„Passwortsicherheit wird meist erst nach einer Datenpanne Priorität eingeräumt“

Die Corona-Pandemie hat die Geschäftsprozesse in Verwaltung und Wirtschaft stark beeinflusst. Konnten Sie eine veränderte Nachfrage nach Ihren Lösungen verzeichnen? 

Marcus Kaber: Seit Beginn der Corona-Pandemie ist das Interesse an unseren Lösungen, die die Passwort-Sicherheit in  Organisationen erhöhen, gestiegen. Das hat vor allem zwei Gründe: Zum einen sind sehr viele Mitarbeiter ins Homeoffice gewechselt, zum anderen haben die Cyberangriffe stark zugenommen. Die meisten Organisationen waren nicht darauf vorbereitet, dass alle ihre Mitarbeiter von einem Tag auf den anderen vom Büro zur Arbeit zu Hause wechseln. Die unbeabsichtigte Folge war, dass die IT-Abteilungen Wege finden mussten, um den Mitarbeitern zu helfen, produktiv zu bleiben – ohne dabei die Sicherheit zu opfern.

Macht es einen Unterschied, ob ein Mitarbeiter im Homeoffice oder im Büro sein Passwort ändert?

Absolut! Zum Beispiel kommt es zu einem Problem, wenn der Benutzer sein Passwort im Homeoffice ändert (cached credentials). Denn herkömmlicherweise wird das Passwort im Active Directory geändert, nicht jedoch auf dem PC des Nutzers in den Cached Credentials. Die einzige Möglichkeit, dieses Problem zu beheben, bestand darin, dass die Mitarbeiter ihren PC ins Büro bringen mussten, um sich erneut mit dem Netzwerk zu verbinden, damit die zwischengespeicherten Anmeldeinformationen aktualisiert werden konnten. Mit der Anweisung, zu Hause zu bleiben, war dies nicht möglich. Unsere Lösung, Specops uReset, verfügte bereits über die Fähigkeit, die lokal zwischengespeicherten Anmeldedaten unabhängig vom physischen Standort zu aktualisieren – das hat zu einem Anstieg des Interesses geführt und viele Unternehmen und Organisationen dazu veranlasst, diese Lösung zu implementieren.

Welche Rolle spielen die Cyberattacken?

Je länger die Pandemie dauerte, um so stärker eskalierte die Zahl der Cyberangriffe. Namhafte Organisationen wie die Weltgesundheitsorganisation haben von einer Verfünffachung der Cyberangriffe bis April 2020 berichtet. Nicht nur bekannte Organisationen standen unter Beschuss, auch kleine und mittelständische Unternehmen und Organisationen wandten sich an uns, um die Verwendung von schwachen und kompromittierten Passwörtern innerhalb ihrer IT-Umgebungen zu unterbinden. Der „2020 Data Breach Investigations Report“ von Verizon zeigt, dass verlorene oder gestohlene Anmeldedaten 81 Prozent der Hacking-Verstöße ausmachten. Das kontinuierliche Aufspüren, Entfernen und Blockieren von kompromittierten Passwörtern ist eine wichtige Grundlage für die Passwortsicherheit.

Sie bieten Passwort-Management- und Authentifizierungslösungen an, einen wichtigen Grundbaustein der IT-Security. Sehen Sie Unterschiede zwischen Behörden und Privatwirtschaft im Umgang mit dieser Sicherheitsmaßnahme?

Es gibt keine generellen Unterschiede zwischen dem Umgang mit Passwort- und Authentifizierungssicherheit in Behörden und im privaten Sektor. Der Unterschied ergibt sich aus anderen Faktoren, zum Beispiel ob das Unternehmen oder die Organisation in der Vergangenheit eine Datenverletzung erlebt hat oder mit Geldstrafen für die Nichteinhaltung von IT-Sicherheitsvorschriften rechnen muss. Dies sind die wichtigsten Faktoren dafür, wie ernst dieses Risiko genommen wird. Viele Organisationen sehen sich selbst nicht als potenzielles Ziel und glauben fälschlicherweise, dass ihre Daten keinen Wert haben. Leider wird der Passwortsicherheit oft erst dann Priorität eingeräumt, wenn es bereits zu einer Datenpanne gekommen ist. 

Specops Software ist ein schwedisches Unternehmen und betreut auch Kunden in der schwedischen Verwaltung. Wie ist Ihre Einschätzung: Gibt es generelle Unterschiede zwischen den Behörden in Deutschland und Schweden in puncto Digitalisierung?

Öffentliche Behörden in Deutschland und Schweden stehen vor ähnlichen Herausforderungen der digitalen Transformation. Ein Unterschied besteht darin, dass in Deutschland der Datenschutz eine größere Rolle spielt, während in Schweden persönliche Daten eher öffentlich zugänglich sind.

Eine Reihe schwedischer Gemeinden setzt in Sachen Passwortsicherheit auf Ihre Lösungen. 

Für die Gemeinde Sollefteå in der Provinz Västersnorrlands län haben wir mit Specops Password Policy und der Self Service Password Reset Lösung Specops uReset die Passwortsicherheit signifikant erhöhen und die Anzahl der passwortbezogenen Supportanfragen deutlich reduzieren können. Ziel war es, starke Passwortrichtlinien hauptsächlich für IT-Mitarbeiter, die den aktuellen Empfehlungen von Sicherheitsbehörden entsprechen, einzurichten. 

Was leistet die Lösung uReset? 

Vor dem Einsatz von uReset setzte man in der Gemeinde Sollefteå Sicherheitsfragen ein, um Mitarbeiter eindeutig zu authentifizieren und anschließend den Passwort Reset durchzuführen. Das Problem war, dass die Benutzer ihre eigenen Antworten auf diese Sicherheitsfragen immer wieder vergessen haben und dadurch regelmäßig den IT-Support anrufen mussten. Durch den Wechsel zu uReset konnte die Anzahl der auf Passwort bezogenen Supportanrufe deutlich reduziert werden.

Die Nutzer können mit uReset jetzt mehrere MFA-Methoden zur Authentisierung verwenden um ihr Passwort eigenständig zurückzusetzen. Zum Einsatz kommt hier hauptsächlich die Authentifizierung mit BankID, einem Identifikationsdienst, welcher in Schweden weit verbreitet ist. Mit uReset können die Nutzer jetzt auch selbst entscheiden, wie lange es dauern soll, bis Ihr Passwort abläuft. Je länger und damit stärker das von ihnen gewählte Passwort ist, desto länger ist der Zeitraum, bis das Passwort abläuft. Eingestellt hat man Ablaufintervalle von 60, 70 und 90 Tagen.

Mit welchen Innovationen sind Sie in der letzten Zeit auf den Markt gegangen?

Im Jahr 2020 haben wir eine neue Innovation eingeführt. Die Software Secure Service Desk ermöglicht es einem Service-Desk-Agenten (Mitarbeitern), einen Benutzer aufzufordern, sich mit einer Multi-Faktor-Authentifizierung zu verifizieren, bevor er sein Passwort zurücksetzt oder eine andere IT-bezogene Aufgabe mit dem Helpdesk durchführt. Diese zeitgemäße Lösung verhindert Social-Engineering-Schwachstellen.

Herr Kaber, vielen Dank für das Gespräch!

Und das sagen die Nutzer: