Passwortmanagement

Fünf Schlüsselkriterien für eine stärkere Authentifizierung

13. Juli 2020, 14:30 Uhr | Autor: Alexander Koch / Redaktion: Diana Künstler

In der IT-Sicherheit sind häufig nachlässige oder gefährliche Praktiken anzutreffen, bei privaten Nutzern ebenso wie in Unternehmen. So verwenden etwa laut einer Untersuchung von Yubico 39 Prozent der deutschen IT-Fachleute Passwörter mehrfach.

Viele Unternehmen versuchen ihre IT-Sicherheitsverfahren zu verbessern. Gelingen kann das jedoch nur, wenn sie ihre Anforderungen genau kennen und in der Lage sind, die geeigneten Tools auszuwählen. 72 Prozent der deutschen Untersuchungsteilnehmer glauben, dass ihr Unternehmen nicht die notwendigen Maßnahmen ergreift, um Informationen auf Mobiltelefonen zu schützen. Dazu gehört, dass keine Zwei-Faktor-Authentifizierung (2FA) vorhanden ist, die zusätzlichen Schutz bietet und dabei benutzerfreundlich ist.

Es gibt viele 2FA-Tools für Unternehmen, doch nicht alle Verfahren sind gleichwertig. Das Spektrum reicht von SMS über mobile Authentifizierungsanwendungen bis hin zu hardwaregestützten Lösungen wie FIDO-Sicherheitsschlüsseln. Es ist wichtig zu wissen, dass diese Lösungen unterschiedlich effektiv sind und dass jedes Verfahren die Faktoren Sicherheit und Benutzerfreundlichkeit anders gewichtet. Vor der Implementierung einer unternehmensweiten 2FA-Lösung sollte man sich die nötige Zeit nehmen, um die Anforderungen des Unternehmens zu definieren und festzustellen, wie sich fünf wichtige Kriterien am besten erfüllen lassen: Sicherheit, Ergonomie, Flexibilität, Funktionalität und Langlebigkeit.

Sicherheit
Eine der zentralen Überlegungen muss sein, welches Maß an Schutz das gewählte 2FA-Verfahren bieten soll. Viele mobilbasierte 2FA-Methoden sind beispielsweise immer noch anfällig für Phishing- und Man-in-the-Middle-Angriffe, während sich bei SMS-Verfahren Fälle von SIM-Swapping-Betrug häufen, bei denen Benutzer schon um Millionen von Euro gebracht worden sind. In der derzeitigen Situation, die weltweit von Telearbeit und zunehmenden Covid-bezogenen Phishing-Angriffen geprägt ist, empfiehlt es sich, Authentifizierungslösungen in Betracht zu ziehen, die auf den offenen Standards WebAuthn und FIDO2 basieren. Diese Standards verwenden Public-Key-Kryptographie und schützen nachweislich vor Kontoübernahmen.

Ergonomie
Wenn Mitarbeiter der Meinung sind, dass die vorhandenen Tools nicht optimal sind oder sich nicht gut in ihre Arbeitsprozesse integrieren lassen, sehen sie sich oft nach Alternativen um. Deshalb sollten ihnen unbedingt 2FA-Tools zur Verfügung gestellt werden, die leicht installiert und genutzt werden können. Besonders wichtig ist das, wenn ein Unternehmen viele Standorte hat oder die Mitarbeiter häufig remote arbeiten, da der IT-Support dann oft schwerer erreichbar ist. Ein weiterer wichtiger Gesichtspunkt ist, wie leicht die Administratoren das zusätzliche Authentifizierungs-Tool implementieren können. Es sollte sich einfach bereitstellen lassen und die Möglichkeit bieten, Benutzer vorab zu registrieren sowie Mitarbeitern, die aus dem Unternehmen ausscheiden, den Zugriff zu entziehen.