Rat­ge­ber: Zusätz­li­che Sicher­heit durch Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA)

Zuletzt aktua­li­siert am 16. Mai 2019 durch Jür­gen Voskuhl

Im Ban­ken­sek­tor ist sie schon seit vie­len Jah­ren gebräuch­lich: die Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA). Wor­um es dabei geht, wo Sie 2FA ein­set­zen soll­ten und wel­che Fak­to­ren es über das "Wis­sen" hin­aus gibt, klä­ren wir in die­sem Beitrag.

Wenn Sie am Geld­au­to­ma­ten ste­hen, benö­ti­gen Sie zwei Din­ge, näm­lich Ihre Giro­kar­te und Ihre PIN. Das ist ein klas­si­sches Bei­spiel für eine Zwei-Fak­tor-Authen­ti­fi­zie­rung: Sie müs­sen die Kar­te besit­zen und Ihre PIN wis­sen.

Eine euro­päi­sche Vor­schrift für Zah­lungs­dienst­leis­ter, die zwei­te Zah­lungs­diens­te­richt­li­nie (PSD2) schreibt nun für elek­tro­ni­sche Zah­lungs­vor­gän­ge eben­falls eine star­ke Kun­den­au­then­ti­fi­zie­rung vor. Hier­bei sind min­des­tens zwei Ele­men­te aus den Kategorien

• Wis­sen (zum Bei­spiel das Passwort)
• Besitz (zum Bei­spiel die Giro­kar­te oder das Mobil­te­le­fon des Kun­den) und
• Inhä­renz, also ein stän­di­ges Merk­mal des Kun­den (zum Bei­spiel der Fingerabdruck)

erfor­der­lich.

Für alle, denen das zu theo­re­tisch ist, hal­ten wir auf die­ser Sei­te ein prak­ti­sches Bei­spiel aus dem Bereich Online Ban­king bereit, in wel­chem wir die Zwei-Fak­tor-Authen­ti­fi­zie­rung Schritt für Schritt erläutern.

Bei wel­chen Diens­ten ist eine Zwei-Fak­tor-Authen­ti­fi­zie­rung sinnvoll?

Gegen­über einem rein wis­sens­ba­sier­ten Ansatz (zum Bei­spiel Benut­zer­na­me & Pass­wort) wer­den durch 2FA Zugrif­fe auf Daten und Diens­te bes­ser geschützt.

War­um 2FA beim Online-Ban­king sinn­voll und nun auch gesetz­lich vor­ge­schrie­ben ist, liegt auf der Hand: Hier geht es schließ­lich um den eige­nen Geld­beu­tel, also ein beson­ders schüt­zens­wer­tes Gut.

Aber auch ande­re Diens­te und Kon­ten im pri­va­ten wie geschäft­li­chen Umfeld sind es durch­aus wert, durch 2FA beson­ders gut abge­si­chert zu wer­den. Hier eine ent­spre­chen­de Zusammenstellung:

Benut­zer­kon­ten in Unternehmen

Soviel ist klar: Einem Unter­neh­men kann ich erheb­li­chen Scha­den zufü­gen, wenn ich Zugriff auf ein Admi­nis­tra­tor­kon­to habe. Aber auch ande­re Benut­zer­kon­ten in Unter­neh­men berech­ti­gen den Inha­ber in vie­len Fäl­len zum Zugriff auf beson­ders schüt­zens­wer­te Daten (Paten­te, Finanz­da­ten, Stra­te­gie­pa­pie­re, …) oder daten­schutz­re­le­van­te Informationen.
Wir emp­feh­len Unter­neh­men daher, grund­sätz­lich alle Kon­ten per 2FA abzu­si­chern. Ger­ne bera­ten wir hier­zu indi­vi­du­ell, wenn Sie uns jetzt kon­tak­tie­ren.

