Die wahren Kosten von Passwörtern: Warum 2FA und SSO nicht helfen

Die Verwendung von Passwörtern in Unternehmen und die damit verbundenen Risiken werden mit jedem neuen Hackerangriff sichtbarer. Allein Ransomware-Angriffe verursachten Kosten in Höhe von rund 7,9 Milliarden Dollar im vergangenen Jahr - allein in den USA. Jetzt stellt sich natürlich die Frage: Was hat Ransomware mit Passwörtern zu tun? Nun, laut einem aktuellen Bericht über ZDNet, ist das beliebteste Einfallstor für Ransomware immer noch ein Brute-Force-Angriff, bei dem Hacker schwache Passwörter ins Visier nehmen. Darüber hinaus werden die Methoden immer ausgefeilter und neue Ransomware (zum Beispiel "FTCODE") ist in der Lage, Passwörter aus Browsern wie Firefox oder Chrome sowie Microsoft Outlook zu stehlen.

Passwörter verteuern Mitarbeiter

Sie müssen jedoch nicht vom schlimmsten Fall ausgehen - dem Passwortdiebstahl. Es genügt, darüber nachzudenken, was passiert, wenn ein Mitarbeiter sein Passwort vergisst. Die erste Reaktion in vielen Unternehmen ist wahrscheinlich, dass er oder sie sich an den IT-Support wendet, um das Passwort zurücksetzen zu lassen. Für ein kleines Unternehmen mag das kein Problem sein, aber große Unternehmen mit mehreren tausend Mitarbeitern sollten sich genau überlegen, ob sie das mit ihrem Helpdesk machen können und wollen. Schließlich kostet das Zurücksetzen eines Passworts Unternehmen im Durchschnitt rund 70 US-Dollar.

Das ist für Sie nicht relevant, weil Ihr Unternehmen auf automatische Passwort-Resets angewiesen ist? Großartig. Aber selbst wenn Ihr IT-Support nicht mit Anfragen zu Passwortproblemen überschwemmt wird, was ist mit dem Mitarbeiter selbst? Der Mitarbeiter ist nicht betriebsbereit, während er auf das neue Passwort oder die E-Mail mit dem Reset-Link wartet. Auch wenn es nur ein paar Minuten sind, im Laufe eines Jahres und mit Blick auf große Unternehmen mit vielen Mitarbeitern summieren sich die Kosten. In dieser Zeit werden keine Umsätze generiert, die Akquise stagniert oder die Kundenanfrage wird nicht bearbeitet. In einer von der Centrify Corporation in Auftrag gegebenen Studie wurde der finanzielle Produktivitätsverlust durch das Zurücksetzen von Passwörtern auf rund 420 USD pro Mitarbeiter und Jahr geschätzt.

Natürlich sind solche Kosten schwer zu quantifizieren, aber wenn man bedenkt, dass Mitarbeiter im Durchschnitt maximal 60% ihrer Arbeitszeit produktiv sind, sollten sie nicht ignoriert werden. Das Gleiche gilt übrigens auch für die "Richtlinien zum Ablauf von Passwörtern", die in vielen Unternehmen inzwischen gängige Praxis sind. Nicht ohne Grund kündigte Microsoft im vergangenen Jahr an, künftig keine entsprechende Richtlinie mehr für das Ändern von Passwörtern in bestimmten Abständen zu empfehlen. Der Grund: Die regelmäßige Änderung schadet mehr als sie nützt, da sie Nutzer dazu verleitet, leicht zu merkende Passwörter zu verwenden.

Bequemlichkeit wird zur Gefahr

Dies ist im Allgemeinen eines der Hauptprobleme bei Passwörtern: Die Leute sind nicht nur vergesslich, sie können sich auch schlecht an mehrere Passwörter gleichzeitig erinnern. Daher neigen viele von ihnen dazu, ein Passwort mehrmals zu verwenden. Dies ist nicht nur problematisch, wenn sie dieselben Passwörter für verschiedene Geschäftsanwendungen verwenden. Fatal wird es, wenn sie im Unternehmen privat genutzte Passwörter verwenden. Beispiele aus der Vergangenheit haben das mehrfach gezeigt.

