IT-Sicherheit in Kommunen: Das Passwort der Zukunft

Die Kombination aus Benutzername und Passwort ist nach wie vor die am häufigsten anzutreffende Methode, um sich an PCs und Nutzerkonten anzumelden. Aber Passwörter sind entweder schwer zu merken oder bei Hackerangriffen zu leicht zu erraten. Und selbst wenn ein Passwort als sicher gilt, kann es durch Datenleaks oder Phishing von Cyberkriminellen dennoch erlangt werden. Ein weiteres Problem: es kann nie ausgeschlossen werden, dass Mitarbeitende der Kommunen ihr sicheres Arbeits-Passwort auch für private Zugänge verwenden – weil es mühselig ist, im Zeitalter der zighundert Accounts für jeden ein eigenes Passwort im Kopf zu behalten. Dies erhöht das Risiko, dass infolge eines Datendiebstahls bei einem privaten Anbieter – was selbst bei den US-Giganten der Internetdienste immer wieder vorkommt – ein Passwort geleakt wird, das dann auch für die Anmeldung in der kommunalen IT passt. Kurz: Passwörter sind Sicherheitsfaktor und Sicherheitsrisiko zugleich. Gibt es nichts Besseres?

Mittlerweile stellen Passkeys eine Alternative zu Passwörtern dar. Passkeys bestehen aus drei Elementen:

•Wie bisher gibt es Benutzerkonten mit einem Anmeldenamen.
•Wenn die berechtigte Person dieses verwenden möchte, muss sie eine Authentifizierungsmethode wählen, die normalerweise biometrische Daten
nutzt. Dies kann ein Fingerabdruck- oder Gesichtsscan sein.
•Dies löst anschließend im Hintergrund ein komplexes, kryptografisches Verfahren aus. Das Endgerät, an dem sich die Person anmeldet, hat dafür
bei der Ersteinrichtung einen sogenannten geheimen Schlüssel im internen Speicher abgelegt.

Verbreitet im privaten Bereich sind Passkeys mittlerweile bei Smartphones. Da Smartphones im Alltag immer öfter das einzige Gerät für Logins sind, können sie auch zur Anmeldung genutzt werden, wenn diese auf einem anderen Gerät, wie dem PC, stattfinden soll. Das mit dem Schlüssel versehene Gerät scannt dann in der Regel per Kamera einen QR-Code, den die Anmeldeseite auf dem PC-Monitor anzeigt. Anschließend kann über das andere Gerät die Authentifizierung vorgenommen werden.

Nicht zu verwechseln ist dies mit der sog. Zwei-Faktor-Authentifizierung (2FA), bei der der zwei Verifizierungsschritte miteinander kombiniert werden. Darunter kann auch die Freigabe durch biometrische Merkmale oder ein Passkey fallen, dann aber meist in Kombination mit einem klassischen Passwort. Passkeys an sich sind im Übrigen bewusst als passwortlose Form der Anmeldung gedacht.

Und obwohl sich Nutzende logischerweise bei allen Diensten mit demselben Gesicht und denselben Fingerabdrücken anmelden, löst dies nicht dasselbe Sicherheitsproblem aus wie ein identisches Passwort für mehrere Konten: wegen des geheimen Schlüssels funktioniert jeder Passkey immer nur mit einem einzigen Account. Daher können nie mehrere Accounts gefährdet sein, selbst wenn ein Passkey missbraucht wird.

Das Bundesamt für Sicherheit in der Informationstechnik verweist auf weitere Vorteile, die Passkeys gegenüber Passwörtern haben:

•Passkeys können nicht zu kurz oder zu simpel sein.
•Es besteht keine Gefahr, sie zu vergessen.
•Passkeys sind immun gegen die breite Masse von Phishing-Angriffen.

Für die praktische Anwendung kommt der Vorteil hinzu, dass kein Vertippen bei der Eingabe eines komplexen Passworts mehr möglich ist (Stichwort „FESTSTELLTASTE ist aktiviert“). Sie ist auch schneller, da anders als bei der 2FA kein zusätzlicher Schritt für die Anmeldung nötig ist.

Die Akzeptanz der Nutzerinnen und Nutzer ist ein Faktor, der bei der Einführung von Passkeys in der kommunalen IT berücksichtigt werden muss. Im Jahr 2024 war die Methode noch nicht einmal jeder dritten befragten Person in Deutschland bekannt, nur 18 % nutzten die Technologie regelmäßig. Mitarbeitende benötigen Schulungen und eine Aufklärung zu etwaigen Bedenken bei der Nutzung ihrer biometrischen Daten.

Eine noch größere Hürde wird für Städte und Gemeinden die nötige Abstimmung von Hard- und Software sowie die Anpassung an die Arbeitsprozesse sein. In kommunalen Arbeitsumgebungen sind spezifische Rahmenbedingungen zu beachten (z.B. nicht geeignete Fachanwendungen, gemeinsam genutzte Arbeitsplätze oder Gruppenzugänge). Hier würde die Einführung eine Umstellung bedeuten, da die Arbeit im Falle eines Hardwaredefektes durch die lokale Speicherung der für die kryptografischen Verfahren erforderlichen Daten stark eingeschränkt wird. Auch stellt sich eine Passkey-Verwaltung über die Ökosysteme von Apple, Google und Microsoft hinweg als komplex dar. In sensiblen Bereichen (z.B. Meldewesen, Finanzen, Personal) bietet sich ein Passkey allein nicht an und sollte weiter eine 2FA erfolgen.

Einschätzung des Städte- und Gemeindebundes NRW

Eine Welt ohne Passwörter wird es auf absehbare Zeit noch nicht geben. Zu den Grundfragen der kommunalen IT-Sicherheit gehört jedoch, wie eine passwortbasierte Anmeldung zumindest sicherer wird. Etwa durch die Verstärkung mittels 2FA – oder durch den Ersatz von Passkeys. Kurzfristig und einfach ist die Einführung nicht flächendeckend möglich. Kommunen können aber prüfen, wo ggf. Pilot- und Testbereiche in Frage kommen, in denen die Implementierung erprobt werden kann. Hierzu sind die Kompatibilität mit kommunalen Fachverfahren und ggf. mögliche Risiken und Herausforderungen (wie Gruppenarbeit) zu prüfen und zu bewerten. Entsprechend sollte dies eng durch das kommunale Rechenzentrum oder die kommunale IT begleitet werden.