In einer so fortschrittsorientierten Branche wie der IT ist es fast schon ein Witz, wie hartnäckig sich alte Techniken über Jahre, manchmal Jahrzehnte halten: Mainframes sind immer noch im Einsatz und manche Unternehmen aus der Finanzbranche suchen verzweifelt Programmierer, die Cobol beherrschen.

Auf der anderen Seite wird bewährten Ansätzen von den Auguren aus den Unternehmensberatungen und Marktforschungsfirmen sowie den «Visionären» und «Evangelisten» grosser Unternehmen immer wieder ein baldiges Sterben vorausgesagt. Das trifft etwa auf E-Mails im Business-Umfeld ebenso zu wie auf die Verwendung von Passwörtern zur Anmeldung und Authentifizierung. Letztere bestätigen zwar immer wieder aufs Neue die Weisheit, dass Totgesagte länger leben, aber diesmal könnte dem Passwort tatsächlich das letzte Stündlein geschlagen haben. Diesen Eindruck gewinnt man jedenfalls, wenn man sich in der Sicherheitsbranche umhört: Die Probleme, die Passwörter bereiten, werden immer grösser und Alternativen scheinen auch bereitzustehen.

Das in Schweden gegründete und nun im Silicon Valley ansässige Unternehmen Yubico, das auf Hardware-Sicherheitsschlüssel spezialisiert ist, hat in Zusammenarbeit mit dem Ponemon-Institut Anfang 2019 die Studie «The 2019 State of Password and Authentication Security Behaviors Report» veröffentlicht. Ziel war es, einen Überblick darüber zu gewinnen, wie Anwender - sowohl im professionellen wie auch im privaten Umfeld - mit Passwörtern und den damit verbundenen Problemen umgehen. Dazu hat Ponemon 1761 Anwender im Bereich IT und IT-Security aus den USA, Grossbritannien, Frankreich und Deutschland befragt.

Die Ergebnisse der Studie sind nicht unbedingt dazu geeignet, dass Vertrauen in den Gebrauch von Passwörtern zu stärken. So gaben etwa zwei Drittel (69 Prozent) der Befragten an, dass sie ihr Passwort mit Kollegen im Unternehmen teilen, um auf Konten zuzugreifen, und mehr als die Hälfte (51 Prozent) bekannten, dass sie durchschnittlich lediglich fünf verschiedene Passwörter nutzen, um auf alle ihre persönlichen und geschäftlichen Konten zuzugreifen. Nimmt man dann noch die Antworten zum Einsatz sichererer Massnahmen wie Zweifaktor-Authentifizierung hinzu - 76 Prozent nutzen keine derartige Form der Anmeldung -, so ergibt sich ein insgesamt pessimistisches Bild.

Kein Wunder, dass nicht nur anlässlich des diesjährigen «World Password Day» immer wieder vom «Tod des Passworts» die Rede ist, wobei bislang offenbar oft mehr Wunsch als Wirklichkeit dahintergesteckt hat. Hört man sich bei Security-Experten um, wird eines schnell deutlich: Keiner von ihnen würde die Anmeldung via Passwort vermissen, wenn sie denn aus dem IT-Alltag verschwände. Aber sie haben wenig Hoffnung, dass das tatsächlich bald geschieht.

Thomas Uhlmann, Security Specialist bei Eset Deutschland, beantwortet die Frage nach dem baldigen Ableben des Passworts zum Beispiel kurz und knapp mit einem «Leider nein». Er weist allerdings auch darauf hin, dass ein einfaches «Sterbenlassen» der Anmeldung per Passwort durchaus problematisch sein könnte. So böten einige Webseiten den Nutzern zum Beispiel die Möglichkeit, sich mit «anonymous» und einer beliebigen Adresse anzumelden. Und er gibt zu bedenken, dass das Verschwinden von «Passwort» oder «Benutzername» auch das Wegfallen eines Anmeldefaktors bedeuten würde, was dem vielfach geforderten Prinzip einer Zwei- oder Mehrfaktor-Anmeldung entgegenwirken würde.

