Rund 203 Milliarden Euro Schaden – so eine aktuelle Bitkom-Untersuchung – entstanden der deutschen Wirtschaft im vergangenen Jahr durch erfolgreiche Cyberangriffe. Ein erheblicher Teil dieser Angriffe lässt sich auf kompromittierte Anmeldedaten zurückführen. Social Engineering-, Phishing- und Spear Phishing-Angriffe, die auf den Erwerb von Log-In Daten abzielen, sind nach wie vor äußerst erfolgreich.
Auch in Deutschland lässt die Mehrheit der User nach wie vor die erforderliche Passwortsicherheit missen. Laut einer Mitteilung des Hasso-Plattner-Instituts waren ‚123456‘, ‚123456789‘, ‚1Qaz2wsx3edc‘, ‚12345‘ und ‚password‘ die fünf beliebtesten deutschen Passwörter des vergangenen Jahres. Da ist es kein Wunder, wenn es Cyberkriminellen leichtfällt, User-Accounts zu kompromittieren.
Laut der Web.de-Umfrage Passwort-Sicherheit bei deutschen Internet-Nutzern nutzen 57 Prozent aller Deutschen dasselbe Passwort für mehrere oder sogar gleich alle Online-Dienste. Ist dann ein Konto kompromittiert, haben die Cyberkriminellen meist gleich auch Zugriff auf weitere Accounts. Die Hälfte setzt auf Passwörter mit zehn oder weniger Zeichen – ist aber gleichzeitig besorgt, dass Cyberkriminelle ihre Anmeldedaten kompromittieren könnten.
Rund jeder sechste gab in der Umfrage an, schon einmal Opfer eines Passwortdiebstahls geworden zu sein. Neun von zehn wünschen sich deshalb zusätzlichen Schutz bei der Anmeldung, wie eine 2-Faktor-Authentifizierung (2FA). 71 Prozent würden Nutzername-Passwort-Verfahren am liebsten gleich ganz gegen eine andere Login-Methode eintauschen. Am häufigsten favorisiert werden dabei biometrische Verfahren, wie Scans des Fingerabdrucks oder des Gesichts.
In diesem Jahr dürften sich die Sicherheitsbedenken erstmals durchsetzen. Es ist davon auszugehen, dass sich die Zahl der insgesamt im Einsatz befindlichen Nutzername-Passwort-Verfahren 2023 erstmalig reduzieren wird – auch in Deutschland. Passwortlose Anmeldeverfahren sind auf dem Vormarsch und werden die weniger sicheren und nutzerfreundlichen Nutzername-Passwort-Kombinationen über kurz oder lang verdrängen.
In aller Regel stützen sie sich auf einen Besitzfaktor (z. B. ein mobiles Endgerät) oder einen inhärenten Faktor (z. B. biometrische Merkmale, wie das Gesicht oder einen Fingerabdruck), um die Identität des Nutzers sicher und anwenderfreundlich – da für diesen unkompliziert – zu überprüfen. Der Anfang vom Ende scheint angebrochen.
Dies ist vollauf zu begrüßen. Denn auf lange Sicht kann so mit einer allgemeinen Zunahme an Sicherheit und Nutzerfreundlichkeit gerechnet werden. Passwortlose Anmeldeverfahren, wie die Anmeldung über ein mobiles Endgerät oder einen biometrischen Scan, sind für Cyberkriminelle deutlich schwerer zu kompromittieren.
Nicht zuletzt, da hier die Möglichkeit einer dezentralen Lagerung der Vergleichsdaten besteht. Zudem müssen hier keine komplizierten Buchstaben-Zahlen-Zeichen-Kombinationen umständlich auswendig gelernt, in regelmäßigen Abständen aktualisiert und vor allem: bei jeder Anmeldung erneut eingegeben werden.
Kurzfristig werden deutsche Unternehmen sich auch weiterhin um die Verbesserung ihrer Passworthygiene bemühen müssen. Es nimmt einige Zeit in Anspruch, ein passendes IAM-System, Scanner oder Token auszuwählen und zu implementieren. Für diese Zeitspanne ist es wichtig und richtig, das Risikobewusstsein der Belegschaft – gerade wenn es um Social Engineering-, Phishing- und Spear Phishing-Angriffe geht – weiter zu erhöhen.
Einfach Druck auf die Belegschaft auszuüben, wird dagegen nur wenig helfen. Werden Angestellte von ihren Vorgesetzten gezwungen, einfach die Komplexität ihrer Passwörter zu erhöhen oder diese häufiger zu wechseln, wird das nur die Wahrscheinlichkeit erhöhen, dass diese am Ende wieder für mehrere Nutzerkonten verwendet werden. Das Sicherheitsproblem wird dann nur noch weiter verschärft – nicht gelöst.
Das wird erst mit passwortlosen Anmeldeverfahren wirklich gelingen. Nur so werden Unternehmen für ihre Mitarbeiter, Zulieferer, Partner und Kunden den Grad an Sicherheit und Nutzerfreundlichkeit erreichen, den diese tatsächlich benötigen.