Die Zwei- oder Multi-Faktor-Authentisierung ist der Sicherheitsgurt der Cybersicherheit. Bei richtiger Anwendung können Cyberrisiken verringert werden, sie schützt jedoch nicht vor dem eigenen fahrlässigen Verhalten. Wir erklären, wie die Zwei-Faktor-Authentisierung funktioniert, wann es sich lohnt, sie zu verwenden und wo ihre Grenzen liegen.
Wie schützt die Zwei-Faktor-Authentisierung?
Bei der Zwei-Faktor-Authentisierung handelt es sich um eine mehrstufige Überprüfung der Identität für Benutzerkonten, bestehend aus zwei Faktoren: beispielsweise einem Passwort und einem weiteren Faktor, wie einem biometrischen Merkmal – z. B. Fingerabdruck bzw. Gesichtserkennung – oder einer getrennt erstellten PIN. Beim Einloggen wird letztere separat versendet, entweder als SMS oder in einer Sicherheits-App auf dem Smartphone, und muss zusätzlich zum Passwort eingegeben werden. Durch die Nutzung eines solchen weiteren Faktors wird die Passwortsicherheit stark erhöht. Kombiniert man mehr als zwei Faktoren, spricht man von der Multi-Faktor-Authentisierung.
Warum verwenden wir überhaupt die Zwei-Faktor-Authentisierung?
Die alleinige Eingabe des Passworts ist heute nicht mehr sicher genug. Passwörter können leicht in die falschen Hände geraten – beispielsweise durch die Kompromittierung der Login-Daten bei Cyberangriffen. Hier greift der größte Vorteil der Zwei-Faktor-Authentisierung: Durch die Aufnahme eines weiteren Faktors in den Authentisierungsprozess wird eine zusätzliche Barriere geschaffen, die im Falle einer Cyberattacke Gold wert ist. Cyberkriminelle müssten auch im Besitz des zweiten Faktors sein, um in ein System eindringen zu können. Je mehr Schritte unternommen werden müssen, desto schwieriger ist es für kriminelle Hacker, sich der Login-Daten zu bemächtigen. Mit der Zwei-Faktor- Authentisierung können viele Bedrohungsszenarien – vor allem in Bezug auf Identitätsdiebstahl – ausgeschlossen werden.
Welche sind die häufigsten Formen der Zwei-Faktor-Authentisierung?
- SMS Token: Diese Variante ist die bekannteste Art der Zwei-Faktor-Authentisierung. Dabei wird bei der Anmeldung beim jeweiligen Online-Dienst ein zufälliger Code generiert und per SMS an das Smartphone des Benutzers versendet.
- E-Mail: Auch die Authentisierung per E-Mail wird häufig verwendet: Im Zuge der Anmeldung bei einem Online-Dienst wird nach der Eingabe des Benutzernamens und des Passworts vom jeweiligen Anbieter ein mehrstelliger Code per E-Mail versendet. Die Authentisierung per E-Mail ist besonders beliebt, da keine zusätzliche Hard- oder Software nötig ist.
- TAN / OTP: Mit der TAN (Transaktionsnummer) oder dem OTP (One-Time-Password) wird ein einmaliger Zahlencode bzw. ein einmaliges Kennwort als zweiter Faktor an den User übermittelt – entweder über Hardware in Form eines TAN-Generators oder als Software über eine Authenticator-App. Die Kennwörter sind zeit- oder ereignisbasiert und werden immer wieder neu generiert. Hier gelten die Hardware-basierten Autentisierungsvarianten derzeit als die sichersten.
- Smartcards: Smartcards werden in hochsicheren Windows-Umgebungen verwendet und können für den Login im Windows Konto, einem Firmen-VPN oder auch für E-Mail Signaturen bzw. eine Festplattenverschlüsselung genutzt werden. Die Smartcard hat die Größe einer Kreditkarte und ist mit einem Chip ausgestattet, der ein digitales, verschlüsseltes Zertifikat speichert, das nur durch eine PIN freigeschaltet werden kann. Auch hier gilt der physikalische Faktor als besonderer Zugewinn in Sachen Passwortsicherheit.