2FAs und Standard-MFAs machen es nicht besser

Um die Situation in den Griff zu bekommen und den Risikofaktor "vergessliche Mitarbeiter" zu minimieren, setzen Unternehmen zunehmend auf Ansätze wie "Single-Sign-On" (SSO), "Two-Factor-Authentication" (2FA) oder "Multi-Factor-Authentication" (MFA). Das erhöht allerdings nur die Kosten ihrer Passwortlösung - und nicht unbedingt die Sicherheit. Denn viele passwortbasierte Probleme bleiben bestehen:

Einmaliges Anmelden

Einmaliges Anmelden verschiebt das Problem nur. Statt vieler Passwörter wird nur eines verwendet. Dies macht das Passwort jedoch zu einem einzigen Angriffspunkt: Wenn Angreifer in den Besitz dieses Anmeldeinformationssatzes gelangen, haben sie Zugriff auf alle Programme und Daten, die damit geschützt sind. Dies macht die Verwendung von Passwörtern und anderen unsicheren Authentifizierungsfaktoren besonders gefährlich. Darüber hinaus bleiben die Kosten für die Passwortverwaltung - zusätzlich zu den Anschaffungs- und Lizenzkosten - bestehen.

Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung beinhaltet die Verwendung zusätzlicher Faktoren für die Authentifizierung. Beispielsweise sind zusätzliche "Sicherheitsfaktoren" in die Anmeldeprozesse oder für die Freigabe von Transaktionen integriert, wie z. B. SMS-PINs. Diese Zwei-Faktor-Authentifizierung erschwert Hackern den Prozess, ist aber bei weitem nicht sicher. Das schwächste Glied in der Sicherheitskette ist und bleibt der Nutzer selbst. Unternehmen sind machtlos, wenn Nutzer freiwillig ihre Pins und Passwörter aushändigen. Angriffe wie Phishing und CEO-Fraud zielen nicht darauf ab, die einzelnen Faktoren zu "knacken", sondern auf das Wissen der Nutzer. Der Angriff auf Twitter sorgte beispielsweise im Juli 2020 für Schlagzeilen, als sich ein 17-jähriger Hacker gegenüber Mitarbeitern des Unternehmens, die die Zugangsdaten für den Zugriff auf das Kundenservice-Portal benötigten, als Kollege in der IT ausgab. Unterm Strich bleiben die Kosten für Passwörter bestehen und neue kommen hinzu - in Form von Einrichtungs-, Lizenz- und Wartungskosten.

Mehrstufige Authentifizierung

Mehrstufige Authentifizierung ist in Bezug auf Sicherheit wahrscheinlich die zuverlässigste Option, da sie mehrere Anmeldeinformationen kombiniert. Dies gilt jedoch nur, wenn sie auf Passwörter verzichten können. Denn das Passwort ist und bleibt das schwächste Glied, und wenn es in falschen Händen gerät, richtet es Schaden an. Sei es durch Insider-Bedrohungen, Kontoübertragungen (ATOs) oder einfach, weil ein ehemaliger Mitarbeiter nicht sorgfältig aus dem System gelöscht wurde. Wenn Ihre Lösung ohne Passwörter auskommt und auf zentralisierte Anmeldedatenbanken verzichtet, fallen nicht nur erhebliche Kosten für die Systemadministration weg, sondern auch das Risiko eines Angriffs auf Ihr Unternehmen wird deutlich reduziert.

Die Umstellung auf passwortlose Authentifizierung ist einfacher als Sie denken

Das Konzept der Multifaktor-Authentifizierung lässt sich auch ohne Passwörter umsetzen - und das ohne großen Aufwand. AuthN™ ist beispielsweise interoperabel und kann zusätzlich zu Ihren bestehenden Investitionen in SSO, Hardware-Token und Passwortmanagement verwendet werden. Unabhängig davon, ob es sich um ein eigenständiges oder integriertes System handelt, erreichen Sie eine erhebliche Risikominderung, indem Sie das Passwort wirklich entfernen. Die meisten kennwortbasierten Unternehmensanwendungen können problemlos mithilfe eines SaaS-MFA-Authentifizierungsanbieters aktualisiert werden (wie unser Autor N™).