Textpasswörter sind für den Anwender am besten nachvollziehbar und dokumentierbar. © Gino Crescoli auf Pixabay

Interview mit Security-Fachmann Gerald Beuchelt, CISO von LogMeIn, über die Zukunft des Konzepts Passwort.

Gerald Beuchelt ist bei LogMeIn als Chief Information Security Officer (CISO) tätig. Erst vor kurzem hat der Software-as-a-Service(SaaS)-Anbieter auch eine neue Produktfamilie seines Passwortmanagers LastPass für SMB-Kunden gelauncht. Mit der neuen LastPass Business-Produktlinie lässt sich vor allem für kleine Unternehmen kostengünstig ein umfassendes Identitätsmanagement aus der Cloud implementieren und einführen. LastPass Enterprise wiederum verbindet Single-Sign-On (SSO)-Technologie für mehr als 1.200 Anwendungen. Neu sind zudem LastPass Multifaktor-Authentifizierung, eine adaptive, biometrische Authentifizierungslösung und LastPass Identity, eine einheitliche Zugangs- und Authentifizierungslösung zur sicheren Verwaltung von Benutzeridentitäten.

Wir haben mit dem Security-Experten über die Zukunft der Authentifizierung, des Passwortmanagements sowie die Sicherheit und das Ablaufdatum des „klassischen“ Passworts gesprochen. So viel sei gleich verraten: Wir werden uns wohl alle noch eine Weile die mehr oder weniger kryptischen Zeichenfolgen als Türöffner zu Daten und Applikationen merken müssen.

Wie wichtig sind Text-Passwörter in Zeiten von Fingerabdruckscans, Gesichtserkennung, Mehrfaktor-Authentifizierung & Co. überhaupt noch?
Durchaus eine berechtigte Frage. Schaut man sich die Vorteile von Textpasswörtern an, erkennt man gleich, sie haben immer noch ihre Berechtigung. Warum? Textpasswörter sind für den Anwender am besten nachvollziehbar und dokumentierbar. Letzteres gilt auch für die IT-Administratoren. Passwörter sind einfach zu entwickeln und zu dokumentieren. Natürlich bietet die Multi-Faktor-Authentifizierung ein höheres Maß an Kontoschutz, aber mit etwa 100 Konten, die ein Benutzer hat, können Textpasswörter nicht einfach durch diese Authentifizierung ersetzt werden, nur verbessert. Aktuell werden biometrische Anmeldeoptionen für die Geräteauthentifizierung verwendet, ich schalte damit vor allem mein Smartphone oder Laptop frei. Das hat auch Nachteile: Fingerabdrücke zum Beispiel bleiben auf allem, was wir berühren, erhalten. Wird diese Authentifizierungsmethode einmal gehackt, ist ein Reset nicht möglich. Passwörter hingegen bleiben unabhängig von Gerät und Standort konsistent.

Hat das Konzept Passwort an sich ein Ablaufdatum?
Schon 2004 sagte Bill Gates , dass die Technologie überholt sei, und der Abgesang auf das Passwort ist durch jüngste Entwicklungen noch einmal lauter geworden. Bislang jedoch verteidigt es stoisch seinen Rang als populärster Hüter von Daten. Und das wird sich so schnell nicht ändern. Wie erwähnt, die neueren Authentifizierungsmethoden müssen erst noch greifen, um dem Textpasswort gefährlich zu werden.

Umgekehrt: Welchen Vorteil haben Passwörter gegenüber anderen Methoden – falls überhaupt?
Klassische Passwörter sind bislang die einzige Methode, die allgegenwärtig verfügbar und in jedem Kontext, auf jedem Gerät und an jedem Standort funktioniert und komplett unvoreingenommen ist, wenn es um die betroffene Person geht. Bei der Verwendung eines Passworts hat der Anwender die volle Kontrolle über seine Sicherheit. Zudem sind Textpasswörter für den Anwender leicht zu verstehen und sowohl für Endnutzer als auch im Unternehmen leicht zu implementieren. Im Bereich Authentifizierung kommen drei Methoden zum Einsatz, die sich miteinander kombinieren lassen: something you know, something you have, something you are. Passwörter und Pins gehören zu „something you know“, Devices wie USB-Sticks und Token zu „something you have“ und Biometrie und Fingerprint zu „something you are“. In diesem Sicherheitsmix sind klassische Passwörter aktuell noch ein unverzichtbarer Bestandteil.

Was sind die drei wichtigsten Tipps, die Sie Unternehmen hinsichtlich des Einsatzes von Passwörtern mitgeben würden?
Um die Sicherheit im Umgang mit Identitäten und Zugängen zu erhöhen, ist eine Lösung mit Enterprise Passwortmanagement, Single Sign-on und Multifaktor-Authentifizierung im Unternehmensumfeld besonders wichtig. Dieser sollte leicht zu implementieren und leicht zu verstehen sein. Die Endbenutzerfreundlichkeit ist entscheidend, um die Mitarbeiter dafür zu begeistern. Dabei reicht es aber nicht, ihn zu implementieren. Er ist eine sich ständig weiterentwickelnde Mission. Entscheidend ist, das Sicherheitsbewusstsein der Mitarbeiter durch ein nachhaltiges Sicherheitsprogramm zu stärken und sie auf das neue System einzuschwören. Das Konzept fängt also bei den Menschen an, hier muss Verständnis geschaffen werden durch Trainings und Prozesse, um das Tool zu verstehen und es gerne zu nutzen.
Der Umgang mit Passwörtern sollte zudem überwacht und messbar sein. Wichtig ist also, sich KPIs zu überlegen, mit denen die IT-Administratoren messen können, wie sicher bereits der Umgang mit Passwörtern im Unternehmen ist. Wie viele Passwörter werden beispielsweise zurückgesetzt, wie viele Trainings hat der Mitarbeiter absolviert bzw. wie viele Mitarbeiter überhaupt ein Training besucht.
Und die IT ist angehalten, die KPIs ständig zu durchleuchten. Dafür gibt es beispielsweise in LastPass Reporting-Tools, die helfen, den Fortschritt in Sachen Passwortsicherheit zu dokumentieren. So lassen sich Sicherheitslücken wie schwache oder wiederverwendete Passwörter, niedrige Sicherheits- und Passwortqualitätswerte oder inaktive Konten aufspüren und beheben.

Wenn ich Sie heute danach frage, wie Sie persönlich mit der Flut an Passwörtern umgehen, die man für all die verschiedenen Dienste anlegen muss, werden Sie natürlich nachvollziehbarer Weise sagen, Sie nutzen einen Passwortmanager wie LastPass. Aber hatten Sie früher ein anderes, persönliches System?
Ich bin seit 15 Jahren in der IT tätig und bereits lange Jahre im Bereich Identity und Access Management. Vor der Digitalisierung und Social Media gab es nicht ganz so viele Logins, die mit Passwörtern geschützt waren. Ich hatte mir ein sehr schwieriges Passwort ausgedacht, das ich immer wieder modifiziert habe. Mein sogenanntes Masterpasswort habe ich mir auf einen gelben Stick geschrieben und in meinen Safe gelegt. Es reicht auch eine abgeschlossene Schublade am Schreibtisch. Hacker werden kaum einbrechen und dieses Passwort klauen. Aber Sie haben bereits den Nagel auf den Kopf getroffen: Jetzt ist LastPass mein virtueller Safe für meine Passwörter - das macht den Zugang viel einfacher und häufiger!

Ganz ehrlich, Hand aufs Herz: Haben Sie als Experte auch schon einmal „1234567“, „passwort“ oder einen anderen, ähnlichen „Klassiker“ als Passwort verwendet?
Na klar! Bis Mitte 2000 nutzte ich bei Demosystemen „p4sswrd“. Es ist in Leetspeak verfasst. Leetspeak bezeichnet im Netzjargon das Ersetzen von Buchstaben durch ähnlich aussehende Ziffern sowie – je nach Definition – auch Sonderzeichen. Vor allem Computerfreaks und Gamer nutzten diese Art der Kommunikation – nicht zuletzt auch für Passwörter. Heute sind meine Passwörter über 30 Zeichen lang und werden dankenswerterweise von LastPass generiert. Mit dieser Länge und anderen Sicherheitsfeatures liegt mein persönlicher Sicherheitswert im Vergleich zu allen LastPass Nutzern bei 2777 von 13,5 Millionen. Diese Gamifikation-Challenge, die wir in LastPass eingebaut haben, trainiert User im Umgang mit sicheren Passwörtern und kommt bei unserer Community super an.

Gerald Beuchelt ist seit über zwei Jahren bei LogMeIn als Chief Information Security Officer für die Sicherheitskultur im Unternehmen zuständig.

(RNF)