Die wahren Kosten von Passwörtern: Warum 2FA und SSO nicht helfen

Die Verwendung von Passwörtern in Unternehmen, und die damit verbundenen Risiken, werden mit jedem neuen Hacker-Angriff sichtbarer. Allein Ransomware-Angriffe verursachten letztes Jahr Kosten in Höhe von rund  7,9 Milliarden Dollar – alleine in den USA. Jetzt sich natürlich die Frage: Was hat Ransomware mit Passwörtern zutun? Nun laut eines aktuellen Berichts auf ZDnet ist das beliebteste Einfallstor für Ransomware noch immer eine Brute Force-Attacke, bei der es Hacker auf schwache Passwörter abgesehen haben. Außerdem werden die Methoden raffinierter und neue Ransomware (zum Beispiel ”FTCODE”) ist in der Lage, auch Passwörter aus Browsern wie Firefox oder Chrome sowie aus Microsoft Outlook zu stehlen.

Mitarbeiter werden durch Passwörter teurer

Aber man muss nicht gleich vom schlimmsten Fall ausgehen - dem Passwortdiebstahl. Es genügt, sich vorzustellen, was passiert, wenn ein Mitarbeiter sein Passwort vergisst. Die erste Reaktion in vielen Unternehmen ist wahrscheinlich, dass er oder sie den IT-Support kontaktiert, um das Passwort zurücksetzen zu lassen. Für ein kleines Unternehmen mag das kein Problem sein, aber große Unternehmen mit mehreren tausend Mitarbeitern sollten sich genau überlegen, ob sie ihrem Helpdesk dies zumuten können und wollen. Immerhin kostet das Zurücksetzen eines Passworts Unternehmen im Durchschnitt etwa 70 Dollar.

Das ist für Sie nicht relevant, weil Ihr Unternehmen auf automatische Passwortrücksetzungen setzt? Prima. Aber selbst wenn Ihr IT-Support nicht mit Anfragen zu Kennwortproblemen überschwemmt wird, was ist mit dem Mitarbeiter selbst? Der Mitarbeiter ist nicht einsatzfähig, während er auf das neue Passwort oder die E-Mail mit dem Link zum Zurücksetzen wartet. Selbst wenn es sich nur um ein paar Minuten handelt, summieren sich die Kosten im Laufe eines Jahres und mit Blick auf große Unternehmen mit vielen Mitarbeitern. In dieser Zeit wird kein Umsatz generiert, die Akquisition stagniert oder die Kundenanfrage wird nicht bearbeitet. Eine von der Centrify Corporation in Auftrag gegebene Studie beziffert den monetären Produktivitätsverlust durch Passwortrücksetzungen auf rund 420 Dollar pro Mitarbeiter und Jahr.

Natürlich sind solche Kosten schwer zu beziffern, aber wenn man bedenkt, dass Mitarbeiter im Durchschnitt maximal 60 Prozent ihrer Arbeitszeit produktiv sind, sollte man sie nicht ignorieren. Das Gleiche gilt übrigens auch für "Password Expiration Policies", die in vielen Unternehmen mittlerweile gängige Praxis sind. Nicht umsonst hat Microsoft im vergangenen Jahr angekündigt, eine entsprechende Richtlinie zum Ändern von Passwörtern in bestimmten Abständen künftig nicht mehr zu empfehlen. Die Begründung: Der regelmäßige Wechsel schadet mehr als er nützt, da er die Nutzer dazu verleitet, leicht zu merkende Passwörter zu verwenden.

Bequemlichkeit wird zur Gefahr

Das ist generell eines der Hauptprobleme an Passwörtern: Menschen sind nicht nur vergesslich, sie sind auch schlecht darin, sich mehrere Passwörter gleichzeitig merken. Daher gehen viele von ihnen dazu über, ein Passwort mehrfach zu verwenden. Das ist nicht nur problematisch, wenn sie die gleichen Passwörter für unterschiedliche Geschäftsanwendungen nutzen. Fatal wird es, wenn sie privat verwendete Passwörter im Unternehmen anwenden. Beispiele aus der Vergangenheit haben das mehrfach gezeigt.

