Have a nice day - stock.adobe.c

Meinung

Paradigmenwechsel beim Zugriff: Passwortlose Anmeldung

Der passwortlose Zugriff auf IT-Ressourcen ist ein Paradigmenwechsel beim Access Management und bietet mehr Sicherheit. Passwörter sollten in diesem Umfeld damit ausgedient haben.

von
  • Dirk Wahlefeld, Imprivata
Zuletzt aktualisiert:20 Mai 2025

Seit der Antike plagen sich die Menschen mit Zugangscodes in Ziffern, Buchstaben und Symbolen. Sie waren von damals bis ins Heute des 21. Jahrhunderts die einzige Möglichkeit, Berechtigungen zu prüfen. Doch die technischen Möglichkeiten, um im IT-Access-Management auf Passwörter zu verzichten, sind schon längst gegeben. Es ist an der Zeit, bei der unternehmerischen Zugangsregulierung auf IT-Ressourcen das Kapitel Passwörter für Anwender zu schließen.

Auch das BSI wagt sich bei dem Thema nach vorn: „Schafft die Passwörter ab?!“ Mit Ausrufezeichen und, vielleicht aus Schreck vor der eigenen Keckheit, mit dem Fragezeichen, das eigentlich keinen Sinn ergibt. Aber das BSI titelt genauso zum Thema „Anmelden ohne Passwort mit Passkey“.

Im Unternehmensumfeld sollte die Ära der Passwörter allmählich enden. Denn aus Sicht von Nutzerinnen und Nutzern sind Passwörter eine Bürde und Hürde. Entsprechend fahrlässig gehen sie damit um. Je schärfer die Richtlinien für Passwörter sind, umso eher werden sie aufgeschrieben, für verschiedene Benutzerkonten mehrfach verwendet oder mit Kolleginnen und Kollegen geteilt; einfach, weil es praktisch ist und schnell geht.

Passwörter folgen der simplen Annahme: Wer das Passwort kennt, erhält Zugang. Nicht einbezogen werden in diese Überlegung die (un)absichtliche Weitergabe der Zugangsdaten oder Passwort-Diebstahl. Also genügt es nicht mehr, mit dem antiquierten Verfahren, die Zugriffssicherheit dem Frontend zu überlassen. Das Backend muss es regeln; will heißen, dass Endgeräten von Mitarbeitenden und Externen, die Netzwerkzugang beanspruchen, von der IT-Abteilung grundsätzlich erstmal kein Vertrauen entgegengebracht wird.

Zero-Trust-Konzept für absolute Zugriffskontrolle

Dieser Devise folgen IT-Security-Konzepte wie Zero Trust. Sie verlagern die Netzwerk- und Datensicherheit ins Backend mit ausgeklügelten Verfahren zur Identitätsprüfung bei Authentisierung und Authentifizierung. Überprüft wird jeder Zugriff, von innerhalb des Unternehmensnetzwerkes und von außerhalb. Eng verknüpft mit Zero-Trust sind passwortlose Zugänge ins Netzwerk.

Passwortloses Access-Management ist ein Paradigmenwechsel. Dafür stehen zwei Varianten zur Verfügung: biometrische Methoden oder hardwarebasierte Techniken. Für die unternehmensweite Einführung einer passwortfreien Authentisierung und Authentifizierung werden verschiedene Technologien kombiniert:

    • Biometrische Verfahren zur Authentifizierung wie Fingerabdruck- und Gesichtserkennung. Das bietet zum Beispiel „Windows Hello for Business“. Anwender können sich biometrisch, optional zusätzlich mit PIN oder Passkey an Windows und damit an das Netzwerk anmelden.
    • Besitzfaktoren wie Hard-/Software-Token und FIDO2-konforme kryptografische Schlüssel für die Zwei-Faktor-Authentifizierungv ersetzen Passwörter vollständig, sind einfach zu bedienen und schützen vor allen Cyberattacken, die es auf Passwort-Diebstahl abgesehen haben.
    • Bluetooth Low Energy (BLE) dient der berührungslosen Authentifizierung. Die stromsparende Variante des Bluetooth-Standards wird im privaten Bereich häufig bei der Steuerung von Sensoren eingesetzt. Die meisten Smartphones unterstützen BLE, weil es in vielen IoT-Anwendungen wie Fitness-Tracker eingesetzt wird. Beim Einsatz in Unternehmen bietet BLE den Vorteil, dass es eine Reihe von Sicherheitsmechanismen wie Verschlüsselung und Authentifizierung bei der Datenübertragung über kurze Distanzen bietet. Zum Tragen kommt BLE zum Beispiel beim remote Login oder der Anmeldung von Externen. Das Smartphone fungiert als Token. Wird 2FA eingesetzt, wird der Zugang über Fingerabdruck oder Gesichtserkennung freigeschaltet. Die genutzten Gerätschaften mit dieser Technologie lassen sich auch in die Gebäude- und Zutrittssicherheit integrieren.
    • Die vierte Technologie, die für den passwortlosen Zugang relevant ist, ist Single Sign-On (SSO) in Kombination mit starker initialer Authentifizierung im 2FA-Verfahren. SSO bedeutet, dass die einmalige Anmeldung über das Endgerät im Netzwerk ausreicht, um auf allen Ressourcen für die der Mitarbeitende zugelassen ist, arbeiten zu können, selbst wenn Anwendungen Passwörter erfordern. Diese werden dann zentral vom SSO-System verwaltet und nach Vorgabe der Anwendung erstellt und aktualisiert, ohne dass ein Endbenutzereingriff notwendig ist. Passwörter existieren dann zwar noch, aber sie sind für den Endbenutzer nicht mehr sichtbar.
Dirk Wahlefeld, Imprivata

