Thought Leadership
Am 1. Februar ist es wieder so weit: nun bereits zum 13. Mal wird der ‚Change Your Password-Day‘ begangen werden. Ein Gedenktag, den auch und gerade deutsche IT-Anwender bitternötig haben. Der regelmäßige Austausch der eigenen Passwörter zur Vorbeugung von Cyberangriffen, für die Mehrheit der Deutschen stellt er nach wie vor die Ausnahme – und nicht die Regel – da.
Nur 38 Prozent der deutschen IT-Anwender tauschen, laut einer Bitkom-Umfrage vom vergangenen Jahr, regelmäßig die Nutzername-Passwort-Kombinationen ihrer Nutzerkonten aus.
Ein echtes Problem. Denn: über 80 Prozent aller Cyberangriffe auf Internetanwendungen, so Verizons ‚2022 Data Breach Investigations Report‘, hängen mit der unrechtmäßigen Entwendung und dem Missbrauch von Anmeldedaten – im absoluten Regelfall von Nutzername-Passwort-Kombinationen – zusammen. Mittels Phishing-, Spear Phishing- und Social Engineering-Attacken erbeuten Angreifer Credentials, die sie dann als Einstieg in die IT-Systeme ihrer Opfer nutzen – in aller Regel unbemerkt von den Sicherheitslösungen der betroffenen Unternehmen.
Meist machen es ihnen ihre Opfer zu leicht. Nur 18 Prozent der deutschen IT-Anwender, so die bereits erwähnte Bitkom-Umfrage, nutzen Passwort-Generatoren und Passwort-Safes zur Erstellung und Speicherung ihrer Passwörter. Transparenz und umfassender Überblick sind so kaum möglich.
Laut der Ping Identity-Umfrage ‚Brand Loyalty In the Age of the Digital Economy‘ vom vergangenen Jahr bezweifelt mittlerweile jeder zweite Endverbraucher, sämtliche eigenen Passwörter im Blick und unter Kontrolle zu haben. Die Folge für Online-Dienstleiser und -Händler: Immer mehr Endverbraucher suchen nach Anbietern mit passwortlosen Anmeldeoptionen. Jeder zweite deutsche Befragte gab in der Umfrage zu Protokoll, teilweise oder auch gleich ganz auf Nutzername-Passwort-Verfahren verzichten zu wollen. 65 Prozent erklären sogar, ihren derzeitigen Anbieter wechseln zu wollen, sollte ein Konkurrent ihnen eine passwortlose Authentifizierungsmethode anbieten.
Wie eine Umstellung vonstatten gehen kann, machen die Großen bereits vor. Branchenriesen, wie Google, Apple, Microsoft und Amazon, pushen das Passkey-Verfahren. Andere setzen auf Token oder biometrische Verfahren, wie Scans des Gesichts, der Augen, des Fingerabdrucks oder der Stimme. Ein Paradigmenwechsel kündigt sich an. Mehr und mehr Unternehmen ziehen nach. Auch im Mittelstand, auch in Deutschland.
Die bei genauerer Betrachtung gar nicht so komplizierte Umstellung auf ‚passwordless‘ als neues Standardverfahren, auch hier ist sie längst auf dem Vormarsch. Bereits im vergangenen Jahr gab die überwiegende Mehrheit der deutschen IT-Entscheider in der Ping Identity-Umfrage ‚Our Passwordless Future: A New Era of Security‘ zu Protokoll, dass ihr Unternehmen schon in naher Zukunft auf passwortlose Anmeldeverfahren umstellen werde. Ganze 57 Prozent vertraten sogar die Ansicht, dass passwortlose Anmeldeverfahren bereits in weniger als zehn Jahren in Deutschland Standard sein werden.
Doch auch wenn es mit der Umstellung noch länger dauern sollte, so kann doch schon heute als gesichert festgehalten werden: mit der wachsenden Verbreitung passwortloser Anmeldeverfahren werden Phishing, Spear Phishing und Social Engineering für Cyberkriminelle immer uninteressanter werden. Immer stärker wird sich die Kosten-Nutzen-Relation dieser Art von Cyberangriff zu ihren Ungunsten verschieben – bis hin zu einem Punkt, an dem ein Change Your Password-Day auch in Deutschland nicht mehr erforderlich sein wird.
