:quality(80)/p7i.vogel.de/wcms/d7/ca/d7ca53fb63877b71ed8f40be734754ca/0117973730.jpeg "Die große Leserwahl zum Security-Insider-Award 2024 hat begonnen! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/ed/9fed7160871e01f51ccab928dbaeab92/0118467232.jpeg "Cyberkriminelle können durch eine Schwachstelle komplette Konten bei GitLab übernehmen. Zwei-Faktor-Authentifizierung schützt nicht vor dem Angriff aber vor der Kontenübernahme. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/a1/2ba1aa634bb635185b992c84d6fafe4a/0118481703.jpeg "Eine Analyse aktueller Telemetriedaten von Kaspersky zeigt, dass Unternehmen im Schnitt zwei Cybervorfälle pro Tag verzeichnen müssen. (Bild: Sergey Nivens - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351d4b937d1f9dc0224fa277a3a74de/0118466557.jpeg "Bei Sniffing- und Man-in-the-Middle-Angriffen weiß der Betroffene eigentlich nie, dass ein Verbrecher da ist, bis er Maßnahmen ergreift. (Bild: somyuzu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/34/5d34836fbfae674ca8e6f10841213b03/0118372926.jpeg ""Wie viel Kontrolle benötigt KI?", ein Interview von Oliver Schonschek, Insider Research, mit Oliver Keizers von Semperis. (Bild: Vogel IT-Medien / Semperis / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/71/1f/711feeca53f58761a7d711bf317aec47/0118276223.jpeg "Cullen Childress von SolarWinds warnt davor, KI zu vorschnell einzusetzen – mahnt in Sachen KI aber auch Technologie- und Fortschrittsoffenheit an. (Bild: SolarWinds)")
:quality(80)/p7i.vogel.de/wcms/c3/02/c302cd9efb930246cc8bde485a6f83ec/0118446808.jpeg "Erfolgreiche SIEM-Projekte setzen auf umfassende Tests, spezialisierte Teams und detaillierte Planung, um die umfangreichen Datenmengen effektiv zu analysieren und zu überwachen. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/69/4f6904a6142ebe0d7976702b7c15b358/0118451654.jpeg "Das Sicherheitsupdate KB5034441 verursacht teilweise den Fehler 0x80070643, Microsoft wird dafür aber keinen Patch liefern. (Bild: EricPictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/0f/3a0f48a72d0ec33c3e9979f639caff9d/0118466573.jpeg "Mark Barcham, Head of Services Sales & Go-to-Market EMEA bei Arrow. (Bild: Arrow Electronics/Canva)")
:quality(80)/p7i.vogel.de/wcms/4c/6f/4c6fa12509d231ae90bf82565b5380eb/0118478841.jpeg "Verletzungen der Datensicherheit stellen laut „Check Point Cloud Security Report 2024“ die häufigsten Cloud-Sicherheitsvorfälle dar. (Bild: Mustafa - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/0a/200a0580874f1b3875df1b9bc65e8a39/0118421857.jpeg "Netbird verbindet die Sicherheit und Geschwindigkeit von WireGuard mit einer zentralen Zugriffssteuerung. Das Tool ist außerdem beim Einsatz mit bis zu 5 Personen und 100 Geräten kostenlos. (Bild: Vladimir - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/0d/cf0dcef3b9de9eb898ff2e52367e3047/0118249659.jpeg "Microsoft stellt Hotfixes für Exchange 2016 und 2019 zur Verfügung. (Bild: Production Perig - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3b/893b2aad437cb2ff84a9d879a9c48b6a/0118298118.jpeg "In diesem Tool-Tipp zeigen wir, wie der Einstig in die Nutzung des Metasploit Framework zum Pentesting im eigenen Netzwerk einfach klappt. (Bild: MrPanya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/91/5491e2c59cbe3754d963cbdac6f6be13/0118349502.jpeg "Aktuell gibt es umfassende Phishing-Angriffe auf LastPass-Nutzer. (Bild: Eightshot Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/e8/3de8c2c1c4d80064d3d8c86ff50e83a8/0118035467.jpeg "Der Trend zum mobilen Arbeiten, der anhaltende Umzug in die Cloud, der Anstieg an verbundenen Systemen, Geräten, Anwendungen sowie eine wachsende Anzahl von Kontakten und Identitäten sind wesentliche Treiber der Digitalisierung und der Notwendigkeit, externe Identitäten in Unternehmen zu nutzen. (Bild: natali_mis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fd/31/fd317aa6c5aa0f0eeb400110d1de5249/0117787015.jpeg "Windows Hello for Business verbessert die Art und Weise, wie sich Benutzer an ihren Geräten und innerhalb von Entra ID authentifizieren. (Bild: Fractal Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/72/0372ece5adc46f626b82eb5affb44e1b/0118441205.jpeg "Automatisierung in der IT-Sicherheit ist für Unternehmen ein entscheidender Faktor, um aktuelle Herausforderungen zu bewältigen und um sich proaktiv auf die Zukunft vorzubereiten. (Bild: Tierney - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/1f/941f77db5c1061ab5dafafb8d25a12b8/0118037871.jpeg "Cyberangriffe werden zunehmend als Bedrohung für die deutsche Wirtschaft wahrgenommen. In diesem Kontext bedeutet Glasfaserinternet für einen Großteil der Befragten Zuverlässigkeit und Stabilität. (Bild: 1&1 Versatel)")
