Nach wie vor kommen in wie außerhalb Deutschlands bei der Nutzerauthentifizierung in großem Umfang Passwortverfahren zum Einsatz. Doch ihr Ende ist absehbar. Laut einer kürzlich von Ping Identity und Yubico veröffentlichten internationalen Umfrage zur Zukunft der Authentifizierungsverfahren geht die überwiegende Mehrheit der IT-Entscheider mittlerweile von einem Ende der Nutzername-Passwort-Kombination als Norm aus – auch in Deutschland.

Wenn es um den Zugang zu und den Zugriff auf ihre IT-Systeme, ihre digitalen Services und Online-Präsenzen geht, setzt die Mehrzahl der Unternehmen nach wie vor auf Nutzername-Passwort-Verfahren – weltweit, auch in Deutschland. Dabei gelten die Verfahren unter IT-Sicherheitsexperten schon lange als anfällig für Cyberangriffe – und seit der Einführung passwortloser Alternativverfahren auch als veraltet. Die vergleichsweise geringe Nutzerfreundlichkeit von Passwortverfahren motiviert Anwender, möglichst einfach zu merkende Buchstaben/Zahlen/Zeichen-Kombinationen zu nutzen, dasselbe Passwort für mehrere Konten zu verwenden und möglichst lange beizubehalten. ‚123456‘, ‚passwort‘, ‚12345‘, ‚hallo‘ und ‚123456789‘, dies waren, laut einer Untersuchung des Potsdamer Hasso-Plattner-Instituts, die beliebtesten Passwörter Deutschlands – im vergangenen Jahr, aber auch, in leicht abgewandelter Form, in den Jahren zuvor.

Gleichzeitig nutzen 29 Prozent der deutschen Anwender, so eine aktuelle Bitkom-Untersuchung zum Passworteinsatz in Online-Diensten, dasselbe Passwort für verschiedene Nutzerkonten. Lediglich 7 Prozent setzen auf verschiedene – vor allem aber: verschieden starke – Passwörter für unterschiedlich gefährdete Konten. Und nur 38 Prozent der deutschen Anwender ändern ihre Passwörter regelmäßig. Kein Wunder, dass sich Nutzername-Passwort-Verfahren längst zum Angriffsziel Nr. 1 für Cyberkriminelle entwickelt haben. Laut der aktuellen Bitkom-Präsentation Wirtschaftsschutz 2022 sind rund ein Viertel der deutschen Unternehmen in den vergangenen zwölf Monaten Opfer eines Angriffs geworden, der die Kompromittierung ihrer Zugangsdaten zum Ziel hatte.

Access Management-Experte Ping Identity und der Authentifizierungsanbieter Yubico haben diesen bedenklichen Sachstand zum Anlass für eine Globalumfrage zur Zukunft der Authentifizierungs­verfahren unter IT-Entscheidern genommen. In „Our Passwordless Future: A New Era of Security“ kamen auch deutsche IT-Entscheider zu Wort. Die Studie zeigt: Auch in Deutschland weiß man, dass bei Anmeldeverfahren in Punkto Sicherheit und Nutzerfreundlichkeit nach wie vor erheblicher Verbesserungsbedarf besteht.

12-mal, jeden Tag – so häufig müssen deutsche Arbeitnehmer derzeit im Schnitt ihren Nutzernamen und ihr Passwort eingeben, um sich in die IT-Systeme ihrer Arbeitgeber einzuwählen. Rund zwei Stunden Arbeitszeit fließen damit im Schnitt pro Woche in die Passworteingabe. Im Jahr macht das 120 Arbeitsstunden, die der produktiven Arbeit verlorengehen. Pro Arbeitnehmer! Dabei ist ein wirkliches Mehr an Sicherheit bei diesem enormen Aufwand längst nicht garantiert. Ganze 95 Prozent der deutschen IT-Entscheider geben in der Umfrage zu Protokoll, dass die Sorgfalt ihrer Mitarbeiter im Umgang mit ihren Passwörtern in den vergangenen Jahren stark abgenommen habe. 91 Prozent erklären, dass ihre Abteilung schon einmal für ein Mitglied der Geschäftsführung die unternehmensinterne Passwort-Compliance ausgehebelt habe. 46 Prozent geben sogar an, um Führungskräften ihre Arbeit zu erleichtern schon mehrfach Sicherheit zu Gunsten der Nutzerfreundlichkeit geopfert zu haben.

