Mehr Sicherheit durch weniger Passwörter

10. Dezember 2021 | 

Die meisten erfolgreichen Angriffe gehen auf unsichere oder gestohlene Passwörter zurück. Über die Jahre haben Hacker unterschiedlichste Strategien entwickelt, um sich fremder Zugangsdaten zu bemächtigen: Beliebte Methoden sind Phishing, Social Engineering, Credential Stuffing, Mimikatz, Rainbow Table oder Password Spraying. Hinzu kommt oft fehlende Awareness auf Seiten der Mitarbeiter, die Passwörter mit Kollegen teilen, notieren und am Schreibtisch platzieren oder einfache Standardpasswörter benutzen. Auch 2019 war die Zahlenfolge „12345“ noch das meistverwendete Passwort, gefolgt von ähnlich leicht zu durchschauenden Zeichenfolgen.

Die leichte Überwindbarkeit von Passwörtern kommt Unternehmen teuer zu stehen: IBM bezifferte die durchschnittlichen Kosten eines Daten-Breachs im „Cost of a Data Breach Report 2019“ mit 3,92 Millionen US-Dollar. Um sich besser vor solchen Vorfällen zu schützen, schrauben die Unternehmen die Anforderungen für Passwörter reflexartig immer höher. Doch heute wissen wir, dass selbst komplexeste Passwörter keinen echten Schutz gegen gängige Angriffsarten bieten – und obendrein selbst ein gefährlicher Kostentreiber sind. Das Zurücksetzen von Passwörtern ist laut Gartner für über 50 Prozent aller Helpdesk-Aufrufe verantwortlich. Der Mehraufwand durch strengere Passwortrichtlinien trägt also spürbar zu den Gesamtkosten des IT-Betriebes bei.

Lange Zeit galt Multi-Faktor-Authentifizierung (MFA) als probate Lösung des Problems und wurde in vielen gesetzlichen oder branchenspezifischen Compliance-Vorgaben verankert. Doch mit der zunehmenden Verbreitung von MFA wurden immer öfter erfolgreiche Angriffe auf scheinbar sichere Out-of-band-Authentifizierungsfaktoren verzeichnet. Hinzu kommen relativ hohe Kosten für die Bereitstellung und Verwaltung sowie negative Ausstrahleffekte auf Usability und Mitarbeiterproduktivität. In der Summe führen diese Faktoren dazu, dass MFA-Lösungen in Unternehmensnetzwerken nach wie vor nur begrenzt für besonders kritische Dienste eingesetzt werden, beispielsweise für den VPN-Zugriff und Remote-Dienste.

Wie ist passwortloses Arbeiten möglich?

Trotzdem weist vieles darauf hin, dass die Authentisierung in Zukunft weitgehend passwortlos erfolgen wird. An die Stelle der Passwörter werden dann innovative technologische und verhaltensbasierte Anmeldeverfahren treten, die ein Plus an Sicherheit mit einem Plus an Bedienkomfort verbinden: Methoden wie Fingerabdrucksensorik und Gesichtserkennung, die den Zugriff für Smartphone-Nutzer schon heute deutlich erleichtern. Neue Standards wie FIDO, FIDO2 oder WebAuthn setzen sich immer weiter durch und versprechen mittelfristig eine einfache, schnelle und sichere Authentifizierung – auch wenn ihr Einsatz in komplexen Unternehmensumgebungen, wo Fehler enorme Kosten verursachen können, bislang noch zurückhaltend erfolgt.

Secret Double Octopus vereint Sicherheit und Bedienkomfort

Eine extrem spannende Alternative bietet seit Kurzem das israelische Unternehmen Secret Double Octopus, das von Aite 2021 als „Best in Class“ unter den passwortlosen Authentifizierungsanbietern gekürt wurde: Dort hat man ein hochsicheres und bedienfreundliches Authentisierungsverfahren entwickelt, bei dem die Nutzer eine sichere Push-Benachrichtigung auf ihr registriertes Smartphone erhalten und darauf mit einer angeforderten PIN oder einer biometrischen Unterschrift reagieren müssen.