:quality(80)/p7i.vogel.de/wcms/4b/c8/4bc87650edb2e4b320682b42c3000b8b/0118377216.jpeg "Der anhaltende Trend zum Hybrid Work bietet Cyberkriminellen neue Angriffsmöglichkeiten. (Bild: DuxX / Shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/a5/e3/a5e3b7833dd63fab7b7e0321969e45e0/0116955924.jpeg "FraudGPT ist ein auf Cyberkriminalität und Betrug spezialisierter, unmoderierter Chatbot auf Basis eines für kriminelle Zwecke trainierten LLM. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ad/50/ad5047d54802f097069c426fec52a7c5/0116955909.jpeg "Ein Large Language Model (LLM ist ein mit riesigen Textmengen trainiertes, generatives Sprachmodell mit künstlicher Intelligenz. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Passwortlose Zukunft im E-Commerce Passkeys für mehr Datensicherheit in Onlineshops
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/62/ea/62ea2cb8944b9/arctic-wolf-logo.png "arctic-wolf-logo (Arctic Wolf)"){kind=logo}
Die Gefahr online nimmt zu. Besonders Onlineshops werden immer häufiger Opfer von Hackerattacken. Um dem entgegenzuwirken, können auch hier passwortlose Authentifizierungsmethoden wie Passkeys eingesetzt werden. Doch die Implementierung von Passkeys kann technisch kompliziert sein.
Die Bedrohung durch Cyberangriffe lauert mittlerweile überall und ein Fokus der Cyberkriminellen sind immer wieder Online-Shopsysteme. Der Grund: Online-Händler verfügen über eine große Menge an sensiblen Kund:innendaten. Diese können schnell und gewinnbringend weiterverkauft werden. Statistiken zeigen, dass Onlineshops besonders häufig Opfer von Phishing Attacken werden. So wurden diese laut Statista 2022 zum Ziel von rund 15 Prozent aller Phishing-Angriffe. Sie belegten damit den zweiten Platz hinter Lieferunternehmen, welche von rund 27 Prozent der Phishing-Angriffe betroffen waren.
Für die betroffenen Unternehmen bedeutet ein kompromittierter Onlineshop schnell riesige finanzielle Schäden und ebenso große Imageverluste. Wer seinen Umsatz und sein Image schützen will, muss deshalb für eine fortgeschrittene Sicherheitsstrategie sorgen. Neben einem funktionierenden Datenschutzkonzept und einem integeren Umgang mit den Daten der Kund:innen, ist die Authentifizierungsmethode ein wichtiger Faktor für die Sicherheit eines Online-Shops.
Als klassische Authentifizierungsmethode dienen bislang Passwörter. Besonders diese werden jedoch immer häufiger von Cyberkriminellen geknackt. So gab jede:r der Befragten einer aktuellen 1Password-Studie an, bereits selbst mit Phishing in Kontakt gekommen zu sein oder jemanden zu kennen, der oder dem das passiert sei. Kein Wunder also, dass 77 Prozent der Befragten sich zudem eine sicherere Login-Methode für ihre Accounts wünschen.
Passwörter sind zudem oft holprig in der Anwendung. Ein Beispiel: Eine Kundin möchte in einem Onlineshop einen Kauf abschließen. Hierzu wird sie gebeten, sich in ihren Account einzuloggen. Sie hat jedoch ihr Passwort vergessen, gibt dieses zu oft falsch ein, der Account wird gesperrt und um den Kauf doch noch abzuschließen, müsste sie das Passwort zurücksetzen, neu festlegen und dann zurück zum Warenkorb gehen. Dieser Prozess kostet die Kundin Zeit und Nerven. Dem Onlineshop entgeht dadurch in den meisten Fällen Umsatz - denn je länger eine Kauftransaktion dauert, desto wahrscheinlicher ist es, dass sie abgebrochen wird. So zeigt eine Studie der FIDO Alliance, dass 58 Prozent der befragten Kund:innen bereits einen Kauf deshalb nicht getätigt zu haben, weil sie Schwierigkeiten mit ihrem Passwort hatten.
