Interview mit Gemalto zum Thema “Zukunft der Authentifizierung”

Wir haben ein Interview mit Andreas Schremmer, Director Sales Central and Northern Europe bei Gemalto, zum Thema “Zukunft der Authentifizierung” geführt.

Karsten Pfeifer Photography Munich

Sysbus: “Die letzten Monate haben gezeigt, dass klassische Authentifizierungsmethoden, die nur auf Passwörtern beruhen, überholt sind. Dazu wurden zu viele Passwörter gestohlen oder kompromittiert. Alternativen sind Authentifizierungen mit Hilfe von Tokens, dynamischen Passcodes und ähnlichem. Diese sind oftmals aber unbeliebt, da sie von den Anwendern zusätzlichen Aufwand verlangen. Was denken Sie, in welche Richtung wird sich die Benutzerauthentifizierung in den nächsten Monaten und Jahren entwickeln?”

Schremmer: “Obwohl Nutzer schon seit Jahren viel zu unsichere Benutzernamen und Passwörter verwenden, ist das Thema erst durch einige besonders große Hackerangriffe auf bekannte Unternehmen wieder in den Fokus der Öffentlichkeit gerückt. Laut des Verizon Data Breach Investigation Report 2013 wurden 76 Prozent der Netzwerkattacken durch besonders einfache Passwörter oder gestohlene Daten erleichtert. Die Benutzer haben viel zu großes Vertrauen in die Passwort-Authentifizierung, obwohl es ein Leichtes ist, Passwörter zu hacken, zu erraten oder zu stehlen. Problematisch ist vor allem, dass Cyberkriminelle oft nur eine Person mit Zugang zum Unternehmensnetzwerk angreifen müssen, um diverse wichtige Passwörter zu erbeuten und einen Einstiegspunkt in die gesamten IT-Infrastruktur zu haben. Von dort aus versuchen sie besonders wertvolle Informationen, wie die Daten des System Administrators abzugreifen. Einige legen sogar einen eigenen Systemmanagement-Account an. Wenn sich auch die Administratoren nur über Passwörter authentifizieren, können Hacker relativ einfach neue Accounts erstellen und sämtliche Daten einsehen oder kopieren. Umso mehr den Menschen die Unsicherheit der Passwort-Authentifizierung bewusst wird, umso mehr setzen sich andere Sicherheitstechnologien durch. Klassische Methoden, wie Token oder Chipkarten, zwingen die Anwender jedoch dazu, zusätzliche Hardware bei sich zu tragen. Mobile Authentifizierung ist eine gute und unkomplizierte Alternative dazu, da heute fast jeder sein Handy oder Smartphone immer dabei hat. Einmal-Passwörter können traditionelle Token so einfach ersetzen. Da sich die Standards in der Mobilfunkindustrie immer weiter verbessern, können heute viel mehr Sicherheitsoptionen angeboten werden. So lassen sich Passwörter und Anmeldeinformationen direkt in ein Hardware-basiertes Sicherheitselement des Smartphones oder Tablets speichern. Dieses Secure Element basiert auf der Smart Card-Technologie, wie sie bei der SIM/UCC-Karte, einer MicroSD oder bei eingebauten Sicherheitselementen verwendet wird.”

Sysbus: “Sehen sie einen Unterschied in Authentifizierungstechnologien für den Unternehmensbereich wie zum Beispiel der Domänenanmeldung und der Authentifizierung in offenen Netzen wie dem Internet, beispielsweise für das Online-Shopping?”

Schremmer: “Es ist wesentlich leichter, Standards und entsprechende Geräte im unternehmerischen Umfeld einzuführen. So funktionieren Smardcard-Lösungen, wie Zugangskontrolle und visuelle Identifikation zwar in vielen Unternehmen gut, sind aber beim Online-Shopping völlig ungeeignet. Hier muss das alles schnell und einfach sein. Die Verbraucher werden sicherlich nicht mit ihrem Einkauf warten, bis sie ein Gerät zur sicheren Identifikation erhalten haben. Hier eignet sich ein einmaliges Passwort per SMS viel besser.”

Sysbus: “In welchen Bereichen wird sich in Zukunft trotz aller Probleme die reine Passwortauthentifizierung behaupten?”

Schremmer: “In naher Zukunft wird das klassische Verfahren von Benutzername und Passwort sicherlich nicht verschwinden. Das Schema dominiert leider nicht nur die Arbeitswelt, sondern auch die Banken und Online-Shopping-Kanäle sowie eine Vielzahl von anderen Medien. Dadurch hat sich die Bevölkerung an die Benutzung von Passwörtern gewöhnt. Das System wird als besonders einfach in der Implementierung und Nutzung angesehen. In der Realität sieht dies jedoch anders aus, da es enorm schwierig ist, die Passwörter sicher zu verwalten. Außerdem ist es für die Anwender so gut wie unmöglich, sich für jeden Account einen neuen Benutzernamen und ein separates Passwort zu merken. Besonders Unternehmen werden jedoch in naher Zukunft in alternative Lösungen der Datensicherheit investieren. Die täglichen Logins im Internet werden aber noch solange Passwort-basiert sein, bis eine global-akzeptierte Alternative funktionsfähig sein wird.”

Sysbus: “Welche weiteren Konsequenzen werden sich Ihrer Meinung nach aus neuen Ansätzen für die Authentifizierung ergeben?”

Schremmer: “Es wird wesentlich mehr negative Konsequenzen geben, wenn kein sicheres Authentifizierungssystem eingeführt wird. Die Nutzung traditioneller Authentifizierungsmethoden birgt neben dem Risiko des privaten Datenklaus auch die Gefahr, dass Hacker sich Zugang zum Unternehmensnetzwerk verschaffen. Die Folge bei den betroffenen Unternehmen sind Rufschädigung und Verlust des Kundenvertrauens. Zusätzliche Authentifizierung über ein Einmal-Passwort, Biometrik oder Zertifizierung werden oft als Mehraufwand für den Nutzer gesehen, bieten aber deutlich mehr Sicherheit. Es ist ein ständiger Balanceakt zwischen Sicherheit und Komfort für die Nutzer. Wann müssen wir starke Authentifizierung einsetzen? Wie viel Sicherheit brauchen wir? Welche Verbraucher benötigen zu ihrem Benutzernamen und -passwort zusätzliche Sicherheitsmaßnahmen? Diese Fragen kommen häufig im täglichen Geschäft auf. Die Antworten müssen zügig gefunden werden da die Bedrohung weiter wächst.”

[subscribe2]