Wir kennen es aus unserem privaten und beruflichen Alltag: Wollen wir digitale Dienste und Prozesse nutzen, steht zwischen uns und dem Dienst immer ein Login.

Zu häufig nutzen wir heutzutage immer noch die schwache und unsichere Authentifizierung mit Benutzername und Passwörtern. Im Schnitt hat jede/r Anwender:in mehr als 100 verschiedene Accounts, die sie oder er verwalten muss.

Die unüberschaubar hohe Anzahl an Diensten hat dazu geführt, dass die klassische Authentifizierung für die meisten Menschen nur mühevoll beherrschbar ist. Deswegen neigen wir dazu, schwache Passwörter zu nutzen, schreiben diese auf oder nutzen immer wieder dasselbe bei unterschiedlichen Diensten. Damit ist der Diebstahl des Passworts nur eine Frage der Zeit.

Zum heutigen Zeitpunkt sind mehr als 12,5 Mrd. Passwörter, Benutzernamen und E-Mail-Kombinationen frei im Internet verfügbar.

Daher ist es nicht verwunderlich, dass die häufigsten Angriffe heutzutage auf die Nutzer:innen stattfinden. Also damit auch direkt auf den Mitarbeitenden, den Partner:innen oder der Kundschaft.

Jedoch müssen diese Angriffe nicht zum Erfolg führen. Microsoft selbst gibt an, dass 99,9% der Angriffe auf den Anwend:innen durch eine Authentifizierung bestehend aus mindestens zwei Faktoren, der sogenannten Zwei-Faktor-Authentifizierung, hätten vermieden werden können.

Die Einführung einer sicheren passwortlosen Zwei-Faktor-Authentifizierung entfernt damit nicht nur eines der größten Risiken in der Unternehmenssicherheit, sondern ermöglicht es zeitgleich, Mitarbeitenden, Partner:innen und Kund:innen effizienter zu arbeiten. Denn durch den generellen Wegfall von Passwörtern gehört auch der „Passwort vergessen Prozess“ der Vergangenheit an.

Grundsätzlich gilt es, als Unternehmer:in dafür Sorge zu tragen, dass die gesetzlichen Themen wie die Datenschutzgrundverordnung (DSGVO) und das Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) adressiert und eingehalten werden und Prozesse, die unternehmensintern definiert werden – bspw. in einem Informationssicherheitsmanagementsystem (ISMS) – auch gelebt werden.

Sowohl bei der DSGVO als auch bei dem GeschGehG, geht es um den Schutz von Daten vor unbefugtem Zugriff. Durch eine sichere, passwortlose Zwei-Faktor-Authentifizierung kann unter Ausschluss schwacher Sicherheitsmechanismen wie Passwörtern, die Sicherheit und Produktivität bei unternehmensinternen Prozessen, in Bezug auf den Schutz von Geschäftsgeheimnissen, erheblich gesteigert werden.

Damit ist eine sichere Authentifizierung ein grundlegender Baustein für den Schutz vertrauenswürdiger Dokumente vor unbefugten Zugriffen und damit auch zur Erfüllung der Anforderungen, die sich aus der DSGVO und dem GeschGehG, sowie aus Verträgen zwischen Kunden und Partnern ergeben.

Wer mit dem ISMS in seinem Unternehmen beginnt, wird schnell feststellen, dass die Authentifizierung auch hier einen wesentlichen Bestandteil des Sicherheitskonzept darstellt und so ist in den Richtlinien zum ISMS der Authentifizierung auch ein eigenes Kapitel gewidmet. Das ISMS nach ISO/IEC 27001, das auf einen sehr hohen Schutzbedarf abzielt, ist zwingend notwendig für KRITIS-Unternehmen, dabei gibt es strenge Voraussetzungen für sichere Anmeldungen, die nur durch Zwei-Faktor-Authentifizierung erreicht werden können. Das muss nicht passwortlos geschehen, ist für Unternehmen aber in der Regel wirtschaftlicher. Für Unternehmen, die einen Cyber-Versicherungsschutz anstreben, gibt es auch Alternativen wie VdS 10000. Das ISMS führt dabei eine Risikoanalyse aller Prozesse im Unternehmen durch und hat zum Ziel, die Wahrscheinlichkeit von Angriffen und deren Schadenspotenzial zu senken. Ein Muss für jedes ISMS ist daher die Verwendung einer sicheren Zwei-Faktor-Authentifizierung, womit die Wahrscheinlichkeit von erfolgreichen Angriffen enorm gesenkt wird.

Schlussendlich unterstützt eine sichere passwortlose Zwei-Faktor-Authentifizierung nicht nur bei der Steigerung der operativen Sicherheit und Verbesserung der alltäglichen Arbeitsabläufe, sondern ist auch ein wesentlicher Baustein zur Erfüllung ihres ISMS‘ und der Einhaltung von Compliance-Anforderungen wie der DSGVO und dem GeschGehG.