- Biometrische Authentisierung: Bei dieser Variante werden biometrische Merkmale wie der Fingerabdruck oder das Gesicht in den Authentisierungsprozess miteinbezogen. Das ist einfach, schnell und gilt aufgrund der Eindeutigkeit der Daten als sehr sicher. Für Bedrohungsakteure aus dem Netz ist es schwieriger, den Fingerabdruck oder den Gesichtserkennungsscan einer Person zu replizieren.
- Kryptografisches Token: Das kryptografische Token speichert einen privaten kryptografischen Schlüssel. Die Authentifizierung erfolgt in diesem Fall, indem eine Anforderung an das Token gesendet wird.
Wo die Zwei-Faktor-Authentisierung sich besonders lohnt
Bereits seit dem 15. März 2021 besteht bei Bezahlvorgängen im Netz via Online-Banking, Kreditkarte oder PayPal die Pflicht zur Verwendung der Zwei-Faktor-Authentisierung, Google hat sie Ende 2021 für sämtliche Accounts seiner Dienste eingeführt und es ist zu erwarten, dass auch weitere Unternehmen nachziehen werden. Mit Blick auf die Passwortsicherheit rät Perseus, die Zwei- oder Multi-Faktor-Authentisierung überall dort anzuwenden, wo sie möglich ist, z. B.:
- Bei der Identifikation von Social Media-, Cloud- oder Benutzerkonten: Verwenden Sie hierfür eine Authenticator-App zur Generierung einmaliger Passwörter, zum Beispiel von Google, Microsoft, Apple oder die Zusendung der TAN per SMS.
- Bei der Online-Funktion des Personalausweises: Der neue Personalausweis ist mit einem Chip ausgestattet und kann somit auch online für Behördengänge, zur Legitimationsprüfung bei Finanzdienstleistern oder für geschäftliche Angelegenheiten verwendet werden. Neben der Authentisierung über eine PIN findet eine zusätzliche Ende-zu-Ende verschlüsselte Authentisierung mit dem jeweiligen Dienstleister statt.
- Bei Steuerangelegenheiten: Das Online-Finanzamt ELSTER ermöglicht es, Finanzangelegenheiten komplett papierlos zu klären. Eine Anmeldung ist nur mit einem passwortgeschützten Software-Zertifikat oder der Online-Ausweisfunktion möglich.
Grenzen der Zwei-Faktor-Authentisierung
Im Arbeitsalltag, wenn es oft schnell gehen muss und viele Dinge keine Zeit bleibt, kann die Zwei-Faktor-Authentisierung als zusätzlicher Klotz am Bein wahrgenommen werden. Dabei kann sie enormen Schaden abwenden. Unternehmen sollten sich über die Vorteile im Klaren sein, sich hinsichtlich der unterschiedlichen Möglichkeiten bei der Zwei-Faktor-Authentisierung informieren und sich für die passende Variante entscheiden. Die Nutzung – sowohl in welcher Form als auch in welchem Umfang – sollte per Richtlinie im Unternehmen vorgegeben bzw. alle Mitarbeitenden entsprechend informiert und geschult werden. Am Ende geht es um wichtige Daten Ihres Unternehmens.
Auch wenn die Zwei-Faktor-Authentisierung für die Steigerung der Sicherheit bei vielen Anwendungen empfehlenswert ist, kann auch sie nicht jeden Zwischenfall verhindern:
- Die beliebteste Variante ist auch gleichzeitig die anfälligste: Der SMS-Token kann über sogenannte Swap-Angriffe abgegriffen werden, wenn es Cyberkriminellen gelingt, den Mobilfunkanbieter zu überlisten und die Telefonnummer des Opfers auf eine SIM-Karte zu portieren.
