Thought Leadership
Bei der Absicherung von IT-Zugangsberechtigungen liegen die Interessen der Security und der Nutzerfreundlichkeit in einem ständigen Konflikt. Die Hardware moderner Smartphones bietet die Chance, diese Gegensätze zu überbrücken. Und das ohne großen Aufwand im betrieblichen IT-Gerätepark.
„Automobilzulieferer: 40 Terabyte teils vertraulicher Daten bei Hackerangriff entwendet“; „Gesamte IT-Infrastruktur einer Universität verschlüsselt und daher zeitweise nicht nutzbar“ – Dramatische Nachrichten dieser Art stechen heute nahezu täglich ins Auge des Medienkonsumenten. Auslöser derartiger Meldungen sind regelmäßig Cyberangriffe – auf Unternehmen, Behörden, Privatpersonen. Häufigkeit wie Intensität dieser Angriffe wachsen kontinuierlich. Laut einer aktuellen Untersuchung des Branchenverbands Bitkom unter 1000 Unternehmen haben 63 Prozent der Befragten in jüngerer Zeit den Diebstahl sensibler Daten registriert, 55 Prozent berichteten von der tatsächlichen oder zumindest vermuteten digitalen Sabotage von Betriebsabläufen oder Systemen. Immer wieder kommt es aufgrund der Angriffe nicht nur zu Betriebsunterbrechungen mit allen finanziellen Folgen für die betroffene Organisation, sondern auch zur Erpressung von Lösegeldern. Entwendet werden bei solchen Angriffen häufig auch kritische Unternehmensdaten wie Marktanalysen, geistiges Eigentum, Patente oder auch vertrauliche Kunden- und Mitarbeiterdaten. Insgesamt summiert sich laut Bitkom der Schaden für die deutsche Wirtschaft durch derartige Attacken auf gut 200 Milliarden Euro – pro Jahr.
Begehrtes Gut: Passwörter
Ein von den Angreifern aus dem Cyberspace gern genutzter Weg in die IT fremder Organisationen führt über ausgespähte Passwörter. Dabei machen es ihnen die die legitimen Anwender und Anwenderinnen häufig leicht – mit Passwörtern, die einfach zu erraten sind, die nachlässig oder gar nicht gesichert werden oder die bei Phising-Angriffen erbeutet wurden. Überhaupt sind Passwörter ein sehr begehrtes Gut unter Kriminellen: Sie werden üblicherweise im Darknet zum Verkauf angeboten. Interessierte Kreise erwerben diese Passwortsammlungen, um mittels entsprechender Softwaretools automatisierte Angriffe durchzuführen. Das US-Telekommunikationsunternehmen Verizon berichtet, dass bei 81 Prozent der durch Hacker verursachten Einbrüche in IT-Systeme gestohlene oder schwache Passwörter benutzt wurden.
Ganz allein den Anwendern und Anwenderinnen zuzuschreiben ist dieser Missstand aber nicht: Nach übereinstimmender Auffassung vieler Experten ist das Passwort als Konzept der Zugangssicherung mit grundsätzlichen Mängeln behaftet und daher technisch weitgehend überholt. Diese Schwächen werden deutlich, wenn man sich den Einsatz von Passwörtern einmal genauer ansieht. So verlangen IT-Security-Experten, dass Passwörter eine bestimmte Mindestlänge haben müssen (typischerweise 12 bis 16 Zeichen) und aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen zusammengesetzt sind. Diese Zeichen sollen zufällig aneinandergereiht sein und keinesfalls einen Namen oder einen Begriff ergeben. Mit anderen Worten: Gute Passwörter sind komplex und dadurch für Hacker schwer zu erraten oder zu errechnen. Für User sind sie dann aber auch schwierig zu handhaben. Erschwerend kommt hinzu, dass nach den Regeln der Cyber-Sicherheit jede Anwendung ein eigenes Passwort erfordert. Das amerikanische Sicherheitsunternehmen Beyond Identity hat ausgerechnet, dass der Durchschnittsuser 191 Passwörter nutzt – von denen sich wohlgemerkt keine zwei gleichen dürfen.
Diese Forderungen sind in der betrieblichen Praxis nur schwer umzusetzen. Anwender tendieren dazu, die hohen Anforderungen zu umgehen, indem sie leicht zu merkende Passwörter benutzen – wie etwa 1234 oder der Name von Familienangehörigen. Und auch an anderer Stelle scheitert der Anspruch der Cybersecurity nur allzu oft an der Praxis: Statt für jede Anwendung, jeden Account ein separates Passwort zu verwenden, begnügen sich viele Anwender mit einem einzigen Passwort für mehrere Nutzerkonten.
Alternativen gesucht
Es stellt sich daher die Frage nach möglichen Alternativen. Das Portfolio der Cybersecurity hat durchaus einiges zu bieten (siehe Kasten). Alle Ansätze haben ihre spezifischen Vorzüge und Nachteile – und eine Gemeinsamkeit: Die ausschließliche Betrachtung unter technischen Aspekten führt zu Lösungen, die unter dem Gesichtspunkt der Nutzerakzeptanz und Bedienbarkeit suboptimal sind. Denn neben den technischen Betrachtungen ist für die Implementierung einer erfolgversprechenden und gleichzeitig alltagstauglichen Sicherheitslösung auch die reale Situation in den Unternehmen zu betrachten. Gerade mittelständische Betriebe, die in Deutschland rund 85 Prozent der wirtschaftlichen Aktivitäten ausmachen, verfügen meist nicht über eine ausreichende Zahl qualifizierter IT-Mitarbeiter; nur selten beschäftigen sie hauptamtliche Cybersecurity-Experten. Gleichzeitig nimmt auch in solchen Unternehmen der Digitalisierungsgrad zu; mehr und mehr Prozesse werden per Software abgebildet. So steigt parallel dazu auch der Bedarf an sicheren Zugangslösungen. Was in aller Regel nicht mitsteigt, sind die personellen und technischen Ressourcen, um diese IT-Landschaften sicher zu verwalten. In einem solchen Umfeld entstehen Sicherheitslücken: Mangels ausreichender Unterstützung durch die IT-Abteilungen greifen Mitarbeiter zu Notlösungen – sie benutzen leicht zu merkende Passwörter, und diese gleich für mehrere Accounts. Im Extremfall werden diese Passwörter dann sogar noch auf dem sprichwörtlichen Post-it-Zettel am Bildschirmrand zur schnellen Verfügung bereitgehalten.
Auch der User Support – oder die Person, die sich nebenbei dieser Aufgabe widmen muss – versucht sich das Leben zu vereinfachen, beispielsweise mit Excel-Tabellen, die aber auch nicht immer passwortgeschützt sind. Neben einer unzulänglichen Sicherheit führt diese Herangehensweise regelmäßig zu Problemen mit der Versionsverwaltung.
Keine Abstriche bei der Sicherheit
Wie könnte eine technische Lösung aussehen, die die Kriterien der Benutzerfreundlichkeit erfüllt – ohne Abstriche bei der Sicherheit? Einen solchen Ansatz bietet beispielsweise die Lösung des Startups heylogin: Sie vereint die Vorzüge eines Passwortmanagers mit denen einer Zwei-Faktor-Authentifizierung und des Single Sign-ons (SSO), allerdings ohne die beschriebenen Nachteile und Risiken. Das Alleinstellungsmerkmal: Das System nutzt für die Authentifizierung grundsätzlich das Smartphone des Users. Heutige Smartphones verfügen über einen geschützten, nicht zugänglichen Speicherbereich, in dem sensible Daten abgelegt werden können, etwa die Gesichtsdaten des Nutzers zum Einloggen. Das Handy allein erteilt mit seiner geschützten Hardware die Freigabe und kommuniziert diese nach außen. Im Gegensatz zu gängigen Zwei-Faktor-Lösungen, wie sie beispielsweise im Online-Banking üblich sind, muss der Benutzer kein Passwort eingeben. Die „Zwei-Faktor“-Sicherheit beruht hierbei zum einen auf dem Besitz des Smartphones und zum anderen auf dem beschriebenen Sicherheitsmechanismus des Mobiltelefons. Verwaltet werden die Zugriffsdaten auf einem Server – wobei, wie beschrieben, eine starke Verschlüsselung zwingend erforderlich ist. Darum nutzt heylogin dazu moderne Algorithmen, wie Poly1305 oder XSalsa20.
