Im BanÂkenÂsekÂtor ist sie schon seit vieÂlen JahÂren gebräuchÂlich: die Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung (2FA). WorÂum es dabei geht, wo Sie 2FA einÂsetÂzen sollÂten und welÂche FakÂtoÂren es über das "WisÂsen" hinÂaus gibt, kläÂren wir in dieÂsem Beitrag.
Wenn Sie am GeldÂauÂtoÂmaÂten steÂhen, benöÂtiÂgen Sie zwei DinÂge, nämÂlich Ihre GiroÂkarÂte und Ihre PIN. Das ist ein klasÂsiÂsches BeiÂspiel für eine Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung: Sie müsÂsen die KarÂte besitÂzen und Ihre PINwisÂsen.
Eine euroÂpäiÂsche VorÂschrift für ZahÂlungsÂdienstÂleisÂter, die zweiÂte ZahÂlungsÂdiensÂteÂrichtÂliÂnie (PSD2) schreibt nun für elekÂtroÂniÂsche ZahÂlungsÂvorÂgänÂge ebenÂfalls eine starÂke KunÂdenÂauÂthenÂtiÂfiÂzieÂrung vor. HierÂbei sind minÂdesÂtens zwei EleÂmenÂte aus den Kategorien
WisÂsen (zum BeiÂspiel das Passwort)
Besitz (zum BeiÂspiel die GiroÂkarÂte oder das MobilÂteÂleÂfon des KunÂden) und
InhäÂrenz, also ein stänÂdiÂges MerkÂmal des KunÂden (zum BeiÂspiel der Fingerabdruck)
erforÂderÂlich.
Für alle, denen das zu theoÂreÂtisch ist, halÂten wir auf dieÂser SeiÂte ein prakÂtiÂsches BeiÂspiel aus dem Bereich Online BanÂking bereit, in welÂchem wir die Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung Schritt für Schritt erläutern.
Bei welÂchen DiensÂten ist eine Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung sinnvoll?
GegenÂüber einem rein wisÂsensÂbaÂsierÂten Ansatz (zum BeiÂspiel BenutÂzerÂnaÂme & PassÂwort) werÂden durch 2FA ZugrifÂfe auf Daten und DiensÂte besÂser geschützt.
WarÂum 2FA beim Online-BanÂking sinnÂvoll und nun auch gesetzÂlich vorÂgeÂschrieÂben ist, liegt auf der Hand: Hier geht es schließÂlich um den eigeÂnen GeldÂbeuÂtel, also ein besonÂders schütÂzensÂwerÂtes Gut.
Aber auch andeÂre DiensÂte und KonÂten im priÂvaÂten wie geschäftÂliÂchen Umfeld sind es durchÂaus wert, durch 2FA besonÂders gut abgeÂsiÂchert zu werÂden. Hier eine entÂspreÂchenÂde Zusammenstellung:
BenutÂzerÂkonÂten in Unternehmen
Soviel ist klar: Einem UnterÂnehÂmen kann ich erhebÂliÂchen SchaÂden zufüÂgen, wenn ich Zugriff auf ein AdmiÂnisÂtraÂtorÂkonÂto habe. Aber auch andeÂre BenutÂzerÂkonÂten in UnterÂnehÂmen berechÂtiÂgen den InhaÂber in vieÂlen FälÂlen zum Zugriff auf besonÂders schütÂzensÂwerÂte Daten (PatenÂte, FinanzÂdaÂten, StraÂteÂgieÂpaÂpieÂre, …) oder datenÂschutzÂreÂleÂvanÂte Informationen. Wir empÂfehÂlen UnterÂnehÂmen daher, grundÂsätzÂlich alle KonÂten per 2FA abzuÂsiÂchern. GerÂne beraÂten wir hierÂzu indiÂviÂduÂell, wenn Sie uns jetzt konÂtakÂtieÂren.
