Home » Fachbeiträge » itsa 2022 » Eine Welt ohne Passwörter

Eine Welt ohne Passwörter

Einerseits nehmen Cyberangriffe auf Unternehmen weiter zu, andererseits wollen Mitarbeitende möglichst einfach, nahtlos und komfortabel arbeiten – ob im Büro, im Homeoffice oder von unterwegs. Wie IT-Security-Abteilungen diesen Spagat managen, verrät Tobias Becker, SaaS Sales Leader für die DACH-Region beim Sicherheitsexperten LastPass, im Interview.

5 Min. Lesezeit

Advertorial

Die Zukunft der Authentifizierung

Einerseits nehmen Cyberangriffe auf Unternehmen weiter zu, andererseits wollen Mitarbeitende möglichst einfach, nahtlos und komfortabel arbeiten – ob im Büro, im Homeoffice oder von unterwegs. Wie IT-Security-Abteilungen diesen Spagat managen, verrät Tobias Becker, SaaS Sales Leader für die DACH-Region beim Sicherheitsexperten LastPass, im Interview.

 

ITS: Die Zahl der Cyberangriffe auf Unternehmen steigt, das ist wohl eine Tatsache. Wie ist Ihre aktuelle Einschätzung diesbezüglich?

Tobias Becker: Da haben Sie recht. Die Zahl der Angriffe auf Unternehmen, Behörden und Institutionen steigt tatsächlich. Das ist zum einen einer steigenden kriminellen Energie geschuldet, andererseits aber auch den neuen Angriffsflächen, die Unternehmen bieten.
Nehmen Sie nur Mobility, Cloud, Internet of Things. Unsere IT-Landschaften werden immer komplexer und verändern sich durch neue Nutzer, Dienste und Geräte. Dazu kommen virtuelle und software-definierte Infrastrukturen. Daraus entstehen eben auch neue Risiken und das verlangt von den jeweiligen Organisationen, die IT-Security anpassungs- und zukunftsfähig zu gestalten.

ITS: Wie zeigt sich das in der Praxis?

Tobias Becker: Nun, in einer International Data Group Studie haben 66 Prozent der befragten IT-Manager angegeben, gerade auch im Homeoffice seien die Mitarbeitenden zunehmenden Cyberrisiken ausgesetzt. 31 Prozent konstatierten sogar, die Beschäftigten arbeiteten zu Hause mit ungeschützten Geräten. Angesichts dessen ist es klar, dass die IT-Helpdesks immer mehr Probleme haben, die Mitarbeitenden zu schützen.

ITS: Also mehr und dickere Bollwerke? Da werden Unternehmen doch zu wahren Festungen?

Tobias Becker: Nein, „intelligentere Lösungen“ sollte man sagen. Alles in allem müssen wir zwei Dinge gleichzeitig meistern: Durch das neue „Work-from-Anywhere“ den Zugang der User zu ihren Ressourcen erleichtern und andererseits die Cyberrisiken minimieren. Das ist ein Prozess, an dem alle Beteiligten mitarbeiten.

ITS: Intelligentere Lösungen – wie ist das zu verstehen?

Tobias Becker: Der wichtigste Schritt ist zunächst, das Sicherheitsbewusstsein zu erhöhen. Egal, ob Mitarbeitende zu Hause oder im Büro arbeiten, ihnen muss klar sein, welche Gefahren von böswilligen Hackern ausgehen und welche Schritte und Tools zur Bekämpfung eingesetzt werden können. Wichtig ist dabei, dass die Mitarbeitenden nicht nur entsprechend geschult werden, sondern dass das Thema Sicherheit fest in der Kultur der Organisation verankert ist. Nur so können IT-Manager sicherstellen, dass sich ihre User während der gesamten Arbeits-zeit vorsichtig verhalten und keine Sicherheitspannen durch Leichtsinnsfehler entstehen.

ITS: Und dann kommt Passwort-Management ins Spiel …?

Tobias Becker: Ja, einer der wirklich robusten Schritte in Sachen IT-Sicherheit ist ein starkes Passwort-Management. Schwache Passwörter zählen noch immer in vielen Organisationen zu den größten Sicherheitslücken, denn sie sind ein einfaches Einfallstor für Hacker. Viele Mitarbeitende verwenden dasselbe, unsichere Passwort über verschiedene Anwendungen hinweg. Und am beliebtesten ist leider noch immer das berüchtigte „123456“. Deshalb müssen Organisationen Kontrolle über die Passwort-Verwendung durch Mitarbeitende haben, um einen Verstoß rechtzeitig zu verhindern aber gleichzeitig keine Mehrarbeit für die Nutzer zu verursachen. Dafür gibt es zahlreiche Lösungen.

Eine davon kann sicherlich ein solider Passwort-Manager sein. Er verwaltet alle Passwörter, die individuell für ein Konto er-stellt werden, in einem sicheren Tresor, der nur über ein starkes Master-Passwort des Users zugänglich ist. Die Mitarbeitenden müssen sich also nur ein Passwort merken. So wird vermieden, dass diese ihre Passwörter unsicher gestalten oder mehrfach,
für verschiedene Anwendungen verwenden.