Sin­gle Sign-on

Sin­gle Sign-on (SSO, auch „Ein­mal­an­mel­dung“) bedeu­tet, dass ein Benut­zer nach einer ein­ma­li­gen Authen­ti­fi­zie­rung an einem Gerät von die­sem aus auf alle Diens­te zugrei­fen kann, zu deren Nut­zung er berech­tigt (auto­ri­siert) ist. Und zwar ohne sich bei jedem Dienst neu anmel­den zu müssen.

Neben ent­spre­chen­den Unter­neh­mens­lö­sun­gen gehört hier­zu bei­spiels­wei­se auch die zen­tra­le Anmel­dung auf Ihrem Mobil­te­le­fon: Ist Ihr Mobil­te­le­fon erst mal ent­sperrt, kön­nen Sie nor­ma­ler­wei­se per simp­lem Klick E‑Mails lesen, Nach­rich­ten in Whats­App ver­schi­cken oder auf Face­book pos­ten, ohne sich jedes­mal erneut anmel­den zu müssen.

In allen die­sem Fäl­len soll­te für den SSO-Log­in 2FA obli­ga­to­risch sein!

Um mög­li­che Miss­ver­ständ­nis­se zu ver­mei­den: Sofern Sie irgend­ei­nen (mög­lichst siche­ren!) Zugriffs­schutz auf Ihrem Mobil­te­le­fon akti­viert haben, han­delt es sich ins­ge­samt bereits um eine Zwei-Faktor-Authentifizierung!
Sie benö­ti­gen näm­lich einer­seits Wis­sen (Pass­wort, PIN, Ent­sperr­mus­ter) oder Inhä­renz (sie­he unten: Fin­ger­ab­druck, Iris-/Ge­sichts­er­ken­nung). Ande­rer­seits benö­ti­gen Sie – als zwei­ten Fak­tor – das Mobil­te­le­fon selbst ("Besitz").

Online-Kon­ten mit ver­trau­li­chen Daten

Immer dann, wenn es um die Über­tra­gung oder den Zugriff auf gespei­cher­te sen­si­ble Daten geht, ist eine Zwei-Fak­tor-Authen­ti­fi­zie­rung sinn­voll. Hier­zu gehört bei­spiels­wei­se der Online-Zugang der eige­nen Krankenkasse.
Nach unse­rem Kennt­nis­stand wird 2FA bei allen Deut­schen Kran­ken­kas­sen ver­pflich­tend ein­ge­setzt. Das heißt es besteht über­haupt nicht die Mög­lich­keit, ohne die Ein­ga­be eines per SMS erhal­ten­den Codes an per­so­nen­be­zo­ge­ne Gesund­heits­da­ten zu gelan­gen (soll­ten Sie eine Kran­ken­kas­se ken­nen, bei der dies nicht so ist, freu­en wir uns über eine Mit­tei­lung in den Kommentaren).

Das haupt­säch­lich genutz­te E‑Mail-Kon­to

Die Pass­wort-Rück­setz­funk­tio­nen vie­ler Diens­te im Inter­net sen­den eine E‑Mail mit einem Link zum Zurück­set­zen des Pass­worts an die E‑Mail-Adres­se des Kon­to­in­ha­bers. Wenn also das E‑Mail-Kon­to kom­pro­mit­tiert ist, hat der Angrei­fer auto­ma­tisch auch Zugriff auf vie­le ande­re Diens­te des Kon­to­in­ha­bers. Daher emp­feh­len wir hier unbe­dingt die Anwen­dung von 2FA.
Ärger­lich, das gro­ße E‑Mail-Diens­te wie gmx​.de, t‑online.de und web​.de kei­ne Zwei-Fak­tor-Authen­ti­fi­zie­rung anbieten.

Social-Media-Kon­ten

Belei­di­gen­de Posts in Ihrem Namen sind noch das kleins­te Übel bei einem kom­pro­mit­tier­ten Social-Media-Kon­to: Die­se wer­den auch gern genutzt, um sich zum Bei­spiel in betrü­ge­ri­scher Absicht Geld bei Ihren Freun­den zu lei­hen oder gezielt einen echt aus­se­hen­den Fake-Account auf­zu­bau­en. 2FA ist also auch hier unbe­dingt zu empfehlen!

