Passkeys sind eine neue Art, sich online zu authentifizieren, ohne dabei auf herkömmliche Passwörter angewiesen zu sein. Im Gegensatz zu Passwörtern, die aus einer Zeichenkette bestehen und bisweilen leicht zu erraten oder zu stehlen sind, basieren Passkeys auf kryptografischen Schlüsseln, die wesentlich sicherer sind. Einfach gesagt: Passkeys sind digitale Schlüssel, die auf einem persönlichen Gerät wie Smartphone oder Notebook gespeichert werden und den Zugang zu Online-Konten ermöglichen. Das Verwalten und Eingeben von Passwörtern ist damit nicht mehr erforderlich – die Anmeldung erfolgt automatisch und sicher.

Wie funktionieren Passkeys?

Die Funktionsweise von Passkeys basiert auf dem Konzept der asymmetrischen Kryptografie. Dies bedeutet, dass für jede Anmeldung zwei Schlüssel generiert werden: ein öffentlicher Schlüssel und ein privater Schlüssel.

• Öffentlicher Schlüssel: Dieser wird auf dem Server des Dienstes gespeichert, bei dem Sie sich anmelden möchten.
• Privater Schlüssel: Dieser verbleibt sicher auf dem persönlichen Gerät (z. B. Smartphone, Laptop oder Tablet).

Wenn Sie sich bei einem Dienst anmelden, sendet der Dienst eine Anfrage an Ihr Gerät. Ihr Gerät verwendet den privaten Schlüssel, um diese Anfrage zu signieren, und sendet die signierte Anfrage zurück an den Dienst. Der Dienst überprüft die Signatur mit dem öffentlichen Schlüssel. Stimmt alles überein, erhalten Sie Zugang.

Der Clou dabei: Ihr privater Schlüssel verlässt niemals Ihr Gerät. Selbst wenn ein Hacker den Server des Dienstes kompromittiert, kann er mit dem öffentlichen Schlüssel alleine nichts anfangen.

Warum sind Passkeys sicherer als Passwörter?

Passwörter haben einige grundlegende Schwachstellen. Sie können:

1. Erraten werden, besonders wenn sie einfach sind.
2. Gestohlen werden, z. B. durch Phishing-Angriffe.
3. Wiederverwendet werden, was ein grosses Risiko darstellt, wenn einer der genutzten Dienste kompromittiert wird.

Passkeys umgehen all diese Probleme:

• Sie sind einzigartig und werden für jedes Konto individuell erstellt.
• Sie können nicht gestohlen werden, da der private Schlüssel niemals das Gerät verlässt.
• Es gibt keine Phishing-Gefahr, da der gesamte Prozess automatisch abläuft und Sie niemals sensible Informationen manuell eingeben müssen.

Wo werden Passkeys bereits eingesetzt?

Grosse Technologieunternehmen wie Apple, Google und Microsoft haben Passkeys bereits in ihre Systeme integriert. Wenn Sie ein iPhone, ein Android-Gerät oder einen Windows-PC verwenden, haben Sie also wahrscheinlich schon die Möglichkeit, Passkeys zu nutzen. Viele Websites und Apps bieten diese Funktion ebenfalls an, wie beispielsweise Amazon, DocuSign, eBay, iCloud, LinkedIn, OneDrive, PayPal oder Twitter.

Wie nutzt man Passkeys?

Die gute Nachricht ist, dass Passkeys benutzerfreundlich sind. Die meisten modernen Geräte, wie Smartphones und Laptops unterstützen Passkeys bereits. Die Verwendung ist einfach:

1. Einmalige Einrichtung: Wenn Sie sich das nächste mal bei einem neuen Dienst oder Webseite registrieren, die Passkeys unterstützt, wählen Sie die Option “Login über Passkeys” (oder ähnlich) aus. Ein Passkey wird automatisch für Sie erstellt und auf Ihrem Gerät gespeichert.
2. Anmeldung: Bei zukünftigen Anmeldungen wird Ihr Gerät automatisch erkennen, dass ein Passkey verfügbar ist, und die Authentifizierung erfolgt nahtlos.

Meist können auch biometrische Methoden wie Fingerabdruck oder Gesichtserkennung verwendet werden, um den Prozess noch schneller und sicherer zu machen.

