Cyberbedrohungen werden immer raffinierter. Vor allem, wenn es darum geht, möglichst schnell und unbemerkt auf schützenswerte Systeme, Ressourcen oder persönliche Daten von Nutzern zuzugreifen. Begünstigend kommt hinzu, dass viele Unternehmen der professionellen Verwaltung der digitalen Identitäten Ihrer Endnutzer nicht die gleiche Aufmerksamkeit zukommen lassen, wie der Ihrer Mitarbeiter. Grund: Budget- und Ressourcenmangel.
Dabei benötigen die Firmen gerade beim Zugriff auf ihre digitalen Dienste hundertprozentige Gewissheit darüber, dass Endnutzer auch diejenigen sind, die sie vorgeben zu sein. Andernfalls haben Cyberkriminelle leichtes Spiel. Das gilt insbesondere für Branchen mit hohem Online-Traffic wie die Reiseindustrie oder den Online-Handel, wie der aktuelle Auth0-Report "State of Secure Identity"-Report zeigt. In den ersten drei Monaten des Jahres 2021 wurden demnach im Schnitt mehr als 26.000 kompromittierte Passwörter pro Tag entdeckt. Die logische Folge aus dieser Erkenntnis scheint, dem bestehenden Login-Prozess und dessen Sicherheitsniveau gesonderte Aufmerksamkeit zu schenken. Denn genau hier entscheidet sich, ob aus einem unbekannten Portalnutzer langfristig ein neuer Kunde wird.
Passwörter: Beliebt, simpel, unsicher
Die Wahrheit ist: Um seine Online-Konten zu schützen, reichen Passwort-Nutzer-Kombinationen heute nicht mehr aus. Die Krux dabei: Viele Nutzer verlassen sich bei der Online-Registrierung mehrheitlich auf besonders simple Kennwörter - und melden sich zudem bei mehreren Konten mit demselben Passwort an. Einer aktuellen Untersuchung des VPN-Anbieters Nordpass zufolge wurde beispielsweise das beliebteste deutsche Passwort "123456" seit Anfang des Jahres 2021 bereits mehr als 23 Millionen mal geleakt.
Auch der Hinweis, kryptische Sonderzeichen zu verwenden, hilft da herzlich wenig. Mit Hilfe von Credential Stuffing oder Brute-Force-Angriffen können kriminelle Hacker auch diese Passwortvarianten relativ leicht knacken. Dennoch bevorzugen viele Nutzer nach wie vor den Login per Passwort, obwohl ihnen das hohe Sicherheitsrisiko bekannt ist. Die einfache Erklärung: An die schnelle Vergabe eines Passwortes ist der Nutzer gewöhnt, zudem gibt es keine Medienbrüche.
Für Unternehmen sind Passwort-Nutzer-Kombinationen zwar die kostengünstigste Login-Variante, der mittelfristige Preis ist jedoch hoch: Diese Variante weist das schwächste Sicherheitsniveau auf. Sinnvoll ergänzen lässt sich die Passwort-Vergabe durch den Einsatz von Passwortmanagern. Sie verwalten Anmeldedaten automatisiert und synchronisieren die Login-Daten über mehrere Geräte hinweg. Zudem ist ein Zufallskennwort allemal sicherer als das selbst erstellte. Allerdings wissen die Firmen schlichtweg nicht, ob ihre Kunden dieses Passwort dann auch wirklich nutzen.
Single Sign-On: Erste Wahl für soziale Netze
Single Sign-On (SSO) ist ein Verfahren, dass sich sowohl bei Anwendern als auch bei Unternehmen zunehmender Beliebtheit erfreut. Laut aktueller Daten nutzen aus einer Stichprobe von 2.000 deutschen Verbrauchern bereits 62 Prozent Single Sign-On - allerdings bieten nur 46 Prozent der Unternehmen diese Methode zur Registrierung an. Der Vorteil von SSO liegt dabei klar auf seiner Einfachheit: Der Nutzer muss seine Zugangsdaten nur ein einziges Mal eingeben, um sich anschließend bei mehreren Anwendungen anmelden zu können.
Die Authentifizierung erfolgt also einmalig über eine Plattform (etwa Facebook, Google oder beim Unternehmen selbst). Zudem können Änderungen an zentraler Stelle vorgenommen werden. Allerdings liegt in der simplen Natur auch der große Nachteil von SSO: Wenn die zentralen Zugangsdaten einmal gehackt wurden, ist automatisch das gesamte System betroffen - der potenzielle Schaden vervielfacht sich. Unternehmen, die dieses Risiko nicht in Kauf nehmen möchten, sollten über die Zweifaktor-Authentifizierung (2FA) eine zusätzliche Sicherheitsschranke einziehen. So kann (größtenteils) sichergestellt werden, dass sich nur zugangsberechtigte Personen anmelden.
Multifaktor-Authentifizierung: Flexible Szenarien
Laut der eingangs genannten Studie würden rund 40 Prozent der befragten Verbraucher Multifaktor-Authentifizierung (MFA) nutzen, wenn sie angeboten werden würde - der Hürde, mehrere Authentifizierungsstufen zu durchlaufen, zum Trotz. Allerdings setzen lediglich 27 Prozent aller befragten Unternehmen diese Login-Technologie auch ein.
Bei MFA werden zwei oder mehr Berechtigungsnachweise (Kategorien: etwas, dass Sie haben; etwas, das Sie sind; etwas, das Sie kennen;) kombiniert. Das funktioniert kontextbezogen oder adaptiv - der Nutzer muss sich nur bei erhöhtem Risiko oder dem Zugriff auf besonders schützenswerte Daten weiter authentifizieren. Greift ein Nutzer beispielsweise statt von zu Hause in Recklinghausen plötzlich aus den USA auf einen Onlineservice zu, muss er mehr Faktoren durchlaufen, um seine Identität nachzuweisen.
Das Sicherheitsniveau der Multifaktor-Authentifizierung kann also je nach Kontext (geografischer Standort, neues Gerät) variiert und bei Bedarf angehoben werden. Auch kriminelle Hacker haben in der Regel verloren, da sie sich an den zusätzlichen Authentifizierungsfaktoren oft die Zähne ausbeißen. Ein großer Nachteil der klassischen MFA ist der erhöhte Aufwand für den Nutzer. Eine adaptive Multifaktor-Authentifizierung unterstützt Unternehmen dabei, wirkungsvolle Sicherheitsfunktionen zu implementieren, ohne dass dies zulasten der Benutzerfreundlichkeit geht.
- Gernot Bekk-Huber, Ergon Informatik
"Beginnend bei einem Social-Media-Login für die erste Kontaktaufnahme bis hin zur vollständigen digitalen Kontoeröffnung, die an einige Compliance-Anforderungen gebunden ist: CIAM sollte den ganzen Customer Lifecycle vollständig abbilden können." - Andreas Rameil, FINCON
"Die Geräteindentifizierung ist sehr differenziert. Die einen haben dafür einen Online-Automatismus, bei anderen ist beim Gerätewechsel ein Brief per Post mit Passwörtern erforderlich." - Gerhard Zehethofer, ForgeRock
"IAM-Plattformen sollten modular und offen sein, damit innovative Lösungen Dritter einfach einge-bunden werden können." - Michael Stückl, LogMeIn
"Die Mutter aller Problematiken beim IAM ist das Spannungsfeld zwischen Zugangseinfachheit und Sicherheit. Es ist immer relativ schwer, eine gute Balance zu finden, vor allem für große Unternehmen." - John Thomson, SAP
"Bei unseren zukünftigen Lösungen müssen wir berücksichtigen, dass unsere Kinder die Next Generation Consumers sind."
Biometrie: Hohe Sicherheit mit Nebenwirkungen
Bei der biometrischen Authentifizierung wird das Passwort durch sichere Methoden wie einen Fingerabdruck, Gesichtserkennung (etwa Face ID oder Windows Hello) oder Sprachmuster als Alternative ergänzt oder ersetzt. Da die Identifikation des Nutzers hier allein auf biologischen Merkmalen beruht, kann die Methode nur schwer gehackt werden. Die bereits mehrfach zitierte Erhebung zeigt, dass 31 Prozent der Verbraucher auf einen biometrischen Login zurückgreifen würden - allerdings machen bisher lediglich 17 Prozent der Unternehmen davon Gebrauch.
Neben des extrem hohen Sicherheitsniveaus besitzt der Nutzer bei der biometrischen Authentifizierung jederzeit die Kontrolle über seine Login-Daten: Der Speicherort der Zugangsdaten ist auf das lokale Gerät beschränkt und diese bei korrekter Implementierung angemessen verschlüsselt. Firmen, die auf biometrische Authentifizierung ihrer Kundendaten setzen, kommt eine große finanzielle und ethische Verantwortung zu, diese sicher einzusetzen (etwa per WebAuthn). Der Nachteil der biometrischen Authentifizierung: Sie arbeitet je nach Endgerät noch nicht immer störungsfrei. Auch das Tragen von Masken oder Brillen erschwert den reibungslosen Ablauf bei vielen biometrischen Systemen.