Online-Shop­ping

Auch hier gilt: Obacht! Min­des­tens für den Fall der Anmel­dung von einem neu­en Gerät (s. u.) soll­ten Sie bei Ama­zon & Co. die Zwei-Fak­tor-Authen­ti­fi­zie­rung akti­vie­ren. Ansons­ten sind bei kom­pro­mit­tier­tem Account zwar Ihre Zah­lungs­da­ten sicher (Ama­zon zeigt bei­spiels­wei­se immer nur die letz­ten Zif­fern der IBAN, bezie­hungs­wei­se der Kre­dit­kar­ten­num­mer an). Der Zugriff auf die von Ihnen hin­ter­leg­ten Lie­fer­an­schrif­ten sowie das Anle­gen einer neu­en Lie­fer­adres­se ist jedoch für den Böse­wicht kein Problem.

Cloud-Kon­ten

Es soll Men­schen geben, die auch sen­si­ble Daten unver­schlüs­selt in einer Cloud spei­chern (wir bie­ten übri­gens Lösun­gen an, bei denen die­se Daten vor der Über­tra­gung in die Cloud auto­ma­tisch ver­schlüs­selt wer­den; auch für Pri­vat­per­so­nen!). Aber auch wenn es nur um die eige­ne Bil­der­samm­lung geht (die dann mög­li­cher­wei­se gelöscht ist): Cloud-Kon­ten gehö­ren per 2FA gesichert!

Sie den­ken, die­se Auf­lis­tung ist unvoll­stän­dig? Dann schrei­ben Sie jetzt einen Kom­men­tar (Kom­men­tar­funk­ti­on am Ende des Bei­trags) und tei­len Sie uns doch Ihre Mei­nung mit!

Ver­fah­ren der Kate­go­rie "Besitz" als zwei­ter Faktor

Bei einer 2FA stammt der ers­te Fak­tor in aller Regel aus der Kate­go­rie "Wis­sen". Hier­zu gehö­ren bei­spiels­wei­se der Benut­zer­na­me und das zuge­hö­ri­ge Kennwort.
Die bei­den nach­fol­gen­den Auf­lis­tun­gen ent­hal­ten die gän­gi­gen Ver­fah­ren aus den Kate­go­rien Besitz, bezie­hungs­wei­se Inhä­renz, die bei 2FA als zwei­ter Fak­tor zusätz­lich zum Ein­satz kommen.

2FA per E‑Mail

Dies stellt die ein­fachs­te Form einer 2FA dar: bei jedem Anmel­de­ver­such per Benut­zer­na­me und Kenn­wort erhält der Nut­zer eine E‑Mail mit einem Code, wel­cher ein­ge­ge­ben wer­den muss, bevor der Dienst genutzt wer­den kann.
Hier­bei ist aus Sicher­heits­grün­den unbe­dingt dar­auf zu ach­ten, dass das hier­für hin­ter­leg­te E‑Mail-Kon­to nicht iden­tisch mit dem Kon­to ist, wel­ches für die Anmel­dung genutzt wird!

2FA per SMS

Das ist die wohl ver­brei­tets­te Form der Zwei-Fak­tor-Authen­ti­fi­zie­rung. Der Nut­zer hin­ter­legt beim Diens­te­an­bie­ter sei­ne Mobil­funk-Ruf­num­mer. Bei einem Anmel­de­ver­such sen­det die­ser dann einen Code per SMS an das Mobil­te­le­fon. Die­ser Code muss dann inner­halb einer bestimm­ten Zeit vom Nut­zer ein­ge­ge­ben wer­den, damit der Dienst genutzt wer­den kann.

