Shared Workspaces setzen sich in Unternehmen durch. Werden auch die Passwörter gemeinsam genutzt, können sie Einfallstore für Hacker sein. Das belegt der 2023 Verizon Data Breach Investigations Report. Es geht aber auch viel einfacher und sicherer mit kennwortloser Authentifizierung.
Kosteneinsparungen und Produktivitätssteigerungen sind die ausschlaggebenden Argumente für Shared Workspaces für Mitarbeiter. Gemeinsam genutzte Arbeitsplätze haben sich in der Tat in vielen Branchen durchgesetzt. Nichtsdestotrotz müssen sich Unternehmen mit den Sicherheitsrisiken auseinandersetzen. Das beginnt damit, sicherzustellen, dass nur die richtigen Nutzer Zugriff auf die gemeinsam genutzten Geräte erhalten.
Gemeinsame Passwörter sind eine Gefahr
Gemeinsam genutzte Anmeldedaten oder Notizzettel mit gültigen Passwörtern sind gang und gäbe, wenn mehrere Personen auf einen gemeinsamen Arbeitsplatz Zugriff haben sollen. Etwa weil häufige Schichtwechsel, Saisonarbeit oder hohe Personalfluktuationen an der Tagesordnung sind und es daher als praktikabelste Möglichkeit betrachtet wird, jedem Mitarbeiter zu jeder Zeit Zugriff quasi über einen „Generalschlüssel“ Zugriff auf die nötigen Ressourcen zu gewähren. Diese fragwürdige Vorgehensweise ist auch den Cyberkriminellen nicht unbekannt. Für sie sind gestohlene Anmeldedaten und Passwörter äußerst attraktiv: Dem 2023 Verizon Data Breach Investigations Report zufolge werden 81 Prozent der Datenschutzverletzungen durch gestohlene oder schwache Passwörter verursacht.
Warum die klassische Multi-Faktor-Authentifizierung keine Lösung ist
Der erste Impuls, solche eklatanten Sicherheitslücken zu schließen, ist die Multi-Faktor-Authentifizierung (MFA). Allerdings ist die mobile MFA, die mit SMS, OTP-Codes und Push-Benachrichtigungen arbeitet, sehr anfällig für Cyberbedrohungen, wie Phishing, Brute-Force-Attacken, Man-in-the-Middle-Angriffe (MiTM), Malware und SIM-Swapping. Der Nachweis des Besitzes des Schlüssels kann ebenso wenig erbracht werden, wie der Nachweis, dass der private Schlüssel tatsächlich sicher auf dem mobilen Gerät gelandet ist. Auch das Abfangen von OTP-Codes oder privaten Schlüssel ist für Cyberkriminelle keine große Herausforderung. Und was, wenn der Akku des Mobilgerätes seinen Geist aufgibt oder die Verwendung solcher Endgeräte im Einzelfall nicht gestattet ist?
Was macht eine gute Lösung aus?
Entscheidend ist also, bei der Wahl einer passenden Lösung die Faktoren Effizienz, Zuverlässigkeit, Kosten und andere externe Variablen, die sich negativ auf die Leistungsfähigkeit der Lösung auswirken können, zu berücksichtigen. Darüber hinaus geht es allerdings auch darum, Fragen zu beantworten, die sich rund um die Themenkomplexe Benutzerverifizierung und Benutzerkomfort drehen: Wie kann ein Benutzer bei der Anmeldung seine Legitimität unter Beweis stellen? Wie lässt sich sicherstellen, dass er sich nahtlos bei mehreren Geräten authentifizieren kann? Funktioniert die Authentifizierung auch unter schwierigen Bedingungen? Und lässt sich langfristig die Anzahl der authentifizierungsbezogenen Support-Tickets reduzieren?
Passwörter durch kennwortlose Authentifizierung ersetzen
Der Umstieg von der traditionellen MFA auf eine phishing-resistente MFA ist ein wichtiger Schritt zur Absicherung gemeinsam genutzter Arbeitsumgebungen. Der nächste Schritt in der modernen MFA ist die Einführung einer passwortlosen Authentifizierung. Ein SMS-OTP ist eine Möglichkeit der kennwortlosen Authentifizierung, kann jedoch all die aufgeführten Anforderungen kaum erfüllen. Klassische Smartcards sind eine weitere Form der passwortlosen Authentifizierung, die zwar eine höhere Sicherheit bietet als SMS-OTP, aber in der Regel hohe Investitionskosten für Smartcard-Lesegeräte, Karten und Backend-Verwaltungsplattformen erfordert und nicht die beste Benutzererfahrung auf Smartphones oder Tablets bietet.
Mehr bei Yubico.com
Über Yubico
Yubico setzt weltweit neue Standards für den einfachen und sicheren Zugang zu Computern, Mobilgeräten, Servern und Internet-Konten. Das Kernprodukt des Unternehmens, der YubiKey, bietet per simpler Berührung effektiven hardwarebasierten Schutz für eine beliebige Zahl von IT-Systemen und Online-Diensten. Das YubiHSM, Yubicos hochportables Hardware-Sicherheitsmodul, schützt vertrauliche Daten auf Servern.