Ratgeber: Zusätzliche Sicherheit durch Zwei-Faktor-Authentifizierung (2FA)
Zuletzt aktualisiert am 16. Mai 2019 durch Jürgen Voskuhl
Im Bankensektor ist sie schon seit vielen Jahren gebräuchlich: die Zwei-Faktor-Authentifizierung (2FA). Worum es dabei geht, wo Sie 2FA einsetzen sollten und welche Faktoren es über das "Wissen" hinaus gibt, klären wir in diesem Beitrag.
Wenn Sie am Geldautomaten stehen, benötigen Sie zwei Dinge, nämlich Ihre Girokarte und Ihre PIN. Das ist ein klassisches Beispiel für eine Zwei-Faktor-Authentifizierung: Sie müssen die Karte besitzen und Ihre PIN wissen.
Eine europäische Vorschrift für Zahlungsdienstleister, die zweite Zahlungsdiensterichtlinie (PSD2) schreibt nun für elektronische Zahlungsvorgänge ebenfalls eine starke Kundenauthentifizierung vor. Hierbei sind mindestens zwei Elemente aus den Kategorien
- Wissen (zum Beispiel das Passwort)
- Besitz (zum Beispiel die Girokarte oder das Mobiltelefon des Kunden) und
- Inhärenz, also ein ständiges Merkmal des Kunden (zum Beispiel der Fingerabdruck)
erforderlich.
Für alle, denen das zu theoretisch ist, halten wir auf dieser Seite ein praktisches Beispiel aus dem Bereich Online Banking bereit, in welchem wir die Zwei-Faktor-Authentifizierung Schritt für Schritt erläutern.
Bei welchen Diensten ist eine Zwei-Faktor-Authentifizierung sinnvoll?
Gegenüber einem rein wissensbasierten Ansatz (zum Beispiel Benutzername & Passwort) werden durch 2FA Zugriffe auf Daten und Dienste besser geschützt.
Warum 2FA beim Online-Banking sinnvoll und nun auch gesetzlich vorgeschrieben ist, liegt auf der Hand: Hier geht es schließlich um den eigenen Geldbeutel, also ein besonders schützenswertes Gut.
Aber auch andere Dienste und Konten im privaten wie geschäftlichen Umfeld sind es durchaus wert, durch 2FA besonders gut abgesichert zu werden. Hier eine entsprechende Zusammenstellung:
Benutzerkonten in Unternehmen
Soviel ist klar: Einem Unternehmen kann ich erheblichen Schaden zufügen, wenn ich Zugriff auf ein Administratorkonto habe. Aber auch andere Benutzerkonten in Unternehmen berechtigen den Inhaber in vielen Fällen zum Zugriff auf besonders schützenswerte Daten (Patente, Finanzdaten, Strategiepapiere, …) oder datenschutzrelevante Informationen.
Wir empfehlen Unternehmen daher, grundsätzlich alle Konten per 2FA abzusichern. Gerne beraten wir hierzu individuell, wenn Sie uns jetzt kontaktieren.
Single Sign-on
Single Sign-on (SSO, auch „Einmalanmeldung“) bedeutet, dass ein Benutzer nach einer einmaligen Authentifizierung an einem Gerät von diesem aus auf alle Dienste zugreifen kann, zu deren Nutzung er berechtigt (autorisiert) ist. Und zwar ohne sich bei jedem Dienst neu anmelden zu müssen.
Neben entsprechenden Unternehmenslösungen gehört hierzu beispielsweise auch die zentrale Anmeldung auf Ihrem Mobiltelefon: Ist Ihr Mobiltelefon erst mal entsperrt, können Sie normalerweise per simplem Klick E‑Mails lesen, Nachrichten in WhatsApp verschicken oder auf Facebook posten, ohne sich jedesmal erneut anmelden zu müssen.
In allen diesem Fällen sollte für den SSO-Login 2FA obligatorisch sein!
Um mögliche Missverständnisse zu vermeiden: Sofern Sie irgendeinen (möglichst sicheren!) Zugriffsschutz auf Ihrem Mobiltelefon aktiviert haben, handelt es sich insgesamt bereits um eine Zwei-Faktor-Authentifizierung!
Sie benötigen nämlich einerseits Wissen (Passwort, PIN, Entsperrmuster) oder Inhärenz (siehe unten: Fingerabdruck, Iris-/Gesichtserkennung). Andererseits benötigen Sie – als zweiten Faktor – das Mobiltelefon selbst ("Besitz").
Online-Konten mit vertraulichen Daten
Immer dann, wenn es um die Übertragung oder den Zugriff auf gespeicherte sensible Daten geht, ist eine Zwei-Faktor-Authentifizierung sinnvoll. Hierzu gehört beispielsweise der Online-Zugang der eigenen Krankenkasse.
