Passwortlose Authentifizierung wird für CISOs immer wichtiger – Source: www.csoonline.com

CC7 – shutterstock.com

Die rasante Entwicklung von KI-Agenten eröffnet Cyberkriminellen neue Angriffsmöglichkeiten, die insbesondere für Chief Information Security Officers (CISOs) eine erhebliche Herausforderung darstellen. Automatisierte Angriffe, die von KI gesteuert werden, können herkömmliche Sicherheitsmaßnahmen wie Passwörter und Multi-Faktor-Authentifizierung (MFA) zunehmend unterlaufen.

Passwörter bleiben ein zentrales Einfallstor

Trotz weit verbreiteter MFA sind Passwörter laut Experten weiterhin ein Schwachpunkt, denn KI-Agenten können Phishing-Angriffe so optimieren, dass selbst MFA-Codes abgefangen werden.

„Wir beobachten gezielte Phishing-Angriffe, bei denen KI zum Einsatz kommt, und Leute, die ihre Anmeldedaten preisgeben und erfolgreich nach den MFA-Codes gephisht werden, sogar mit Nummernabgleich“, erklärt Elliott Franklin, CISO beim Rückversicherungsunternehmen Fortitude Re.

Hierbei kommen automatisierte Angriffe wie Accountübernahmen (ATO), Credential Stuffing und das Umgehen von Bot-Erkennungen durch menschenähnliches Verhalten zum Einsatz. Die Kriminellen können damit

• CAPTCHAs knacken,
• Social-Engineering-Angriffe in Echtzeit führen und
• Deepfakes einsetzen, um biometrische Systeme zu täuschen.

Besonders gefährlich sind laut Experten polymorphe Phishing-Kampagnen, die sich schnell anpassen und gezielt wirken. Gartner prognostiziert bis 2027, dass sich die Zeit, die Krimielle benötigen, um gehackte Konten auszunehmen sich halbieren wird.

Passwortlose Optionen

Die vollständige Abschaffung von Passwörtern rücke daher auf die Prioritätenliste vieler Sicherheitsverantwortlicher. CISOs wie Franklin  sehen darin einen klaren Handlungsbedarf: „Man muss diesen Schritt gehen, um die KI-Agenten zu bekämpfen, die Anmeldungen, Deepfakes und Passwortzurücksetzungen übernehmen und sogar MFA simulieren können.“
Passwortlose Verfahren umfassen unter anderem

• Passkeys,
• biometrische Verfahren und
• föderiertes Identitätsmanagement.

Passkeys basieren auf hardwaregestützten Schlüsseln und bieten hohe Phishing-Resistenz, sind jedoch mit Implementierungsaufwand und Wiederherstellungskomplexität verbunden.

Biometrische Verfahren wie Gesichtserkennung oder Fingerabdruckscans punkten mit Benutzerfreundlichkeit, werfen aber Datenschutzfragen auf.

Föderierte Single-Sign-On-Lösungen können zentral verwaltet werden und sind einfach zu verwenden, bergen jedoch Risiken wie Single Point of Failure und Anbieterabhängigkeiten. CISOs müssen ihre Wahl anhand technischer Machbarkeit, Sicherheitsanforderungen, Nutzerfreundlichkeit und Kosten treffen.

Schritt-für-Schritt zur passwortlosen Umgebung

Accenture hat beispielsweise die letzten fünf Jahre damit verbracht, sich von Passwörtern zu verabschieden und sich für Microsoft Hello for Business entschieden. Zunächst entwickelte das Team eine Adoptionskarte, in der die grundlegenden Schritte zur Identifizierung passwortloser Optionen bis hin zum Ziel einer vollständig passwortlosen Umgebung erfasst wurden.

Daraus entstand eine Infografik, die innerhalb des Unternehmens verbreitet wurde. Ein Change-Management-Programm umfasste maßgeschneiderte Mitteilungen an die Mitarbeiter je nach Art, Rolle und Situation und zeigte die erforderlichen Maßnahmen auf.

„Aus Sicht des Risikomanagements werden 83 Prozent der Datenschutzverletzungen durch kompromittierte Zugangsdaten verursacht, und dennoch zeigen Studien, dass Unternehmen jährlich eine Million US-Dollar für die Verwaltung von Passwörtern ausgeben“, erläuterte Mary Attard, Accenture ANZ Cyber Protection Lead.