Fazit

Passkeys sind ein bedeutender Schritt in Richtung eines sichereren Internets. Sie bieten nicht nur besseren Schutz vor den Gefahren, die mit Passwörtern einhergehen, sondern sind auch wesentlich bequemer in der Anwendung. Es lohnt sich, diese Technologie im Auge zu behalten und Schritt für Schritt in den Alltag zu integrieren. So sind Sie bestens gerüstet für die Zukunft der digitalen Sicherheit.

Wir werden nicht müde, auf die Gefahren von Phishing aufmerksam zu machen und haben diesem Thema schon den einen oder anderen Artikel gewidmet. Diese Woche hat die Google-Schwester Jigsaw ein Quiz aufgeschaltet, mit dem jeder sein Wissen über die Betrugsmasche testen kann. Das Quiz ist derzeit nur auf Englisch verfügbar. Wer es machen möchte, muss einen fiktiven Namen und eine erfundene E-Mail-Adresse eingeben. Sie dienen lediglich dazu, die Quiz-Mails realistischer erscheinen zu lassen.

Falls Sie vor dem Test einen Refresher benötigen, empfiehlt sich, vorher unser Sicherheitsbriefing zu absolvieren.

Hier geht’s zum Everyday IT Phishing-Briefing
Und hier der Link zu Googles Phishing-Quiz

Wenn E-Mail-Postfächer vor Bestell- und Versandbestätigungen grosser Online-Shops überquellen, versprechen sich Cyberkriminelle eine höhere Trefferquote. Denn eine gut gemachte Phishing-Mail mit korrekter Anrede und einem Hinweis auf angebliche Probleme mit einer Bestellung hat in diesem Umfeld bessere Chancen, Benutzer auf gefälschte Webseiten zu locken. Besonders gefährlich sind E-Mails mit Anhang: Diese können prinzipiell Malware enthalten.

Immerhin gibt es eine zuverlässige Möglichkeit, gefälschte Webseiten im Voraus zu erkennen: Anhand der URL der Webseite, auf der man seine «Daten bestätigen» soll. Meistens reicht es, mit dem Mauszeiger über den Link zu fahren, um sich das anzusteuernde Ziel anzuschauen. Auf Mobilgeräten kann meist länger auf einen Link getippt werden, um sich die URL anzusehen.

Weitere Informationen zum Thema Phishing gibt es hier.

Über das sogenannte Phishing versuchen Cyberkriminelle an geheime Nutzerdaten zu kommen. Dazu verschicken die Angreifer E-Mails und versuchen die Empfänger mit psychologischen Tricks wie dem Erzeugen von Neugier, Angst oder Handlungsdruck dazu zu bringen, auf einen Link zu klicken oder den Anhang zu öffnen. Die Qualität solcher E-Mails und der zugehörigen Webseiten nimmt laufend zu, was Angreifern zu noch besseren Chancen verhilft. Die Erfolgsquote bricht aber drastisch ein, wenn dem Empfänger bekannt ist, wie Phishing-Angriffe in der Praxis üblicherweise ablaufen. Es ist daher sinnvoll, sich das Prinzip eines Angriffs zu verinnerlichen. In der Regel besteht er aus zwei Schritten:

Schritt 1: Versand einer Phising-E-Mail

Im ersten Schritt versenden die Angreifer eine möglichst offiziell anmutende E-Mail. Diese sehen aus, als kämen sie von Banken, Online-Shops oder sonstigen Webseiten mit persönlichen Konten. Dabei wird versucht, das Opfer mit einem der folgenden Ansätze zu einer Reaktion zu verleiten:

• Der Empfänger wird mit einem Problem konfrontiert – häufig geht es darum, dass er seine Daten bestätigen soll. In diesem Fall enthält die E-Mail einen Link zu einer betrügerischen Webseite.
• Alternativ enthält die E-Mail einen Anhang, dessen Bezeichnung so gewählt wurde, dass sie den Empfänger zum Öffnen verleitet. Beim Anhang handelt es sich um Malware.