„Die Implementierung der passwortfreien Authentifizierung muss im Einklang mit bestehenden gesetzlichen Anforderungen wie der Datenschutz-Grundverordnung (DSGVO) oder anderen branchenspezifischen Regelungen geschehen.“

Dirk Wahlefeld, Imprivata

Implementierung von passwortlosem Zugang in vier Stufen

Rückfalllösungen beim Verlust der prioritären Authentifizierungsschlüssel sind für beide Seiten wichtig, sowohl für Nutzerinnen und Nutzer als auch für die Systemadministration. Ansonsten ist der Aufwand für die Rücksetzung und Erneuerung des Kontos aufwendig. Daher ist es wichtig, dass die Nutzerinnen und Nutzer zu jeder Zeit die Kontrolle über ihre Authentifizierungsmethoden haben. Alternative Wege zur Wiederherstellung eines Kontos müssen im Fall des Verlusts von Sicherheitstokens geregelt sein.

Die Kombination verschiedener passwortfreier Methoden gewährleistet ein sehr hohes Sicherheitsniveau und ist zugleich benutzerfreundlich, auch bei der Wiederherstellung des Zugangs.

Die Implementierung der passwortfreien Authentifizierung muss im Einklang mit bestehenden gesetzlichen Anforderungen wie der Datenschutz-Grundverordnung (DSGVO) oder anderen branchenspezifischen Regelungen sein. Das gilt insbesondere für die Speicherung und Verarbeitung von biometrischen Daten und Identitätsnachweisen. In diesem Zusammenhang ist die Auswahl von Sicherheitsverfahren von entscheidender Bedeutung. Sie sollten auf anerkannten Standards und starker Verschlüsselung beruhen.

Die passwortlose Authentifizierung wird in der Regel in mehreren Phasen eingeführt.

  1. Im ersten Schritt wird Single Sign-On mit starker initialer Authentisierung mit Zweifaktor-Authentifizierung eingeführt. Damit gestattet die erstmalige Anmeldung den Zugang zu all den Systemen und Anwendungen.
  2. Im zweiten Schritt wird die passwortlose Anmeldung speziell für kritische Anwendungen ausgerollt. Dafür wird die berührungslose Authentifizierung mit der Multifaktor-Authentifizierung (MFA) kombiniert wie zum Beispiel Gesichtserkennung, Fingerabdruck oder Iris-Scan. Anschließend kommen Technologien wie der FIDO-Sicherheitsschlüssel zum Einsatz. Beide Methoden sind gegen Phishing resistent und erhöhen das Sicherheitsniveau deutlich. Teil des Zero-Trust-Konzeptsv ist Privileged Access Management, das heißt die rollenbasierte Freigabe von Zugriffen nur auf die Bereiche und Applikationen, die für die Arbeit wirklich nötig sind. Die Implementierung von PAM beginnt in der Praxis bei den unternehmenskritischen Systemen und Applikationen.
  3. Im dritten Schritt werden Token und Biometrie eingesetzt. Der Anwender muss sich kein Passwort mehr merken. Die Passwortrichtlinien werden dank SSO vom IT-System selbst überwacht und Passwörter bei Bedarf ohne Zutun des Nutzers geändert. Die Passwörter können damit stärker werden und Phishing oder Social Engineering bleiben erfolglos. Damit gehen die Chancen eines illegalen Zugriffs über ausgespähte Passwörter praktisch gegen Null.
  4. Der vierte Schritt ist schließlich, dass alle Anwendungen in Single Sign-On integriert werden, wobei dafür moderne Authentifizierungsstandards wie OAuth (OpenAuthentication) oder OIDC (OpenID Connect) unterstützt werden müssen.

Für KRITIS-Organisationen ein Muss

Das BSI hätte bei seinem Appell „Schafft die Passwörter ab“ getrost auf das Fragezeichen verzichten können. Denn passwortlose Multifaktor-Authentifizierung realisiert ein so hohes Sicherheitsniveau wie es mit keinem noch so langen Passwort, das jeden Monat wechselt, erreicht wird. KRITIS-Organisationen haben zu dieser Methode keine Alternative. Für alle Unternehmen und Organisationen bietet MFA aber nicht nur eine erhebliche Senkung des Risikos von erfolgreichen Cyberangriffen. Auch für Auditoren, Aufsichtsbehörden und Cyberversicherungen ist die Tatsache relevant, dass Passwörter keine Angriffsfläche mehr darstellen, dass Zugriffe auf Systeme, Netzwerk und Anwendungen laufend kontrolliert und exakt dokumentiert sind. Credential-Stuffing-Attacken laufen damit ebenso ins Leere wie Phishing. Auch wenn es keinen hundertprozentigen Schutz vor Cyberangriffen gibt, so ist doch zumindest durch passwortloses Access-Management eine zentrale Schwachstelle beseitigt.

Über den Autor:
Dirk Wahlefeld ist Manager Unimate Tech Services bei Imprivata.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Identity and Access Management (IAM)