Die Lösung: Passkeys für eine passwortlose Zukunft
Eine fortschrittliche Alternative zu Passwörtern sind Passkeys: Eine passwortlose Authentifizierungsmethode, die einen sicheren Login ermöglicht und gleichzeitig einfach zu verwenden ist. Eine aktuelle Studie von Google belegt, dass sich Internetnutzende viermal erfolgreicher anmelden, wenn sie dies mit Passkeys statt mit Passwörtern tun. Und weil es kein Passwort zu stehlen gibt, sind Passkeys resistent gegenüber Phishing-Attacken.
Passkeys basieren auf automatisch kreierten Schlüsseln, die auf jedem Gerät gespeichert werden. Sie werden mithilfe von biometrischen Daten, wie beispielsweise dem Fingerabdruck, freigeschaltet. Jeder Passkey besteht aus einem öffentlichen und einem privaten Schlüssel, die mathematisch miteinander verknüpft sind. Die öffentliche Variante verschlüsselt Informationen, die ausschließlich der private Schlüssel dekodieren kann. Hierfür wird der private Schlüssel auf dem Gerät der Nutzenden gespeichert, während der öffentliche Schlüssel mit dem Dienst geteilt wird, auf den zugegriffen werden soll, beispielsweise eine Website oder App.
Folgende Analogie kann beim Verständnis helfen: Der öffentliche Schlüssel ist wie ein unsichtbarer Tintenstift, der nur von einer bestimmten UV-Lampe erkennbar ist. Der private Schlüssel ist wie das UV-Licht, das die geheime Nachricht enthüllt. Jeder kann den Tintenstift (öffentlicher Schlüssel) benutzen, um eine Nachricht zu schreiben, aber NUR die Person mit dem UV-Licht (privater Schlüssel) kann sie lesen. Wenn ein Dienst eine geheime Nachricht schreibt und das Gerät eines Benutzers diese Nachricht lesen kann, dann weiß der Dienst, dass dieser Benutzer im Besitz des Passkeys ist und sich sicher anmelden kann. Der biometrische Scan ist eine zusätzliche Sicherheitsebene.
So sind Passkeys viel einfacher anzulegen, weil sie automatisch erstellt werden. Einfacher zu verwenden, weil sie sich nicht gemerkt werden müssen. Und sicherer, weil sie nicht gestohlen werden können. Für die Verwendung in Onlineshops bedeutet dies, dass die komplizierte Handhabung von Passwörtern zukünftig nicht mehr zu abgebrochenen Kaufvorgängen führt. Wer also eine passwortlose Authentifizierung ermöglicht, kann dadurch einen echten Wettbewerbsvorteil erlangen. Das Problem: Es kann kompliziert sein, eine passwortlose Anmeldefunktion zu einer Website oder App hinzuzufügen.
Die Aufgabe: Passkeys erfolgreich implementieren
Um in einem Onlineshop Passkeys als Authentifizierungsmethode anzubieten, benötigt man für die Implementierung Expertise in FIDO2, sowie Developer- und Sicherheitswissen auf einem sehr fortgeschrittenen Niveau. Diese sind in den meisten Unternehmen aber nicht oder nicht ausreichend vorhanden. Für die erfolgreiche Implementierung von Passkeys benötigt es eine Infrastruktur, die eine plattformübergreifende Kompatibilität, Kontowiederherstellung und laufende Wartung erlaubt.
Passage, die Passkey-Lösung von 1Password lässt sich mit zwei Zeilen Code einfach in eine bestehende Webseite einbauen und bietet die gesamte Infrastruktur, um Passkeys erfolgreich zu implementieren. Dabei können die Webseitenbetreibenden Passkeys lediglich als Authentifizierungsoption hinzuzufügen (Passkey Flex), oder direkt eine umfassende Authentifizierungs- und Identitätsmanagementlösung (Passkeys Complete) einzuführen. So wird der Umstieg auf sicherere und praktischere Authentifizierungsmethoden für Unternehmen auch dann einfach umsetzbar, wenn sie von Haus aus nicht über die nötige IT-Infrastruktur und das Know How dafür verfügen.
Über den Autor: Alex Hoffmann ist Senior Solutions Engineer bei 1Password und seit 2013 in verschiedenen Rollen und Funktionen Teil des Unternehmens. Zuvor leitete er den Kundensupport für die Windows-App und war maßgeblich an der Entwicklung des Business-Sales-Teams von 1Password beteiligt.
(ID:49725506)
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/42/d2/42d2340c11ba5870c63458558fd56729/0117617546.jpeg "Wie funktionieren Passkeys? Kann man sich ohne Kennwort wirklich sicher anmelden? Wir geben Antworten auf wichtige Fragen von Admins und Anwendern. (Bild: Andres Victorero/Wirestock Creators - stock.adobe.com)")