Für die Nut­zung ist jedes belie­bi­ge Mobil­te­le­fon aus­rei­chend. Ein Smart­pho­ne ist also nicht erforderlich.

2FA per Anruf

Die­ses Ver­fah­ren ist iden­tisch zum SMS-Ver­fah­ren. Statt einer SMS erfolgt ein Anruf beim Nut­zer auf einer zuvor hin­ter­leg­ten Ruf­num­mer. Der Code wird dem Nut­zer hier­bei vorgelesen.

2FA per Einmalkenn­wort (OTP) und Authenticator-App

Hier­bei zeigt der Dienst bei einem Anmel­de­ver­such einen QR-Code an. Die­ser QR-Code wird von der Authen­ti­ca­tor-App gele­sen und dar­aus ein sechs­stel­li­ger Code gene­riert. Die­sen Code muss der Nut­zer dann wie­der­um auf der Web­sei­te des Online-Diens­tes ein­ge­ben. Der gene­rier­te Code ist nur für kur­ze Zeit gültig.

Für die Nut­zung einer Authen­ti­ca­tor-App ist auf jeden Fall ein Smart­pho­ne erfor­der­lich. Ein Vor­teil die­ser Lösung: Der Nut­zer muss dem Anbie­ter des Online-Diens­tes kei­ne Ruf­num­mer bekanntgeben.

2FA per Security-Token

Hier­bei han­delt es sich um stan­dar­di­sier­te Hard­ware­kom­po­nen­ten zur Iden­ti­fi­zie­rung und Authen­ti­fi­zie­rung von Benut­zern. Der Zugriff auf ver­bun­de­ne Diens­te ist nur mög­lich, wenn das Token vorhanden/​lesbar ist.

Der Anschluss erfolgt dabei je nach Aus­füh­rung über eine USB-Schnitt­stel­le des Typs A oder C. Es gibt zudem Gerä­te, die per NFC (Near Field Com­mu­ni­ca­ti­on, ein auf der RFID-Tech­nik basie­ren­der inter­na­tio­na­ler Über­tra­gungs­stan­dard zum kon­takt­lo­sen Aus­tausch von Daten) aus­ge­le­sen wer­den kön­nen und somit bei­spiels­wei­se in Zusam­men­ar­beit mit einem Mobil­te­le­fo­nen ihren Dienst verrichten.
Füh­ren­der Anbie­ter ist hier die Fir­ma Yubico. Eine Über­sicht der aktu­el­len Yubico-Pro­duk­te fin­den Sie in unse­rem PCsi­cher-Shop.

Secu­ri­ty-Token sind beson­ders im Unter­neh­mens­ein­satz verbreitet.

2FA mit­tels spe­zi­el­lem Code-Generator

Stell­ver­tre­ter die­ser Gat­tung sind bei­spiels­wei­se die TAN-Gene­ra­to­ren von Ban­ken und Spar­kas­sen, wie bei­spiels­wei­se die bei­den Gerä­te der Com­merz­bank, bzw. der der Spar­kas­se, die in der neben­ste­hen­den Gra­fik abge­bil­det sind.
Mit­un­ter muss zusätz­lich eine Bank­kar­te in das Gerät ein­ge­setzt wer­den. Bei ande­ren Gerä­ten wird nach Ein­ga­be der Über­wei­sungs­da­ten im Online-Zugang der Bank ein soge­nann­ter Fli­cker­code auf dem Bild­schirm ange­zeigt, wel­cher vom TAN-Gene­ra­tor gele­sen wird. Die­ser zeigt dar­auf­hin die Über­wei­sungs­da­ten an, wel­che vom Benut­zer noch­mals bestä­tigt wer­den müs­sen. Erst dar­auf­hin erzeugt der TAN-Gene­ra­tor eine TAN, die der Benut­zer dann wie­der­um auf dem Com­pu­ter ein­ge­ben muss.

