Zwei-Faktor-Authentifizierung – was steckt dahinter ?

In den Anfangsjahren des Internet schützten sich Internetportale und Nutzer:innen ihre Onlinekonten vor unberechtigten Zugriffen meist durch simple Abfrage eines Nutzernamens und eines Passworts. Doch längst habe Cyberkriminelle Mittel und Wege gefunden, um diese Zugangsdaten abzugreifen und sich dadurch Zugang zu sensiblen Daten zu verschaffen. Die sogenannte Zwei-Faktor-Authentifizierung (2FA) soll dies verhindern. Was 2FA ist, wie sie funktioniert und warum Ihr Unternehmen sie unbedingt einsetzen sollte, lesen Sie in diesem Beitrag.

Was ist Zwei-Faktor-Authentifizierung?

Warum reicht ein Passwort nicht?

Bevor wir uns mit der Frage „Was ist eine Zwei-Faktor-Authentifizierung?“ oder „Was ist 2FA?“ beschäftigen, sollten wir überlegen, warum die Sicherheit Ihrer Onlinekonten so wichtig ist.

Die Antwort: Ein großer Teil des Berufslebens spielt sich mittlerweile auf mobilen Geräten wie Notebooks oder Smartphones ab. Daher ist es kein Wunder, dass unsere digitalen Konten zu einem sprichwörtlichen Magneten für Kriminelle geworden sind.  Angriffe auf Accounts von Regierungen, Unternehmen und Privatpersonen nehmen rasant zu.

Vor dem Hintergrund aktueller geopolitischer Krisen hat die Zahl sogar zugenommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht sogar von einer „Zuspitzung der IT-Sicherheitslage“ für Deutschland.

Auch Unternehmen melden vermehrt Angriffe auf ihre IT- und Produktionsstrukturen. Cyberangriffe auf Datenbanken und Maschinen bedrohen die Existenz sowohl kleiner Firmen als auch ganzer Konzerne.

Cyberangriffe betreffen nicht nur große Unternehmen

In den letzten Jahren ist die Zahl der Webseiten massiv gestiegen, die persönliche Daten ihrer Nutzer:innen „verlieren“. Da Cyberkriminelle technisch weiter aufrüsten, stellen immer mehr Unternehmen fest, dass ihre häufig veralteten Sicherheitssysteme den modernen Bedrohungen und Angriffen nicht gewachsen sind.

Von technischen Unzulänglichkeiten abgesehen ist es manchmal aber auch menschliches Versagen, das die IT-Systeme von Unternehmen angreifbar macht. Ein Beispiel: Eine bei Kriminellen beliebte Methode ist es, eine Schadsoftware auf einen USB-Stick zu kopieren und beispielsweise hinter einer Bild- oder Tondatei zu verstecken. Diesen USB-Stick legen die Täter:innen auf einen Firmenparkplatz.

Ein:e Mitarbeiter:in des Unternehmens findet den USB-Stick, nimmt ihn mit ins Büro und schließt ihn aus Neugier an den Büro-Rechner an. Das Unheil nimmt seinen Lauf: Beim Aufrufen der auf dem USB-Stick hinterlegten Datei installiert sich eine Schadsoftware auf dem Rechner. Danach verbreitet sich die Schadsoftware und befällt immer mehr Rechner.

Die Folgen eines erfolgreichen Cyberangriffs sind oft weitreichend spürbar. Stehlen Kriminelle beispielsweise vertrauliche Daten, kann das Vertrauen der Kund:innen in Ihr Unternehmen Schaden nehmen.

Und es ist nicht nur das Vertrauen, das beschädigt wird: Alle Arten von Organisationen können schwere finanzielle und rufschädigende Verluste erleiden: globale Unternehmen, kleine Firmen, Start-ups und sogar gemeinnützige Organisationen.

Für Verbraucher:innen können die Nachwirkungen eines gezielten Hacks oder Identitätsdiebstahls ebenfalls unangenehme Folgen haben. So verwenden Kriminelle gestohlene Zugangsdaten, um damit Kreditkarten zu fälschen. Begeben sich die Kriminellen nun mit einer gefälschten Kreditkarte auf „Einkaufstour“, schädigen sie die Kreditwürdigkeit der tatsächlichen Karteninhaber:innen. Darüber hinaus können Kriminelle ganze Bank- und Kryptowährungskonten plündern.

Doch Unternehmen können ihre Benutzerkonten durch eine Zwei-Faktor-Authentifizierung zusätzlich schützen. Wie 2FA funktioniert, erklärt der folgende Abschnitt.