Nach unserem Kenntnisstand wird 2FA bei allen Deutschen Krankenkassen verpflichtend eingesetzt. Das heißt es besteht überhaupt nicht die Möglichkeit, ohne die Eingabe eines per SMS erhaltenden Codes an personenbezogene Gesundheitsdaten zu gelangen (sollten Sie eine Krankenkasse kennen, bei der dies nicht so ist, freuen wir uns über eine Mitteilung in den Kommentaren).
Das hauptsächlich genutzte E‑Mail-Konto
Die Passwort-Rücksetzfunktionen vieler Dienste im Internet senden eine E‑Mail mit einem Link zum Zurücksetzen des Passworts an die E‑Mail-Adresse des Kontoinhabers. Wenn also das E‑Mail-Konto kompromittiert ist, hat der Angreifer automatisch auch Zugriff auf viele andere Dienste des Kontoinhabers. Daher empfehlen wir hier unbedingt die Anwendung von 2FA.
Ärgerlich, das große E‑Mail-Dienste wie gmx.de, t‑online.de und web.de keine Zwei-Faktor-Authentifizierung anbieten.
Social-Media-Konten
Beleidigende Posts in Ihrem Namen sind noch das kleinste Übel bei einem kompromittierten Social-Media-Konto: Diese werden auch gern genutzt, um sich zum Beispiel in betrügerischer Absicht Geld bei Ihren Freunden zu leihen oder gezielt einen echt aussehenden Fake-Account aufzubauen. 2FA ist also auch hier unbedingt zu empfehlen!
Online-Shopping
Auch hier gilt: Obacht! Mindestens für den Fall der Anmeldung von einem neuen Gerät (s. u.) sollten Sie bei Amazon & Co. die Zwei-Faktor-Authentifizierung aktivieren. Ansonsten sind bei kompromittiertem Account zwar Ihre Zahlungsdaten sicher (Amazon zeigt beispielsweise immer nur die letzten Ziffern der IBAN, beziehungsweise der Kreditkartennummer an). Der Zugriff auf die von Ihnen hinterlegten Lieferanschriften sowie das Anlegen einer neuen Lieferadresse ist jedoch für den Bösewicht kein Problem.
Cloud-Konten
Es soll Menschen geben, die auch sensible Daten unverschlüsselt in einer Cloud speichern (wir bieten übrigens Lösungen an, bei denen diese Daten vor der Übertragung in die Cloud automatisch verschlüsselt werden; auch für Privatpersonen!). Aber auch wenn es nur um die eigene Bildersammlung geht (die dann möglicherweise gelöscht ist): Cloud-Konten gehören per 2FA gesichert!
Sie denken, diese Auflistung ist unvollständig? Dann schreiben Sie jetzt einen Kommentar (Kommentarfunktion am Ende des Beitrags) und teilen Sie uns doch Ihre Meinung mit!
Verfahren der Kategorie "Besitz" als zweiter Faktor
Bei einer 2FA stammt der erste Faktor in aller Regel aus der Kategorie "Wissen". Hierzu gehören beispielsweise der Benutzername und das zugehörige Kennwort.
Die beiden nachfolgenden Auflistungen enthalten die gängigen Verfahren aus den Kategorien Besitz, beziehungsweise Inhärenz, die bei 2FA als zweiter Faktor zusätzlich zum Einsatz kommen.
2FA per E‑Mail
Dies stellt die einfachste Form einer 2FA dar: bei jedem Anmeldeversuch per Benutzername und Kennwort erhält der Nutzer eine E‑Mail mit einem Code, welcher eingegeben werden muss, bevor der Dienst genutzt werden kann.
Hierbei ist aus Sicherheitsgründen unbedingt darauf zu achten, dass das hierfür hinterlegte E‑Mail-Konto nicht identisch mit dem Konto ist, welches für die Anmeldung genutzt wird!
2FA per SMS
Das ist die wohl verbreitetste Form der Zwei-Faktor-Authentifizierung. Der Nutzer hinterlegt beim Diensteanbieter seine Mobilfunk-Rufnummer. Bei einem Anmeldeversuch sendet dieser dann einen Code per SMS an das Mobiltelefon. Dieser Code muss dann innerhalb einer bestimmten Zeit vom Nutzer eingegeben werden, damit der Dienst genutzt werden kann.
Für die Nutzung ist jedes beliebige Mobiltelefon ausreichend. Ein Smartphone ist also nicht erforderlich.
2FA per Anruf
Dieses Verfahren ist identisch zum SMS-Verfahren. Statt einer SMS erfolgt ein Anruf beim Nutzer auf einer zuvor hinterlegten Rufnummer. Der Code wird dem Nutzer hierbei vorgelesen.
2FA per Einmalkennwort (OTP) und Authenticator-App
Hierbei zeigt der Dienst bei einem Anmeldeversuch einen QR-Code an. Dieser QR-Code wird von der Authenticator-App gelesen und daraus ein sechsstelliger Code generiert. Diesen Code muss der Nutzer dann wiederum auf der Webseite des Online-Dienstes eingeben. Der generierte Code ist nur für kurze Zeit gültig.
