K.I.S.S. oder komplex? : Editorial

Passwörter sind einfach – einfach zu implementieren und zu verstehen, (relativ) einfach zu nutzen, zu verwalten und zu resetten, aber eben auch einfach anzugreifen, sofern es sich um schlechte Passwörter handelt. Da es sich viele Anwender an dieser Stelle gern etwas zu einfach machen, gilt vielen das Passwort schon länger insgesamt als „zu einfach“.

Mit Alternativen tut man sich indessen auch nicht leicht: Smartcards und Token gibt es schon ewig und seit dem Aufkommen der Smartphones sind Authenticator-Apps weithin quasi kostenlos verfügbar. Im breiteren Einsatz wurde dennoch erst in der jüngeren Vergangenheit – nicht zuletzt aufgrund regulatorischen Drucks – verstärkt Zwei-Faktor-Authentifizierung (2FA) nachgerüstet. All das ist in vielen Szenarien richtig und wichtig. An manchen Stellen wirkt die zusätzliche Sicherheit allerdings beim Anwender erst einmal lästig und unnötig aufwendig – im Backend hat sie die Dinge bestimmt auch nicht gerade einfacher gemacht.

Wie viel mehr Sicherheit rechtfertigt den Mehraufwand? Apps sind längst nicht unangreifbar, teils werden der geladene Akku oder das vergessene Handy zum Single Point of Failure für die Verfügbarkeit, PINs werden vergessen, Token assen sich verlieren oder klauen und so weiter. Und ist ein 2FA-geschützter Login wirklich so viel sicherer, wenn Anwender aufgrund des nervigen Prozederes – je nach verfügbaren Optionen – dann einfach Tage, Wochen oder dauerhaft angemeldet bleiben und/oder Browser und Mobilgeräte zum „Trusted Device“ erheben? Zu „Assume Breach“ passt das eher nicht so gut. Außerdem lassen sich auch 2FA-Verfahren selbst attackieren – teils mit, teils ohne den eingebundenen „Faktor Mensch“ (vgl. S. 14).

Wo wir Sicherungen auf eine neue Ebene heben, gilt es immer abzuwägen: Dem fallweise auftretenden Angreifer wollen wir das Leben deutlich schwerer machen, dem ständig agierenden Nutzer (und unserer Administration) möglichst nicht so sehr. Mehr und bessere Technik dürfte hier nicht immer die beste Lösung sein – dem System Komplexität hinzuzufügen, ist oft nur vermeintlich oder kurzfristig der einfachere Weg. Weiterbildung, Awareness, verständliche Regeln und vielleicht sogar ein Mitarbeiter:innen:beirat in Sachen Sicherheit (kurz: Sicherheits-Kultur) bedeuten auch Aufwand und wirken nicht sofort – Menschen einzubinden und aktiv für die Security zu nutzen, birgt aber auch sehr nachhaltige Chancen. Vielleicht genügt dann an vielen Stellen sogar ein gutes Passwort?