SinÂgle Sign-on
SinÂgle Sign-on (SSO, auch „EinÂmalÂanÂmelÂdung“) bedeuÂtet, dass ein BenutÂzer nach einer einÂmaÂliÂgen AuthenÂtiÂfiÂzieÂrung an einem Gerät von dieÂsem aus auf alle DiensÂte zugreiÂfen kann, zu deren NutÂzung er berechÂtigt (autoÂriÂsiert) ist. Und zwar ohne sich bei jedem Dienst neu anmelÂden zu müssen.
Neben entÂspreÂchenÂden UnterÂnehÂmensÂlöÂsunÂgen gehört hierÂzu beiÂspielsÂweiÂse auch die zenÂtraÂle AnmelÂdung auf Ihrem MobilÂteÂleÂfon: Ist Ihr MobilÂteÂleÂfon erst mal entÂsperrt, könÂnen Sie norÂmaÂlerÂweiÂse per simpÂlem Klick E‑Mails lesen, NachÂrichÂten in WhatsÂApp verÂschiÂcken oder auf FaceÂbook posÂten, ohne sich jedesÂmal erneut anmelÂden zu müssen.
In allen dieÂsem FälÂlen sollÂte für den SSO-LogÂin 2FA obliÂgaÂtoÂrisch sein!
Um mögÂliÂche MissÂverÂständÂnisÂse zu verÂmeiÂden: Sofern Sie irgendÂeiÂnen (mögÂlichst sicheÂren!) ZugriffsÂschutz auf Ihrem MobilÂteÂleÂfon aktiÂviert haben, hanÂdelt es sich insÂgeÂsamt bereits um eine Zwei-Faktor-Authentifizierung!
Sie benöÂtiÂgen nämÂlich einerÂseits WisÂsen (PassÂwort, PIN, EntÂsperrÂmusÂter) oder InhäÂrenz (sieÂhe unten: FinÂgerÂabÂdruck, Iris-/GeÂsichtsÂerÂkenÂnung). AndeÂrerÂseits benöÂtiÂgen Sie – als zweiÂten FakÂtor – das MobilÂteÂleÂfon selbst ("Besitz").
Online-KonÂten mit verÂtrauÂliÂchen Daten
Immer dann, wenn es um die ÜberÂtraÂgung oder den Zugriff auf gespeiÂcherÂte senÂsiÂble Daten geht, ist eine Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung sinnÂvoll. HierÂzu gehört beiÂspielsÂweiÂse der Online-Zugang der eigeÂnen Krankenkasse.
Nach unseÂrem KenntÂnisÂstand wird 2FA bei allen DeutÂschen KranÂkenÂkasÂsen verÂpflichÂtend einÂgeÂsetzt. Das heißt es besteht überÂhaupt nicht die MögÂlichÂkeit, ohne die EinÂgaÂbe eines per SMS erhalÂtenÂden Codes an perÂsoÂnenÂbeÂzoÂgeÂne GesundÂheitsÂdaÂten zu gelanÂgen (sollÂten Sie eine KranÂkenÂkasÂse kenÂnen, bei der dies nicht so ist, freuÂen wir uns über eine MitÂteiÂlung in den Kommentaren).
Das hauptÂsächÂlich genutzÂte E‑Mail-KonÂto
Die PassÂwort-RückÂsetzÂfunkÂtioÂnen vieÂler DiensÂte im InterÂnet senÂden eine E‑Mail mit einem Link zum ZurückÂsetÂzen des PassÂworts an die E‑Mail-AdresÂse des KonÂtoÂinÂhaÂbers. Wenn also das E‑Mail-KonÂto komÂproÂmitÂtiert ist, hat der AngreiÂfer autoÂmaÂtisch auch Zugriff auf vieÂle andeÂre DiensÂte des KonÂtoÂinÂhaÂbers. Daher empÂfehÂlen wir hier unbeÂdingt die AnwenÂdung von 2FA.
ÄrgerÂlich, das groÂße E‑Mail-DiensÂte wie gmx​.de, t‑online.de und web​.de keiÂne Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung anbieten.