Stratos Komotoglou, Business Lead Micro­soft 365 Security bei Microsoft Deutschland, legt sich fest: «Das Passwort in seiner ursprünglichen Form ist nicht mehr zeitgemäss. Im Kontext der technischen Entwicklung wird die klassische Anmeldeform via Kennwort zu einer kritischen Variablen für die IT-Sicherheit. So geraten Passwörter insbesondere bei IT-Abteilungen immer mehr ins Abseits.» Einem baldigen Aus redet er dennoch nicht das Wort. Er sieht eher ein allmähliches Verdrängtwerden voraus.

Für Komotoglou hängt das Schicksal des Passworts in erster Linie an seiner Akzeptanz: «Aufgrund der Gefahr für die Cybersicherheit steht die klassische Passwort-Anmeldung bei IT-Abteilungen schon länger zur Debatte. Auch bei Anwendern sinkt die Akzeptanz, denn Passwörter werden nicht selten als unpraktisch empfunden, weil sie möglichst komplex sein müssen - und daher nur schwer zu merken sind.» Die unpraktische Handhabung werde, davon ist Komotoglu überzeugt, irgendwann auch den letzten Skeptiker dazu bewegen, sich über zeitgemässe und sichere Authentifizierungs-Alternativen Gedanken zu machen: «Ich denke, dass wir zwar noch einige Zeit mit Passwörtern werden leben müssen, dass sich aber zusätzlich Mechanismen wie Multi-Faktor-Authentifizierung etablieren werden. Viele Unternehmen machen dies schon. Gleichzeitig sind Single-Sign-on-Mechanismen (SSO) hilfreich, um die Benutzerakzeptanz zu stärken.»

Auch Peter Machat, Vice President Central EMEA bei MobileIron, Spezialist für das Management mobiler Geräte, sieht für die Anmeldung nur mit Passwort und Kontonamen keine Zukunft mehr, weiss aber: «Schlechte Gewohnheiten halten sich immer länger als man es sich wünschen würde. Denn ganz ehrlich: Welche Sicherheit bringt ein Verfahren, das nicht wenige Nutzer dazu veranlasst, gefühlte 1000- oder 2000-mal im Jahr das jeweils gewählte Passwort zurücksetzen zu lassen, weil sie es so genial gewählt haben, dass sie es gleich wieder vergessen.»

Für Machat steht fest, dass Passwörter mehr Probleme hervorrufen als sie lösen: «Es wäre wünschenswert, dass diese - schlechte - Tradition schnell zu Ende geht. Schliesslich gibt es mittlerweile sehr sichere und benutzerfreundliche passwortlose Verfahren.» Martin Grauel, EMEA Technical Sales Manager beim Identity-und-Access-Management-Anbieter One Identity, weist in diesem Zusammenhang besonders auf den World Password Day hin: «Er erinnert uns jährlich da­ran, welch wichtige Rolle Passwörter bei der Online-Authentifizierung spielen. Allerdings offenbart er auch, dass Passwörter inzwischen zum schwächsten Glied in diesem Prozess geworden sind.»

Boris Cipot, Sicherheitsingenieur beim Software-Entwickler Synopsys, teilt die Ansichten seiner Kollegen hinsichtlich der Schwächen von Passwörtern: «Passwörter sind definitiv nicht die sicherste Art der Authentifizierung. Obwohl bessere Technologien längst vorhanden sind, werden diese von vielen Unternehmen, Organisationen oder Endbenutzern bislang nicht angenommen.»

Grundsätzlich werden drei Typen der Authentifizierung unterschieden: Der Nutzer kann etwas einsetzen,

Die Grundregel dabei lautet: Bei einer Anmeldung sollten wenigstens zwei dieser Faktoren nebeneinander zum Einsatz kommen, um einen sicheren und geschützten Zugang zu gewährleisten. Das ist dann die Zweifaktor-Authentifizierung, von der immer wieder die Rede ist und die heute von den meisten Anbietern - handelt es sich nun um ein Betriebssystem oder eine Webseite - auch bereitgestellt wird.

Laut Boris Cipot sollte eine gute Authentifizierungstechnologie immer mit wenigstens zwei Fragen verknüpft sein: «Wer beispielsweise einen Geldautomaten nutzt, muss zwei Fragen beantworten. Auf ,Was haben Sie?‘ folgt die Bankkarte, auf ,Was wissen Sie?‘ wird mit Eingabe der korrekten PIN geantwortet. Eine zusätzliche biometrische Überprüfung per Fingerabdruck (,Wer sind Sie?‘) wäre denkbar und aus der Sicherheitsperspektive auch empfehlenswert.»

