Alternativen zum Passwort Passwörter, lebende Fossilien der IT

Von Saša Petrović*

Anbieter zum Thema

Sie gelten oft als unsicher, nervig und sind immer wieder Thema bei Sicherheitslecks: Passwörter. Dennoch haben die meisten von uns noch immer täglich damit zu tun. Das könnte sich schon bald ändern, glaubt Sasa Petrovic, Digital Strategy Director von Citrix. Er stellt Alternativen vor und geht auf die Herausforderungen zeitgemäßen Identity Managements ein.

Der Quastenflosser gilt als lebendes Fossil. Auch die IT-Welt hat täglich mit lebenden Fossilien zu tun, den Passwörtern. Sie stammen noch aus einer Frühphase des Computer-Zeitalters, sind aber nach wie vor allgegenwärtig.
Der Quastenflosser gilt als lebendes Fossil. Auch die IT-Welt hat täglich mit lebenden Fossilien zu tun, den Passwörtern. Sie stammen noch aus einer Frühphase des Computer-Zeitalters, sind aber nach wie vor allgegenwärtig.
(Bild: slowmotiongli - stock.adobe.com )

Fossilien sind die Zeugnisse längst vergangener Zeiten und begegnen uns heute meist in Museen, beispielsweise in Form von spektakulären Dinosaurierskeletten. Diese Tiere werden uns in der realen Welt nicht über den Weg laufen, in der IT-Welt haben wir aber immer noch täglich mit digitalen Dinosauriern zu tun, den Passwörtern. Diese stammen noch aus einer Frühphase des Computer-Zeitalters, sind aber nach wie vor allgegenwärtig. Während andere Technologien kamen und gingen blieben sie immer da – zumindest bis heute. Vieles spricht aber dafür, dass nun auch auf dem Gebiet der Authentifizierung mehr Evolution stattfindet.

Moderne Sicherheitsarchitektur statt Passwort-Dschungel

In der Erdgeschichte gibt es äußere Ereignisse, die den Fortgang der Evolution einschneidend prägen. Am bekanntesten ist sicherlich der Asteroid, der vor 66 Millionen Jahren sehr wahrscheinlich das Ende der Dinosaurier besiegelte und so letztlich den Säugetieren den Weg ebnete. Die Verschiebungen in der Arbeitswelt als Reaktion auf die Corona-Pandemie könnten eine vergleichbare Zäsur für die IT bedeuten. Jetzt wird endgültig deutlich, dass alte Netzwerk- und Sicherheitskonzepte ausgedient haben. Bisher bot die abgeschlossene Welt von Unternehmensnetzwerken noch einen gewissen Schutz. Auf der anderen Seite war sie ausgesprochen unflexibel. Heute, wo Mitarbeiter von überall arbeiten können, müssen sie sich auch von potenziell unsicheren Heim- oder sogar öffentliche Netzwerken aus einloggen.

Vor diesem Hintergrund erleben Zero-Trust-Ansätze einen wahren Boom. Letztlich heißt Zero Trust nichts anders, als dass man die alte Unterscheidung zwischen sicher und unsicher aufgibt. Stattdessen gilt nun alles und jeder im Netzwerk als potenziell unsicher. Das heißt aber wiederum, dass der Bedarf an Authentifizierung immens wächst: Jeder Netzwerkteilnehmer muss sich praktisch ständig irgendwo authentifizieren. Schon deshalb liegt es auf der Hand, dass es Alternativen zum klassischen Log-in mit Nutzername und Passwort benötigt.

Identity Access Management (IAM) - das Zukunftskonzept

IAM bezieht sich grundsätzlich auf den Prozess der Identifizierung, Authentifizierung und Autorisierung von Benutzerprofilen mithilfe eindeutiger digitaler Identitäten. Wie wichtig dieser Prozess ist, zeigt sich schon daran, dass bei 61 Prozent der jüngsten Datendiebstähle irgendeine Form von Anmeldedaten verwendet wurden. Vor allem, wenn sich Unternehmen nur auf einen einstufigen Prozess aus Passwort und Nutzername verlassen, haben Angreifer oft leichtes Spiel. Einerseits zeigen Statistiken, dass für Passwörter leider immer noch leicht zu erratende Buchstabenkombinationen gewählt werden, andererseits sind Mitarbeiter gerade im Home Office anfälliger für Phishing und Social Engineering.

