15. Bonner Dialog für Cybersicherheit

"Usable Authentication – Was ist noch besser als ein sicheres Passwort?"

Unter dem Titel »Usable Authentication – Was ist noch besser als ein sicheres Passwort?« und erneut digital fand am Donnerstag, 29. Oktober 2020, 16:00 – 18:00 Uhr, der 15. Bonner Dialog für Cybersicherheit (BDCS) statt.

Fast 160 Teilnehmer hatten sich auf der virtuellen Plattform eingefunden, als Moderator Professor Dr. Michael Meier, Informatik-Professor an der Uni Bonn und Leiter der Abteilung »Cyber Security« am Fraunhofer FKIE, die Veranstaltung eröffnete.

Dr. Gerhard Schabhüser, Vizepräsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), hielt die erste Keynote des Nachmittags und führte aus, dass die häufigste Form der Identifikation in der digitalen Welt nach wie vor die Kombination aus Benutzername und Passwort sei. Dies sei irritierend, da diese Art der Authentifizierung eklatante Nachteile habe:

Entsprechend brauche es sichere Alternativen, wie z.B. die 2-Faktor-Authentifizierung (2FA). Auch wenn deren Verbreitung z.B. durch die Fast Identity Online Allianz (FIDO) gefördert wird, so würde diese doch nur vergleichsweise selten genutzt. Zudem habe auch die 2FA Schwachstellen, beispielsweise dann, wenn der genutzte zweite Faktor (beispielsweise ein physisches Token) verloren gehe und ersetzt werden müsste. Die Zukunft der Authentifizierung sei daher vermutlich eher eine Lösung wie ein virtueller Personalausweis mit eID Funktion, der auf dem Smartphone gespeichert sein könnte.  

Bis das Passwort ersetzt sei, sollten die Nutzer einen Passwort-Manager nutzen, sichere Authentifizierung aber auch unbedingt nachfragen. Gleichzeitig seien die Hersteller in der Pflicht, entsprechende Lösungen anzubieten und so benutzerfreundlich zu gestalten, dass diese auch gerne eingesetzt würden. Nur dann, wenn neue Lösungen zu einem Komfort- und Sicherheitsgewinn führten, könnten die Lösungen erfolgreich sein.

Der zweite Keynote-Speaker war Klaus Landefeld, stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze eco - Verband der Internetwirtschaft e.V. Landefeld wies darauf hin, dass Passwörter bereits lange vor Entstehen der digitalen Welt – etwa bei den Römern – zur Authentifizierung eingesetzt worden seien. Auch er stellte dann allerdings heraus, dass Passwörter heute nicht mehr praktiabel wären. Ein sicheres Passwort habe heute mindestens 16 Zeichen und mit der technischen Entwicklung, mit der jeder Nutzer viele Dienste auf unterschiedlichen Endgeräten nutze, seien solche langen Passwörter nicht praktikabel. Das führe dazu, dass Nutzer häufig leicht zu erratende und für alle Dienste gleiche oder ähnliche Passwörter verwendeten.

Ein Passwort-Manager sei hier zwar eine Lösung, schlecht sei es allerdings, wenn das zugehörige Masterpasswort verloren gehe. Auch in den Unternehmen sei die Speicherung von Passwörtern ein von der DSGVO/GDPR abgeleitetes Betriebsrisiko, da ein Datenleck hier für das Unternehmen zu horrenden Strafzahlungen führen könnte.

Aufgrund der hohen Menge an kompromittierten Accounts – wie z.B. auf der Website https://haveibeenpwned.com einzusehen ist – plädierte auch Landefeld dringend zu neuen Lösungen. Auch er nannte hier die 2FA, allerdings mit dem Hinweis, dass das Konzept der 2FA nicht aufginge, wenn das Smartphone des Nutzers beide Faktoren repräsentiere.

Eine Lösung um die große Menge an unterschiedlichen Accounts in den Griff zu bekommen sei das Single-Sign- On (SSO) Verfahren, bei dem sich der Nutzer einmal sicher bei einem zentralen Dienst authentifiziert und dann alle mit dem SSO-Dienst verbundenen Accounts ohne erneute Anmeldung nutzen könne. Das SSO-Verfahren habe allerdings auch Nachteile:

Zuletzt erklärte Landefeld das FIDO2 Verfahren, bei dem für jeden Dienst individuelle Schlüssel von einem privaten Schlüssel abgeleitet und zur Authentifizierung genutzt werden könnten. Viele größere Anbieter boten bereits die Möglichkeit zum Einsatz solcher fortschrittlicher Verfahren, so sei der Login per Hardware-Dongle bereits häufig möglich. Bei den Nutzern seien solche Verfahren allerdings häufig noch nicht bekannt.

