Support

It Management

Zwei Faktor Authentifizierung – Doppelt authentifiziert macht sicherer!

nawid
Veröffentlicht am: 06.04.2022
Author: Nawid Allimoradian
Lesezeit: Minuten
zwei faktor authentifizierung

Mehr Sicherheit für Ihre Accounts & Daten durch Aktivierung der Zwei Faktor Authentifizierung

Was ist die Zwei Faktor Authentifizierung?

2 FA? Zwei Faktor Authentifizierung? Multi Faktor Authentifizierung? Kennen wir (fast) alle, denn im Bereich Online Banking  oder Internethandel – oder an allen Stellen im Internet, wo es in erster Linie um Geld geht – sind diese Verfahren inzwischen der europaweit gesetzlich vorgeschriebene Standard. Dabei wird neben den persönlichen Zugangsdaten (E-Mail Adresse/Username plus Passwort) noch ein weiterer Faktor abgefragt oder extra generiert, bevor der Zugang zu einem Online-Konto freigegeben wird.

Zwei Faktor Authentifizierung

Die Gründe hierfür liegen auf der Hand: die Kombination aus E-Mail Adresse und/oder Username plus Passwort sind relativ einfach zu „knacken“. Insbesondere da sehr viele User:innen es mit der Passwortsicherheit nicht so genau nehmen. Das betrifft nicht nur das berühmte „123456“, sondern auch die Nutzung eines Passwortes für mehrere Accounts oder die Beibehaltung eines Passwortes über einen sehr langen Zeitraum.

 Sicherheitscheck-Tipp:

Es kommt immer wieder vor, dass selbst große Plattformen gehackt und Passwörter gestohlen werden. Auf dieser Website können Sie überprüfen, ob das bei Ihren verschiedenen E-Mail-Adressen schon einmal der Fall war: https://haveibeenpwned.com/

Die Sicherung des Zugangs nur für die jeweils Berechtigten wird immer wichtiger, je mehr Funktionen oder Leistungen über einen Online-Account abgewickelt werden. Oder im Falle von Unternehmen, je mehr Zugriff auf geschäftliche Daten und Aktivitäten erhalten werden kann. Denn die Verlagerung des Arbeits- und Geschäftslebens in die virtuelle Welt hat auch eine Verlagerung der Kriminalität nach sich gezogen. Das mit OATH – Initiative for Open Authentication – extra eine industrieweite Zusammenarbeit für die Entwicklung einer offenen Systemarchitektur für sichere Authentifizierung gegründet wurde, unterstreicht die Bedeutung des Themas.

Keine andere IT-Sicherheitsmaßnahme bietet für sich genommen eine derartige Verbesserung des Schutzes vor unberechtigten Zugriffen auf Ihre Unternehmensdaten. Also höchste Zeit, dass Sie und Ihr Unternehmen sich daran machen, die Zwei Faktor Authentifizierung bei sich einzurichten um sicher und compliant arbeiten zu können. Im Folgenden skizzieren wir, worauf Sie bei der Auswahl einer Methode für die Zwei Faktor Authentifizierung achten müssen. In den weiteren 2 Teilen unserer Mini-Serie im Blog werden wir Ihnen dann Praxiserfahrungen mit den gängigsten Authenticator Apps sowie dem Yubikey Sicherheitsstick vorstellen.

Muss dieser ganze Umstand mit der Zwei Faktor Authentifizierung für Sie sein?

Die Antwort ist ganz einfach – JA!

Warum? Eigene Accounts – auch wenn es sich nur um den für E-Mails handelt – und Unternehmensdaten vor unberechtigten Zugriff bestmöglich zu schützen wird zu einer der zentralen Herausforderungen in Zeiten des mobilen Arbeitens. Sie wollen nicht nur Ihr Geld schützen, sondern auch Ihr geistiges Eigentum. Sie möchten nicht Opfer eines Identitätsdiebstahls werden, so in Ihrem Namen u.U. sogar Straftaten verübt werden. Ihre Kund:innen haben den berechtigten Anspruch darauf, dass ihre Daten bei Ihnen sicher sind.