Auf die Frage nach der «besten» Authentifizierungs-Technik gibt es für Cipot übrigens keine eindeutige Antwort, jede habe sowohl gute als auch schlechte Seiten. Eine ID-Karte könne man zum Beispiel leicht verlieren, ebenso das Mobiltelefon. Auch sei nicht jede biometrische Methode automatisch sicher. Letztlich erfolge die Auswahl meist nach Bequemlichkeit. Aber: «Egal welche Methode genutzt wird, ein zweiter Faktor ist immer besser als sich auf einen Faktor zu verlassen.»

Biometrie-Techniken werden seit etwa 2013 zur Authentifizierung eingesetzt: Apple brachte mit dem iPhone 5S unter der Bezeichnung Touch ID eine Fingerabdruck-Technologie für seine mobilen Geräte auf den Markt. Darauf folgte 2017 die Face-ID-Technologie zur Nutzer-Authentifizierung an den iPhone-X-Modellen, womit die Gesichtserkennungstechniken massentauglich wurden. Beide Methoden werden von vielen Experten im Vergleich zu Passwörtern und Token als sicherer angesehen. Biometrische Authentifizierungs-Verfahren kommen deshalb auch in vielen Bereichen der IT zur Anwendung.

Doch auch die einfache Authentifizierung über biometrische Merkmale hat ihre Grenzen. So verfügen Menschen zwar über einzigartige biometrische Kennzeichen wie Fingerabdrücke, das Gesicht oder die Iris, aber es gelang Forschern unter anderem mit Fingerabdruck- oder digitalen Gesichtsmodellen, die sie mit VR- und 3D-Techniken auf Basis von Fotografien erstellt hatten, die Scanner zu täuschen und so die Anmeldemethode auszuhebeln.

Doch gibt es inzwischen Weiterentwicklungen der biometrischen Methoden, die sich noch besser zur Authentifizierung eignen, weil sie dynamisch sind. Verhaltensbasierte biometrische Methoden erlauben es, dynamische Aktivitäten durchgängig zu überwachen. So können IT-Sicherheitsexperten Verhaltensanomalien leicht erkennen. Sie basieren darauf, wie ein bestimmter Benutzer in seiner Umgebung mit den Systemen interagiert. Dazu zählen beispielsweise die Art zu tippen und die Geschwindigkeit der Tastaturanschläge bei der Benutzung einer Tastatur oder die Art und Weise, wie ein Nutzer die Maus bewegt beziehungsweise klickt.

Doch auch das qualifiziert biometrische Verfahren nicht grundsätzlich zur alleinigen Anmeldemethode, mit der sich die Ära des Passworts beenden liesse. Martin Grauel von One Identity betont: «Biometrische Technologien bieten vielversprechende Ansätze für einen Authentifizierungsprozess der Zukunft. Sie haben allerdings auch ihre Defizite.» Er weist beispielsweise darauf hin, dass diese Techniken keine Möglichkeit bieten, Login-Daten zu aktualisieren oder erneut zu erstellen, wenn Daten von Fingerabdrücken gestohlen wurden. Dennoch werde Biometrie für Unternehmen zunehmend wichtig. Der Grund: «Die Benutzeridentifikation über traditionelle Methoden wie Benutzernamen und Zertifikate wird mehr und mehr durch biome­trische Verfahren ergänzt werden, um eine Zweifaktor-Authentifizierung sicherzustellen.»

Jerrod Chong, Chief Solutions Officer bei Yubico, vertritt die Ansicht, dass die Passwörter (noch) nicht tot sind, sondern sich vielmehr weiterentwickeln: «Es wird sich sicher nicht über Nacht ein vollständiges Ende der Passwörter ereignen - aber wir sind auf dem Weg zu einigen signifikanten Weiterentwicklungen in den nächsten Jahren. Das ist hauptsächlich auf die aktuelle Standardisierung von WebAuthn durch das W3C zurückzuführen.»