Dies klingt im ersten Moment noch ganz nach klassischer MFA. Doch beim Blick unter die Haube zeigen sich einige entscheidende technologische Besonderheiten:

  • Kryptographischer Datentransfer per hochsicherem Multi-Route Secret Sharing Algorithmus 
  • Passwortlose Workstation-Authentifizierung, selbst offline
  • Einsatz in allen Unternehmensdiensten und -systemen, On-Prem oder in der Cloud
  • Funktioniert in jedem Szenario, dank einer breiten Palette FIDO-konformer Authentifikatoren

In der Summe bietet die Lösung auf diese Weise eine hochsichere Domäne für den reibungsarmen Zugang zu allen Unternehmensressourcen – und vereint dies mit einer wirklich hochwertigen User-Experience. Wichtig für das Security-Team: Die Lösung unterstützt auch eine zentrale Authentifizierungsplattform, über die sich sämtliche Aktivitäten verwalten und überprüfen lassen. Dies macht es dem Security-Team leicht, durchgehend die Transpa-renz und die Kontrolle über die Abläufe zu behalten.

Wie funktioniert passwortlose Authentifizierung?

Im Mittelpunkt der hochsicheren Authentifizierungs-Lösung steht der kryptographische Algorithmus „Shamir’s Secret Sharing“, der das zu übermittelnde Geheimnis in mehrere Teile splittet und diese auf verschiedene Standorte oder Systeme aufteilt. Auf diese Weise ist sichergestellt, dass kein Angreifer je auf das vollständige Geheimnis zugreifen kann. Die patentierte Technologie von Secret Double Octopus greift diesen Mechanismus auf und verwendet als sitzungsspezifisches Authentifizierungsgeheimnis einen AES-256-Bit-Schlüssel. Dieser wird wie beschrieben aufgeteilt und über unterschiedliche Wege an das Authentifizierungsgerät gesendet. Einer der Teile wird dabei erst während des Anmeldeprozesses erstellt und kontinuierlich aktualisiert. Selbst wenn ein Angreifer also alle Komponenten abfangen sollte – was höchst unwahrscheinlich ist –, kann er daraus keinen Schlüssel rekonstruieren.

Dieser Algorithmus ist für sämtliche Netzwerkarchitekturen nutzbar. In der Regel sind dabei vier zentrale Komponenten erforderlich, um die passwortlose MFA zu integrieren:

Mobile App: Die Octopus Authenticator App ist ein hochsicherer Software-Authentifikator, der MFA-Kryptographie, sichere Hardware-Module und biometrische Signaturen kombiniert, und es den Unternehmen ermöglicht, auf Passwörter zu verzichten, ohne die Sicherheit zu beeinträchtigen. Der Authentifizierungsschlüssel ist fest an das mobile Gerät gebunden. Er kann erst nach einer geräteinternen Authentifizierung (biometrische Unterschrift und/oder PIN) verwendet werden und verschlüsselt Ergebnisse mit Secret-Sharing-Kryptographie. Neben der offiziellen Octopus App lassen sich alternativ auch Third-Party-Lösungen führender Hersteller (z.B. von ForgeRock oder Okta) oder andere FIDO-kompatible Authentifikatoren nutzen.

Authentifizierungsserver: Der Server wird in der Regel On-Prem betrieben und für den Zugriff auf Active Directory und die Zusammenarbeit mit externen Dritten verwendet – etwa, um Benutzern Authentifikatoren zuzuweisen und Richtlinien zu definieren. Die Anbindung der übrigen Komponenten erfolgt über Standardschnittstellen (SAML, Radius usw.) oder individuelle Interfaces.

