Es ist ein offenes Geheimnis, dass Passwörter nach wie vor eines der Haupteinfallstore für Cyberangriffe sind, weil sich insbesondere schwache Passwörter durch Brute-Force-Angriffe, bei Password-Spraying-Kampagnen oder mittels Social Engineering kompromittieren lassen. Starke Passwörter erhöhen die Sicherheit, wenn sie lang und zufällig sind – was sie allerdings bei Benutzern unbeliebt macht und nicht davor schützt, dass Phishing-Angriffe erfolgreich sind. Methoden zu passwortlosen Authentifizierung punkten insofern bei der Benutzerfreundlichkeit, weil sich der Nutzer kein langes, komplexes Passwort mehr merken muss. Verschiedene neue Verfahren arbeiten mit der Authentifizierung des Nutzers über biometrische Daten (Fingerabdruck oder Gesichtserkennung) oder zertifikatbasierte Varianten in Kombination mit zwei Hardwarekomponenten, sodass die Näherungserkennung zwischen den beiden Geräten einer der relevanten Faktoren bei der Authentifizierung werden kann und Sicherheitsbedrohungen durch ATO-Angriffe (Account Takeover), sprich der Übernahme aus der Ferne entgegenwirkt.
Trotzdem sind Kombinationen aus Benutzername und Passwort nach wie vor die am häufigsten eingesetzte Form der Authentifizierung in Unternehmen, wie aus einem 2023 veröffentlicht Bericht von S&P Market Intelligence hervor geht. Die nächstbeliebten Formen der Authentifizierung sind mobile Push- oder SMS-basierte Multi-Faktor-Authentifizierung und biometrische Verfahren. „Passwörter werden nach wie vor am häufigsten eingesetzt, da Unternehmen ein Gleichgewicht zwischen Sicherheit, Einfachheit, Betriebskosten und Flexibilität anstreben – insbesondere in hybriden Arbeitsumgebungen“, schätz etwa Darren Guccione, CEO beim Passwort-Manager-Anbieter Keeper Security die Situation ein. „SSO und passwortlose Authentifizierung werden – obwohl sie effektiv sind – nicht allgemein unterstützt und schaffen daher Sicherheitslücken, die Unternehmen angreifbar machen.“
Vor allem aufgrund der Dynamik bei der Entwicklung neuer Sicherheitsangebote, die sich seit der Gründung der FIDO (Fast IDentity Online, deutsch „schnelle Authentifizierung bei digitalen Verbindungen“) Alliance zu Entwicklung von offenen, lizenzfreien Industriestandards für die weltweite Authentifizierung ergeben hat, gewinnen Passkeys als eine Form der passwortlosen Authentifizierung – mit Unterstützung von Apple, Microsoft und Google – an Bedeutung. Passkeys sind passwortlose Berechtigungsnachweise, die es vor allem Verbrauchern wesentlich einfacher machen, FIDO-basierte Authentifizierungssysteme zu übernehmen. Im Hinblick auf die Einführung von Passkeys in Unternehmen verläuft die Entwicklung jedoch deutlich schleppender. „Obwohl Passkeys verlockende Sicherheitsvorteile bieten, werden sie von Websites aus verschiedenen Gründen nur langsam unterstützt. Bei mehr als einer Milliarde Websites ist es noch ein langer Weg, bis eine passwortlose Option allgegenwärtig wird“, so Guccione. „Da die Kombination aus Passwort und Benutzername auf absehbare Zeit ein wichtiger Bestandteil der Unternehmenslandschaft bleiben wird, sind Passwortmanagement-Lösungen, die eine breite Palette von Authentifizierungsmethoden integrieren und unterstützen und gleichzeitig Sicherheit und Cyber-Hygiene gewährleisten, für alle Unternehmen wichtig, um die Cyber-Resilienz zu erhöhen.“
Die Unternehmen müssen sich auf die Weiterentwicklung KI-gesteuerter Angriffe vorbereiten, denn Cyber-Kriminelle werden die KI in 2024 in auf noch breiterer Fläche gestreuten Angriffen zu ihrem Vorteil nutzen, indem sie massenhaft individualisierte Phishing-E-Mails verschicken oder betrügerische Telefonanrufe an Tausende von Personen gleichzeitig tätigen. Die Automatisierung der Phishing-Kampagnen ermöglicht eine drastische Steigerung der Zahl der Angriffe und senkt die Hürde für die Angreifer, Phishing einzusetzen. Die generative KI macht die Attacken per Social Engineering durch realistische text- und sprachbasierte Angriffe um ein Vielfaches wirkungsvoller und erfolgversprechender. „Wir haben im vergangenen Jahr eine Rückkehr zu Social-Engineering-Angriffen
erlebt,“ warnt auch Chad Thunberg, CISO bei Yubico, einem der führenden Unternehmen im Bereich hardwarebasierter FIDO-Authentifikatoren, „bei denen die Opfer dazu verleitet werden, Software herunterzuladen und zu installieren. Obwohl dies keine Neuheit ist, gelingt es Angreifern immer noch, Browser-Token zu stehlen und sich so als das Opfer auszugeben. In einigen Fällen werden diese Token gehandelt und verkauft und können manchmal größere Ransomware- oder Erpressungskampagnen unterstützen. Deshalb wird verstärkt an der so genannten Token-Bindung geforscht, einer technischen Lösung, die den Token an ein bestimmtes Gerät bindet und die Erkennung eines Diebstahls erleichtert.“ Da sich die Angriffe weiterentwickeln, haben Unternehmen und Verbraucher keine Wahl und müssen sich immer wieder neu orientieren, um mit den Veränderungen im Bereich der Cyberbedrohungen Schritt zu halten.
Links zusätzlich zu Yubico: