Es gibt gute Passwörter und schlechte – und es gibt die 2-Faktor-Authentifizierung, kurz 2FA. Die macht aus schlechten Passwörtern zwar keine guten, bietet aber zusätzlichen Schutz vor Datenklau und Identitätsdiebstahl.
Was 2FA ist, wie es funktioniert und warum Sie und Ihre Mitarbeiter diese Form der Zugriffsberechtigung bevorzugen sollten, erfahren Sie hier.
Verschlüsselte Dateien, zerstörte oder gestohlene Daten, Systemausfall: Großangelegte Cyberangriffe bedeuten für Unternehmen finanzielle Verluste in Millionenhöhe. Der Grund, dass es soweit kommt, ist nicht selten ein nachlässiger Umgang mit Logins.
Identitätsdiebstahl und Datenklau sowie unbefugter Zugriff auf Ihre Systeme sind die Folge. Eine grundlegende Vorsichtsmaßnahme ist die Zwei-Faktor-Authentifizierung (2FA) oder auch 2-Wege-Authentifizierung genannt. Sie funktioniert nach einem altbekannten Muster: Doppelt hält besser.
Was ist 2FA?
Die 2-Faktor-Authentifizierung (2FA) ist ein doppelt abgesicherter Identitätsnachweis, um auf Daten, Programme und Systeme zugreifen zu können. Sie beschreibt eine Sicherheitsabfrage bestehend aus einer Kombination aus zwei verschiedenen und voneinander unabhängigen Komponenten bzw. Faktoren.
Sie kennen das beispielsweise von Bankgeschäften: das Zusammenspiel einer EC-Karte mit der dazugehörigen PIN am Bankautomaten. Oder beim Online-Banking, wenn Sie sich per Passwort einloggen, Ihre Überweisung aber erst ausgeführt wird, wenn Sie eine TAN eingeben. Somit reichen Benutzername und Kennwort eingeben fürs Einloggen nicht mehr aus. Der Nutzer braucht noch eine weitere Komponente. Die Stiftung Warentest unterteilt die für 2FA notwendigen Komponenten in drei Kategorien.
- Besitzen: Bankkarte, Tan-Liste, USB-Stick, Smartphone etc.
- Wissen: Pinnummer, Benutzername, Passwort etc.
- Sein: Stimme, Fingerabdruck, Iris etc.
Was ist 2Fa? – Die Antwort bekommen Sie in unserem IT-Lexikon.
Wie funktioniert 2FA?
Im Unternehmensumfeld erfolgt die 2-Faktor-Authentifizierung (2FA) im ersten Schritt häufig durch die übliche Passworteingabe. Damit die 2-Wege-Authentifizierung funktioniert, braucht der Anwender nun mindestens ein weiteres Merkmal aus den beiden anderen Gruppen. Zum Beispiel kann der betroffene Nutzer per Nachricht auf sein – wohlgemerkt vorab dafür legitimiertes – Smartphone über diesen Login-Versuch informiert werden und zur Eingabe eines mitgesendeten Codes aufgefordert werden. Erst wenn er diese weitere Sicherheitsabfrage bestätigt oder den Code eingibt, erhält er Zugriff auf Daten, Anwendungen und Systeme.
Eine weitere und häufig genutzte Möglichkeit zur Authentifizierung ist ein entsprechendes Token – ein USB-Stick zum Beispiel –, das mit dem Endgerät verbunden werden kann. Dieses Token ist ein Hilfsmittel, dass den Login-Prozess parallel synchronisiert. Nur wer das Token hat, erhält Zugriff auf das System. Diese zusätzliche Sicherheitsabfrage im Sinne der 2FA kann aber, wie oben aufgeführt, auch per Fingerabdruck, Iris-Muster der Augen oder Stimme erfolgen.
2FA: Vorteile und Nachteile
Ein Vorteil der 2FA ist sicherlich, dass die Codes und PINs der zusätzlichen Sicherheitsabfrage immer wieder neu generiert werden und schon allein dadurch sicherer sind als die – wenn wir ehrlich sind – immer gleichen und damit statische Passwörter und PINs. Selbst wenn der Empfang mal nicht so gut ist und der versendete Code nicht abzurufen ist, wird er nach einer gewissen Zeit durch einen neuen, aktuellen automatisch ersetzt.
