Warum Zweifaktorauthentifizierung unerlässlich ist

Autorin/Redakteur: Christiane Raich-Jacobs/gg

Unsere Haustür. Hinter ihr fühlen wir uns sicher. Sie ist Bollwerk gegen unerwünschte Eindringlinge und eine gut gesicherte Schwelle, die jeder nehmen muss, wenn er bei uns Einlass will: Der Besucher muss sich unzweideutig zu erkennen geben. Ganz ähnlich, so sollte man meinen, verhält es sich mit dem elektronischen Zugang zum Unternehmensnetz. Doch bei vielen, gerade mittelständischen Organisationen klafft ausgerechnet am “Haupttor” zu ihren wertvollen Informationsbeständen eine merkliche Sicherheitslücke. Dieser Beitrag zeigt, warum Anwender sich mit einer starken Authentifizierung vor ungebetenen Gästen schützen sollten.

Wir öffnen niemals jemandem die Türe, der sich nicht zweifelsfrei zu erkennen gibt. Das haben wir von Kindesbeinen an gelernt und ist uns selbstverständlich.

Warum nur, müssen wir uns also fragen, werfen wir diesen eisernen Grundsatz so leichtfertig über Bord, wenn es um den Zutritt zu Unternehmensnetzen geht? Um den Zugriff auf Daten und Informationsbestände von unersetzlichem Wert für den Geschäftserfolg? Die immense Zunahme massiver Datenlecks und gezielter Angriffe, besonders auf große Organisationen mit klingenden Namen, schickt eine klare Botschaft: Die Unternehmen sind nicht ausreichend vor unerwünschtem Besuch geschützt. Das trifft nicht nur auf so öffentlich exponierte Konzerne wie Sony (77 Millionen gestohlene Datensätze), Ebay (145 Millionen gestohlene Datensätze) oder Adobe (152 Millionen gestohlene Datensätze) zu. Auch für den deutschen Mittelstand zieht jetzt zum Beispiel das Marktforschungsunternehmen Techconsult eine ernüchternde Bilanz: Im Rahmen ihrer jüngsten Studie zum Sicherheitsstatus in Deutschland (“Security Bilanz Deutschland 2015”) haben die IT-Analysten festgestellt, dass für den Mittelstand beim Thema IT- und Informationssicherheit “weiterhin dringender Handlungsbedarf” besteht. Danach schätzen die befragten Unternehmen ihre eigene Realisierung von Sicherheitsmaßnahmen und -konzepten durchweg negativer ein, also noch im vergangenen Jahr. Selbst bei grundlegenden und einfachen Lösungen, wie der Anwendung von Passwortrichtlinien, räumt mehr als die Hälfte der Organisationen ein, diese nicht gut umgesetzt zu haben (48 Prozent in 2014).

Datenklau und “Faktor Mensch” – die Schwächen der alleinigen Passwortnutzung

Dabei ist doch gerade der korrekte, konsequente Gebrauch sicherer Passwörter die Zauberformel, die den Weg zu den Datenschätzen des Unternehmens freimacht. Bis heute gilt das Passwort als eines der grundlegenden Mittel, wenn es um die Authentifizierung von Netzwerkbesuchern geht. Also um die eindeutige Feststellung, ob die Person, die um “Einlass” bittet, auch tatsächlich diejenige ist, die sie vorgibt zu sein. Traditionell gilt: Meldet sich ein Nutzer mit dem richtigen Passwort an, so ist das der Beweis seiner Authentizität. Doch stellt allein ein korrektes Zugangswort wirklich eindeutig fest, wer es gerade eingegeben hat? Wer am Rechner sitzt oder gerade das Smartphone nutzt? Und was – das ist die wohl immer noch größte Schwäche der alleinigen Passwort-Lösung – wenn Kennwörter versehentlich ausgeplaudert, vergessen oder gestohlen werden?

Vor allem die wachsende Verbreitung so genannter Botnets – also automatisierte Computerprogramme, die auf vernetzten Rechnern laufen und deren lokale Ressourcen nutzen – macht den Diebstahl von Zugangsdaten immer leichter. Besonders hoch ist das Risiko durch eingeschleppte, mit Trojanern infizierte USB-Sticks, die den angegriffenen PC im Handumdrehen zum Botnetz-Zombie und den Weg freimachen für das Abfangen und den Missbrauch von Benutzerdaten, insbesondere Passwörtern.

Als wahre “Plage” bezeichnet das Bundesamt für Sicherheit in der Informationstechnik (BSI) das gezielte “Angeln nach Passwörtern”, das so genannte Phishing. Hierfür manipulieren die Betrüger Internetseiten und versenden massenweise gefälschte E-Mails, die den Empfänger dazu verleiten, seine Zugangsdaten ganz freiwillig herauszugeben. Etwa, weil er “aus Sicherheitsgründen” vermeintlich seine Bankdaten neu bestätigen muss oder seine bisherigen Anmeldeinformationen verloren gegangen sind.