Inhaltsverzeichnis

Die Verwendung von Passwörtern in Unternehmen, und die damit verbundenen Risiken, werden mit jedem neuen Hacker-Angriff sichtbarer. Allein Ransomware-Angriffe verursachten letztes Jahr Kosten in Höhe von rund  7,9 Milliarden Dollar – alleine in den USA. Jetzt sich natürlich die Frage: Was hat Ransomware mit Passwörtern zutun? Nun laut eines aktuellen Berichts auf ZDnet ist das beliebteste Einfallstor für Ransomware noch immer eine Brute Force-Attacke, bei der es Hacker auf schwache Passwörter abgesehen haben. Außerdem werden die Methoden raffinierter und neue Ransomware (zum Beispiel ”FTCODE”) ist in der Lage, auch Passwörter aus Browsern wie Firefox oder Chrome sowie aus Microsoft Outlook zu stehlen.

Mitarbeiter werden durch Passwörter teurer

Aber Sie müssen nicht vom schlimmsten Fall ausgehen - Passwortdiebstahl. Es reicht schon, wenn man sich überlegt, was passiert, wenn ein Mitarbeiter sein Passwort vergisst. Die erste Reaktion in vielen Unternehmen ist wahrscheinlich, dass er oder sie den IT-Support kontaktiert, um das Passwort zurücksetzen zu lassen. Für ein kleines Unternehmen mag das kein Problem sein, aber große Konzerne mit mehreren tausend Mitarbeitern sollten sich genau überlegen, ob sie ihrem Helpdesk das zumuten können und wollen. Immerhin kostet das Zurücksetzen eines Passworts Unternehmen im Durchschnitt rund 70 Dollar.

Das ist für Sie nicht relevant, weil Ihr Unternehmen auf automatische Passwort-Rücksetzungen setzt? Prima. Aber selbst wenn Ihr IT-Support nicht mit Anfragen zu Passwortproblemen überschwemmt wird, was ist mit dem Mitarbeiter selbst? Der Mitarbeiter ist nicht einsatzfähig, während er auf das neue Passwort oder die Mail mit dem Reset-Link wartet. Selbst wenn es nur ein paar Minuten sind, über ein Jahr hinweg und mit Blick auf große Unternehmen mit vielen Mitarbeitern summieren sich die Kosten. In dieser Zeit wird kein Umsatz generiert, die Akquise stagniert oder die Kundenanfrage wird nicht bearbeitet. Eine von der Centrify Corporation in Auftrag gegebene Studie beziffert den monetären Produktivitätsverlust durch Passwort-Resets auf rund 420 Dollar pro Mitarbeiter und Jahr.

Natürlich sind derartige Kosten schwer zu beziffern, aber wenn man bedenkt, dass Mitarbeiter durchschnittlich maximal 60% ihrer Arbeitszeit produktiv sind, sollten man sie auf keinen Fall ignorieren. Gleiches gilt übrigens auch für “Password Expiration Policies”, wie sie mittlerweile in vielen Unternehmen Gang und Gäbe sind. Nicht ohne Grund hat Microsoft vergangenes Jahr angekündigt, künftig keine entsprechende Leitlinie zum Wechsel von Passwörtern in bestimmten Abständen mehr zu empfehlen. Die Begründung: Der regelmäßige Wechsel richtet mehr Schaden an, als dass er nutzt, da er Nutzer dazu verleitet, leicht merkbare Passwörter zu verwenden.

Bequemlichkeit wird zur Gefahr

Das ist generell eines der Hauptprobleme an Passwörtern: Menschen sind nicht nur vergesslich, sie sind auch schlecht darin, sich mehrere Passwörter gleichzeitig merken. Daher gehen viele von ihnen dazu über, ein Passwort mehrfach zu verwenden. Das ist nicht nur problematisch, wenn sie die gleichen Passwörter für unterschiedliche Geschäftsanwendungen nutzen. Fatal wird es, wenn sie privat verwendete Passwörter im Unternehmen anwenden. Beispiele aus der Vergangenheit haben das mehrfach gezeigt.

