Authentifizierung

Eine Welt ohne Passwörter?

Von Nadine Effert · 2014

Mit Cloud-Anwendungen oder der Nutzung von Mobile Devices wachsen die Cyber-Risiken – das verlangt nach einer starken Identitätsprüfung und intelligentes Management von Zugriffsrechten. Innovative Technologien und Nutzungskonzepte sind gefragt.

Authentisch ist, was echt und somit glaubwürdig ist. So die Definition. Unsere Glaubwürdigkeit – oder besser Identität ­– gilt es, ständig unter Beweis zu stellen. Sei es im Alltag am Bankautomaten oder am Arbeitsplatz durch die Eingabe des Passwortes am Rechner. Doch mit ein paar Klicks können gewiefte Hacker und Kriminelle in fremde, digitale Identitäten schlüpfen und sich unberechtigt Zugriff auf Netzwerke, Dienste und Daten verschaffen. Authentisch ist in diesem Fall nicht nur was echt, sondern vor allem sicher ist. Passwörter bieten dabei oftmals nur eine Scheinsicherheit: „Schwache oder nicht regelmäßig ausgewechselte Passwörter öffnen Hackern Tür und Tor. Sie können oft in Sekunden geknackt werden“, sagt der Bonner Informatik-Professor Hartmut Pohl. Um gängige Angriffe auf Passwörter, wie Man-in-the-Middle- oder Phishing-Attacken, zu vermeiden, empfiehlt der Experte, einen weiteren Sicherheitsschlüssel hinzuzufügen.

Wissen allein? Kein ausreichender Schutz

Nicht zuletzt, weil die Sicherheitsanforderungen in Unternehmen, aber auch Behörden, ständig wachsen. Viele Anwendungen laufen heutzutage auf On-Premise-Systemen, extern gehosteten Plattformen und cloudbasierten Services. Mit ihnen entstehen neue Sicherheitslücken, die IT-Verantwortliche füllen müssen. Die Multi-Faktor-Authentifizierung steht dabei auf der Agenda vieler Unternehmen ganz oben. Laut der Studie „Global Annual Authentication Survey 2013“ kommt sie bei 37 Prozent der befragten IT-Unternehmen zum Einsatz. Das sind sieben Prozent mehr als im Vorjahr. Nach dem Prinzip „Wissen und Besitz“ kann eine Zwei-Faktor-Authentifizierung mit Smartcard oder Token erfolgen. Heißt: Das Wissen eines Passwortes oder einer PIN allein reicht nicht aus, um die Identität nachzuweisen.

Tokenlos mit zwei Faktoren authentifizieren

Nur der zusätzliche Besitz einer Hardware-Komponente ermöglicht den Zugriff. Nachteil: Physikalische Token sind teuer in Anschaffung und Support. Die Lösung: eine tokenlose Authentifizierung. Dabei wird ein Einmal-Passwort (OTP) als SMS oder Email verschickt. Immer mehr Unternehmen setzen auf dieses Verfahren: So nutzten laut Umfrage im Jahr 2013 nur 27 Prozent eine softwarebasierte Lösung, in diesem Jahr sind es bereits 40 Prozent. Neueste Login-Methode: eine Zwei-Faktor-Authentifizierung mittels einmalig generiertem QR-Code, der über eine Soft-Token-App generiert wird – ganz ohne Internet- oder Mobilfunkverbindung.

Biometrie für mehr Sicherheit

Auch persönliche Merkmale eines Menschen, wie etwa Fingerabdruck oder Iris, eignen sich als zusätzlicher Sicherheitsfaktor zum Standard-Passwort. Stichwort: biometrische Authentifizierung. Die technischen Voraussetzungen sind vor allem im Bereich der Endgeräte gegeben. Auf dem Markt erhältlich sind Smartphones mit integrierten Fingerabdruck-Lesern, Tablets mit Hochleistungskameras zur Gesichtserkennung oder auch Notebooks mit Handvenen-Sensor. Dennoch ist die biometrische Authentifizierung in deutschen Unternehmen bisher kaum angekommen. Woran liegt das? Experten zufolge vor allem am mangelnden Wissen über den aktuellen Stand der Biometrie, deren Kosten und Nutzen. Dennoch seien die meisten Unternehmen dem Verfahren gegenüber durchaus positiv eingestellt. Hierfür liegen die Gründe auf der Hand. So eignen sich biometrische Lösungen für eine Vielzahl von Anwendungen. Von der sicheren Authentifizierung über die Autorisierung sensibler Transaktionen bis hin zur Absicherung von Mobile Devices und Cloud-Anwendungen. Handhabung, Implementierung und Anpassung haben Hersteller in den letzten Jahren erheblich verbessert. „Biometrische Systeme werden sich in Zukunft im geschäftlichen Leben weiter verbreiten. Insbesondere dort, wo es um den Schutz wertvoller Unternehmensdaten oder -prozesse vor unberechtigten Zugriffen geht“, meint Professor Pohl. „Dass sie sich innerhalb der nächsten Jahre am Markt durchsetzen werden, ist jedoch eher unwahrscheinlich.“

Fazit: Von einer Welt ganz ohne Passwörter sind wir noch weit entfernt. Jedoch bekommen sie durch die Verbreitung der Multi-Faktor-Authentifizierung – sei es in Form von Token, OTPS oder biometrischen Merkmalen – starke Partner in puncto Sicherheit an die Seite gestellt.