2FAs und Standard-MFAs machen es nicht besser

Um der Lage Herr zu werden und den Risikofaktor “vergessliche Angestellte” zu minimieren, setzen Unternehmen zunehmend auf Ansätze wie “Single-Sign-On”(SSO), “Zwei-Faktor-Authentifizierung” (2FA) oder “Multi-Faktor-Authentifizierung” (MFA). Doch damit steigern sie lediglich die Kosten ihrer Passwort-Lösung – und nicht zwingend die Sicherheit. Denn viele Passwort-basierte Probleme bleiben bestehen:

Single-Sign-On

Single-Sign-On verschiebt das Problem lediglich. Anstatt vieler Passwörter, wird lediglich eines genutzt. Damit wird dieses Passwort jedoch zum Single Point of Attack: Kommen Angreifer in den Besitz dieses Credential Sets, so haben sie Zugriff auf alle Programme beziehungsweise Daten, die damit abgesichert werden. Das macht den Einsatz von Passwörtern und anderen unsicheren Authentifizierungsfaktoren hier besonders gefährlich. Außerdem bleiben die Kosten für das Passwort-Management – neben Anschaffungs- und Lizenzkosten– weiter bestehen.  

Zwei-Faktor-Authentifizierung

Die Zwei-Faktoren-Authentifizierung umfasst die Verwendung zusätzlicher Faktoren für die Authentifizierung. So werden beispielsweise zusätzliche "Sicherheitsfaktoren" in die Anmeldeverfahren oder für die Freigabe von Transaktionen eingebaut, wie etwa SMS-PINs. Diese Zwei-Faktoren-Authentifizierung macht den Prozess für Hacker schwieriger, aber bei weitem nicht sicher. Das schwächste Glied in der Sicherheitskette ist und bleibt der Nutzer selbst. Unternehmen sind machtlos, wenn Nutzer freiwillig ihre Pins und Passwörter herausgeben. Angriffe wie Phishing und CEO-Fraud zielen nicht darauf ab, die einzelnen Faktoren zu "knacken", sondern auf das Wissen des Nutzers. Der Angriff auf Twitter beispielsweise machte im Juli 2020 Schlagzeilen, als sich ein 17-jähriger Hacker gegenüber Unternehmensmitarbeitern als Kollege in der IT-Abteilung ausgab, der die Zugangsdaten für den Zugang zum Kundendienstportal benötigte. Unterm Strich bleiben die Kosten für Passwörter bestehen und neue kommen hinzu - in Form von Einrichtungs-, Lizenzierungs- und Wartungskosten.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung ist mit Blick auf die Sicherheit wohl die verlässlichste Variante, denn hier werden mehrere Berechtigungsnachweise kombiniert. Das gilt jedoch nur dann, wenn sie ohne Passwörter auskommen. Denn das Passwort ist und bleibt das schwächste Glied und wenn es in die falschen Hände gerät, richtet es Schaden an. Sei es nun durch Insider Threats, Kontenübernahmen (ATOs) oder einfach nur, weil ein ehemaliger Mitarbeiter nicht sorgfältig aus dem System gelöscht wurde. Kommt Ihre Lösung ohne Passwörter aus und verzichtet sie auf zentrale Anmeldedatenbanken, entfallen nicht nur erhebliche Kosten für die Verwaltung des Systems, sondern das Risiko eines Angriffs auf Ihr Unternehmen sinkt signifikant.

Umstellung auf passwortlose Authentifizierung geht leichter als Sie denken

Das Konzept der Multi-Faktor-Authentifizierung kann auch ohne Passwörter umgesetzt werden - und das ohne großen Aufwand. AuthN™ zum Beispiel ist interoperabel und kann zusätzlich zu Ihren bestehenden Investitionen in SSO, Hardware-Tokens und Passwortmanagement eingesetzt werden. Unabhängig davon, ob es sich um ein eigenständiges oder integriertes System handelt, erreichen Sie eine erhebliche Risikominderung, indem Sie echt das Passwort entfernen. Die meisten passwortbasierten Unternehmensanwendungen können durch die Verwendung eines SaaS-MFA-Authentifizierungsanbieters (wie unser AuthN™) problemlos aufgerüstet werden.