uns aber nicht nur Geld, sondern auch Zeit: Wie die Forscher von Forrester in ihrem Bericht „Passwordless Authentication“ zeigen, verbringen Mitarbeiter durchschnittlich 11 Stunden im Jahr damit, Passwörter zu erinnern und einzugeben sowie Passwörter zurückzusetzen. Ein Unternehmen mit 15.000 Mitarbeitern würde demnach 4,75 Millionen Euro an Löhnen und Gehältern nur für die Eingabe oder das Zurücksetzen von Passwörtern bezahlen. Doch bei diesen Kosten bleibt es nicht. So schätzt Forrester, dass große Unternehmen durchschnittlich 900 Millionen Euro pro Jahr für Helpdesk-Kosten ausgeben, um Mitarbeitern bei Problemen mit Passwörtern zu helfen.
Passwortprobleme treffen besonders den eCommerce
Eine reibungslose Kaufabwicklung ist ausschlaggebend für eine hohe Kundenzufriedenheit im Online-Handel und damit für den Erfolg von eCommerce-Anbietern. Stoßen Kunden bei ihrem Online-Kauf auf Schwierigkeiten, besteht die Gefahr, dass sie ihren Bestellvorgang vor Abschluss abbrechen. Das ist nicht selten der Fall und immer öfter sind dabei Probleme mit Passwörtern die Ursache, wie eine Untersuchung von Beyond Identity zeigt. Demnach war ein Viertel der befragten Konsumenten bereit, einen Einkauf mit hohem Wert (über 100 Euro) abzubrechen, wenn eine Passwortrücksetzung erforderlich war. Zudem beendet jeder achte Kunde seinen Bestellvorgang vor dem erfolgreichen Abschluss, wenn er vor dem Bezahlen aufgefordert wird, ein Konto anzulegen. Denn viele Kunden scheuen den Aufwand, einen weiteren Benutzernamen und ein weiteres Passwort erstellen zu müssen. Tatsächlich wurde festgestellt, dass es 84 Prozent der Nutzer leid sind, sich ständig neue Passwörter zu merken. Dieser zusätzliche Aufwand hält sie vielmehr davon ab, einen Kauf abzuschließen – und das kostet die Unternehmen potenzielle Einnahmen.
Passwortlose Authentifizierung macht sich bezahlt
Die Abschaffung von Passwörtern ist nicht nur aus Sicherheitsgründen sinnvoll, sondern erhöht auch die Bequemlichkeit und hilft Unternehmen Kosten zu sparen. Schon heute existieren – neben biometrischen Verfahren – passwortlose Authentifizierungsmethoden, die das Passwort-basierte Einloggen ablösen. Diese basieren auf der Verwendung unveränderlicher Anmeldedaten, die durch private Schlüssel gesichert sind, die das Gerät nie verlassen. Jedes Mal, wenn sich ein Nutzer anmeldet, weiß das Unternehmen, dass er authentisch ist und das Gerät, das er verwendet, dem Netzwerk bekannt ist.