Daher vereinen moderne Sicherheitskonzepte Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA). Das Prinzip dahinter lautet: seltenere, aber dafür sichere Überprüfung der Zugangsdaten. Die digitale Identität eines Nutzers wird anhand seiner Credentials und eines weiteren Faktors verifiziert: beispielsweise eine Mobilfunknummer. Kriminelle müssten nun für einen Identitätsdiebstahl nicht nur die Zugangsdaten kennen, sondern müssten auch über das Smartphone des Opfers verfügen. Aufgrund dieser hohen Hürde gilt das Verfahren als sehr sicher und darauf aufbauend können weitere Identifikationen automatisiert mittels elektronischer Token vorgenommen werden.

Die heute weit verbreitete Version von SSO setzt immer noch auf Passwörter, die nun allerdings wesentlich seltener eingegeben werden müssen. In Zukunft könnte das Passwort aber auch hier obsolet werden, wenn stattdessen auf einen einzelnen, aber sehr sicheren Faktor gesetzt wird: beispielsweise biometrische Erkennungsmerkmale, wie Fingerabdruck oder die eigene Stimme. Eine Alternative wäre die Kombination von mehreren Faktoren, von denen allerdings keiner ein Passwort ist, also beispielsweise eine Mobilfunknummer und ein Hardware-Token.

Der Teufel steckt im Detail

Das Konzept hinter Identity Access Management, das auf SSO und MFA basiert, klingt sehr einleuchtend, in der Praxis kann die Verwaltung von Mitarbeiteridentitäten im Unternehmen aber schnell zu einer Mammutaufgabe werden. Ein weiteres Grundprinzip von Zero Trust ist der Least-Privilege-Ansatz, der besagt, dass Mitarbeiter immer nur die Rechte innehaben sollten, die sie wirklich zur Erfüllung ihrer Aufgaben benötigen. Das heißt, dass die Rechtevergabe sehr granular erfolgen muss und sich auch über die Zeit ändern kann – etwa, wenn Mitarbeiter befördert werden.

Vom Umfang der gewährten Rechte können wiederum auch die Anforderungen an die Authentifikation abhängen. Bestimmte Rechte können auch kontextabhängig sein: beispielsweise, wenn eine Person von einem privaten oder sonstigen, nicht durch die Firma verwaltetem Gerät arbeitet. Auch Dienstreisen können Auswirkungen auf Zugriffsrechte haben, wenn sich Mitarbeiter aus dem Ausland einloggen. Außerdem sollten Unternehmen das Nutzerverhalten überwachen, um bei ungewöhnlichem Verhalten schnell Rechte entziehen zu können. Derartige temporäre Einschränkungen müssen natürlich auch wieder rückgängig gemacht werden können. Das alles zusammen kann sich in einem erheblichen Verwaltungsaufwand für IT-Teams niederschlagen.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Cloud Computing

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Unternehmen sollten eine umfassende Secure-Access-Lösung implementieren, die neben IAM auch Privileged Access Management (PAM) umfasst. Durch die Kombination dieser beiden Ansätze lassen sich die Herausforderungen der modernen Zugriffsverwaltung am besten lösen. Doch was besagt PAM genau? PAM ist eine Unterkategorie von IAM, die sich mit bestimmten Benutzergruppen mit demselben Profiltyp befasst. Dies kann sich auf Profile von Mitarbeitern in HR-Teams, Rechtsteams oder IT-Teams beziehen, bei denen die Benutzer ein erhöhtes Maß an Zugriff benötigen, um ihre Arbeit effektiv zu erledigen.

Mit PAM können Unternehmen zudem die Aktionen der Benutzer und den Zugriff auf sensible Informationen einschränken und kontrollieren. PAM-Lösungen arbeiten oft mit anderen Lösungen zusammen und fügen eine zusätzliche Sicherheitsebene zu den bestehenden Cybersicherheitsrichtlinien hinzu. Sicherheitsinformationen, auf die über PAM-Systeme zugegriffen wird, werden in der Regel von den allgemeinen Systemen getrennt verwaltet und können im Notfall schnell gesichert werden, ohne dass der Zugriff auf den allgemeinen Technologie-Stack beeinträchtigt wird.

Fazit

Wir brauchen einen Evolutionsschub in der Authentifizierung, der Alternativen zum Passwort schafft, sodass dieses bald wirklich zu den technologischen Fossilien zählen kann. Lösungen, die passwortbasiertes SSO mit einem weiteren Faktor vereinen, sind heute noch weit verbreiteter Standard, aber wir können davon ausgehen, dass sich in Zukunft Konzepte durchsetzen werden, die ganz ohne Passwörter auskommen werden.

* Der Autor Saša Petrović ist Digital Strategy Director bei Citrix.

(ID:48397524)