Zwei-Faktor-Authentisierung für mehr Sicherheit beim Login
Die Zwei-Faktor-Authentisierung (2FA) erhöht die Sicherheit beim Login, denn im Normalfall melden Sie sich an einem IT-Dienst mit Ihrem individuellen Nutzernamen und Passwort an.
Ihr Passwort ist umso sicherer, je länger es ist. Zusätzlich sorgen eine Mischung aus Buchstaben, Groß- / Kleinschreibung, Ziffern und Sonderzeichen dafür, dass das niemand Ihr Passwort beispielsweise durch Abgleich eines Wörterbuchs, oder einer Datenbank von bereits bekannten Passwörtern anderer Nutzer erraten kann. Halten Sie Ihr Passwort deshalb geheim.
Achten Sie außerdem darauf, dass Ihnen beim Eintippen Ihres Passworts niemand über die Schulter sieht (Shoulder Surfing).
Nur mit diesen technischen und organisatorischen Maßnahmen können Sie sicher sein, dass niemand außer Ihnen Ihr Benutzerkonto nutzt.
Sicherheit, Vertraulichkeit und Integrität hängen vollständig an Ihrem Passwort. Denn mit Ihrem Nutzernamen und Passwort kommt jeder an allen getroffenen technischen Maßnahmen vorbei. So wie Sie.
Es existieren unzählige Datenbanken geleakter Passwörter. Daraus ist allgemein bekannt, dass viel zu oft unsichere Passwörter verwendet werden.
Sie sehen aus dieser kurzen Beschreibung, dass Passwörter allein nicht mehr ausreichend sind um Systeme abzusichern.
Als mögliche Lösung zur Erhöhung der Sicherheit können Sie einen zusätzlichen Faktor (neben dem Passwort) hinzuziehen. Die sogenannte Zwei-Faktor-Authentisierung (2FA).
Wie Zwei-Faktor-Authentisierung (2FA) funktioniert
Um die Sicherheit zu verbessern, erfassen Sie bei der Anmeldung ein zusätzliches Merkmal neben Ihrem Passwort, den zweiten Faktor. Im Unterschied zum Passwort, das Sie kennen („Wissen“), ist der zweite Faktor an etwas Physisches wie ein Stück Hardware gebunden („Besitz“), oder Teil von Ihnen („Biometrie“). Damit Sie sich anmelden können, benötigen Sie bei der Zwei-Faktor-Authentisierung entweder zusätzliche Hardware wie beispielsweise Ihr Smartphone, oder Sie nutzen ein biometrisches Merkmal wie Ihren Fingerabdruck. Wichtig dabei ist, dass nur Sie diesen zweiten Faktor besitzen.
2FA-Systeme nutzen also zusätzlichen Faktoren wie:
-
PIN-Eingabe am Smartphone (z.B. in einer App, oder Authenticator-App)
-
Hardware Key (z.B. FIDO, U2F)
-
Smartcard (vgl. Scheckkartenformat)
-
Fingerabdruck-Leser (z.B. am Laptop oder Smartphone)
Sie kennen solche Systeme sicherlich schon aus dem Online-Banking, denn hier ist die Zwei-Faktor-Authentisierung seit einigen Jahren vorgeschrieben. Transaktionen müssen verpflichtend mit einem zweiten Faktor bestätigt werden, beispielsweise in einer Smartphone-App.
Ein weiteres Beispiel für einen zweiten Faktor ist Ihr Smartphone selbst. Darauf werden bestimmte Aktionen erst ausgeführt, wenn Sie diese mit PIN-Eingabe, über Fingerabdruck-Sensor (Touch-ID / Fingerprint Authentication), oder Gesichtserkennung (Face-ID) bestätigen.
Wie Mehr-Faktor-Authentisierung (MFA) funktioniert
Von Mehr-Faktor-Authentisierung (MFA) spricht man, wenn mehrere Faktoren für die Anmeldung kombiniert werden. Dadurch wird die Sicherheit zusätzlich erhöht. Ein Beispiel ist die Anmeldung an einem Online-Dienst mit Username/Passwort plus Face-ID und Smartphone-App. Solche Verfahren werden vor allem im Bankenbereich, oder beim Schutz von Gesundheitsdaten eingesetzt.
Vor- und Nachteile von Mehr- und Zwei-Faktor-Authentisierung
Die Zwei-Faktor-Authentisierung gehört mittlerweile zum Stand der Technik.
Besonders im Datenschutz, also immer dann, wenn es um die Sicherheit von personenbezogenen Daten geht, sollten Sie 2FA Systeme verwenden und zum Standard machen.
Es ist absehbar, dass diese in den nächsten Jahren selbstverständlich werden und Sie, bzw. Ihre Nutzer sich an diese „neuen Systeme“ gewöhnen werden.
Vorteile der Zwei-Faktor-Authentisierung
Der entscheidende Vorteil der 2FA-Systeme ist die viel höhere Sicherheit, verglichen mit der einfachen Passworteingabe zur Anmeldung an Konten: selbst wenn jemand Ihr Passwort kennt, benötigt er zusätzlich noch Ihr entsperrtes Smartphone für eine Anmeldung.