Clevere Lösung
Das System funktioniert – im Gegensatz zu SSOs – inhärent mit allen Webseiten und -services, es muss nicht für jede Anwendung separat etabliert werden. Trotzdem erfordert es deutlich niedrigere Investitionen als ein SSO. Gleichzeitig ist es möglich, ein zentrales Zugriffsmanagement mit automatischer Synchronisation zu implementieren. Obwohl es, technisch betrachtet, wie ein Passwort-Manager funktioniert, bietet es den Userkomfort eines SSO. Unternehmen, die bereits eine SSO-Lösung einsetzen, können die heylogin-Software damit kombinieren. Es lässt sich schnell und einfach im Betrieb ausrollen und schaufelt damit für die ohnehin typischerweise unterbesetzen IT-Abteilung Zeit frei für produktivere Aufgaben.
Ein Masterpasswort ist dann nicht mehr nötig, die Anwender brauchen keine Post-its mehr auf den Bildschirm zu kleben, um ihren Arbeitstag mit Dutzenden von Logins zu überstehen. Und der User-Support muss nicht länger einen Großteil seiner Kapazität für das Wiederherstellen vergessener oder verlorener Passwörter vergeuden.
Welche Alternativen zum Passwort gibt es?
Passwortmanager: Diese Form der automatisierten Passwortverwaltung ist in der Praxis sehr verbreitet. Anwender müssen sich damit nicht mehr zahlreiche verschiedene Passwörter merken, sondern nur noch ein Master-Passwort. Als betriebliche Anwendung läuft der Passwortmanager auf einem Server oder in der Cloud. Doch damit, so Experten, wird das Risiko lediglich verschoben – es wird an einer zentralen Stelle konsolidiert. Ein zentraler Passwortmanager ist für Kriminelle ein lukratives Ziel, und ist er einmal geknackt, so fallen gleich sämtliche verwahrten Passwörter in die Hände der Angreifer.
Biometrische Methoden werden vielfach als Alternative zu Passwörtern genutzt. Vorteil: Anwender müssen sich keine komplexen Zeichenketten mehr merken. Das Verfahren gilt aber nur dann als sicher, wenn die Biometriedaten in einem isolierten, geschützten Bereich der Hardware abgelegt sind. Werden sie hingegen auf einem Server gespeichert, so wird dieser zum potenziellen Ziel für Angreifer. Diese Server müssen also besonders gut gesichert werden.
Single Sign-on (SSO): Verringert die Reibungsverluste, die durch die Verwendung von Passwörtern entstehen, denn es ist nur ein einziger Login-Vorgang erforderlich. Das zugrunde liegende Sicherheitsproblem löst es allerdings nicht. Denn auch das Sitzungs-Token, das zur Authentifizierung verwendet wird, kann gehackt und für einen unerlaubten Zugang verwendet werden.
Multi-Faktor-Authentisierung: Dabei wird zusätzlich zu einem Passwort ein zweiter Nachweis zur Authentifizierung des Anwenders verlangt, etwa durch die Übersendung einer PIN auf das Smartphone des Benutzers. Ein Angreifer benötigt dann sowohl das Passwort als auch das Handy seines Opfers. Skeptiker weisen darauf hin, dass auch bei diesem Verfahren der zweite Authentifizierungsfaktor häufig über unsichere Kanäle wie etwa Text-Mails oder SMS übermittelt wird und damit potenziell ebenfalls kompromittiert werden kann. Dennoch setzt sich dieses Verfahren wegen seiner erhöhten Sicherheit in der Praxis gegenwärtig auf breiter Front durch.