WebAuthn steht für einen vom World Wide Web Consortium (W3C) veröffentlichten Standard zur Authentifizierung von Usern im Web. Er ermöglicht die Authentifizierung von Benutzern ohne ein Passwort und basiert auf Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen, Hardware-Token oder Smartphones. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen das Verfahren bereits.

WebAuthn ist ein wichtiges Ergebnis des FIDO2-Projekts der FIDO-Alliance (Fast IDentity Online). Die Technik wurde ursprünglich bereits 2011 von Yubico und Google als offener Authentifizierungsstandard FIDO Universal Second Factor (FIDO U2F) entwickelt, um die Abhängigkeit von Passwörtern zu reduzieren und besser vor Phishing, Man-in-the-Middle- und Replay-Attacken zu schützen, bei denen gestohlene Passwörter benutzt werden.

Mehrere Firmen, darunter Microsoft und Yubico, haben sich seitdem zur gemeinnützigen FIDO Alliance mit dem Ziel zusammengeschlossen, international gültige Standards zur Authentifizierung im Internet zu entwickeln. Gemeinsam haben sie als Weiterentwicklung von FIDO U2F den offenen Standard FIDO2 geschaffen. Gerade Hersteller der verschiedenen Security-Token dürften diesen Standard in naher Zukunft immer häufiger unterstützen.

Microsoft bietet mit Windows 10 zudem eine direkte Unterstützung für eine passwortfreie Anmeldung mittels FIDO2 an. Auch viele Webseiten wie Twitter, Dropbox, Google und Amazon unterstützen diesen Standard schon. Auf der Website Webauthn.io können Anwender sich testweise per WebAuthn registrieren und einloggen.

Die Einigkeit der Fachleute hinsichtlich der Schwächen von Passwörtern ist bemerkenswert. Geht es aber um die Frage, welche Alternativen Unternehmen und Nutzer einsetzen sollen, so ist das Bild weniger klar: Zwar betonen alle von com! professional befragten Experten, dass es unbedingt einfach zu handhabende Methoden sein müssten, die gleichzeitig sicher zu sein hätten. In der Praxis sind diese allerdings nicht eben leicht zu finden und fast jeder Anbieter entsprechender Lösungen präferiert einen etwas anderen Ansatz.

Hier gilt eine anscheinend fundamentale Erkenntnis, die auf fast alle Bereiche der IT-Sicherheit zutrifft: Je höher die Sicherheit, desto grösser der Aufwand, der mit dem Einsatz dieser Massnahmen verbunden ist. Dabei spielt es keine Rolle, ob man Nutzer im Business- oder im Consumer-Umfeld fragt: Sichere Methoden wie die Zweifaktor-Authentifizierung werden häufig nicht verwendet, weil «das so umständlich ist». Für Unternehmen und deren CIOs und IT-Verantwortliche kann das nur heissen: Es müssen unternehmensweite Verfahren eingeführt werden, die alle Mitarbeiter leicht und schnell einsetzen können und deren administrativer Aufwand sich in Grenzen hält.

Hier bietet es sich an, physische Sicherheitsschlüssel oder Geräte, die entsprechende biometrische Verfahren unterstützen, zu wählen. Aber auch die verhaltensbasierte Biometrie ist nicht allein in der Lage, vollständige Sicherheit zu gewährleisten. Die Lösung liegt darin, traditionelle Authentifizierungsmethoden wie Passwörter mit Token, SMS-Verifikation, Smart Cards oder auch mit biome­trischer Authentifizierung zu kombinieren.

Wenn beispielsweise der Einsatz von FIDO2-Sicherheitsschlüsseln Teil der Firmenrichtlinien ist und konsequent durchgesetzt wird, dann kann ein Unternehmen mittelfristig auf den Einsatz der konventionellen Passwort-Benutzer­name-Methode verzichten. Single-Sign-on-Lösungen und der Einsatz von Passwort-Managern (für die Passwörter, die auch dann immer noch gebraucht werden) ergänzen diese Art des Vorgehens. Wir werden also sicher noch eine ganze Weile Passwörter und Benutzernamen einsetzen - wenn auch nur als eine Komponente einer Multi-Faktor-Authentifizierung.