Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Kaum jemand kann sich seine Passwörter merken, und unsicher sind sie auch – Tech-Firmen wollen sie jetzt abschaffen. Wenn da nicht der Kunde wäre.
Insight Innovation
Konzerne wie Microsoft, Apple und Cisco arbeiten an Alternativen zum herkömmlichen Passwort.
Bild: J. Brauckmann, Getty Images (M)
Frankfurt, San Francisco, Hamburg Ein Mann sitzt in einem Boot, gesteuert vom Tod persönlich. Der Sensenmann gibt ihm eine letzte Chance: Um ins Paradies zu kommen, muss er nur sein Onlinepasswort nennen. Dem Passagier fällt das nicht ein, auch beantwortet er die Sicherheitsfragen nur halb richtig – und endet in der Hölle.
Der Fernsehspot von der US-Tech-Firma Dashlane ist lustig – und trifft einen Nerv. Ganze 100 Passwörter müsste sich jeder Mensch durchschnittlich merken, haben Sicherheitsexperten nachgezählt. Tendenz steigend: Vor der Pandemie waren es 70 bis 80 Kennwörter, ihre Anzahl ging durch das Homeoffice und die verstärkte Digitalisierung durch die Decke.
Jetzt verkündete Microsoft eine neue Technologie, die Abhilfe schaffen soll. Nutzer des E-Mail-Programms Outlook oder des Speicherdienstes OneDrive können ihren Zugang bald nur mit einer Authentifizierungs-App oder einem biometrischen Merkmal wie ihrem Gesicht oder einem Fingerabdruck regeln. Auf Wunsch kann man ganz auf ein Passwort verzichten. „Niemand mag Passwörter“, sagt Vasu Jakkal, Microsofts Vizepräsident für Cybersicherheit. „Sie sind umständlich, und sie sind ein Hauptziel für Hackerangriffe.“
Auch Apple oder Cisco arbeiten an der Abschaffung des Passworts. Getrieben werden sie durch Kunden, die mehr Sicherheit und weniger Kosten wollen – und vom innovativen Druck von Start-ups wie Transmit Security aus den USA oder der Initiative Net-ID in Deutschland. „In den nächsten drei bis fünf Jahren wird das Passwort verschwinden“, sagt Chuck Robbins, Chef des weltgrößten Netzwerkausrüsters Cisco.
Allerdings gibt es ein starkes Argument für das herkömmliche Passwort: die Bequemlichkeit des Kunden. Die wollen sich möglichst schnell und unkompliziert einloggen und nicht über komplizierte neue Wege. Onlineshops müssen das Betrugsrisiko gegen die oft höhere Gefahr abwägen, ihre Kunden zu verschrecken. Auch Banken versuchen aus gleichen Gründen, neue Sicherheitsverfahren möglichst sparsam einzusetzen.
Corona ist für Internetkriminelle ein Glücksfall. Mitarbeiter wählen sich vermehrt vom häuslichen WLAN ins Intranet ein. Die Zahl der „Endpunkte“, wie im Fachdeutsch jeder Laptop und jedes Smartphone mit Zugang zum Firmennetzwerk heißt, ist exponentiell gestiegen.
Wichtige Informationen, die ein Chef bislang nur hinter der verschlossenen Bürotür erfragte, werden nun per E-Mail ausgetauscht. Die Gefahr, eine Spam-Mail für eine echte zu halten, ist deutlich höher. Und reagiert ein Mitarbeiter einmal auf ein kumpeliges „Mein Zugang funktioniert nicht, schick mir schnell mal deinen“, droht nicht nur dem Unternehmen viel Ärger.
In seinem Lagebild zu Cybercrime für 2020 zählt das Bundeskriminalamt (BKA) gegenüber 2018 rund 17 Prozent mehr Spam-Mails, mit denen auch Passwörter erbeutet werden sollten.
Offenbar mit Erfolg: Im Darknet werden laut Sicherheitsdienst Digital Shadows 15 Milliarden Passwörter aus 100.000 verschiedenen Passwort-Lecks zum Kauf angeboten. Davon sind rund ein Drittel „unique“ – also noch nicht genutzt worden.
Der Passwort-Diebstahl lohnt sich für die Hacker. Das britische Sicherheits-Softwareunternehmen Sophos schätzt, dass sich der durchschnittliche Schaden solcher Angriffe für Unternehmen von 761.000 Dollar im Jahr 2019 auf 1,85 Millionen Dollar mehr als verdoppelt hat.
Bislang entscheiden Computersysteme binär darüber, ob ein Zugang gewährt wird. Wer das richtige Passwort weiß, darf rein. Wer nicht, nicht. Das hat dazu geführt, dass Experten zu immer längeren Passwörtern mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen statt dem immer noch beliebten Passwort „Passwort“ oder „12345“ raten.
Sich lange, sinnlose Ketten von Zeichen zu merken fällt den meisten Menschen schwer – und die schützten dadurch auch die IT-Systeme ihrer Firmen nicht besonders gut, sagt Jeetu Patel, Ciscos Senior-Vizepräsident für Sicherheit: „Das unsicherste System ist ein sehr sicheres System, das zu kompliziert ist.“
Cisco will stattdessen das Verhalten von Nutzern kontinuierlich auswerten. Zugang wird dann auf Basis typischer Nutzungsmuster gewährt, statt nur durch ein Passwort – ähnlich wie Banken ungewöhnliche Überweisungen stoppen, selbst wenn der richtige PIN-Code eingetippt wurde.
Patels Chef Chuck Robbins erzählt von einem Projekt, das Cisco gerade mit Regierungsorganisationen durchführt. Dabei würden vom Mobilgerät eines Nutzers verschiedene Datenpunkte wie übliche Login-Standorte analysiert.
Google oder Apple verlangen bereits heute in ihren Mailprogrammen eine Zwei-Faktor-Authentifizierung, vor allem, wenn das Log-in von einem ungewöhnlichen Standort oder Gerät stattfindet. Diese basiert aber immer noch häufig auf dem Eintippen von Zeichen in eine Tastatur.
Eine neue Sicherheit und Geschwindigkeit verspricht Transmit mit Sitz in Boston. Das Start-up sorgt derzeit in der Szene für Aufsehen, es konnte sich bekannte Konzerne wie die Banken UBS und Santander oder die US-Baumarktkette Lowe’s als Kunden sichern – und mit 2,3 Milliarden Dollar eine Rekordbewertung bei Risikokapitalgebern.
Transmit will Passwörter durch den Einsatz von Biometrie sowie ein kryptografisches System ersetzen. Dadurch könnten weder Passwörter, die ein Nutzer fahrlässig hergibt, noch Hacks von Unternehmensservern einen Schaden anrichten – kein einzelnes Element reicht aus, um Daten zu entschlüsseln. Laut Transmit verringert sich durch seine Methode die Zeit für eine Authentifizierung des Kunden von einer Minute auf zwei Sekunden.
Die Rücksetzung von Nutzerkonten sei durch die Technologie fast gar nicht mehr notwendig, behauptet das Start-up. Das ist insbesondere im Business-Umfeld ein Vorteil: 25 bis 75 Dollar kostet es laut Experten in vielen Unternehmen, das Passwort einmal über die IT-Abteilung zurücksetzen zu lassen. Laut dem Marktforscher Forrester summiert sich das in manchem US-Konzern auf eine Milliarde Dollar.
Allerdings gibt es ein Problem mit passwortlosen Verfahren: Zu viele Käufer würden den Bestellvorgang abbrechen, wenn sie sich erst kompliziert anmelden müssen. Das weiß auch Achim Schlosser, Interimschef bei NetID.
Die deutsche Stiftung aus Montabaur will ein einheitliches europäisches Log-in für viele Websites schaffen – als Alternative zu den datenhungrigen Alternativen von Facebook und Google. Daher haben RTL Deutschland, Pro Sieben Sat 1 und United Internet 2018 die Stiftung gegründet.