Social-Media-KonÂten
BeleiÂdiÂgenÂde Posts in Ihrem Namen sind noch das kleinsÂte Übel bei einem komÂproÂmitÂtierÂten Social-Media-KonÂto: DieÂse werÂden auch gern genutzt, um sich zum BeiÂspiel in betrüÂgeÂriÂscher Absicht Geld bei Ihren FreunÂden zu leiÂhen oder gezielt einen echt ausÂseÂhenÂden Fake-Account aufÂzuÂbauÂen. 2FA ist also auch hier unbeÂdingt zu empfehlen!
Online-ShopÂping
Auch hier gilt: Obacht! MinÂdesÂtens für den Fall der AnmelÂdung von einem neuÂen Gerät (s. u.) sollÂten Sie bei AmaÂzon & Co. die Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung aktiÂvieÂren. AnsonsÂten sind bei komÂproÂmitÂtierÂtem Account zwar Ihre ZahÂlungsÂdaÂten sicher (AmaÂzon zeigt beiÂspielsÂweiÂse immer nur die letzÂten ZifÂfern der IBAN, bezieÂhungsÂweiÂse der KreÂditÂkarÂtenÂnumÂmer an). Der Zugriff auf die von Ihnen hinÂterÂlegÂten LieÂferÂanÂschrifÂten sowie das AnleÂgen einer neuÂen LieÂferÂadresÂse ist jedoch für den BöseÂwicht kein Problem.
Cloud-KonÂten
Es soll MenÂschen geben, die auch senÂsiÂble Daten unverÂschlüsÂselt in einer Cloud speiÂchern (wir bieÂten übriÂgens LösunÂgen an, bei denen dieÂse Daten vor der ÜberÂtraÂgung in die Cloud autoÂmaÂtisch verÂschlüsÂselt werÂden; auch für PriÂvatÂperÂsoÂnen!). Aber auch wenn es nur um die eigeÂne BilÂderÂsammÂlung geht (die dann mögÂliÂcherÂweiÂse gelöscht ist): Cloud-KonÂten gehöÂren per 2FA gesichert!
Sie denÂken, dieÂse AufÂlisÂtung ist unvollÂstänÂdig? Dann schreiÂben Sie jetzt einen KomÂmenÂtar (KomÂmenÂtarÂfunkÂtiÂon am Ende des BeiÂtrags) und teiÂlen Sie uns doch Ihre MeiÂnung mit!
VerÂfahÂren der KateÂgoÂrie "Besitz" als zweiÂter Faktor
Bei einer 2FA stammt der ersÂte FakÂtor in aller Regel aus der KateÂgoÂrie "WisÂsen". HierÂzu gehöÂren beiÂspielsÂweiÂse der BenutÂzerÂnaÂme und das zugeÂhöÂriÂge Kennwort.
Die beiÂden nachÂfolÂgenÂden AufÂlisÂtunÂgen entÂhalÂten die gänÂgiÂgen VerÂfahÂren aus den KateÂgoÂrien Besitz, bezieÂhungsÂweiÂse InhäÂrenz, die bei 2FA als zweiÂter FakÂtor zusätzÂlich zum EinÂsatz kommen.
2FA per E‑Mail
Dies stellt die einÂfachsÂte Form einer 2FA dar: bei jedem AnmelÂdeÂverÂsuch per BenutÂzerÂnaÂme und KennÂwort erhält der NutÂzer eine E‑Mail mit einem Code, welÂcher einÂgeÂgeÂben werÂden muss, bevor der Dienst genutzt werÂden kann.
HierÂbei ist aus SicherÂheitsÂgrünÂden unbeÂdingt darÂauf zu achÂten, dass das hierÂfür hinÂterÂlegÂte E‑Mail-KonÂto nicht idenÂtisch mit dem KonÂto ist, welÂches für die AnmelÂdung genutzt wird!