Kein Wunder, dass 84 Prozent der IT-Entscheider weltweit Nutzername-Passwort-Kombinationen als zu schwach für eine effektive Zugangssicherung ansehen. In Deutschland sind es sogar 89 Prozent. Für 66 Prozent der deutschen IT-Entscheider stellen dabei die durch den Passworteinsatz entstehenden Helpdesk-Kosten das größte Problem dar. Die Verwaltung, vor allem das Zurücksetzen eines gesperrten Nutzerkontos aufgrund der Eingabe eines falschen Passworts, was häufig vorkommt, nimmt viel Zeit in Anspruch. Weitere 53 Prozent sehen in der technischen Schwäche des Verfahrens das größte Problem. Jahrzehnte haben Cyberkriminelle Zeit gehabt, effektive Tools, Angriffstechniken und Tauschbörsen zu entwickeln, mit denen sich die Nutzerzugänge ihrer Opfer leicht infiltrieren lassen. Mit Social Engineering, Phishing und Spear Phishing stehen ihnen langjährig erprobte Angriffsmethoden zur Verfügung. Im Darknet können viele Nutzername-Passwort-Kombinationen mittlerweile auch einfach käuflich erworben werden.

Passwortlose Authentifizierungsverfahren bieten hier einen echten Ausweg. Denn im Gegensatz zu einfachen Buchstaben/Zahlen/Zeichen-Kombinationen können hochkomplexe biometrische Informationen und Hardware-Token nicht einfach über Standard-Angriffe kompromittiert werden. Nutzerfreundlicher sind sie auch. Statt sich umständlich unterschiedliche, in Intervallen zu ändernde Zugangsdaten merken zu müssen, genügt ein Scan des Fingerabdrucks oder des Gesichts, genügt eine kurze Bestätigung auf einer App des eigenen Mobiltelefons oder der Anschluss eines persönlichen Hardwaresicherheitsschlüssels an das System. Weit mehr als die Hälfte der deutschen IT-Entscheider, 57 Prozent, geht davon aus, dass diese Verfahren in weniger als zehn Jahren die Norm sein werden. Und die überwiegende Mehrheit glaubt, dass auch ihr Unternehmen in naher Zukunft auf passwortlose Verfahren umstellen wird. 56 Prozent halten dies sogar für sehr wahrscheinlich. Für das eigene Unternehmen präferieren 67 Prozent der deutschen IT-Entscheider dabei biometrische Verfahren, 42 Prozent Hardware-Sicherheitsschlüssel und 33 Prozent PIN-Verfahren. Im weltweiten Vergleich setzen deutschen IT-Entscheider damit deutlich stärker auf Hardwaresicherheitsschlüssel – und weniger auf PIN-Verfahren. Die Vorteile solcher passwortlosen Verfahren liegen auf der Hand.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.

Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.

Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.

Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.

Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.

Im Schnitt können passwortlose Authentifizierungsverfahren zu einem Wegfall von 28 Minuten unproduktiver Arbeitszeit pro Tag führen – je Arbeitnehmer! Weiterhin können mit ihrer Hilfe die Helpdesk-Kosten reduziert werden. Die Verwaltung passwortloser Verfahren erfordert wesentlich weniger Arbeitseinsatz von IT-Sicherheitsexperten. Und schließlich steigern sie, wie schon erwähnt, Sicherheit und Schutz von Systemen und Daten. Selbstverständlich können auch biometrische Daten entwendet, auch Hardwarekomponenten gestohlen, kompromittiert und missbraucht werden. Doch ist dies für die Cyberkriminellen mit deutlich mehr Aufwand als im Fall einer Passwort-Kompromittierung verbunden, fällt das Risiko, hier zum Opfer zu werden, für Unternehmen deutlich geringer aus.

Die Ping Identity/Yubico-Umfrage zeigt: auch deutsche IT-Entscheider gehen davon aus, dass passwortlosen Anmeldeverfahren die Zukunft gehört. Nur mit ihnen lassen sich Kosten reduzieren, lässt sich die Nutzerfreundlichkeit steigern, lässt sich die Sicherheit erhöhen. Bis sie Passwörter als Norm abgelöst haben werden, wird sicherlich noch einige Zeit verstreichen. Mittel- und langfristig ist ihr Ende aber, dies zeigt die Umfrage mehr als deutlich, auch in Deutschland absehbar.

Über den Autor: Yalcin Dincer ist Sr. Account Executive bei Ping Identity.

Studie von Cisco Duo Security

Authentifizierung ohne Passwort noch kritisch

Neuer Sicherheitsstandard ermöglicht verschlüsselten, anonymen Log-in

FIDO2 soll Passwort-Anmeldung ablösen

Cookie-Manager AGB Hilfe Kundencenter Mediadaten Datenschutz Impressum & Kontakt Autoren

Copyright © 2023 Vogel Communications Group

Diese Webseite ist eine Marke von Vogel Communications Group. Eine Übersicht von allen Produkten und Leistungen finden Sie unter www.vogel.de