advertorial

Warum eine Zwei-Faktor-Authentifizierung mehr Schutz als das beste Kennwort bietet

Zwei-Faktor Authentifizierung

Maximale IT-Sicherheit lässt sich in Unternehmen durch eine Zwei-Faktor-Authentifizierung schaffen - bei Remote-Zugängen, Web-Applikationen, virtuellen Umgebungen und Cloud-Services.

Warum Passwörter nur sehr begrenzten Schutz bieten

Jederzeit und von jedem Ort aus auf Daten und Informationen zugreifen können - das ist die Grundlage einer zeitgemäß entwickelten IT in Unternehmen. Digitalisierung und Digitale Transformation, IoT, Big Data, KI und was noch so alles kommt - Cloud-, Web- und Remote-Zugriffe machen diese umfassende Vernetzung und Systemoptimierung möglich. Diese sind aber auch eine Einladung an Hacker, sich unberechtigt Zugriff auf wertvolle und unternehmenskritische Informationen zu verschaffen oder anderweitig Schaden anzurichten. Selbst die Aufrüstung auf mindestens zwölfstellige Kennwörter mit Klein- und Großbuchstaben, Sonderzeichen und Zahlen schieben den Angriffen kaum einen Riegel vor, wie selbst Microsoft festgestellt hat.

Erst eine Zwei-Faktor-Authentifizierung ist nahe dran, vollständige Sicherheit bieten zu können.

Die Methode der Zwei-Faktor-Authentifizierung für einen sicheren Log-in selbst aussuchen

Das Thema IT-Sicherheit ist für Unternehmen nicht nur hinsichtlich der eigenen digitalen Infrastruktur von Bedeutung. Auch Kunden und Geschäftspartner wissen es zu schätzen, wenn der Informations- und Datenaustausch auf einem hohen Sicherheitsniveau stattfinden kann. Eine Zwei-Faktor-Authentifizierung für solche Log-ins ist also nicht zuletzt auch ein Wettbewerbsfaktor. Öffentlichkeit und Kunden werden durch die täglichen Berichte von Hackerangriffen und durch eigene Erfahrungen zunehmend sensibilisiert, auch wenn immer noch viel zu viele Phishing-Attacken Erfolg haben. Denn, wie an diesem Beispiel zu sehen ist, die Angreifer rüsten laufend auf, gefälschte Unternehmensseiten mit einer Aufforderung zur Eingabe von Zugangsdaten sind von ungleich höherer Qualität als noch vor wenigen Jahren. Das Passwort kann noch so kompliziert sein, wenn es an einer solchen Stelle eingegeben wird, ist es zu spät. Statistiken sprechen von rund 1,5 Milliarden solcher Angriffe pro Tag, entsprechend viele Passwörter fallen in kriminelle Hände.

Auch 20 Millionen sogenannte Credential-Stuffing-Attacken pro Tag stehen in den Statistiken. In dieser Version werden bereits erbeutete Log-in-Daten wie E-Mail-Adresse und Passwort konsequent weiter zu Einbruchsversuchen genutzt. Auch hier ist es völlig unerheblich, ob das Passwort 1234 heißt oder nach den angeblich sichersten Vorgaben erstellt wurde.

Schon 2019 hat Microsoft mit dem Statement, dass Zusammensetzung und Länge eines Passwortes so gut wie keine Rolle spielen, für Furore gesorgt. Auch die Aussage, dass das regelmäßige Ändern von Passwörtern nur sehr begrenzt sinnvoll ist, war überraschend und erhellend. In der Liste der häufigsten Angriffsmethoden hat Microsoft auch Keystroke Logging erfasst, durch das meist über Malware die Tastatureingaben übermittelt werden, um Passwörter auszuspähen. Nummer vier auf der Liste ist das sogenannte Passwort-Spraying, bei dem die gängigsten Kennwörter auf unzähligen Nutzerkonten ausprobiert werden - mit einer beachtlichen Erfolgsquote. Diese Methode ist aber bei diesen TOP 4 der erfolgreichsten Angrifsszenarien die einzige, bei der ein Passwort mit mindestens acht Zeichen, Sonderzeichen und Zahlen tatsächlich sinnvoll ist. Ansonsten hilft tatsächlich nur eine Zwei-Faktor-Authentifizierung.

Hohe Usability durch Push Notifications und Soft Token

Bisher gängige Methoden für eine Zwei-Faktor-Authentifizierung wie zum Beispiel TAN-Generatoren beim Online-Banking erfordern zusätzliche Hardware, die die Benutzerfreundlichkeit erschwert. Auch die SMS-TAN war sperrig, eine wesentliche höhere Akzeptanz und auch Umsetzbarkeit bieten mittlerweile Push Notifications und Soft Token - wobei eine Zwei-Faktor-Authentifizierung zum Beispiel auch schon auf dem Smartphone durch den Einsatz biometrischer Merkmale wie Fingerabdruck oder Gesichtsscan realisiert werden kann. Andere Methoden wie zum Beispiel Geofencing, bei dem nur IP-Adressen aus bestimmten geografischen Regionen für einen Log-in zulässig sind, können dagegen leicht überwunden werden. Entscheidend ist eine individuell ausgearbeitete Strategie, um mit einer optimierten Kombination aus sinnvollen Schutzverfahren ein maximales Sicherheitsniveau rund um Authentifizierungen bei Web-Zugriffen, Cloud-Applikationen und Remote-Zugriffen zu erreichen.