Biometrische Verfahren bieten dabei eine höhere Sicherheit. Das interessiert die Masse der Nutzer aber nicht, sondern vielmehr die größere Bequemlichkeit. Fast alle Handynutzer setzen laut Schlosser nicht wegen der höheren Sicherheit auf Fingerabdruck oder Face ID, sondern wegen der Schnelligkeit und Einfachheit.
Schlosser glaubt allerdings nicht an ein Ende der Passwörter. „Sichere Passwörter sind im Mix der Optionen langfristig sinnvoll“, sagt er – auch als Rückversicherung, wenn etwa der Fingerabdruck nicht funktioniert. Ansonsten werde es kompliziert – etwa wenn Bankkunden mehrere Tage auf einen Brief warten müssen, um ihr Konto zurückzusetzen. Im E-Commerce ist das kaum denkbar. „Wir wollen nicht nur eine Lösung für das eine Prozent der Nutzer, das sich mit IT-Sicherheit gut auskennt“, sagt Schlosser.
Dafür hofft Schlosser darauf, dass sich Standards stärker etablieren. Während Fingerabdruck und Face ID am Smartphone bereits meist genutzt werden, fristet der Fingerabdruckleser am PC noch ein Randdasein.
Derzeit arbeitet NetID auch an einem höheren Sicherheitsstandard, um den einheitlichen Zugang künftig für Versicherungen und Banken nutzbar zu machen. „Das ist für uns ein großes relevantes Thema“, sagt Schlosser.
Beim Banking erzwingen die Regulierer ein kompliziertes Vorgehen. Seit einem halben Jahr gelten auch strengere Regeln bei Onlinekäufen per Kreditkarte. Sie schreiben vor, dass Kunden die Zahlungen noch einmal extra freigeben müssen – mit einer Art Einmal-Passwort. Jetzt zeigt sich, dass die meisten Kreditkartenzahlungen trotzdem noch immer ohne Identitätsbestätigung laufen. Finanzkreisen zufolge sind es bis zu 80 Prozent der Transaktionen.
Der wesentliche Grund dafür: Banken, die Kreditkarten herausgeben, und Onlineshops, die Zahlungen empfangen, können auf den Identitätsnachweis als zusätzlichen Sicherheitsfaktor verzichten. Sie analysieren stattdessen das Betrugsrisiko selbst und müssen auch für mögliche Ausfälle einstehen. Dafür verwenden sie eine sogenannte Transaktionsrisikoanalyse, die die Betrugswahrscheinlichkeit bewertet.
In die Analyse fließen Daten wie die IP-Adresse der Kunden, die Nummer des verwendeten Geräts, der Browsertyp, die Kaufsumme und die Frequenz der Onlinekäufe ein. „Je mehr Daten Banken und Händler sammeln, desto besser werden die Risikomodelle“, sagt Bernd Richter, Bankenexperte des IT-Beraters FIS. Zudem gibt es Ausnahmen für kleine Kaufsummen.
Der Handel hatte zuvor befürchtet, dass Kundinnen und Kunden angesichts der Neuregelung massenhaft Käufe abbrechen. Der Start der Vorgabe wurde sogar verschoben. Die neuen Regeln sollten ursprünglich schon seit zwei Jahren gelten, ab Anfang 2021 traten sie dann schrittweise in Kraft.
Die deutsche Finanzaufsicht Bafin bestätigt, dass die Transaktionsrisikoanalyse bei den deutschen Kreditinstituten „sehr weit verbreitet“ ist. Konkrete Angaben zur Anwendung kann sie allerdings nicht machen. Sowohl Sparkassen als auch Genossenschaftsbanken, die zusammen den Großteil des deutschen Privatkundengeschäfts abdecken, setzen die Risikoanalyse ein.
Betrug und Bequemlichkeit – das ist die Abwägung, vor der viele Unternehmen stehen. Eines ist aber klar: „Eine komplett passwortfreie Welt wird es so schnell nicht geben“, ist sich GMX-Chef Jan Oetjen sicher.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×