2FA per SMS
Das ist die wohl verÂbreiÂtetsÂte Form der Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung. Der NutÂzer hinÂterÂlegt beim DiensÂteÂanÂbieÂter seiÂne MobilÂfunk-RufÂnumÂmer. Bei einem AnmelÂdeÂverÂsuch senÂdet dieÂser dann einen Code per SMS an das MobilÂteÂleÂfon. DieÂser Code muss dann innerÂhalb einer bestimmÂten Zeit vom NutÂzer einÂgeÂgeÂben werÂden, damit der Dienst genutzt werÂden kann.
Für die NutÂzung ist jedes belieÂbiÂge MobilÂteÂleÂfon ausÂreiÂchend. Ein SmartÂphoÂne ist also nicht erforderlich.
2FA per Anruf
DieÂses VerÂfahÂren ist idenÂtisch zum SMS-VerÂfahÂren. Statt einer SMS erfolgt ein Anruf beim NutÂzer auf einer zuvor hinÂterÂlegÂten RufÂnumÂmer. Der Code wird dem NutÂzer hierÂbei vorgelesen.
2FA per EinmalkennÂwort (OTP) und Authenticator-App
HierÂbei zeigt der Dienst bei einem AnmelÂdeÂverÂsuch einen QR-Code an. DieÂser QR-Code wird von der AuthenÂtiÂcaÂtor-App geleÂsen und darÂaus ein sechsÂstelÂliÂger Code geneÂriert. DieÂsen Code muss der NutÂzer dann wieÂderÂum auf der WebÂseiÂte des Online-DiensÂtes einÂgeÂben. Der geneÂrierÂte Code ist nur für kurÂze Zeit gültig.
Für die NutÂzung einer AuthenÂtiÂcaÂtor-App ist auf jeden Fall ein SmartÂphoÂne erforÂderÂlich. Ein VorÂteil dieÂser Lösung: Der NutÂzer muss dem AnbieÂter des Online-DiensÂtes keiÂne RufÂnumÂmer bekanntgeben.
2FA per Security-Token
HierÂbei hanÂdelt es sich um stanÂdarÂdiÂsierÂte HardÂwareÂkomÂpoÂnenÂten zur IdenÂtiÂfiÂzieÂrung und AuthenÂtiÂfiÂzieÂrung von BenutÂzern. Der Zugriff auf verÂbunÂdeÂne DiensÂte ist nur mögÂlich, wenn das Token vorhanden/​lesbar ist.
Der Anschluss erfolgt dabei je nach AusÂfühÂrung über eine USB-SchnittÂstelÂle des Typs A oder C. Es gibt zudem GeräÂte, die per NFC (Near Field ComÂmuÂniÂcaÂtiÂon, ein auf der RFID-TechÂnik basieÂrenÂder interÂnaÂtioÂnaÂler ÜberÂtraÂgungsÂstanÂdard zum konÂtaktÂloÂsen AusÂtausch von Daten) ausÂgeÂleÂsen werÂden könÂnen und somit beiÂspielsÂweiÂse in ZusamÂmenÂarÂbeit mit einem MobilÂteÂleÂfoÂnen ihren Dienst verrichten.
FühÂrenÂder AnbieÂter ist hier die FirÂma Yubico. Eine ÜberÂsicht der aktuÂelÂlen Yubico-ProÂdukÂte finÂden Sie in unseÂrem PCsiÂcher-Shop.
SecuÂriÂty-Token sind besonÂders im UnterÂnehÂmensÂeinÂsatz verbreitet.
2FA mitÂtels speÂziÂelÂlem Code-Generator
StellÂverÂtreÂter dieÂser GatÂtung sind beiÂspielsÂweiÂse die TAN-GeneÂraÂtoÂren von BanÂken und SparÂkasÂsen, wie beiÂspielsÂweiÂse die beiÂden GeräÂte der ComÂmerzÂbank, bzw. der der SparÂkasÂse, die in der nebenÂsteÂhenÂden GraÂfik abgeÂbilÂdet sind.