ITS: Es ist ja aber auch häufig von einer gänzlich passwortlosen Zukunft die Rede, wird das kommen?

Tobias Becker: Wir können Nutzern jetzt das passwortfreie Anmelden beim Passwort-Vault mit einem Authenticator anbieten. Sobald man den Authenticator mit dem Passwort-Vault gekoppelt hat, kann man sich per einfachem Fingertipp anmelden. Ganz ohne Master-Passwort.
Zusätzlich arbeiten wir auch an der Entwicklung FIDO2-konfor-mer Komponenten und der Unterstützung weiterer Authentifizierungsmethoden wie der biometrischen Gesichts- und Fingerabdruckserkennung. Auch Hardware-Sicherheitsschlüssel wie YubiKey sollen in Zukunft zur Anmeldung möglich sein. Diese passwortfreien Anmeldemethoden werden sehr bald zur Verfügung stehen.

ITS: Das ist ja dann ein ziemlicher Schritt in Richtung besseres Nutzererlebnis für die Mitarbeitenden, oder?

Tobias Becker: Mit Sicherheit. Passwörter stellen für viele Anwender ja noch immer eine echte Hürde bei der Akzeptanz neuer Technologien oder Tools dar. Die meisten Mitarbeitenden haben heute ca. 50 Onlinekonten und möchten diese trotz Sicherheitsbewusstsein ohne großen Aufwand nutzen können. Mit dem passwortfreien Anmelden ist das möglich: auf das
Vault zugreifen, ohne jemals ein Passwort einzugeben.

ITS: Und was denken IT-Security-Abteilungen?

Tobias Becker: Viele IT-Administratoren sagen, dass Passwörter in ihrem Unternehmen alle drei Monate zurückgesetzt werden müssen. Wenn Passwörter nun einfach ganz wegfallen, verschwenden IT-Teams keine Zeit mehr mit dem Zurücksetzen und müssen sich nicht mehr mit vergessenen Passwörtern und ähnlich banalen Problemen herumschlagen. Das minimiert ihre Risiken, gibt ihnen Zeit für Wichtigeres und erhöht die Produktivität.

ITS: Bleibt die Frage: Wie steht es dann mit der IT-Sicherheit selbst?

Tobias Becker: Das liegt eigentlich auf der Hand: Zwar wissen über 90 Prozent der Anwender, dass Passwörter aus Sicherheits-gründen nicht wiederverwendet werden sollten, aber fast zwei Drittel tun es trotzdem. Wenn die Leute ein Passwort für mehrere Konten verwenden, freuen sich Hacker natürlich, denn dann können mit nur einem Schlüssel gleich mehrere Türen geöffnet werden. Je weniger Passwörter Sie also insgesamt verwenden, desto weniger wertvolle Daten können potenziell im Darknet preisgegeben werden. Eine simple Rechnung.

ITS: Was bringt die Zukunft der IT-Sicherheit?

Tobias Becker: Man muss das realistisch sehen: Hier ist ein Wettrüsten im Gange, mit dem wir alle leben müssen. Cyberkriminelle und Cyberbedrohungen werden sich weiterentwickeln und häufiger, schneller und perfider zuschlagen. Unternehmen, öffentliche Verwaltungen und Institutionen werden sich deshalb permanent Gedanken machen müssen, welche Sicherheitsmaßnahmen in Zukunft notwendig sind und welche Verantwortungen sie selbst und welche ihre Security-Anbieter übernehmen müssen, um ihre Daten, Infrastrukturen und Nutzer optimal zu schützen.
Klar ist: IT-Sicherheit wird in Zukunft als permanenter Prozess begriffen werden müssen, und nicht lediglich als einzelne Maßnahme.

ITS: Vielen Dank für das Gespräch!

Das Interview führte Stefan Mutschler für IT-SICHERHEIT.

Andere interessante Fachbeiträge

Gefahr Fehlkonstruktion

Mehr und mehr Organisationen stellen ihre IT-Architektur auf die Nutzung von Multicloud-Umgebungen um – nicht zuletzt, um einen Vendor Lock-in zu verhindern. Die Analysten von KPMG stellten diesen Trend bereits 2020 fest, denn 87 Prozent der dort befragten Großunternehmen ab 2.000 Mitarbeiter richteten ihre Strategie entsprechend aus.

Was auf die Gerätelandschaft zukommt

Viele Entwickler von Sicherheitslösungen haben es sich zum Ziel gesetzt, mit den wichtigsten Trends Schritt zu halten und verwertbare Informationen zu gewinnen. Nach aktuellen Erkenntnissen zeichnet sich eine Reihe von Trends in der Cyber-Bedrohungslandschaft ab.

Outsourcing als Strategie gegen komplexe Security

Einfach war früher. Seit Cyberangriffe mit voller Wucht und mit wechselnden Methoden auf die Unternehmen hereinbrechen, fühlen sich Security-Teams wie Hamster im Laufrad. Sie schließen Sicherheitslücken und decken sich mit immer mehr neuen Sicherheitstools ein, wie die steigenden Ausgaben für IT-Sicherheit zeigen. Und am Ende werden sie doch Opfer eines Angriffs.