Passwordless Authentication: Unsichtbarer Schutz mit Potenzial
Bei der passwortlosen Authentifizierung wird der Nutzer identifiziert, ohne ein Passwort eingeben zu müssen. Dieses Vorgehen unterscheidet sich von den übrigen hier aufgeführten Login-Technologien, da es sich nicht um eine Methodik, sondern vielmehr um eine Zielsetzung handelt. Die kennwortlose Authentifizierung erfolgt für gewöhnlich per E-Mail, Push-Benachrichtigung oder SMS-basiert.
Die Registrierung ohne Passwort erfreut sich in Deutschland steigender Beliebtheit - die Vorteile liegen für Nutzer und Unternehmen auf der Hand. Letztere werden wirtschaftlich entlastet, da der Kostenaufwand für die Angriffsprävention sowie der administrative Aufwand (beispielsweise dafür, Passwörter zurückzusetzen) entfallen.
Passwortbasierte Angriffe werden mit dieser Art der Authentifizierung ausgehebelt, insofern kann der kennwortlosen Authentifizierung ebenfalls ein erhöhtes Sicherheitsniveau zugesprochen werden. Das Problem ist nur: So langsam wie sich die Endnutzer vom Passwortgebrauch lösen, wird es noch dauern, bis sich die passwortlose Authentifizierung auf breiter Basis durchsetzt.
Welche Login-Methode braucht Ihr Unternehmen?
Um herauszufinden, welche Login-Methode am besten zu Ihrem Business und Ihren Kunden passt, sollten Sie Ihr Online-Geschäft zum potenziellen Bedrohungsumfeld ins Verhältnis setzen. Reiseportale und Online-Händler mit einem hohen Bestell- und Buchungsaufkommen - und damit unzähligen Nutzerkonten - sind begehrte Ziele für Cyberkriminelle. Hier bieten sich Login-Methoden an, die mehrere Berechtigungsnachweise integrieren (zum Beispiel MFA). Andererseits sollten Sie bei gesteigertem Sicherheitsniveau auch stets überprüfen können, ob die Kunden die Medienbrüche akzeptieren oder eventuell sogar die Anmeldung abbrechen, wenn der Prozess zu lang und kompliziert erscheint. In diesem Fall ist es ratsam, eine adaptive Authentifizierung einzuführen, die nur getriggert wird, wenn der Loginversuch von einem bisher unbekannten Gerät kommt.
Ein weiterer wichtiger Indikator für die Auswahl der richtigen Login-Methode ist die Analyse des Nutzerverhaltens. Dabei spielen folgende Fragestellungen eine Rolle:
Mit welchen Geräten greifen Nutzer häufig auf Online-Services zu?
Welche Gründe haben Warenkorbabbrüche?
Würden die Nutzer lieber einen Social Login nutzen oder sich biometrisch anmelden?
Wenn Sie den Einsatz Ihrer Login-Technologien möglichst flexibel halten möchten, empfiehlt es sich, auf A/B Testing zu setzen und Ihre Nutzer bei der Entscheidungsfindung mit einbeziehen. Damit wird es möglich, verschiedene Login-Technologien je nach Applikation oder Zielmarkt zu aktivieren. Das gewährleistet mehr Flexibilität und verbessert die Erfolgsquote deutlich.
Wie sieht die Authentifizierungs-Zukunft aus?
Biometrische Authentifizierungsstandards wie WebAuthn werden künftig eine zentrale Rolle spielen. WebAuthn wird bereits von den gängigen Webbrowsern (Firefox, Chrome, Edge, Safari) unterstützt und ist Teil des FIDO2-Frameworks. Damit funktioniert er unabhängig von Passwörtern, die zwischen Servern, Authentifizierungsplattformen und Browsern ausgetauscht werden.
Die Web-Authentifizierungs-API ermöglicht Nutzern eine zügige Anmeldung mittels geräte-eigenem Key anstelle von Nutzername und Passwort. Der Server erhält nur einen Nachweis über diesen Key, alle nutzerspezifischen Daten bleiben auf dem eigenen Gerät. Dieser Prozess, auf dem bereits viele neue Alternativen aufsetzen, kann von Cyberkriminellen nicht gekapert werden, da die Anbieter nur einen Key zur Überprüfung der Anmeldung erhalten. (fm)