MitÂunÂter muss zusätzÂlich eine BankÂkarÂte in das Gerät einÂgeÂsetzt werÂden. Bei andeÂren GeräÂten wird nach EinÂgaÂbe der ÜberÂweiÂsungsÂdaÂten im Online-Zugang der Bank ein sogeÂnannÂter FliÂckerÂcode auf dem BildÂschirm angeÂzeigt, welÂcher vom TAN-GeneÂraÂtor geleÂsen wird. DieÂser zeigt darÂaufÂhin die ÜberÂweiÂsungsÂdaÂten an, welÂche vom BenutÂzer nochÂmals bestäÂtigt werÂden müsÂsen. Erst darÂaufÂhin erzeugt der TAN-GeneÂraÂtor eine TAN, die der BenutÂzer dann wieÂderÂum auf dem ComÂpuÂter einÂgeÂben muss.
InhäÂrenzverfahÂren als zweiÂter Faktor
HierÂbei komÂmen regelÂmäÂßig bioÂmeÂtriÂsche VerÂfahÂren zum EinÂsatz. Im Umfeld von Web-AnwenÂdunÂgen und Office-UmgeÂbunÂgen hanÂdelt es sich dabei übliÂcherÂweiÂse um die ErkenÂnung eines FinÂgerÂabÂdrucks des NutÂzers, die ErkenÂnung seiÂner Iris oder seiÂnes Gesichts.
Die SicherÂheit ist dabei abhänÂgig von der QuaÂliÂtät des im verÂwenÂdeÂten EndÂgeÂrät verÂbauÂten SenÂsors (BeiÂspieÂle: "norÂmaÂle" KameÂra vs. InfraÂrot-KameÂra, 2D- oder 3D-Gesichtserkennung, …).
Wenn Sie mehr über den EinÂsatz bioÂmeÂtriÂscher VerÂfahÂren zur NutÂzerÂerkenÂnung im UnterÂnehÂmensÂumÂfeld erfahÂren möchÂten (StichÂwort "WinÂdows HelÂlo for BusiÂness"), konÂtakÂtieÂren Sie uns jetzt. Wir beraÂten Sie – proÂfesÂsioÂnell und individuell.
AbfraÂge des zweiÂten FakÂtors nur unter bestimmÂten Umständen
Um unnöÂtiÂge AbfraÂgen des zweiÂten FakÂtors zu verÂmeiÂden, kann bei einiÂgen DiensÂten vorÂgeÂgeÂben werÂden, wann ein LogÂin erforÂderÂlich ist, bzw. die AbfraÂge des zweiÂten FakÂtors erfolÂgen soll. Dies ist beiÂspielsÂweiÂse bei Gmail der Fall: SolanÂge ich mich bei Gmail über GeräÂte anmelÂde, die GoogÂle bereits bekannt sind, reiÂchen meiÂne E‑Mail-AdresÂse und mein PassÂwort für den LogÂin aus.
Erst wenn der AnmelÂdeÂverÂsuch von einem für GoogÂle unbeÂkannÂten Gerät erfolgt, wird die BestäÂtiÂgung über den zweiÂten FakÂtor angefordert.
WelÂche DiensÂte unterÂstütÂzen 2FA?
WelÂche Anbieter/​Dienste 2FA unterÂstütÂzen, hat die StifÂtung WarenÂtest kürzÂlich unterÂsucht und die ErgebÂnisÂse in dieÂser TabelÂle dokuÂmenÂtiert (Stand: FebruÂar 2019).
Fazit
Durch eine Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung (2FA) wird der unbeÂrechÂtigÂte Zugriff auf DiensÂte und Daten erschwert.
Als zweiÂter FakÂtor exisÂtieÂren zahlÂreiÂche VerÂfahÂren, die sich unter andeÂrem durch das gegeÂbeÂnenÂfalls zusätzÂlich erforÂderÂliÂche Gerät unterscheiden.
