Sind Benutzername und Passwort nicht ein bisschen zu wenig?
Was hat sich verändert?
Weit mehr als die Hälfte aller Cyber-Attacken basieren auf dem Missbrauch von Identitäten. Seit langer Zeit werden Identitäten lediglich mit Benutzername und Kennwort geschützt. War es vor einigen Jahren in der Regel noch nicht möglich von überall über das Internet auf Dienste zuzugreifen, entspricht dies heutzutage dem Standard. Galt es früher durch diesen Schutz primär den unautorisierten Zugriff auf Informationen durch Kollegen und Mitarbeitern zu unterbinden, muss man sich heute immer wieder vor Augen führen, dass mittlerweile jeder von überall auf veröffentlichte Anwendungen, Apps und Informationen zugreifen kann.
Der Spagat zwischen Komfort und Sicherheit!
Das Prinzip von Benutzername und Kennwort kann durchaus einen respektablen Grad an Sicherheit schaffen. Aber wer hat schon ausschließlich komplexe Kennwörter, für jede Anwendung und jeden Bereich ein vollständig anderes Kennwort, ändert Kennwörter in kurzen regelmäßigen Abständen und benutzt niemals ein Kennwort mehrfach? Keiner! Denn keiner kann sich so viele Kennwörter merken. Die Folge ist die Benutzung unsicherer Kennwörter oder identischer Kennwörter für unterschiedliche Dienste und die Verwendung von Rotationskennwörtern (gleicher Kennwortstamm mit wechselnder Zahlenkombination). Alles andere empfinden wir als unkomfortabel. In Anbetracht der erheblichen Bemühungen und Investitionen von Unternehmen zur Absicherung der Netzwerkgrenzen und der Tatsache, dass ein Großteil der Cyber-Angriffe heutzutage auf dem Missbrauch von Identitäten basieren, fällt es schwer, nachzuvollziehen, warum sich seit Jahren kein erhöhter Identitätsschutz durchgesetzt hat.
Neue Lösungsansätze – zusätzliche Authentifizierungsfaktoren
Was wäre denn ein erträgliches Maß an Komforteinbuße? Im privaten Umfeld haben sich Verfahren von zusätzlichen Authentifizierungsfaktoren bereits in vielen Bereichen etabliert. Wer sein iPhone mit seiner Apple-ID verbinden will, braucht einen zusätzlichen Faktor. Wer ein Kennwort zurücksetzen möchte, folgt einem festgelegten Weg und wer sich an seinem E-Mail-Account von einem neuen Gerät anmelden will, gibt einmalig eine Zahlenkombination ein, die er via SMS von der betreffenden Plattform bekommen hat. Warum werden diese Verfahren als zumutbar empfunden, klassische Ansätze von Firmen über Token und Einmalkennwörter aber nicht? Der Unterschied liegt darin, dass nicht jede Anmeldung zusätzliche Faktoren benötigt, sondern ein zentraler Dienst entscheidet, unter welchen Bedingungen welche Authentifizierungsanforderungen gelten.
Die Wahrscheinlichkeit, dass ein Hacker einen Angriff physikalisch aus dem Unternehmensnetzwerk oder auf einem Unternehmensgerät durchführt, ist verschwindend gering. Daher braucht man unter diesen Umständen keinen zusätzlichen Faktor oder diesen nur in großen Abständen. Sollte jemand versuchen über einen Tor-Browser (Bestandteil eines Netzwerks zur Anonymisierung und daher in Hackerkreisen viel genutzt) auf Daten des Unternehmens zuzugreifen, werden sogar zwei zusätzliche Faktoren abgefragt oder der Zugriff vollständig unterbunden. Im Zeitalter des Cloud-Computing ist die Nutzung von zusätzlichen Verfahren für den Schutz von Identitäten nötiger denn je. Der Vorteil ist, dass man die komplexen Systeme für zusätzliche Authentifizierungen und bedingten Zugriff auf eben der Basis von Cloud-Produkten in Form von wirtschaftlichen und schnell zu implementierenden Lösungen erhalten kann. Des Weiteren bietet das Smartphone als allgegenwärtiger Wegbegleiter einen guten ergänzenden Faktor.