2FAs und Standard-MFAs machen es nicht besser

Um der Lage Herr zu werden und den Risikofaktor “vergessliche Angestellte” zu minimieren, setzen Unternehmen zunehmend auf Ansätze wie “Single-Sign-On”(SSO), “Zwei-Faktor-Authentifizierung” (2FA) oder “Multi-Faktor-Authentifizierung” (MFA). Doch damit steigern sie lediglich die Kosten ihrer Passwort-Lösung – und nicht zwingend die Sicherheit. Denn viele Passwort-basierte Probleme bleiben bestehen:

Single-Sign-On

Single-Sign-On verschiebt das Problem lediglich. Anstatt vieler Passwörter, wird lediglich eines genutzt. Damit wird dieses Passwort jedoch zum Single Point of Attack: Kommen Angreifer in den Besitz dieses Credential Sets, so haben sie Zugriff auf alle Programme beziehungsweise Daten, die damit abgesichert werden. Das macht den Einsatz von Passwörtern und anderen unsicheren Authentifizierungsfaktoren hier besonders gefährlich. Außerdem bleiben die Kosten für das Passwort-Management – neben Anschaffungs- und Lizenzkosten– weiter bestehen.  

Zwei-Faktor-Authentifizierung

DieZwei-Faktor-Authentifizierung beinhaltet die Verwendung zusätzlicher Faktoren zur Authentifizierung. Zum Beispiel werden zusätzliche "Sicherheitsfaktoren" in die Login-Prozesse oder für die Freigabe von Transaktionen eingebaut, wie SMS-PINs. Diese Zwei-Faktor-Authentifizierung macht den Prozess für Hacker schwieriger, aber noch lange nicht sicher. Das schwächste Glied in der Sicherheitskette ist und bleibt der Nutzer selbst. Unternehmen sind machtlos, wenn Anwender freiwillig ihre Pins und Passwörter aus der Hand geben. Angriffe wie Phishing und CEO-Fraud zielen nicht auf das "Knacken" der einzelnen Faktoren, sondern auf das Wissen des Nutzers. Der Angriff auf Twitter beispielsweise machte im Juli 2020 Schlagzeilen, als sich ein 17-jähriger Hacker gegenüber Firmenmitarbeitern als Kollege in der IT ausgab, der die Zugangsdaten für den Zugang zum Kundenserviceportal benötigte. Unterm Strich bleiben die Kosten für Passwörter bestehen und neue kommen hinzu - in Form von Einrichtungs-, Lizenzierungs- und Wartungskosten.

Multi-Faktor-Authentifizierung

Die Multi-Faktor-Authentifizierung ist mit Blick auf die Sicherheit wohl die verlässlichste Variante, denn hier werden mehrere Berechtigungsnachweise kombiniert. Das gilt jedoch nur dann, wenn sie ohne Passwörter auskommen. Denn das Passwort ist und bleibt das schwächste Glied und wenn es in die falschen Hände gerät, richtet es Schaden an. Sei es nun durch Insider Threats, Kontenübernahmen (ATOs) oder einfach nur, weil ein ehemaliger Mitarbeiter nicht sorgfältig aus dem System gelöscht wurde. Kommt Ihre Lösung ohne Passwörter aus und verzichtet sie auf zentrale Anmeldedatenbanken, entfallen nicht nur erhebliche Kosten für die Verwaltung des Systems, sondern das Risiko eines Angriffs auf Ihr Unternehmen sinkt signifikant.

Wechseln zu Passwortlose Authentifizierung ist einfacher als Sie denken

Das Konzept der Multi-Faktor-Authentifizierung lässt sich auch ohne Passwörter realisieren – und das ohne erheblichen Aufwand. AuthN zum Beispiel ist interoperabel und kann zusätzlich zu Ihren bestehenden Investitionen in SSO, Hardware-Token und Passwortverwaltung eingesetzt werden. Unabhängig davon, ob es sich um ein eigenständiges oder integriertes System handelt, erzielen Sie eine spürbare Reduzierung Ihres Risikos, indem Sie das Passwort wirklich entfernen. Die meisten Passwort-basierten Unternehmensanwendungen können durch die Verwendung eines SaaS-MFA-Authentifizierungsproviders (wie unsere AuthN) leicht aufgerüstet werden.