Passwortlose Zugriffskontrolle als Ziel einer Access-Management-Strategie

Mehr Sicherheit ohne Passwörter

Identität, Passwortlos, Zugang
Bildquelle: Imprivata
LinkedInRedditWhatsAppPocket

Passwörter gelten als Schwachstelle im IT-Alltag – umständlich, unsicher, anfällig für Angriffe. Der Weg zur sicheren, passwortlosen Authentifizierung ist klar vorgezeichnet. Mit Lösungen wie denen von Imprivata rückt diese Vision in greifbare Nähe.

Passwörter sind ein notwendiges Übel: Sie haben viele Nachteile, die jeder von uns im Umgang mit der IT täglich selbst erlebt. Dennoch erscheinen sie als Sicherung gegen unerwünschte Eindringlinge unverzichtbar. Die Vision muss deshalb der passwortlose Zugriff sein – ohne Kompromisse bei der Sicherheit zu machen oder um diese sogar noch zu erhöhen. „Passwordless“ ist das Ziel, auch wenn das in den meisten Unternehmen nicht von heute auf morgen zu erreichen sein dürfte. Auf dem Weg dorthin unterstützt Imprivata.

Anzeige

IT-Administratoren und IT-Sicherheitsbeauftragten bleibt bei der Wahl des Security-Levels von Passwörtern meist nur die Entscheidung zwischen Pest und Cholera: Sind die Passwortrichtlinien zu streng, müssen sich Anwender komplizierte Passwörter merken und diese regelmäßig wechseln, was zu Zeitverlust und Frustration führt. Zudem häufen sich die Anfragen nach Passwortrücksetzung. Oft sind darüber hinaus für die Multifaktor-Authentifizierung (MFA) an verschiedenen Geräten unterschiedliche Token erforderlich, so dass Mitarbeiter mehrere Tokens mit sich führen müssen. Für gemeinsam genutzte Geräte wird daher häufig ein generisches Passwort für alle Nutzer verwendet, was einerseits die Sicherheit reduziert und für die Nutzer andererseits ein zusätzliches Passwort bedeutet, das gemerkt werden muss. Die Komplexität der Passwörter und ihrer Eingabe führen durch die Fehleranfälligkeit und Mehrfachversuche zu zahlreichen Alarmen, die von Mitarbeitenden der IT-Abteilung oder des Supports geprüft werden müssen. Die Folge zu strenger Passwortrichtlinen ist oft nicht ein Plus an Sicherheit, sondern frustrierte Anwender, die versuchen Passwörter zu umgehen, und überlastete IT-Mitarbeitende.

Wenn man die Anforderungen an Passwörter dagegen zu niedrig ansetzt, teilen die Nutzer die Passwörter oft, was sich zu einem unkontrollierbaren Sicherheitsrisiko auswachsen kann, weil niemand mehr weiß, wer mit welchem Passwort worauf zugreift. Wenn Timeouts zu lange eingestellt werden, können mehrere Benutzer unter einer Anmeldung agieren und schlimmstenfalls können Fremde ganz ohne Zugangsberechtigung ins Netzwerk gelangen, mit unabsehbaren Folgen. Um den Mitarbeitern die Passworteingabe zu ersparen, verzichtet man oft auf Passwörter bei gemeinsam genutzten Geräten. Der IT-Abteilung wird damit zwar die Arbeit einer Zugriffsverwaltung erleichtert, mit der Folge, dass die Geräte offen wie Scheunentore für Attacken sind. Die laxe Durchsetzung von Passwortregeln führt in der Folge auch nur zu wenigen Alarmen und Passwortrücksetzungen, was die IT-Abteilung in falscher Sicherheit wiegen kann. Die Anfälligkeit für Ransomware steigt, während die Mitarbeiter weiter den unvorsichtigen Umgang mit Passwörtern pflegen. Insgesamt bedeuten schwache Passwortrichtlinien ein höheres Risiko für Sicherheitsvorfälle und Compliance-Verletzungen, was zu steigenden Policen für die Cyber-Versicherungen führt. 