Schritt 2: Abgreifen von geheimen Daten

Klickt der Nutzer auf den Link in der E-Mail oder öffnet er den Anhang, startet Teil zwei des Angriffs:

• Im Fall des angeklickten Links wird eine betrügerische Webseite geöffnet. Diese ist vom Original kaum zu unterscheiden, sodass Nutzer immer wieder darauf hereinfallen. Wer sich auf der gefälschten Seite einloggt, sendet seine Zugangsdaten an die Angreifer. Häufig wird unter einem Vorwand ausserdem zur Bekanntgabe von weiteren Daten aufgefordert, beispielsweise zur Kreditkarte. Die so erhaltenen Daten nutzen die Angreifer dazu, die Identität des Opfers zu übernehmen und es zu schädigen.
• Im Fall des geöffneten Anhangs nistet sich eine Schadsoftware auf dem Computer des Opfers ein. Diese sammelt in der Folge Daten, welche die Angreifer zur Schädigung des Opfers verwenden können. In anderen Fällen wartet die Software den Besuch bestimmter Onlinedienste ab und leitet den Computer automatisch und unbemerkt auf gefälschte Webseiten um. Der weitere Verlauf erfolgt dann wiederum nach dem vorstehenden Punkt.

Tipps, um Phishing zu erkennen

Bei E-Mails:

• Das E-Mail enthält eine Aufforderung, auf einen Link oder Knopf im Mail zu klicken. Durch Erzeugung von Neugier, Angst oder Handlungsdruck wird versucht, eine Handlung zu provozieren.
  Beispiel: «Bei Ihrem Konto wurden nicht autorisierte Aktivitäten festgestellt. Klicken Sie hier, um sich anzumelden und das Problem zu beheben.»
• Die in der E-Mail enthaltene Adresse weicht von der offiziellen Webseitenadresse ab. Fahren Sie mit dem Mauszeiger über den mitgeschickten Link. So wird die tatsächlich hinterlegte Adresse in einer Sprechblase angezeigt. Kontrollieren Sie nun, ob es sich 1:1 um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: Im untenstehenden E-Mail entspricht die Adresse in der Sprechblase (paypal-chk.com) nicht der offiziellen Webseitenadresse (paypal.com):
  

• Sie werden nicht mit Ihrem Namen angesprochen. Anbietern, bei denen Sie ein Benutzerkonto haben, ist Ihr Name in der Regel bekannt. Ist die Ansprache dennoch unpersönlich, kann von einer Fälschung ausgegangen werden.
  Beispiel: «Sehr geehrter Kunde»
• Die Zustellung des E-Mails an Sie ist nicht plausibel. Die E-Mail kam unerwartet. Sie haben keine entsprechende Handlung vorgenommen oder in der E-Mail sind nur vage Angaben enthalten.
  Beispiel: «Ihre Bestellung bei Zalando wurde storniert» oder «Ihre Quittung N-58434759 vom 7.5.2018» (Bemerkung: Als Anhang wird ein Dokument mitgeschickt)
• E-Mail enthält interessanten Anhang. Die Bezeichnung des Anhangs erweckt Neugier, scheint aber nicht für Sie bestimmt, resp. Sie erhalten die deklarierten Informationen üblicherweise nicht.
  Beispiel: «Lohndaten 2018.doc»
• Unbekannter Absender. Die E-Mail wurde Ihnen von einer fremden Person unerwartet zugeschickt.
• Rechtschreib- und Grammatikfehler. Oft ist es das Ergebnis einer Computerübersetzung. Zwar wird die Qualität immer besser, fehlerhafte Texte bleiben aber in jedem Fall ein Warnsignal.
  Beispiel: «Aktualisieren Sie Ihre Kredit karteninformationen !»

Bei Webseiten:

• Kein Schloss-Symbol in der Adresszeile (unverschlüsselte Verbindung). Sollte ein Schloss-Symbol fehlen, handelt es sich in jedem Fall um eine unsichere Webseite. Achten Sie bei grossen Anbietern zudem darauf, ob neben dem Schloss der Firmenname in grüner Schrift aufgeführt ist (Extended-Validation-Zertifikat). In diesem Fall wurde die Webseite von einer Zertifizierungsstelle auf Echtheit geprüft.
• URL weicht von der offiziellen Webseitenadresse ab. Kontrollieren Sie in der Adresszeile des Browsers, ob es sich beim Adressteil in schwarzer Schrift tatsächlich um die offizielle Webseitenadresse des Anbieters handelt.
  Beispiel: «https://www.paypal-chk.com/» statt «https://www.paypal.com/»
• Beliebige Login-Daten werden akzeptiert. Zweck einer Phishing-Webseite ist das Sammeln von Zugangsdaten. Gelingt das Login mit Fantasie-Angaben, handelt es sich eindeutig um eine unsichere Webseite.

Kontaktieren Sie uns, falls Sie mehr über Onlinesicherheit erfahren wollen.