Usa­ble Secu­rity

Warum das Pass­wort ein Aus­lauf­mo­dell ist

​​​​​​​Mitarbeiter hassen Passwörter – und nutzen sie deshalb nicht oder nicht richtig. Ein Risiko für Unternehmen, das sich mit zeitgemäßer Technologie minimieren ließe.

123456 – Hacker lieben diese Ziffernfolge. Ist sie doch für sie der einfachste Weg, um auf fremde Daten zuzugreifen. Doch wer würde es Cyberkriminellen so leicht machen? „Wir pflegen regelmäßig neue Datenleaks in unseren Identity Leak Checker ein und wissen dadurch, dass fast ein Prozent der Passwörter ‚123456‘ lautet“, sagt Christoph Meinel. Der Informatiker leitet das Hasso-Plattner-Institut (HPI) in Potsdam. In der Datenbank des HPI schlummern allein mehr als fünf Milliarden gestohlene Identitäten mit unverschleiertem Passwort – rund 43 Millionen bestehen aus der einfachen Zahlenreihe.

Was für den privaten Bereich gilt, trifft ebenfalls auf Unternehmen zu. Lasche Kennwörter machen sie mitunter zu leichten Angriffszielen. Mit mangelnder Intelligenz der Anwender habe dies jedoch nichts zu tun, betont Meinel. Ähnlich sieht es Angela Sasse, Sicherheitsforscherin an der Universität Bochum. „Ich kann von meinem Mitarbeiter nicht erwarten, dass er sich zu allem anderen, was er zu tun hat, auch noch mit komplizierten Passwortrichtlinien auseinandersetzt.“

Technik muss für alle anwendbar sein

Die Verantwortung sieht sie vielmehr bei denen, die IT-Plattformen bauen – den Entwicklern und den Administratoren in den Unternehmen. Und schon da liegt vieles im Argen: Laut einer repräsentativen Yougov-Umfrage im Auftrag des GDV müssen bei einem Viertel der passwortgeschützten Arbeitsplätze Kennwörter keinerlei Mindestanforderungen erfüllen. An einem Drittel (31 Prozent) dieser Rechner müssen sie auch nie geändert werden.

Angesichts solcher Nachlässigkeiten plädiert Sasse für Sicherheitssysteme, die nicht nur schwer zu knacken, sondern zugleich nutzerfreundlich sind. Im Fokus der sogenannten Usable Security stehen Lösungen, wie sie heutzutage jedes Smartphone bietet: Fingerabdrucksensor etwa oder Gesichtserkennung. Hinzu kommen verhaltensbasierte Zugänge. „Ein Smartphone beispielsweise kann seinen Besitzer mithilfe der zahlreichen Sensoren in Sekundenschnelle erkennen“, erläutert HPI-Chef Meinel.

Technologie befreit nicht vom Mitdenken

Völlig sicher sind biometrischen Verfahren aber nicht. Ob die Kaffeetasse auf dem Schreibtisch oder das Wasserglas in der Küche – für halbwegs Versierte ist es kein Problem, sich einen brauchbaren Fingerabdruck und somit Zugang zum Firmensystem zu verschaffen. Und spätestens seit vietnamesische Hacker die Gesichtserkennung des iPhone X eine Woche nach dessen Erscheinen knackten, ist nicht nur Experten klar, wie anfällig auch diese Technologie sein kann.

Nach Einschätzung der Experten wird es deshalb künftig auf kombinierte Systeme hinauslaufen. „Eine Zwei-Faktor-Authentifizierung mit Hilfe eines Chips und einer biometrischen Erkennung ist längst möglich“, sagt Sasse. Und werde von Teilen der Wirtschaft auch bereits genutzt, zum Beispiel an Produktionsstraßen von Autoherstellern. Für die Praxis heißt das: Das Passwort ist zwar ein Auslaufmodell, aber Mitarbeiter werden nach wie vor gefordert sein, IT-Sicherheit mitzudenken.

Firmen müssen Scheuklappen ablegen

Um hier möglichst alle Beteiligten mitzunehmen, empfiehlt Sasse Unternehmen den Dialog auf unterschiedlichen Ebenen. Vor allem gehe es darum, die Belegschaft aktiv einzubinden. „Verhaltensänderung ist harte Arbeit. Unternehmen brauchen hier einen Change-Management-Prozess.“

Aber auch untereinander müssten die Firmen die Scheuklappen ablegen. Große Unternehmen könnten kleinere Zulieferer mit Know-how füttern – und so in die Lage versetzen, für mehr Sicherheit zu sorgen. Leicht nutzbare Verschlüsselungstechnologie könne nur unter einer Bedingung funktionieren: „Wenn alle mitmachen.“
Text: Simon Frost

Zur Startseite
Auch inter­essant