HYPR-Studie zu AuthentifizierungslösungenKennwortlos zu höherer IT-Sicherheit
11. März 2022
Für zwei Drittel aller Unternehmen bieten herkömmliche Authentifizierungslösungen keine ausreichende Sicherheit. So lautet das zentrale Ergebnis einer Studie zu Authentifizierungslösungen.
Die zentralen Trends und Herausforderungen der IT-Sicherheit sind Gegenstand des neuen „2022 State of Passwordless Security Report“ von HYPR haben ergeben, dass Unternehmen mit einer Vielzahl unterschiedlicher Cyber-Angriffe konfrontiert sind. So mussten 89 Prozent im letzten Jahr eine Phishing-, 34 Prozent eine Credential-Stuffing- und Brute-Force- sowie 14 Prozent eine RDP (Remote Desktop Protocol)-Attacke registrieren.
Nur 35 Prozent sind der Meinung, dass die bisher genutzte MFA-Lösung bei solchen Attacken eine hohe Sicherheit bietet. Im Umkehrschluss halten also fast zwei Drittel die Lösung für unsicher. Ein Grundproblem dabei ist, dass herkömmliche MFA-Anwendungen auf Passwörtern basieren, die prinzipiell ein sehr hohes Sicherheitsrisiko darstellen. Zudem halten sie Phishing-Angriffen zumeist nicht stand. So ist auch die Mehrzahl aller Sicherheitsvorfälle auf gestohlene, ausgespähte oder zu schwache Passwörter zurückzuführen.
Die unzureichende Sicherheit ist ein Grund, der gegen die Nutzung traditioneller MFA-Lösungen spricht. Darüber hinaus führen 49 Prozent der befragten Unternehmen die mangelnde Benutzerfreundlichkeit an. Für 48 Prozent stellen zudem Schwierigkeiten bei der Integration in bestehende Systeme eine hohe Hürde dar. Nicht zuletzt beeinträchtigt eine kennwortbasierte MFA auch die Produktivität. Bei 63 Prozent der Befragten konnten Mitarbeiter im letzten Jahr aufgrund vergessener Passwörter nicht auf arbeitskritische Informationen zugreifen.
Kennwortlose und Phishing-resistente MFA liegt im Trend
Angesichts der Bedrohungslage und der unzureichenden Sicherheit klassischer MFA-Verfahren ist es nicht überraschend, dass die Authentifizierung ohne Passwortnutzung, bei der Kennwörter durch sichere kryptografische, asymmetrische Schlüsselpaare ersetzt werden, immer mehr an Bedeutung gewinnt. Die deutliche Mehrheit der Befragten (82 Prozent) gibt an, dass eine höhere Sicherheit der wichtigste Grund für die Einführung einer passwortlosen und Phishing-resistenten MFA ist.
Phishing-Resistenz bedeutet dabei den Verzicht auf eine Kennwortnutzung vor der Abfrage eines zweiten Faktors und auch den Verzicht auf den Einsatz von Push-Services in Verbindung mit einer MFA-Lösung. Als weitere Gründe nennen 67 Prozent der Befragten eine Verbesserung der Benutzerfreundlichkeit und 40 Prozent regulatorische Faktoren und Compliance-Vorgaben.
Bei der Einführung einer solchen Authentifizierungslösung sind den Befragten zwei Punkte besonders wichtig. Für 96 Prozent sollte sie auf etablierten Verfahren wie FIDO (Fast Identity Online) basieren, einem offenen Industriestandard für die Zwei-Faktor-Authentifizierung. Zudem legen 97 Prozent Wert darauf, dass die passwortlose Technologie eine nahtlose Interoperabilität mit vorhandenen Systemen wie Identity Provider oder IAM (Identity and Access Management)-Anwendungen bietet.
„Automatisierte Hacking-Tools sind in immer größerem Maße verfügbar und auch die Anzahl massiver Passwort-Leaks nimmt zu. Wenn die Unternehmen ihre Sicherheitsstrategien nicht weiterentwickeln, wird deshalb auch die Zahl der erfolgreichen Angriffe steigen. Schließlich sind herkömmliche MFA-Lösungen und alle Authentifizierungen, die auf Passwörtern beruhen, äußerst anfällig“, betont Jochen Koehler, Leiter der Region Zentraleuropa bei HYPR in Heilbronn. „Aber es gibt Anlass zur Hoffnung: Immerhin belegt unsere Untersuchung einen wachsenden Konsens unter IT- und Sicherheitsverantwortlichen, dass passwortlose und Phishing-resistente Multi-Faktor-Authentifizierungstechnologien die Antwort auf die Sicherheitsherausforderungen unserer Zeit sein können.“
Methodologie
Der „2022 State of Passwordless Security Report“ wurde von HYPR in Zusammenarbeit mit Cybersecurity Insiders erstellt, einer weltweiten Online-Community mit mehr als 400.000 Experten aus der Informationssicherheit. Die Untersuchung basiert auf einer Befragung von 411 Technologieexperten aus Unternehmen unterschiedlichster Größe und Branche zum Stand der traditionellen und passwortlosen Authentifizierung. (rhh)
