Zugangsschutz ist wichtiger denn je. Die „neue Dreifaltigkeit“ aus Passwortmanager, Multifaktor-Authentifizierung (MFA) und Passkey könnte die Lösung sein. Wie funktioniert dieses Trio, und wie sorgt es für mehr Sicherheit? [...]
97 Prozent aller Cyberangriffe beginnen mit gestohlenen Zugangsdaten – oft, weil Passwörter zu schwach sind. Nutzer wählen einfache Kombinationen, verwenden dasselbe Passwort für mehrere Dienste oder speichern es unsicher: auf internen Systemen oder gar auf einem Zettel unter der Tastatur.
Unglaublich? Nach Jahrzehnten der Aufklärung und Warnungen kaum vorstellbar? Leider doch. Immer wieder werden gravierende Sicherheitsvorfälle bekannt. Die Folgen sind oft verheerend. So deckten Forensiker kürzlich die Ursache einer Firmenpleite aus dem Jahr 2023 auf: Hacker knackten das schwache Passwort eines Mitarbeiters des britischen Transportunternehmens KNP, drangen in die IT ein, verschlüsselten sie und forderten Lösegeld. Die Summe war zu hoch, KNP konnte nicht zahlen. Der Betrieb kam zum Erliegen, die Reputation litt, Kredite blieben aus – schließlich musste das auf 158 Jahre Geschichte zurückblickende Traditionsunternehmen mit 730 Mitarbeitern Insolvenz anmelden. Ein einziges kompromittiertes Passwort reichte aus. Dabei hatte KNP nach eigenen Angaben die IT-Sicherheitsstandards erfüllt und war sogar gegen Cyberangriffe versichert.
Neben solchen offensichtlichen Schwächen bei der Passwortnutzung verlangen auch gesetzliche Anforderungen wie NIS2 eine sichere Authentifizierung der Anwender. Zudem machen Cloud-Dienste wie Microsoft 365 oder Google Drive den Zugangsschutz zu einem zentralen Thema der IT-Sicherheit.
Die klassische Kombination aus Benutzername und Passwort reicht nicht mehr, um sensible Informationen zu schützen. Unternehmen sollten auf eine Kombination mehrerer Verfahren setzen. Ein Passwortmanager erstellt und verwaltet sichere Passwörter. MFA fügt eine zweite Schutzschicht hinzu. Und Passkeys ermöglichen eine passwortlose Authentifizierung mit kryptografischen Schlüsseln.
Passwort-Manager: Die Mindestanforderung im Zugangsschutz
Ein Passwortmanager generiert komplexe, einzigartige Passwörter für jede Anwendung oder Dienst, speichert sie verschlüsselt und fügt sie bei Bedarf automatisch ein. Nutzer müssen sich keine Passwörter mehr merken und vermeiden unsichere Wiederholungen. Er ist sehr übersichtlich und sichert die Daten zentral und verschlüsselt. Seine Vorteile sind starke individuelle Passwörter für jede Plattform, eine zentralisierte Verwaltung und Synchronisation über alle Geräte hinweg und Schutz vor Phishing durch automatische URL-Erkennung. Risiken gibt es dennoch: Die Abhängigkeit von einem Master-Passwort und die Gefahr, dass der Manager bei unsicherer Implementierung selbst zum Ziel wird.
Moderne Passwortmanager wie Bitwarden, 1Password oder LastPass setzen auf Ende-zu-Ende-Verschlüsselung und bieten oft zusätzliche Sicherheitsfunktionen wie biometrische Entsperrung oder Notfallzugänge. In der Regel kombinieren IT-Security-Professionals den Passwort-Manager auch schon mit der Multi-Faktor-Authentifizierung.