2FA: So funktioniert sie

2FA ist eine zusätzliche Sicherheitsebene. Mit ihr können Sie sicherstellen, dass Personen, die versuchen, Zugang zu einem Onlinekonto zu erhalten, auch die sind, für die sie sich ausgeben. Zur Identifikation geben Nutzer:innen ihren Namen und ein Passwort ein. Dann müssen sie, anstatt sofort Zugang zu erhalten, eine weitere Information angeben. Dieser zweite Faktor kann aus einer der folgenden Kategorien stammen:

  • Etwas, das nur Sie wissen: (Wissensfaktor): Dies kann eine persönliche Identifikationsnummer (PIN), ein Passwort, Antworten auf geheime Fragen oder ein bestimmtes Tastendruckmuster sein.
  • Etwas, das nur Sie haben (Besitzfaktor): Normalerweise haben Nutzer:innen etwas zur Identitätsbestätigung in ihrem Besitz, zum Beispiel eine Kreditkarte oder ein Smartphone.
  • Etwas, das Sie sind (Authentifizierungsfaktor): Diese Kategorie ist technisch fortgeschrittener. Hier werden die Nutzer:innen mithilfe ihres Fingerabdrucks, ihres Iris- oder Gesichts-Scans oder mit ihrem Stimmabdruck identifiziert.

Bei einer 2FA können Kriminelle die Konten Ihrer Kunden oder Mitarbeiter:innen nicht mithilfe nur einer dieser Faktoren entsperren. Selbst, wenn das Passwort gestohlen wird oder das Telefon Ihre:r Kund:in verloren geht, ist es sehr unwahrscheinlich, dass eine andere Person in den Besitz aller  2-Faktor-Informationen kommt.

Gängige 2FA-Arten

Wenn eine von Ihnen genutzte oder gehostete Webseite nur ein Passwort erfordert und keine 2FA anbietet, bietet sie unnötig viel Angriffsfläche für Cyberangriffe.  Ihre oder die persönlichen Daten Ihrer Kund:innen sind hier nicht gut aufgehoben. Ganz anders sieht es bei Webseiten oder Portalen aus, die eine 2FA anbieten.

Heutzutage werden verschiedene Arten der Zwei-Faktor-Authentifizierung verwendet. Einige sind teils stärker oder komplexer als andere, aber alle bieten Ihnen einen besseren Schutz als Passwörter allein. Schauen wir uns die gängigsten Formen der 2FA an:

Hardware-Tokens für 2FA

Hardware-Tokens sind wahrscheinlich die älteste Form der 2FA. Sie sind klein wie ein Schlüsselanhänger und erzeugen alle 30 Sekunden einen neuen Code. Wenn ein:e Nutzer:in versucht, auf ein Konto zuzugreifen, wirft er oder sie einen Blick auf das Gerät und gibt den angezeigten 2FA-Code wieder auf der Webseite oder in der App ein.

Andere Versionen von Hardware-Token übertragen den 2FA-Code automatisch, beispielsweise am USB-Anschluss eines Computers.

Hardware-Tokens haben sich jedoch in der Vergangenheit immer wieder als nachteilig erwiesen. Für Unternehmen ist die Verteilung dieser Geräte kostspielig. Darüber hinaus gehen die Tokens verloren oder werden gestohlen.

SMS-Textnachrichten und sprachbasierte 2FA

Die SMS-basierte 2FA interagiert direkt mit dem Telefon der Nutzer:innen. Nachdem die Webseite einen Benutzernamen und ein Passwort erhalten hat, sendet sie Ihnen einen einmaligen Code per Textnachricht.

Wie beim Hardware-Token-Verfahren müssen die Nutzer:innen diesen Code dann wieder in die Anwendung eingeben, um Zugang zu erhalten. Ähnlich verhält es sich mit der sprachbasierten 2FA, bei der die Nutzer:innen automatisch angerufen werden und der 2FA-Code mündlich übermittelt wird.

Für Online-Aktivitäten mit geringem Risiko ist die Authentifizierung per Text oder Stimme vielleicht ausreichend. Aber für Webseiten, die persönliche Daten speichern, ist diese Art der 2FA möglicherweise nicht sicher genug – theoretisch können Kriminelle die Textnachrichten abfangen und gegebenenfalls für ihre Zwecke modifizieren.

