"Es gibt keine Alternative zu einem Passwort"

Im Interview erklärt IT-Security-Experte Cornelius Kölbel, warum das klassische Passwort seine Daseinsberechtigung nicht verloren hat und wie Unternehmen die Sicherheit durch Passwörter erhöhen können.

springerprofessional.de: Herr Kölbel, das beliebteste Passwort der Deutschen war im vergangenen Jahr laut Hasso-Plattner-Institut die Zahlenreihe "123456". Was denken Sie darüber?

Cornelius Kölbel: Das ist eine sehr gute Frage, weil sie zeigt, dass wir betrachten müssen, wie wir mit Informationen umgehen. Denn die Frage ist ja, wie diese Daten erhoben wurden. Die Quelle sind hier geleakte Datensätze. Das könnte auch bedeuten, dass es sich hier um Passwörter von eher "einfachen Diensten" handelt. Google ist als Dienst hier wahrscheinlich nicht vertreten. Und ich gehe jede Wette ein, dass das beliebteste Passwort der deutschen Google-User eben nicht "123456" ist. Die Statistik zeigt das beliebteste Passwort von Diensten, die ihre Passwörter verlieren oder von Benutzern, die ihre Passwörter leicht phishen lassen. Passwörter von Security-sensitiven Benutzern sind hier nicht darunter. Man sollte sich also nicht in Panik versetzen lassen. Seien wir mal ehrlich. Auch ich habe mal irgendwo einen Account erstellt mit einem schlechten Passwort. Die Registrierung dieses Accounts bei einem solchen Dienst habe ich aber nie fertig erstellt, geschweige denn genutzt. Dieses schlechte, nie genutzte Passwort würde wahrscheinlich auch in diese Statistik reinfallen. Was soll also diese Statistik überhaupt aussagen? Natürlich ist unumstritten, dass man sichere Passwörter verwenden sollte. Aber auch über die Definition was sicher sei, scheiden sich die Geister. Meines Erachtens benötigt ein Passwort kein Sonderzeichen. Gegebenenfalls erschwert ein "ö" den Angriff aus nicht-deutschprachigen Ländern. Aber die Entropie erhöht es per se nicht.

Inwieweit sind Passwörter vor allem für Unternehmen überhaupt noch ein sicheres Verfahren? Gibt es Alternativen?

Es gibt keine Alternative zu einem Passwort. Es gibt Ergänzungen. Es lohnt sich, die Angriffsszenarien zu betrachten, gegen die man sich schützen will. Und dabei kommt es dann auf die Kompetenzen der Angreifer an. Was ist eigentlich der ursprüngliche Sinn von Mehr-Faktor-Authentifizerung (MFA)? Was macht die MFA eigentlich sicher? Es sind die unterschiedlichen Kompetenzen, die man von einem Angreifer abfordert. Ein Passwort via Phishing zu erbeuten, erfordert ein anderes Skillset, als einen Hardware-Token zu stehlen. Insofern ist ein Hardware-Token – ein Besitzfaktor – eben keine Alternative zu einem Passwort, sondern – in Bezug auf das Skillset des Angreifers – eine diametrale Ergänzung.

Sehen Sie eine Zukunft für "Passwordless" oder bleibt das erstmal ein Buzzword?

Mit FIDO2 kommt ein ausgesprochen wichtiger Aspekt: Der Besitzfaktor wird mit einem asymmetrischen Schlüsselpaar abgebildet. Das hatten wir zwar schon mal vor Jahrzehnten mit x509 Smartcards, haben es aber mit einem schlechten zweiten Faktor via SMS oder One-Time-Password-Mechanismen, die auf einem symmetrischen Schlüssel basieren, aus den Augen verloren. Mit FIDO2-Token hält das asymmetrische Schlüsselpaar und speziell der private Schlüssel in Hardware wieder Einzug bei unseren Anmeldeverfahren. Und das auf eine erheblich einfachere Art und Weise als damals mit Smartcards. Jeder IT-Leiter sollte sich also unbedingt mit Fido2 und Passkeys beschäftigen. Aber bitte beschäftigen – auch hier nicht zu leicht blenden lassen. Denn der Begriff "Passwordless" ist irreführend. Passwordless bedeutet nicht, dass sich der Benutzer nichts mehr merken muss. Schließlich ist auch hier natürlich ein Wissensfaktor enthalten. Und dabei kommt es zu neuen Herausforderungen bei der Verwaltung dieser PINs oder eben der Passwörter. Ein reines "Passwordless", also eine Authentifzierung nur über einen Besitzfaktor halte ich für ausgesprochen gefährlich, weil dann eben das notwendig Skillset für einen Angreifer total schmal wird. Vereinfacht gesagt: Diesen Angriff könnte dann jeder beliebige Taschendieb ausführen. Und wieder: Es geht hier nicht um Alternativen: Das eine ist gut, das andere ist schlecht. Es geht um Kombinationen, so dass jeder Aspekt, jeder Faktor seine Vorteile ausspielen kann und die Hürde für Angreifer angehoben wird.