TalkAbout

Ja klar! … wenn der Securitybereich plötzlich ja sagt

Von Philip Lorenzi
18. Februar 2021

Fiktiver Dialog zwischen einem Mitarbeiter und jemanden aus dem IT-Security-Team: „Kann ich mein Passwort nicht einfach weglassen?“ – „Ja, klar!“

Glauben Sie nicht? Wir schon.


Cybersecurity ist im Wesentlichen für drei Dinge bekannt. Sie macht Prozesse langsam, Vorhaben teuer und das Leben umständlich. Viele Menschen kennen zwei Aussagen: Entweder ein pauschales „Nein“ oder ein „das ist halt so und daran musst du dich jetzt halten“.

Dieses Bild spiegelt das häufige Problem, dass sich Security, um erfolgreich zu sein, nicht allein um technische Aspekte kümmern sollte. Echte Sicherheit ist immer das Ergebnis einer ganzheitlichen Betrachtung der Dimensionen Technik, Organisation und Mensch. 

Die Dimensionen eines ganzheitlich sicheren Systems auf technischer, organisatorischer und menschlicher Ebene.

Folgt man diesem Ansatz konsequent, wird Security oft zum Innovationstreiber: Wenn sie den bequemsten Weg zum sichersten macht. So werden andere Unternehmensbereiche vor eine neue, viel angenehmere, Herausforderung gestellt: „Der Security Bereich hat ja gesagt und will noch mehr, was mache ich jetzt?“

Wie sieht so ein Fall in der Realität aus?

Passwort-Policy: vom Regelwerk zu "keins mehr notwendig"

Am einfachsten ist das Thema am Beispiel des Passworts zu verstehen. Der „Ist Zustand“ bei Passwort Policies war lange:

  • mindestens 8 Zeichen
  • mindestens je ein Sonderzeichen und eine Zahl
  • kein Name oder Wort aus dem Wörterbuch
  • regelmäßiger Passwort Reset

Warum existieren diese Vorgaben, wie sind sie entstanden? Sie entspringen dem Wunsch, möglichst starke Passwörter zu erhalten. Technisch gesehen ist dieser Ansatz zwar umsetzbar, in der Realität führen die Vorgaben zu schwachen Passwörtern – die Vorgabe erreicht genau das Gegenteil des Beabsichtigten.

Warum das so ist, macht eine ganzheitliche Security-Betrachtung mit den zusätzlichen Dimensionen Mensch und Organisation deutlich: Passwörter werden so kompliziert, dass Anwender Bewältigungsstrategien entwickeln, um sich komplexe Passwörter besser merken zu können. Entweder verwenden sie fixe Patterns, die dann anfällig für Wörterbuchattacken sind, oder es werden nur einzelne Ziffern ausgetauscht, wodurch neue Passwörter durch alte rekonstruiert werden können. Das Problem des Passworts auf einem Notizzettel gehört auch in diese Kategorie.

Pragmatischerweise haben sich neue, sinnvollere Policies entwickelt, zum Beispiel die Nutzung von Multifaktor-Authentifizierungen oder das Verbot üblicher Passwörter wie "geheim" oder "1234". Wie sieht das Thema Passwort aber aus Nutzersicht aus? Was will der Nutzer? Und welches Passwort will der Nutzer?

Die Antwort ist ganz einfach: Der Nutzer will kein Passwort. Er will Sicherheit und er will das System nutzen, auf dem er sich einloggen muss.

Cybersecurity: sinnvolle Lösungen statt sture Antworten

Welches Passwort will der Nutzer oder die Nutzerin? Es ist sinnvoll, diese Fragen von der Security-Seite aus zu stellen, wie das Beispiel zeigt: Trotz strenger Richtlinien die Passwortsicherheit nicht erhöht wird. Appelle an den Nutzer fruchten nicht dauerhaft, wenn der Anwender nicht motiviert wird, was am Beispiel des Passworts auch eine schwierige Angelegenheit ist.

Die Frage führt zu einer weiteren, sehr validen Frage: Kann sich eine Person auch ohne Username und Passwort authentifizieren?

Die Security Antwort: Ja, bitte!

Als Authentifizierungsfaktoren können auch Gesichtserkennung, Bewegungsdaten, Tokens, Smartphone oder Smartwatch Proximity verwendet werden. Eine Kombination aus zwei bis drei dieser Faktoren ist für einen Angreifer wesentlich herausfordernder als jedes Passwort. Kombiniere ich diese Faktoren sinnvoll, kann ich eine Multifaktorauthentifizierung durchführen, die vom Benutzer keinen aktiven Schritt benötigt. Voraussetzung hierfür ist die sichere technische Basis und auf organisatorischer Ebene die Vorarbeit, dass die nötigen Faktoren vorhanden und legal erfassbar sind. Ein Passwort als ein Fallback-Faktor ist dann immer noch sinnvoll, es kann aber aus dem Standardablauf komplett eliminiert werden. Eine Abwägung zwischen Komplexität und Merkbarkeit muss aber auch hier getroffen werden.

Security als Innovationstreiber

An dieser Stelle geht Security als Innovationstreiber Hand in Hand mit Zielen anderer Fachbereiche. Der Schlüssel lag in diesem Beispiel darin Fragen anders zu stellen. Die Frage „Wie setze ich meine Anweisung oder Anforderung durch?“ wurde ersetzt durch „Was will der Benutzer und wie nutze ich diesen Antrieb, um mein System sicherer zu machen?“. So banal das Passwortbeispiel wirkt, ist es doch ein sehr gutes. Bedenkt man, wie häufig Authentifizierung Teil der Customer Journey ist, kann der Wegfall eines aktiven Authentifizierungsschritts verschiedenste Produkte auf ein neues Level heben. Sei es bei Bezahlvorgängen, personalisierten Content Offerings oder der Zugang zu Transportmitteln, alle Abläufe werden angenehmer, wenn ich mich nicht explizit authentifizieren muss. Selbst im reinen Arbeitsplatzkontext kann im War for Talents ein Arbeitsalltag ohne immer wiederkehrende Passworteingabe einen Beitrag zu einem modernen Arbeitsalltag liefern.

Zusammenfassend kann man sagen, dass der fiktive Dialog „Kann ich mein Passwort nicht einfach weglassen?“ – „Ja, bitte!“ ein gutes Beispiel dafür ist wie wir Cyber-Security anders denken sollten, um auch in Zukunft wettbewerbsfähig zu sein. Wenn wir Security ganzheitlich betrachten und vom Benutzer her denken, finden wir plötzlich ganz neue Lösungen für Fragen wie: „Darf ich in die Cloud?“ „Ist Serverless in Ordnung, auch wenn ich doch nicht weiß wie die Server darunter konfiguriert sind?“ Ganzheitlich betrachtet ist aus Security-Sicht die Antwort viel häufiger „Ja, bitte!“ als gedacht.

In Zeiten, in denen eine erhöhte Sensibilität für Datenschutz auf dem Wunsch nach hoher Convenience trifft, kann gute IT-Security durch die richtigen Fragen Mehrwerte schaffen anstatt zu bremsen.