Unter Expert:innen gelten SMS als die am wenigsten sichere Methode zur Authentifizierung von Nutzer:innen. Unternehmen sollten deshalb über die SMS-basierte 2FA hinausgehen.

 

Software-Token für 2FA

Die aktuell beliebteste Form der Zwei-Faktor-Authentifizierung verwendet einen softwaregenerierten, zeitbasierten und einmaligen Passcode – auch „Software-Token“ genannt. Sie ist gleichzeitig auch eine gute Alternative zu SMS und Sprache.

Zunächst müssen die Nutzer:innen eine kostenlose 2FA-App auf ihr Smartphone oder ihren Desktop herunterladen und installieren. Anschließend können sie die App auf jeder Webseite verwenden, die diese Art der Authentifizierung unterstützt. Bei der Anmeldung geben die Nutzer:innen zunächst Namen und ein Kennwort ein. Im Anschluss folgt dann der Code, der in der App generiert und angezeigt wird.

Soft-Tokens sind in der Regel weniger als eine Minute lang gültig. Und da der Code auf demselben Gerät generiert und angezeigt wird, besteht bei Soft-Token nicht die Gefahr, dass Kriminelle ihn abfangen. Soft-Token gelten damit als deutlich sicherer als SMS- oder Sprachübermittlungsmethoden.

 

Push-Benachrichtigung für 2FA

Anstatt sich auf den Empfang und die Eingabe eines 2FA-Tokens zu verlassen, können Webseiten und Apps den Nutzer:innen eine Push-Benachrichtigung auf ihr mobiles Endgerät senden. Diese Nachricht zeigt an, dass ein Authentifizierungsversuch stattfindet. Die Besitzer:innen des Gerätes sehen alle Details über den Vorgang und können den Zugriff mit einer einzigen Berührung genehmigen oder verweigern. Bei diesem Verfahren handelt es sich um eine passwortlose Authentifizierung, bei der keine Codes eingegeben werden müssen.

Durch die direkte und sichere Verbindung zwischen dem Marketender, dem 2FA-Dienst und dem Gerät verhindert die Push-Benachrichtigung jede Möglichkeit für Phishing, Man-in-the-Middle-Angriffe oder andere kriminelle Zugriffe.

Sie funktioniert jedoch nur mit einem Gerät, das mit dem Internet verbunden und in der Lage ist, Apps zu installieren. In Gegenden mit schlechter 4G/5G-Mobilfunkanbindung kann die SMS-basierte 2FA eine mögliche Ausweichlösung sein. Doch es gilt: Push-Benachrichtigungen bieten eine benutzerfreundlichere und sicherere Form der Authentifizierung.

Gibt es eine Pflicht zur Zwei-Faktor-Authentifizierung?

Auch wenn viele Unternehmen mittlerweile eine 2FA für die Sicherung ihrer IT-Zugänge verwenden: Es gibt keine generelle Verpflichtung, die Zwei-Faktor-Authentifizierung einzurichten. Die Datenschutzgrundverordnung der Europäischen Union (DSGVO) nennt keine konkreten Vorschriften, wie Unternehmen, Behörden und Einzelpersonen den verpflichtenden Datenschutz technisch umsetzen müssen.

Allerdings spricht die Verordnung in Artikel 32 von einer „Berücksichtigung des Stands der Technik“. Manche Rechtsexpert:innen sehen hier eine Verpflichtung zur 2FA, da ihrer Auffassung nach die Zwei-Faktor-Authentifizierung dem neusten Stand der Technik entspricht.

Das Wichtigste zur Zwei-Faktor-Authentifizierung in Kürze

  • Vermehrt stellen Unternehmen fest, dass ihre veralteten Sicherheitssysteme den modernen Bedrohungen und Angriffen durch Cyberkriminelle nicht gewachsen sind.
  • Unternehmen können und sollten ihre Benutzungskonten durch eine Zwei-Faktor-Authentifizierung zusätzlich schützen.
  • 2FA ist eine weitere Sicherheitsebene, durch die nur berechtigte Personen Zugang zu einem Onlinekonto erhalten.
  • Software-Token und Push-Benachrichtigungen gelten als die aktuell sicherste 2FA-Arten.
  • Laut Rechtsexpert:innen kann die Datenschutzgrundverordnung der Europäischen Union unter Umständen als Verpflichtung zur Verwendung der 2FA interpretiert werden.

Quelle:

https://www.vodafone.de/business/featured/digitales-business/digitaler-arbeitsplatz/zwei-faktor-authentifizierung-2fa-das-steckt-dahinter/