Anzeige

Passwortlose Authentifizierung ist kein ferner Zukunftstraum, sondern muss das Ziel sein, um Cyberangriffe zu verhindern.

Dirk Wahlefeld, Manager, Unimate Tech Services, Imprivata GmbH

Achillesverse Passwort

Aus diesen Gründen zählen Passwörter, bzw. der Umgang mit ihnen durch die Anwender zu den häufigsten Schwachstellen in IT-Systemen, die Cyberkriminellen zum Beispiel mit Phishing-Attacken zahlreiche Angriffsmöglichkeiten bieten. Schlecht gewählte oder mehrfach verwendete Passwörter erhöhen beim sogenannten Credential Stuffing die Trefferquote der Hacker, in dem sie Passwörter automatisiert ausprobieren.

Passwortsicherheit muss deshalb einfach gestaltet sein, effektiv in der Nutzung und ohne das Risiko eines erfolgreichen Angriffs zu erhöhen. Dies gelingt, indem die Sicherheit und die Zugriffsverwaltung strategisch eingesetzt werden. So wird sichergestellt, dass nur die richtigen Personen zur richtigen Zeit und aus den richtigen Gründen auf die richtigen Ressourcen zugreifen. Dazu gehören Unternehmensanwender, privilegierte IT-Administratoren sowie Lieferanten und andere Beteiligte, die Zugang benötigen. Im Rahmen einer digitalen Identitätsstrategie fungiert die Zugriffsverwaltung als Gatekeeper, der den Zugriff auf Ressourcen auf der Grundlage von festgelegten Identitäten und Unternehmensrichtlinien kontrolliert und überwacht.

Vision: Passwordless

Passwortlose Lösungen als Teil einer Zugriffsstrategie zur Erhöhung der IT-Sicherheit stellen dabei einen signifikanten Paradigmenwechsel dar. Der Einsatz biometrischer Methoden oder hardwarebasierter Techniken ersetzt Passwörter und stärkt die Sicherheitsarchitektur erheblich. Passwortfreie Authentifizierung beseitigt viele der oben genannten Risiken und trägt entscheidend zur Sicherheit moderner IT-Architekturen bei. Unternehmen haben diverse Optionen für die Einführung passwortfreier Authentifizierung, darunter biometrische Verfahren wie Fingerabdruck- und Gesichtserkennung, beispielsweise auch mit Windows Hello for Business, hardwarebasierte Token wie FIDO2-konforme Schlüssel, Bluetooth Low Energy für berührungslose Authentifizierung und Single Sign-On (SSO) mit starker initialer Authentifizierung.

Besonders wichtig ist, dass Nutzer stets die Kontrolle über ihre Authentifizierungsmethoden behalten und dass im Fall des Verlusts biometrischer Daten oder Sicherheitstoken alternative Wege zur Kontowiederherstellung bereitstehen. Die Kombination verschiedener passwortfreier Methoden, wie beispielweise tokenbasierte und biometrische Authentifizierung, kann helfen, ein hohes Sicherheitsniveau zu gewährleisten und gleichzeitig eine benutzerfreundliche Wiederherstellung des Zugangs zu bieten.

Darüber hinaus muss die Implementierung der passwortfreien Authentifizierung im Einklang mit bestehenden gesetzlichen Anforderungen wie der Datenschutz-Grundverordnung (DSGVO) oder anderen branchenspezifischen Regelungen erfolgen, insbesondere hinsichtlich der Speicherung und Verarbeitung von biometrischen Daten und Identitätsnachweisen. In diesem Zusammenhang ist die Auswahl von Authentifizierungsverfahren, die auf anerkannten Standards und starker Verschlüsselung beruhen, von entscheidender Bedeutung.

