Ein erfolgreiches SSPR Projekt erfordert Benutzerakzeptanz!

Ein etabliertes SSPR Projekt (Self-Service Password Reset) erfordert die Einbindung und Akzeptanz aller Nutzer*innen. Auch in Zeiten des „neuen normals“ unterstützt der Help Desk bei der Neuvergabe von Passwörtern. Dabei verschlingt der Prozess Ressourcen und Kosten und bringt ein erhöhtes Sicherheitsrisiko mit sich.

Betreutes Zurücksetzen birgt erhöhtes Sicherheitsrisiko

Wer vor Ort das Passwort zurücksetzen muss, der kann durch seine Person und diverse Dokumente bestätigen, dass die Person dazu berechtigt ist. Umstände wie BYOD, eine schlechte Internetverbindung oder andere Probleme, die auf die Arbeit von zu Hause zurückzuführen sind, können das zuverlässige Zurücksetzen des Passwortes erschweren. Wenn das Passwort von Mitarbeiter*innen bei der Arbeit von zu Hause zurückgesetzt werden soll, dann müssen andere Mittel und Wege zur Identifizierung herhalten. An dieser Stelle erhöht sich das Risiko Opfer einer Betrugsmasche zu werden: Wenn der Help Desk ein Passwort eines Accounts zurücksetzt, obwohl der Inhaber dies nicht beantragt hat. Sogenannte Social Engineering Attacken sind besonders erfolgreich, da es nur begrenzt technische Hilfsmittel gibt diese einzugrenzen. Eine verpflichtende Anwesenheit der Person, um den Account derselbigen zurückzusetzen, wäre eine organisatorische Maßnahme. In Zeiten von Corona kann dem jedoch nicht zwingend und ständig nachgekommen werden.

Ein erfolgreiches SSPR Projekt reduziert Kosten und erhöht das IT-Sicherheitsniveau

Mit der Hilfe von einem Self-Service Password Reset wird es den Endnutzern ermöglicht ihr Passwort selber zurückzusetzen - ohne die Unterstützung vom Help Desk. Dabei kann es unterschiedliche Möglichkeiten bzw. Kanäle geben, wie dieser Self-Service erfolgen kann:

• Die Beantwortung von Sicherheitsfragen
• Den Erhalt einer E-Mail auf ein vorher festgelegtes Konto
• Die Eingabe eines Codes der an eine vorher festgelegte Handynummer gesendet wird
• Die Bestätigung der Identität durch ein Hardware Token oder eine Authenticator App

Die unverzügliche Bearbeitung des Bedarfs ist ein großer Gewinn für alle Betroffenen. Denn wenn der Help Desk einmal in Verzug gerät, dann kann das Zurücksetzen von Passwörtern wertvolle Arbeitskraft kosten. Schätzungen von Gartner zur Folge ist ein Help Desk zwischen 20 - 50% damit beschäftigt Passwörter neu vergeben zu lassen. Versuche den Prozess monetär zu beziffern belaufen sich auf ca. 70 USD pro Reset. Sicherheitsvorfälle in Unternehmen sind nicht preiswerter. Ein Blick auf Kosten und Auslastung lässt also erahnen, welches Potenzial hinter der Einführung eines SSPR Projektes steckt. Dabei ist es nicht die technische Herausforderung, so einen Service zu etablieren. Ziel dieses Projektes sollte es stets sein die Mitarbeiter*innen abzuholen und ihnen den Mehrwert der Nutzung aufzuzeigen. Wer sich jahrelang auf die zuverlässigen Mitarbeiter des Help-Desks verlassen konnte, dem fällt es vielleicht schwerer sich umzugewöhnen.