Zwei Faktor Authentifizierung

Nicht zuletzt ist absehbar, dass die Zwei Faktor Authentifizierung zur rechtlichen Vorgabe oder von großen Plattformen zur zwingenden Auflage gemacht wird.
Im Bereich Zahlungsdienstleistungen (payment services) gilt dies EU-weit bereits verbindlich seit dem 01.01.2021 – und falls Sie einen Online-Shop oder ähnliches betreiben, werden Sie diese Umstellung höchstwahrscheinlich schon durchgeführt haben, zumindest über den beauftragten Zahlungsdienstleister. Die genauen EU-rechtlichen Vorgaben finden Sie hier.

Im Bereich des allgemeinen Datenschutzes nach DSGVO (Datenschutzgrundverordnung) ist die Zwei Faktor Authentifizierung noch nicht in den Sicherheitsauflagen aus Art. 32 (hier nachzulesen)  enthalten – mittelfristig dürfte dies jedoch zum rechtlich verpflichtenden Standard werden.

Google-Mail hat im November 2021 bereits für die E-Mail Konten die verpflichtende Zwei Faktor Authentifizierung eingeführt. Seitdem erhalten die User:innen eine Meldung auf ihr Smartphone , wenn sie von einem anderen als dem üblichen Gerät bzw. IP-Adresse auf ihren E-Mail-Account zugreifen und müssen meist per Smartphone ihre Identität bestätigen. Microsoft bietet für seine Dienste bereits seine Multi-Faktor-Authentifizierung (MFA) an und hat angekündigt, diese im Laufe des Jahres 2022 verpflichtend zu machen.

Keine Angst vor Sprachverwirrung!

Authentifizierung? Authentisierung? Autorisierung?
Die passive 2-Faktor Authentifizierung durch das jeweilige System kommt genau genommen nach der aktiven Authentisierung– sprich der Vorlage eines Authenticators durch die Nutzer:innen.


Im Englischen gibt es „authentication“ – beschreibt den vorgelegten authenticator als Gegenstand, der etwas authentisiert – und „authentification“ für den eigentlichen Prozess des Authentifizierens.
Teilweise wird auch von Multifaktor Authentifizierung (MFA) gesprochen (Microsoft z.B. verwendet den Begriff für sein Verfahren) – was nichts anderes ist als der Oberbegriff für alle Verfahren mit mehr als nur einem Faktor – von denen das 2-Faktor-Verfahren bei weitem das gebräuchlichste ist.
Letzter Schritt in diesem Prozess ist dann wieder die Autorisierung – nämlich dass dem authentifizierten User gewisse Zugriffe ermöglicht werden.


Kurzum – viele unterschiedliche Begriffe, die im Kern alle zum selben Sachverhalt gehören – nämlich mehrstufige sichere Verfahren für den Zugang zu Konten und Daten

Wie genau funktioniert Zwei Faktor Authentifizierung?

Bei der Zwei Faktor Authentifizierung müssen für den Zugang immer mindestens zwei Faktoren aus unterschiedlichen Kategorien abgefragt werden. Unterschieden wird dabei zwischen folgenden drei Faktor-Kategorien:

1.Wissens-Faktor: dabei geht es um Kenntnisse, die nur Sie haben, wie ein PIN, Kennwort oder Nutzername

2.Besitz-Faktor: bringt das gegenständliche Element hinzu, wie eine registrierte Chip-Karte, ein USB-Stick oder Smartphone. Der oft gebräuchliche Oberbegriff für die Gegenstände, die zur Authentifizierung benötigt werden, ist „Token“ – im ursprünglichen Wortsinn ein physisches Zeichen.

3.Biometrischer-Faktor: der individuell nur mit Ihnen als Person verbindet, wie Fingerabdruck, Iris-Scan oder Stimmerkennung, üblicherweise verbunden mit Ihrem Smartphone.