Inhä­renzverfah­ren als zwei­ter Faktor

Hier­bei kom­men regel­mä­ßig bio­me­tri­sche Ver­fah­ren zum Ein­satz. Im Umfeld von Web-Anwen­dun­gen und Office-Umge­bun­gen han­delt es sich dabei übli­cher­wei­se um die Erken­nung eines Fin­ger­ab­drucks des Nut­zers, die Erken­nung sei­ner Iris oder sei­nes Gesichts.
Die Sicher­heit ist dabei abhän­gig von der Qua­li­tät des im ver­wen­de­ten End­ge­rät ver­bau­ten Sen­sors (Bei­spie­le: "nor­ma­le" Kame­ra vs. Infra­rot-Kame­ra, 2D- oder 3D-Gesichtserkennung, …).

Wenn Sie mehr über den Ein­satz bio­me­tri­scher Ver­fah­ren zur Nut­zer­erken­nung im Unter­neh­mens­um­feld erfah­ren möch­ten (Stich­wort "Win­dows Hel­lo for Busi­ness"), kon­tak­tie­ren Sie uns jetzt. Wir bera­ten Sie – pro­fes­sio­nell und individuell.

Abfra­ge des zwei­ten Fak­tors nur unter bestimm­ten Umständen

Um unnö­ti­ge Abfra­gen des zwei­ten Fak­tors zu ver­mei­den, kann bei eini­gen Diens­ten vor­ge­ge­ben wer­den, wann ein Log­in erfor­der­lich ist, bzw. die Abfra­ge des zwei­ten Fak­tors erfol­gen soll. Dies ist bei­spiels­wei­se bei Gmail der Fall: Solan­ge ich mich bei Gmail über Gerä­te anmel­de, die Goog­le bereits bekannt sind, rei­chen mei­ne E‑Mail-Adres­se und mein Pass­wort für den Log­in aus.
Erst wenn der Anmel­de­ver­such von einem für Goog­le unbe­kann­ten Gerät erfolgt, wird die Bestä­ti­gung über den zwei­ten Fak­tor angefordert.

Wel­che Diens­te unter­stüt­zen 2FA?

Wel­che Anbieter/​Dienste 2FA unter­stüt­zen, hat die Stif­tung Waren­test kürz­lich unter­sucht und die Ergeb­nis­se in die­ser Tabel­le doku­men­tiert (Stand: Febru­ar 2019).

Fazit

• Durch eine Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) wird der unbe­rech­tig­te Zugriff auf Diens­te und Daten erschwert.
• Als zwei­ter Fak­tor exis­tie­ren zahl­rei­che Ver­fah­ren, die sich unter ande­rem durch das gege­be­nen­falls zusätz­lich erfor­der­li­che Gerät unterscheiden.
• Ob 2FA für den jewei­li­gen Anwen­dungs­fall sinn­voll ist und wel­ches Ver­fah­ren in Fra­ge kommt, hängt von ver­schie­de­nen Fak­to­ren ab. Hier­zu gehört bei­spiels­wei­se das indi­vi­du­el­le Sicher­heits­be­dürf­nis, die Art der zu schüt­zen­den Diens­te und Daten sowie die Umge­bung, in wel­cher der Zugriffs­schutz ein­ge­setzt wer­den soll.

Sie haben noch zusätz­li­che Hin­wei­se zum The­ma Zwei-Fak­tor-Authen­ti­fi­zie­rung? Oder Fra­gen? Dann nut­zen Sie ein­fach unse­re Kommentarfunktion.

Sie sind auf der Suche nach einer 2FA-Lösung für Ihr Unter­neh­men? Wir bera­ten Sie ger­ne und indi­vi­du­ell!

Hin­weis:

Die­se Sei­te ent­hält Affi­li­ate­l­inks. Hier­für bekom­men wir eine klei­ne Pro­vi­si­on vom Ver­käu­fer. Für Sie ent­ste­hen selbst­ver­ständ­lich kei­ne zusätz­li­chen Kosten.