IT-Sicherheit hängt oft vom Verhalten der Mitarbeitenden ab. Besonders ausgeprägt ist das beim Einsatz von Passwörtern. Es ist Zeit, einige alte Zöpfe abzuschneiden und ausserdem einen Blick in eine hoffentlich bessere Zukunft zu wagen.
Es ist ein Elend: Trotz immer aufwendigeren Authentifizierungs-Prozederes reissen die Meldungen über gehackte Firmennetzwerke, gestohlene Daten und geraubtes Geld nicht ab – ganz im Gegenteil. Das hat verschiedene Gründe. Einer davon: Es ist eigentlich alles viel zu kompliziert.
Ein kurzer Blick in die Geschichte zeigt: Das Thema ist nicht neu. Passwörter beispielsweise sind in Gebrauch, seit es Computer gibt. Doch mit dem Siegeszug des Internets spitzte sich die Bedrohung durch Cyber-Kriminelle enorm zu. Ein «gutes» Passwort wurde schon in den Neunzigern zur Pflicht. Wer ganz besonders viel Wert auf Sicherheit legte, nutzte verschlüsselte Datenübermittlung. Sender und Empfänger mussten über den passenden Schlüssel verfügen. Den meisten Usern war das aber – zu Recht übrigens – viel zu kompliziert.
In den späten Nullerjahren waren Smartphones nicht mehr nur für Privatanwender der letzte Schrei, auch viele Firmen erkannten den Business-Nutzen der vielseitig einsetzbaren Geräte. Das sorgte nochmals für einen ordentlichen Aufrüstungsschub seitens der Security-Gemeinde. Die Login-Prozedere wurden komplizierter, als relativ einfache Lösung bot sich damals die Zwei-Faktor-Authentifizierung an. Ich logge mich am PC mit Usernamen und Passwort ein und bekomme auf ein zweites Gerät (meistens das Smartphone) einen weiteren Zugangscode. Aber das ist – man muss es leider sagen – auch nicht mehr das gelbe vom Ei. Zu viele Vorfälle mit gestohlenen Passwörtern und gehackten Smartphones sind bereits aktenkundig.
Passwörter und ihre Nachteile
Viele Firmen haben eine Passwort-Policy: Das Passwort muss über eine gewisse Länge verfügen, es muss aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen und es muss – ganz wichtig – regelmässig geändert werden. Das war jahrelang die Empfehlung fast aller Security-Profis. Bis einige findige IT-Nerds sich mal die verfügbaren Daten angeschaut haben. Es stellte sich heraus: Firmen mit solchen Regeln sind überdurchschnittlich oft von Security-Vorfällen betroffen. Das hat mehrere Gründe. Einer davon ist relativ einfach zu identifizieren: Sicherheit steht immer in Konkurrenz mit Bequemlichkeit. Viele User sind überfordert von ellenlangen Passwörtern, die auch noch regelmässig wechseln müssen und die zudem für unterschiedliche Zugänge nicht gleich sein dürfen. Entweder sie umgehen die Anweisungen der IT (indem sie immer das gleiche Passwort mit marginalen Änderungen verwenden für alle Zugänge nutzen), oder sie kleben sich einfach den berühmten Post-it-Zettel mit dem Passwort an den Bildschirm.
In den USA gab das National Institute of Standards and Technology (NIST) aufgrund der neuen Erkenntnisse folgende Empfehlung für Passwörter heraus:
-
Wenn immer möglich 2-Faktor-Authentifizierung nutzen
-
Ein Passwort sollte 8 Zeichen oder länger sein. Sehr lange Passwörter bringen nichts.
-
Verwenden Sie keine üblichen Passwörter wie 12345 oder Ihren Vornamen
-
Es ist nicht notwendig, das Passwort regelmässig zu ändern, ausser es besteht die Möglichkeit, dass es gehackt wurde
-
Verwenden Sie niemals dasselbe Passwort für mehrere Zugänge
Das wäre es schon. Viele dieser neuen Regeln lassen sich sehr einfach mit der Nutzung eines Passwort-Managers erreichen. zurichnetgroup bietet eine Passwortverwaltung für Firmen an, die und von den Angestellten auch privat genutzt werden kann.
Multifaktor-Authentifizierung
Nachdem die 2-Faktor-Authentifizierung nicht mehr so sicher ist wie auch schon, weichen viele Anbieter auf so genannte Multifaktor-Authentifizierung aus. Üblicherweise werden dabei drei statt nur zwei Faktoren abgefragt:
-
Etwas, das ich weiss, wie zum Beispiel die Antwort auf eine Sicherheitsfrage («Wo wurden Sie geboren»).
-
Etwas, das ich habe, beispielsweise ein Code, der mir von einer Security-App übermittelt wurde.
-
Etwas, das ich bin: Mein Fingerabdruck beispielsweise.
Teure Security
Das sorgt für etwas mehr Sicherheit, ist aber letztlich auch wieder aufwendiger und damit fehleranfälliger. Und dieser Aspekt bekümmert vor allem die Finanzverantwortlichen der Firmen. Denn Sicherheit ist nicht zum Nulltarif zu haben. Die Erinnerungen für eine Passwort-Erneuerung können zwar automatisiert ausgespielt werden, verursachen aber trotzdem erhebliche Kosten. Vergisst ein User sein Passwort oder seine Sicherheitsfrage, muss er eine Anfrage starten. Das ist teuer. Klar: Ein Security-Vorfall kostet schnell ein Mehrfaches aller Sicherheitsanstrengungen. Aber trotzdem muss die Frage erlaubt sein: Geht das eigentlich nicht einfacher?
Doch. Viele Sicherheitsexperten sehen den richtigen Weg nicht in noch komplizierteren Authentifizierungen. Sondern im Gegenteil: In Zukunft sollen die User gar nicht mehr merken, wenn sie irgendwo erkannt und durchgewunken werden. Vorbildfunktion haben diesbezüglich die Kreditkarten-Firmen. Hier ist es bereits heute üblich, dass die Kunden mit hochkomplexen Profilen hinterlegt sind. Entspricht ihr Kaufverhalten dem Profil, braucht es lediglich eine einfache Freigabe der Zahlung – falls überhaupt. Fällt dem Algorithmus aber eine Abweichung auf, schlägt er Alarm und verlangt nach einer genaueren Prüfung. Das kann eine weitere Abfrage sein, aber auch der direkte Kontakt mit dem Kunden. Hinter dieser Methode steckt die Anwendung von Künstlicher Intelligenz und Machine Learning.
Algorithmen statt Passwörter
Ob es uns passt oder nicht: Künftig werden wir – im Interesse der Sicherheit – mit Algorithmen geprüft. Das können Dutzende oder sogar Hunderte unterschiedlicher Parameter sein, die beigezogen werden. Diese entscheiden, wie hoch das Sicherheitslevel sein muss, und ob zusätzliche Massnahmen nötig sind. In den meisten Fällen soll damit eine explizite Authentifizierung für die User entfallen. Das Wettrüsten zwischen den Bösen und den Guten hat damit kein Ende, selbstverständlich. Aber wie es der US-Sicherheitsexperte Roger A. Grimes mal sagte: «Im Idealfall kämpfen die Algorithmen miteinander und wir können in Ruhe unserer Arbeit nachgehen.»
Steigern Sie die Kennworthygiene sowie das Sicherheitsverhalten in Ihrem Unternehmen, ohne dabei die Benutzerfreundlichkeit für Mitarbeitende und Administratoren zu beeinträchtigen. Testen Sie dafür die kostenlose Probeversion von netgroupPASSWORD.