Allerdings ergibt sich auch ein Nachteil durch die 2-Faktor-Authentifizierung, wenn ein Faktor in den Bereich Besitz fällt. Zum einen muss der Nutzer das jeweilige Token (USB-Stick, Smartphone, Karte, Pingenerator) immer bei sich haben. Und wie das mit Gegenständen so ist: mal werden sie verlegt, mal gehen sie verloren, mal werden die gestohlen. Die Konsequenz: kein Token, kein Zugriff. Hinzu kommen natürlich auch Kosten für die Erstanschaffung oder im Fall des Verlusts für die Ersatzbeschaffungen.
Warum 2-Faktor-Authentifizierung?
Die 2-Faktor-Authentifizierung ist ein zusätzlicher Schutz Ihrer sensiblen Unternehmensdaten und Ihrer IT-Systeme. Sie beugt Datenklau und Identitätsdiebstahl vor und ermöglicht die doppelte Kontrolle, wer Zugriff auf Ihre Daten und Systeme hat. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) listet 2FA bereits seit 2013 im Maßnahmenkatalog für IT-Grundschutz auf.
Darin wird auch genau beschrieben, was bei dem Einsatz jeder einzelner Komponenten noch zu beachten ist – von der Administration der Benutzerdaten und Token über die Systemunterstützung der verschiedenen Faktoren bis hin zu Anforderungen an Authentifizierungsmechanismen für Benutzer und deren Protokollierung.
Grundsätzlich ist der zusätzliche Aufwand einer 2FA-Lösung jedoch minimal und wiegt den Nutzen auf. Denn wenn Cyberkriminelle an Ihre Passwörter und die Ihrer Mitarbeiter kommen, können diese sich trotzdem nicht einloggen, weil ihnen das zweite Merkmal für die Sicherheitsabfrage fehlt.
2FA – sind Sie bereit dafür?
Damit die 2-Wege-Authentifizierung auch zu mehr Schutz vor Datenklau und Identitätsdiebstahl führt, ist es sinnvoll, wenn Sie bei der Einführung der 2FA in Ihrem Unternehmen folgende Prüffragen des BSI mit „Ja“ beantworten können:
- Haben Sie sichergestellt, dass jede weitere Interaktionen mit Ihrem System oder den Firmen-Anwendungen erst nach der zweiten erfolgreichen Identifikation bzw. Authentifizierung möglich ist?
- Sind die Identifikations- und Authentifizierungsmechanismen, die bei der gewählten 2FA-Lösung eingesetzt werden, dem Schutzbedarf Ihrer Unternehmensdaten angemessen?
- Können ausschließlich autorisierte Administratoren die Authentifizierungsdaten für Benutzer anlegen oder verändern?
- Ist die automatische Verarbeitung der Authentifizierungsdaten durch das IT-System jederzeit gegen Ausspähung, Veränderung und Zerstörung geschützt?
- Beenden die eingesetzten Authentifizierungsmechanismen einen Anmeldevorgang nach einer vorgegebenen Anzahl von Fehlversuchen?
- Werden abgelaufene Benutzerkennungen automatisch gesperrt?
- Werden die Anmelde- bzw. Authentifizierungsvorgänge zum Schutz Ihrer Unternehmensdaten angemessen protokolliert?
Finden Sie die passende 2FA-Lösung für Ihr Unternehmen
Durch die 2-Wege-Authentifizierung haben es Angreifer merklich schwerer, sich Zugang zu Ihren Daten und Systemen zu verschaffen – ganz gleich, welche Form der 2FA Sie wählen. Wobei die Variante mittels Token sicherlich anonymer ist als ein Fingerabdruck oder Iris-Scan.
Daher setzen viele Firmen, darunter Banken und Unternehmen wie Google, Apple, Datev, Yahoo oder Paypal, eine Pin als zweiten Faktor ein, die sie per SMS auf das jeweilige Handy des Nutzers senden. Jetzt wollen auch Sie Ihre Systeme mit geringem Aufwand vor Datenklau und Identitätsdiebstahl bestmöglich absichern? Das IT-SERVICE.NETWORK unterstützt Sie gern dabei. Kontaktieren Sie dafür IT-Dienstleister in Ihrer Nähe, die Ihr System auch gleich einem IT-Sicherheitscheck unterziehen.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung