Jedes Jahr löst der Weltpassworttag dieselbe Diskussion aus. Und jedes Jahr treten Angreifer ungehindert durch dieselben offenen Türen. Zugangsdaten sind nach wie vor das am häufigsten ausgenutzte Einfallstor bei Sicherheitsverletzungen in Unternehmen. Das passiert nicht, weil das Risiko unbekannt wäre, sondern weil der Zugriff immer noch nicht entsprechend streng kontrolliert wird, wie es die Bedrohung erfordert. Ein kompromittiertes Passwort gibt nicht nur den Zugang zu einem Konto frei. Es verschafft dem Angreifer einen Einstiegspunkt für laterale Bewegungen, ist Ursache für Datenlecks und in vielen Fällen ist es die Grundlage für die vollständige Übernahme der Umgebung.
Die Stärke des Passworts allein ist nicht das Problem. Die eigentliche Gefahr liegt darin, wie Anmeldedaten gespeichert, weitergegeben und über Benutzer, Systeme und Dienstkonten hinweg verwaltet werden. Hier kommt dem Privileged-Access-Management (PAM) entscheidende Bedeutung zu. Die Durchsetzung des Prinzips der geringsten Berechtigungen, die Rotation von Anmeldedaten, die Aufhebung von dauerhaften Zugriffen und die Schaffung von Transparenz über die Verwendung von Anmeldedaten verändern das Risikoprofil grundlegend.
Passkeys gewinnen in Organisationen zunehmend an Bedeutung. Das BSI und viele weitere internationale Organisationen treiben aktiv die Einführung einer phishing-resistenten Authentifizierung nach FIDO-Standards voran und die Akzeptanz ist bereits bei diversen Diensten sichtbar. Die Richtung ist vorgegeben. Dennoch arbeiten die meisten Unternehmen weiterhin in einer hybriden Umgebung, in der auch Passwörter existieren. Governance verschwindet in diesem Modell nicht. Sie erstreckt sich vielmehr parallel sowohl auf Passkeys als auch auf traditionelle Passwörter.
Starke Passwörter sind nach wie vor wichtig. Doch ohne Kontrolle darüber, wer sie wann und unter welchen Bedingungen nutzen darf, vermitteln sie ein falsches Gefühl der Sicherheit. Organisationen, die den Zugriff als einmalige Konfiguration und nicht als kontinuierlich zu verwaltendes Risiko betrachten, sind nicht geschützt. Das Problem der Anmeldedaten ist lösbar. Was fehlt, ist der Wille, den Zugriff mit derselben Disziplin sicherzustellen, die wir bei anderen kritischen Geschäftsprozesse anwenden.
Von Darren Guccione, CEO und Mitbegründer von Keeper Security