Durch den Wegfall der Passwortverwaltung und -wiederherstellung wird der Supportaufwand deutlich verringert, was zu einer Reduzierung der Betriebskosten führt. IT-Abteilungen profitieren zudem von einer niedrigeren Fehlerquote bei der Verwaltung von Anmeldedaten und der Sicherung von Benutzeridentitäten.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Der Weg zu passwortloser Authentifizierung

Aufgrund der Komplexität heutiger IT-Umgebungen empfiehlt sich ein Weg zur passwortlosen Authentifizierung über mehrere Schritte, nach einem Reifegradmodell: In einem ersten Schritt wird Single Sign-On eingeführt und berührungslose Authentifizierung. Damit reicht eine Anmeldung, um an mehreren, im Idealfall allen Systemen angemeldet zu werden. Hiermit reduziert sich nicht nur der Zeitaufwand für die Anmeldung, es wird auch vermieden, dass Passwörter einfach weitergegeben werden. Damit ist bereits in der ersten Stufe der Umstellung ein Plus an Sicherheit und Benutzerfreundlichkeit erreicht.

Im zweiten Schritt, nach der erfolgreichen Einführung von SSO, wird die passwortlose Anmeldung für kritische Anwendungen ausgerollt. Dafür wird die berührungslose Authentifizierung mit MFA kombiniert. Dafür sollten Technologien wie der FIDO-Sicherheitsschlüssel oder biometrische Authentifizierung eingesetzt werden. Beide Methoden sind gegen Phishing resistent und erhöhen das Sicherheitsniveau daher deutlich.

Damit werden zudem Zero-Trust-Ansätze und Privileged Access Management unterstützt, die ebenfalls für ein Plus an Sicherheit bzw. geringeren Schäden bei einem erfolgreichen Angriff sorgen. Im dritten Schritt, mit Token und Biometrie, muss sich der Anwender kein Passwort mehr merken. Die Passwortrichtlinien werden vom IT-System selbst überwacht und Passwörter bei Bedarf ohne Nutzerzutun geändert. Die Passwörter können damit stärker werden und Phishing oder Social Engineering bleiben erfolglos, was die Chancen eines illegalen Zugriffs über ausgespähte Passwörter praktisch gegen Null gehen lässt. Der vierte Schritt ist, dass alle Anwendungen in Single Sign-On integriert werden, wobei dafür moderne Authentifizierungsstandards wie OAuth (Open Authentication) oder OIDC (OpenID Connect) unterstützt werden müssen. 

Die Zukunft der passwortfreien Authentifizierung ist eng verknüpft mit Konzepten wie dezentralen Identitäten (DID) und Zero-Trust-Sicherheitsmodellen. Dezentrale Identitäten geben den Nutzern die vollständige Kontrolle über ihre persönlichen Daten und Authentifizierungsmethoden, was die Sicherheit weiter erhöht und Angriffsflächen reduziert. Zero-Trust-Sicherheit, die keiner Identität vertraut – auch nicht innerhalb des Unternehmensnetzwerks -, wird in Kombination mit passwortfreien Systemen immer wichtiger, da sie die Notwendigkeit einer durchgängigen Authentifizierung auf allen Sicherheitsebenen beibehält. Insbesondere für Unternehmen in den sogenannten KRITIS-Branchen, wie Energieversorgung, Gesundheitswesen, Behörden und weitere werden sich die Konzepte des passwortlosen Zugangs bald etablieren, da sie Abhilfe gegen die derzeit gefährlichsten Attacken auf die IT-Sicherheit versprechen.


Dirk

Wahlefeld

Manager Technical Services

Imprivata GmbH

Anzeige

Artikel zu diesem Thema

Passwortlose Authentifizierung steigert IT-Sicherheit

Weitere Artikel

Berechtigungen: alter Wein in neuen Schläuchen?
Warum wir über die falschen Einfallstore sprechen
Zero Trust Application Access ohne VPN-Komplexität
10 Warnsignale für defektes Vulnerability Management
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.