Multifaktor-Authentifizierung: Sicherheit durch Vielfalt
MFA ergänzt das Passwort um mindestens einen weiteren Identitätsnachweis. Ein Einmal-Passwort via SMS kommt häufig zum Einsatz. Doch da die SMS wie Postkarten unverschlüsselt verschickt werden, sind sie leicht abzufangen. Sicherer sind verschlüsselt versandte Push-Benachrichtigungen, die zumeist einen sechsstelligen Code enthalten, der in einer App, wie dem Microsoft-Authenticator, bestätigt wird.
Alternativ gibt es die hardwarebasierte MFA, etwas mit Smartcards oder Hardware-Token wie dem Yubikey. Ärzte nutzen solche Karten für die Telematikinfrastruktur in Deutschland.
Die Faktoren basieren also typischerweise auf drei Kategorien. Die erste wäre „Wissen“, also zum Beispiel ein Passwort, die zweite „Besitz“, also ein einzigartig verknüpftes Smartphone oder Token, die dritte „Biometrie“, was ein Fingerabdruck, Gesichtserkennung oder auch Irisscan sein kann. MFA schützt effektiv vor Phishing und Brute-Force-Attacken. Herausforderungen bleiben: die Abwägung zwischen Benutzerfreundlichkeit und Sicherheit sowie die Abhängigkeit von Geräten und der Netzverfügbarkeit.
Passkeys: Die Zukunft der Authentifizierung
Passkeys gelten als das neue Nonplusultra der Zugangssicherheit. Diese passwortlose Methode basiert auf kryptografischen Schlüsselpaaren. Der öffentliche Schlüssel wird beim Dienst hinterlegt, der private bleibt sicher auf dem Gerät. Nutzer authentifizieren sich mit biometrischen Daten oder einem PIN auf einem Extra-Gerät. Es gibt kein Passwort mehr, das gestohlen oder erraten werden kann. Der Anwender ist vor Phishing, Replay-Angriffen und Datenlecks geschützt. Der Passkey lässt sich nahtlos über Geräte hinweg nutzen.
Passkeys sind noch recht neu und nicht allzu verbreitet, allerdings werden sie von den großen US-Anbietern Apple, Google und Microsoft unterstützt. Noch gibt es Probleme mit der Kompatibilität und Akzeptanz bei Diensten. Besonders in Unternehmen kann die Migration bestehender Konten eine Herausforderung bedeuten.
Fazit: Sicherheit im Dreiklang
Die Kombination aus Passwortmanager, MFA und Passkeys bietet ein starkes Sicherheitskonzept für den digitalen Alltag. Während Passwortmanager die Verwaltung erleichtern und MFA eine zusätzliche Schutzschicht hinzufügt, ebnen Passkeys den Weg in eine passwortlose Zukunft.
Doch Technik allein reicht nicht. Im Rahmen des Ausbaus der IT-Sicherheit müssen Unternehmen ihre Mitarbeiter schulen und sensibilisieren. Bewusstseinsbildung und regelmäßige Auffrischungen sind unbedingt wichtig. Schulungen helfen nicht nur beim Verständnis der Technik, sondern auch bei deren korrekter Anwendung. Nur wer die Tools versteht und korrekt anwendet, kann Sicherheitslücken vermeiden. Selbst die beste Hardware nützt nichts, wenn Mitarbeitende unachtsam sind oder verfügbare Tools wie Passwortmanager nicht nutzen, weil sie nicht wissen, wie.
Für Unternehmen und auch Privatpersonen gilt: Die Investition in diese Technologien, verbunden mit Schulungen, ist keine Kür, sondern Pflicht. So können Vorkommnisse wie der eingangs erwähnte Hackerangriff vermieden werden. Mehr noch: Wer heute auf die neue Dreifaltigkeit der Zugangssicherheit setzt, schützt sich effektiv vor den Bedrohungen von morgen.
* Jürgen Ebner ist Mitglied im Executive Comittee der Global Technology Industry Association (GTIA) und Geschäftsführer von ICTE – Managed IT Services.
Be the first to comment