Für die Nutzung einer Authenticator-App ist auf jeden Fall ein Smartphone erforderlich. Ein Vorteil dieser Lösung: Der Nutzer muss dem Anbieter des Online-Dienstes keine Rufnummer bekanntgeben.
2FA per Security-Token
Hierbei handelt es sich um standardisierte Hardwarekomponenten zur Identifizierung und Authentifizierung von Benutzern. Der Zugriff auf verbundene Dienste ist nur möglich, wenn das Token vorhanden/lesbar ist.
Der Anschluss erfolgt dabei je nach Ausführung über eine USB-Schnittstelle des Typs A oder C. Es gibt zudem Geräte, die per NFC (Near Field Communication, ein auf der RFID-Technik basierender internationaler Übertragungsstandard zum kontaktlosen Austausch von Daten) ausgelesen werden können und somit beispielsweise in Zusammenarbeit mit einem Mobiltelefonen ihren Dienst verrichten.
Führender Anbieter ist hier die Firma Yubico. Eine Übersicht der aktuellen Yubico-Produkte finden Sie in unserem PCsicher-Shop.
Security-Token sind besonders im Unternehmenseinsatz verbreitet.
2FA mittels speziellem Code-Generator
Stellvertreter dieser Gattung sind beispielsweise die TAN-Generatoren von Banken und Sparkassen, wie beispielsweise die beiden Geräte der Commerzbank, bzw. der der Sparkasse, die in der nebenstehenden Grafik abgebildet sind.
Mitunter muss zusätzlich eine Bankkarte in das Gerät eingesetzt werden. Bei anderen Geräten wird nach Eingabe der Überweisungsdaten im Online-Zugang der Bank ein sogenannter Flickercode auf dem Bildschirm angezeigt, welcher vom TAN-Generator gelesen wird. Dieser zeigt daraufhin die Überweisungsdaten an, welche vom Benutzer nochmals bestätigt werden müssen. Erst daraufhin erzeugt der TAN-Generator eine TAN, die der Benutzer dann wiederum auf dem Computer eingeben muss.
Inhärenzverfahren als zweiter Faktor
Hierbei kommen regelmäßig biometrische Verfahren zum Einsatz. Im Umfeld von Web-Anwendungen und Office-Umgebungen handelt es sich dabei üblicherweise um die Erkennung eines Fingerabdrucks des Nutzers, die Erkennung seiner Iris oder seines Gesichts.
Die Sicherheit ist dabei abhängig von der Qualität des im verwendeten Endgerät verbauten Sensors (Beispiele: "normale" Kamera vs. Infrarot-Kamera, 2D- oder 3D-Gesichtserkennung, …).
Wenn Sie mehr über den Einsatz biometrischer Verfahren zur Nutzererkennung im Unternehmensumfeld erfahren möchten (Stichwort "Windows Hello for Business"), kontaktieren Sie uns jetzt. Wir beraten Sie – professionell und individuell.
Abfrage des zweiten Faktors nur unter bestimmten Umständen
Um unnötige Abfragen des zweiten Faktors zu vermeiden, kann bei einigen Diensten vorgegeben werden, wann ein Login erforderlich ist, bzw. die Abfrage des zweiten Faktors erfolgen soll. Dies ist beispielsweise bei Gmail der Fall: Solange ich mich bei Gmail über Geräte anmelde, die Google bereits bekannt sind, reichen meine E‑Mail-Adresse und mein Passwort für den Login aus.
Erst wenn der Anmeldeversuch von einem für Google unbekannten Gerät erfolgt, wird die Bestätigung über den zweiten Faktor angefordert.
Welche Dienste unterstützen 2FA?
Welche Anbieter/Dienste 2FA unterstützen, hat die Stiftung Warentest kürzlich untersucht und die Ergebnisse in dieser Tabelle dokumentiert (Stand: Februar 2019).
Fazit
- Durch eine Zwei-Faktor-Authentifizierung (2FA) wird der unberechtigte Zugriff auf Dienste und Daten erschwert.
- Als zweiter Faktor existieren zahlreiche Verfahren, die sich unter anderem durch das gegebenenfalls zusätzlich erforderliche Gerät unterscheiden.
- Ob 2FA für den jeweiligen Anwendungsfall sinnvoll ist und welches Verfahren in Frage kommt, hängt von verschiedenen Faktoren ab. Hierzu gehört beispielsweise das individuelle Sicherheitsbedürfnis, die Art der zu schützenden Dienste und Daten sowie die Umgebung, in welcher der Zugriffsschutz eingesetzt werden soll.
Sie haben noch zusätzliche Hinweise zum Thema Zwei-Faktor-Authentifizierung? Oder Fragen? Dann nutzen Sie einfach unsere Kommentarfunktion.
Sie sind auf der Suche nach einer 2FA-Lösung für Ihr Unternehmen? Wir beraten Sie gerne und individuell!
Hinweis:
Diese Seite enthält Affiliatelinks. Hierfür bekommen wir eine kleine Provision vom Verkäufer. Für Sie entstehen selbstverständlich keine zusätzlichen Kosten.