Cloud: Die Octopus Cloud ist ein Stateless Cloud Service, der die Authentifizierungssessions verwaltet und die sichere Kommunikation mit den Octopus Authentifikator Apps auf den mobilen Geräten der Anwender ermöglicht. Wichtig für den Einsatz in kritischen Umgebungen: Die Cloud ist nicht mit Kundeninformationen oder geheimen Schlüsseln verbunden! Sie ermöglicht lediglich den Versand von Push-Nachrichten zwischen dem Server und der App und dient als Kanal für die sichere Übermittlung geheimer Anteile.

Desktop Client: Der Client für Windows- und MacOS-Arbeitsplätze ermöglicht es Benutzern, sich sicher an ihren Desktops oder Laptops anzumelden. Der Client läuft auf der Workstation und startet den Authentifizierungsprozess, sobald ein Benutzer versucht, sich anzumelden. In diesem Fall wird sofort eine Push-Benachrichtigung an den Octopus Authenticator gesendet, die den Benutzer auffordert, sich zu authentifizieren und die Anmeldeanforderung zu bestätigen.

Weitere Aspekte und Handlungsempfehlungen

Die Implementierung einer passwortlosen Authentifizierungs-Lösung stellt viele IT-Abteilungen bislang allerdings noch vor enorme Herausforderungen: Passt die Lösung zum bestehenden Identity-Stack und zur Anwendungslandschaft? Verwenden die Anwender Mac, Windows oder beides – und gibt es vielleicht auch Legacy-Systeme mit älteren Betriebssystemen? Und wie funktioniert etwa das Zusammenspiel mit einer punktuell eingesetzten MFA-Authentifikator-Insellösung? Die Erfahrung zeigt, dass sich viele Inhouse-Teams schwertun, passwortlose Authentisierung in die bunte Device- und Anwendungsvielfalt einer modernen Enterprise-Umgebung einzubinden.

Daher sind Unternehmen gut beraten, vom ersten Tag an spezialisierte Beratungs- und Dienstleistungsunternehmen wie iC Consult hinzuzuziehen. Diese sind bestens mit den Best Practices bei der Implementierung in heterogenen Umgebungen vertraut und helfen Ihnen, eine verbindliche strategische Roadmap mit konkretem Umsetzungsplan zu erarbeiten. Dazu gehört es auch, die gesamte Belegschaft frühzeitig ins Boot zu holen, um Erwartungshaltungen zu managen und wertvolle Impulse aus der Belegschaft zu erhalten. Zeitgemäße Onboarding-Tools wie Videos und Quick-Start-Guides sowie auskunftsfähige Ansprechpartner sorgen dabei für einen reibungslosen Start. Mitunter kann es auch sinnvoll sein, zunächst überschaubare Pilotprojekte mit kleineren Gruppen aufzusetzen – und auf der Basis dieser Erfahrungen dann sukzessive den Rest der Belegschaft einzubeziehen.

Fazit

Der Mensch ist nach wie vor das schwächste Glied bei der Absicherung von Unternehmensnetzen. Gerade die Nutzung klassischer Passwörter ist dabei ein erheblicher Risiko- und Kostenfaktor – immerhin schlägt ein erfolgreicher Breach unter Umständen mit Kosten in Höhe von mehreren Millionen US-Dollar zu Buche, und auch das Handling der Helpdesks ist in größeren Unternehmen ein relevanter Kostenfaktor. Die Zukunft wird daher der passwortlosen Multi-Faktor-Authentifizierung gehören. Wie diese aussehen kann, zeigen führende Hersteller wie ForgeRock und Okta – aber auch innovative Newcomer wie Secret Double Octopus prägen mit ihren technischen Innovationen den Markt. Anwenderseitig stellen inzwischen selbst Software-Giganten wie Microsoft die Weichen für eine passwortlose Authentisierung: Nach einer halbjährigen Testphase für Unternehmenskunden können seit Mitte September 2021 jetzt auch Privatanwender die passwortlose Authentifizierung für den Zugriff auf Anwendungen und Dienste wie Outlook oder OneDrive nutzen. Die Technologie ist im Mainstream angekommen.