Nach den zwei Eingangsvorträgen hatten die TeilnehmerInnen der Veranstaltung die Gelegenheit, Fragen per Chat an das Podium zu richten. Hier luden neben  Dr. Schabhüser und Herrn Landefeld auch

zum mitdiskutieren ein. 

Schnell ergab sich ein angeregter Austausch: »Für Notfälle ist ein gut gesichertes Passwort natürlich sinnvoll. Man darf es nur nicht offen herumliegen lassen, an den Bildschirm kleben oder unter der Tastatur verstecken«, warnt Dr. Gerhard Schabhüser. Seine Empfehlung auch hier nochmals: Passwortmanager nutzen, bis es gute Alternativen gibt.

Eva Gerlitz merkte an, dass Menschen Gewohnheitstiere seien und die Anwendung von Passwörtern seit Jahren für den Nutzer dazugehöre. »Neue Methoden der Authentisierung müssen unbedingt bekannter gemacht werden!« "Tu Gutes und erzähl davon", so äußerte sich auch Ralf Wigand.  Awareness und Aufklärung seien notwendig und die Nutzung sicherer Authentifizierungsmöglichkeiten müssten für die Nutzer so einfach wie möglich gemacht werden.

Am Ende sind sich alle Diskutierenden einig, dass die Zukunft so aussehen muss, dass  keine Passwörter mehr gebraucht würden. Eher sollten beispielsweise Sicherheitstoken genutzt werden, die stark abgesichert und benutzerfreundlich in der Anwendung sind. 

Die Präsentation von Klaus Landefeld finden Sie hier zum Download.

Organisatoren und Partner des BDCS:

Hier können Sie die aufgezeichneten Keynotes abrufen: 

                                 Keynote Dr. Gerhard Schabhüser

                                                  Keynote Klaus Landefeld

Über den »Bonner Dialog für Cybersicherheit« (BDCS)

Die Digitalisierung in Staat, Wirtschaft und Gesellschaft hat Deutschland und die Industrienationen in nur wenigen Jahren grundlegend verändert. Aus diesem Grund steht auch die Cyber- und IT-Sicherheit immer mehr im Fokus und wurde längst auf staatlicher und industrieller Ebene zur Chefsache erklärt. Tagtäglich werden Cyberangriffe auf staatliche Einrichtungen, Unternehmen und kritische Infrastrukturen dank hervorragender Cyber- und IT-Sicherheit erfolgreich abgewehrt.

In Bonn, am führenden Cyber Security Standort Europas, wurde 2018 das Cyber Security Cluster Bonn gegründet, das alle in der Region Bonn/Rhein-Sieg ansässigen Security-Einrichtungen aus Wissenschaft, Forschung und Lehre, Wirtschaft, Behörden und öffentlichen Institutionen bündelt. Ziel der Initaitive ist es, dazu beizutragen, die Region Bonn/Rhein-Sieg zu einem international beachteten Cyber Security-Standort auszubauen.

Folgerichtig hat das Cyber Security Cluster Bonn auch die Schirmherrschaft für den »Bonner Dialog für Cybersicherheit« übernommen, der 2013 von der Deutschen Telekom und dem Fraunhofer FKIE ins Leben gerufen wurde, um den Dialog über den aktuellen Stand von Forschung und Technologie zu intensivieren. Längst hat sich der Kreis der Organisatoren dieses Veranstaltungsformats um wichtige Player, wie zum Beispiel die Stadt Bonn, die Industrie- und Handelskammer Bonn/Rhein-Sieg und die Allianz für Cybersicherheit erweitert.

Die öffentliche und kostenlose Veranstaltung, die seitdem zweimal im Jahr stattfindet, bietet neben Impulsvorträgen auch die Möglichkeit zu Fragen und Diskussion. Ziel der Veranstaltungen ist der intensive Austausch zum Thema Cybersicherheit im Rahmen von Impulsvorträgen und Diskussionen. Gleichzeitig soll auch Bonn als IT-Standort bekannter gemacht werden.