Genau aus diesem Grund empfehlen Datenschutz- und Sicherheitsspezialisten, unter anderem die Aufsichtsbehörden für Datenschutz und das BSI, die Verwendung von Zwei-Faktor-Systemen.
Nachteile der Zwei-Faktor-Authentisierung
Nutzer von Zwei-Faktor-Authentisierung benötigen ein Gerät, bzw. die entsprechende Hardware. Unter Umständen also ein Smartphone. Nutzen Sie dafür nach Möglichkeit unternehmenseigene Hardware und verzichten Sie auf die Privatgeräte von Beschäftigten, auf denen Sie die Sicherheit nicht ausreichend kontrollieren können.
Die zusätzliche Eingabe ist aber auch etwas unbequemer: wenn Sie Ihr Smartphone nicht zur Hand haben, können Sie sich nicht anmelden. Wenn Sie ein neues Smartphone bekommen, müssen Sie die 2FA erst neu einrichten. Das nimmt unter Umständen etwas Zeit in Anspruch, die Sie einkalkulieren müssen.
Um diese Nachteile zu mindern, fragen einige Dienste nicht jedes Mal nach dem zweiten Faktor. (Was natürlich auf Kosten der Sicherheit geht.)
Weiterer Nachteil der 2FA ist, dass nicht alle Dienste-Anbieter die gleichen 2FA-Systeme unterstützen. Es kann also sein, dass Sie sich an einem Account mit Ihrer Smartphone-PIN anmelden müssen, und für einen anderen Account einen Fingerabdruck-Scan benötigen.
Diese Umstände führen durch die Nutzer in der Praxis häufig zu mangelnder Akzeptanz und werden abgelehnt.
TIPP
Nach einer Weile geht die Handhabung des Zweiten Faktors in Fleisch und Blut über. Damit Nutzer solche Änderungen akzeptieren, hilft es häufig, die Gründe (Sicherheitsrisiken / Sicherheitsanforderungen) und die Effekte der getroffenen Maßnahmen zu erläutern.
Dienste für Zwei-Faktor-Authentisierung
Viele Online-Dienste bieten eine oder sogar mehrere Arten der Zwei-Faktor-Authentisierung an. Darunter sind auch alle großen Sozialen Netze, denn immer dann, wenn auf diese Dienste von überall zugegriffen werden kann, ist der Schutzbedarf hoch.
Die genutzten 2FA-Systeme sind in der Regel erprobt und ausgereift.
Zweiter Faktor ist hier meist eine Authenticator-App auf dem Handy, die ein Einmal-Passwort (One-Time-Password, OTP) erzeugt. Leider muss 2FA häufig im Online-Dienst extra aktiviert werden. Es lohnt sich also, wenn Sie die Konfiguration des Online-Dientes überprüfen.
Anders sieht es bei vor Ort installierten Lösungen aus. Nicht alle Anbieter unterstützen ein 2FA-System. Teilweise kann 2FA mit kostenpflichtiger Zusatzsoftware oder Zusatzhardware nachgerüstet werden.
So können Sie beispielsweise die Anmeldung an Ihrer lokalen Windows-Domäne nicht mit Bordmitteln durch 2FA schützen.
Fazit und Empfehlung
Zwei-Faktor-Authentisierung erhöht die Datensicherheit um ein Vielfaches. Daher ist sie in bestimmten Bereichen sogar vorgeschrieben (Online-Banking) oder empfohlen (BSI-Grundschutz-Baustein ORP.4.A10 für Standard-Anforderung).
Sie entspricht auch der von der DSGVO geforderten Sicherheit der Verarbeitung entsprechend dem Stand der Technik.
Immer wenn es um die Absicherung wichtiger Accounts oder Daten geht, sollten Sie die 2FA einsetzen. Beispielsweise bei Accounts mit Administrationsrechten, oder wenn Zugriff auf besondere personenbezogene Daten besteht.
Für den Einsatz bieten sich die Authenticator-Apps von Microsoft oder Google an. Diese werden von vielen Plattformen unterstützt. Alternativ kann bei vielen Diensten ein Hardware-Key am USB-Port genutzt werden. Er übernimmt automatisch die Authentisierung an mehreren Systemen.
Es ist klar, dass die Zukunft von Passwörtern aus der Verwendung zusätzlicher Sicherheitsmaßnahmen wie der Zwei-Faktor-Authentisierung besteht. Planen Sie daher schon heute die Einführung von 2FA Systemen und nehmen Sie diese in Ihre IT-Sicherheitsrichtlinie / Sicherheitskonzept, Datenschutzkonzept, Berechtigungskonzept, Schulungskonzept, usw. auf.
Vergessen Sie nicht die gesetzlichen Anforderungen mit Ihrer Umsetzung abzugleichen und beauftragen Sie Fachleute mit der Überprüfung, damit Sie Ihre Nachweispflichten (z.B. aus der DSGVO) erfüllen können.