Ob 2FA für den jeweiÂliÂgen AnwenÂdungsÂfall sinnÂvoll ist und welÂches VerÂfahÂren in FraÂge kommt, hängt von verÂschieÂdeÂnen FakÂtoÂren ab. HierÂzu gehört beiÂspielsÂweiÂse das indiÂviÂduÂelÂle SicherÂheitsÂbeÂdürfÂnis, die Art der zu schütÂzenÂden DiensÂte und Daten sowie die UmgeÂbung, in welÂcher der ZugriffsÂschutz einÂgeÂsetzt werÂden soll.
Sie haben noch zusätzÂliÂche HinÂweiÂse zum TheÂma Zwei-FakÂtor-AuthenÂtiÂfiÂzieÂrung? Oder FraÂgen? Dann nutÂzen Sie einÂfach unseÂre Kommentarfunktion.
DieÂse SeiÂte entÂhält AffiÂliÂateÂlÂinks. HierÂfür bekomÂmen wir eine kleiÂne ProÂviÂsiÂon vom VerÂkäuÂfer. Für Sie entÂsteÂhen selbstÂverÂständÂlich keiÂne zusätzÂliÂchen Kosten.
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.
Oder klicken Sie auf "Cookie-Einstellungen", um Ihre Cookies selbst verwalten zu können.
Wir verwenden Cookies, um Sie als wiederkehrenden Besucher zu erkennen und z.B. Inhalte speziell für Sie zugeschnitten zu präsentieren. Cookies ermöglichen aber auch Nutzungshäufigkeit, Verhaltensweisen und eindeutige Nutzerzahlen statistisch zu ermitteln, um die Website besucherfreundlicher und sicherer zu gestalten.
Klicken Sie auf die verschiedenen Überschriften, um mehr zu erfahren. Sie können auch einzelne Einstellungen ändern. Beachten Sie, dass das Blockieren einiger Arten von Cookies Ihre Erfahrung auf unseren Websites und die von uns angebotenen Dienste beeinträchtigen kann.
Wichtige Website Cookies
Diese Cookies sind unbedingt erforderlich, um Ihnen die auf unserer Website verfügbaren Dienste zur Verfügung zu stellen und einige ihrer Funktionen zu nutzen.
Da diese Cookies zur Bereitstellung der Website unbedingt erforderlich sind, können Sie sie nicht ablehnen, ohne die Funktionsweise unserer Website zu beeinträchtigen. Sie können sie blockieren oder löschen, indem Sie Ihre Browsereinstellungen ändern und das Blockieren aller Cookies auf dieser Website erzwingen.
Google Analytics Cookies
Diese Cookies sammeln Informationen, die entweder in aggregierter Form verwendet werden, um zu verstehen, wie unsere Website genutzt wird oder wie effektiv unsere Marketingkampagnen sind, oder um uns zu helfen, unsere Website und Anwendung für Sie anzupassen, um Ihre Erfahrung zu verbessern.
Wenn Sie nicht möchten, dass wir Ihren Besuch auf unserer Website verfolgen, können Sie das Tracking in Ihrem Browser hier deaktivieren:
Andere externe Dienste
Wir verwenden auch verschiedene externe Dienste wie Google Webfonts, Google Maps und externe Videoanbieter. Da diese Anbieter möglicherweise personenbezogene Daten wie Ihre IP-Adresse sammeln, können Sie diese hier blockieren. Bitte beachten Sie, dass dies die Funktionalität und das Erscheinungsbild unserer Website stark beeinträchtigen kann. Änderungen werden wirksam, sobald Sie die Seite neu laden.
Google Webfont-Einstellungen:
Google Karteneinstellungen:
Vimeo und Youtube Video bettet ein:
Datenschutz-Bestimmungen
Sie können unsere Cookies und Datenschutzeinstellungen im Detail in unserer Datenschutzerklärung nachlesen.