Was sind die häufigsten Verfahren zur zweistufigen Authentifizierung?

In der Praxis haben sich vor allem folgende Faktoren-Kombinationen als Standards durchgesetzt:

  • 1. CHIP-KARTE PLUS TAN
Zwei Faktor Authentifizierung

Eine einmalig gültige Transaktionsnummer ist derzeit die gängigste Methode im Online-Zahlungsverkehr. Dies fing an mit den berüchtigten TAN-Listen, dann kam die mTAN als SMS auf das Handy – was inzwischen kaum noch verwendet wird, da es Hackern immer wieder gelungen ist, diese TANs abzufangen oder SIM-Karten zu klonen.

  • 2. APP BASIERTE TAN/CODE-VERFAHREN
Zwei Faktor Authentifizierung

Diese sind aktuell die Antwort auf die Probleme, die beim Chip-Karte plus TAN Verfahren entstehen.
Dafür installieren Sie auf dem Smartphone oder PC eine App/Programm, welches zeitbasiert jeweils einen neuen Code für den Zugang generiert. Diese Codes sind meist 6-stellig und halten 30-90 Sekunden. Dieser Code wird dann zusätzlich zu Ihren persönlichen Anmeldedaten beim Einloggen in einen Account eingegeben.

Während Banken und Zahlungsdienstleister hierfür ihre eigenen Systeme entwickelt haben, gibt es auf dem Markt inzwischen mehrere Apps für die Authentifizierung – sog. Authenticators – die als zweiter Faktor zur Sicherung unterschiedlicher Typen von Accounts und Zugängen einsetzbar sind.
Wir stellen Ihnen hier (in Teil 2 im Selbsttest) drei der gängigsten APPs Mit ihren Stärken und Schwächen vor: Google Authenticator, Microsoft Authenticator App, und Authy (von Twilio)

  • 3. SICHERHEITS-STICK (YUBIKEY) ODER „SECURITY KEY“
Zwei Faktor Authentifizierung

Das ist die aktuell sicherste Variante. Sie benötigen hierfür einen speziellen USB-Stick, auch Yubikey genannt nach dem Marktführer, der ein bestimmtes Zertifikat enthält. Dieses Zertifikat wird beim Log-In in Ihren Account als zusätzliche Sicherheitsmaßnahme durch das physische Einstecken des Sicherheits-Sticks in das verwendete Gerät für die Freigabe benötigt.
Zu diesem Verfahren finden Sie hier im Blog demnächst einen gesonderten Beitrag.

 

Wie gelingt Ihnen die Umstellung auf Zwei Faktor Authentifizierung?

Um zu verhindern, dass bei der Umstellung auf die Zwei Faktor Authentifizierung ein typisches „neue IT-Schreckens-Szenario“ eintritt -alle Handys fliegen raus, nichts funktioniert mehr, Sie kommen nicht mehr an ihre E-Mails, Daten, etc. – hilft nur eins: Planen, Planen, Planen!

Präziser gesagt – PLANEN auf mehreren Ebenen:

  1. 1. Zeitlich: Setzen Sie einen klaren Zeitrahmen von der Entscheidung bis zur Implementierung. Neben fixen Enddaten sind dabei immer wieder „Zwischen-Zeiten“ zu setzen, wann der Stand evaluiert und ggf. angepasst werden muss und „Puffer-Perioden“ für evtl. Verzögerungen mit einzukalkulieren.
  1. 2. Technologisch: Mit welcher Technologie möchten Sie das angehen? Bevor eine Antwort auf diese Frage gegeben werden kann, ist eine Analyse Ihrer Arbeitsabläufe und vorhandenen IT-Infrastruktur notwendig. Wird in erster Linie stationär im Office gearbeitet, oder mobil? Welche Hardware wird genutzt – und sind da u.U. Änderungen geplant? Wie sind Zugangsberechtigungen verteilt,und sind z.B. einzelne Unternehmensbereiche besonders geschützt bzw. sollten dies sein? Mit welchen Technologien bestehen bereits Erfahrungen – positive wie negative – die berücksichtigt werden sollten?
    Auf der Basis kann dann entschieden werden, welche Technologie für Ihr Unternehmen den größten Nutzen in puncto Sicherheit bei gleichzeitig hoher Bedienfreundlichkeit bringt. Sei es nun eine Authenticator-App (wenn ja welche?), ein Fingerprint-Scan oder doch ein USB-Security Key.
  1. 3. Periphär: Neben den gewählten 2-FA-Technologie sind noch die Auswirkungen auf und Erfordernisse an alle IT-Technologien berücksichtigt werden, die sich rundherum im Unternehmen – also periphär zum Projekt der Umstellung auf 2-FA – befinden. Wie werden dadurch Backupsysteme, Outlook-Clients, Custom-Software und vieles weitere mehr beeinflusst? Gibt es dort vielleicht einen Punkt, an dem ggf. doch eine andere als die ursprünglich avisierte Technologie besser geeignet wäre?
  1. 4. Personell: Nehmen Sie Ihre Mitarbeiter:innen mit – und zwar von Anfang an! Diese müssen schnell informiert, motiviert und dann gut geschult werden. Je nach Unternehmensstrukturen und gewähltem 2-FA-Verfahren können einzelne Mitarbeiter:innen oder Kleingruppen als Testpersonen fungieren – sei es bei ihren privaten Accounts oder in separat arbeitenden Teile der Unternehmens-IT. Oder mit speziellen Train-the-Trainer-Einheiten, was meist die Akzeptanz erhöht, wenn Kolleg:innen untereinander Neuerungen mit einführen. Dazu gehören natürlich methodisch ansprechende Schulungsmaßnahmen oder auch Team-Feedback-Runden zu ersten Erfahrungen mit den neuen Maßnahmen.
Zwei Faktor Authentifizierung


Im Falle des Falles – 2-FA Backups

Das eindeutige Risiko und Nachteil von 2-Faktor-Authentifizierungs-Systemen liegt auf der Hand: Was tun, wenn das Smartphone mit der App gestohlen wird – oder der USB-Sicherheitsstick verloren geht? Wie kommen Sie dann weiterhin an alle Ihre Daten und Accounts heran?
Hier hilft wieder nur – diesen Fall gleich mit PLANEN bei der Umstellung! Alle 3 Apps, die wir Ihnen in Teil 2 dieser Mini-Serie vorstellen werden – Google und Microsoft Authenticator sowie Authy – haben die Option von Backup-Codes. Diese können bei Einrichtung der App gleich abgerufen und – Achtung! Gute, alte, analoge Kulturtechnik! – heruntergeladen und ausgedruckt an einem sicheren Ort aufbewahrt werden. Oder aber der Aktivierungs-Code fotografiert oder abgeschrieben und wiederum am besten auf Papier sicher verwahrt werden. Darüber hinaus bietet Authy zum Beispiel die Möglichkeit des Cloud Backups, wodurch auch bei einem Verlust des Gerätes die Daten nicht verloren sind.

In unser Mini-Serie zur Einrichtung der 2-Faktor-Authentifizierung stellen wir Ihnen in Kürze hier in Teil 2 die 3 am weitesten verbreiteten Authenticator Apps – Google Authenticator, Microsoft Authenticator sowie Auxy – im Praxischeck vor und dann in Teil 3 das Arbeiten mit dem Yubikey.

Bei Consertis finden Sie genau die IT-Expert:innen, die Sie individuell beraten und fachlich kompetent darin unterstützen, Zwei Faktor Authentifizierung bestmöglich in Ihrem Unternehmen einzuführen.

Kontaktieren Sie uns einfach per Telefon, E-Mail oder buchen Sie online auf unserer Website Ihren Wunschtermin.

Online Termin vereinbaren
Support