- Wird das E-Mail-Konto von Bedrohungsakteuren aus dem Netz übernommen, kann ein 2-Faktor-Code ohne größere Anstrengung ausgelesen werden. Auch handelt es sich bei dieser Variante der Authentisierung eigentlich um keine Zwei-Faktor-Authentisierung, da viele User ihre E-Mails sowohl vom Smartphone als auch vom Rechner aus bearbeiten. Ist ein Gerät mit Malware infiziert, können die Angreifer jede E-Mail mitlesen und die Codes entsprechend abgreifen.
- Bei der TAN bzw. dem One-Time-Password stellt Phishing das größte Problem dar. Es ist möglich, eine täuschend echte Phishing-Website zu erstellen, die Anmeldedaten wie Passwort und den von einer Authentifizierungs-App generierten Code weitergibt, um sich beim echten Dienst anzumelden. Gleichzeitig melden sich Cyberkriminelle selbst an und können sich als die kompromittierte Person ausgeben, ohne dass der genutzte Dienst den Unterschied bemerkt. Ein weiterer Nachteil der Authenticator-Apps besteht darin, dass es möglicherweise nicht einfach ist, die benötigten Codes zu erhalten, wenn Sie Ihr Telefon verlieren.
Einen 100 %igen Schutz gibt es nicht – aber Möglichkeiten, das Risiko zu minimieren. Vor allem verantwortungsvolles Verhalten und die Einhaltung von Sicherheitsbestimmungen jeder und jedes Einzelnen sind die Grundvoraussetzung für die Vermeidung von Cybervorfällen:
- Updates: Oftmals sind eine veraltete Software, unlizensierte Programme von kostenlosen Download-Seiten oder willkürlich geklickte Links oder besuchte Webseiten, die Ursache für einen Cybervorfall. Ein solches Online-Verhalten, ist das Cyber-Äquivalent zu einer Autofahrt auf einer Klippe mit 200km/h: Ein angelegter Anschnallgurt bzw. die Zwei-Faktor-Authentisierung wird am Ende auch nicht helfen können. Die Installation neuer Updates, insbesondere von Sicherheits-Updates für Betriebssysteme oder der Einsatz sicherer Passwörter, sind bereits ein erster Schritt, Cybervorfälle zu vermeiden.
- Passworthygiene: Je unwahrscheinlicher es ist, dass Ihr Passwort erraten oder errechnet werden kann, desto sicherer ist es. Und je sicherer Ihr Passwort ist, desto sicherer sind die von ihm geschützten Daten, E-Mails, Rechner, Unternehmensnetzwerke usw. Die Passwortsicherheit wird durch mehrere Faktoren beeinflusst. Unter anderem durch die Einmaligkeit, Länge, Komplexität, Abstraktion und Geheimhaltung des jeweiligen Passworts.
- Backups: Festplatten, Rechner, Server und ganze Systeme können durch technische Defekte oder aber durch Cyberangriffe, wie der Installation von Malware, unbrauchbar gemacht werden. Mit Backups erstellen Sie Sicherheitskopien Ihrer Daten. Durch diese können verlorene oder zerstörte Inhalte und sogar ganze Systeme wiederhergestellt werden. Mehr dazu erfahren Sie in unserem Blogbeitrag “Kein Backup – kein Mitleid”.
- Wachsamkeit: Schärfen Sie Ihren kritischen Blick auf E-Mails mit unbekannten Absendern. Hier sollten keine Links angeklickt oder Anhänge geöffnet werden. Der Klick auf den Link einer Phishing-E-Mail ist eines der häufigsten Einstiegstore für Cyberkriminelle.
- Sensibilisierung für Mitarbeitende: Sensibilisieren Sie Ihre Mitarbeitenden für die Gefahren aus dem Netz. Cyberangriffe gehören zu den größten Geschäftsrisiken überhaupt. Entsprechende Trainings in Form von E-Learnings und Phishing-Simulationen vermitteln grundlegendes Wissen und erhöhen nachhaltig das Bewusstsein.
Erst wenn solche grundlegenden Sicherheitsregeln befolgt werden, kann auch eine Zwei-Faktor-Authentisierung wirksam greifen und bei richtigem Einsatz Konten und Daten vor unbefugten Zugriffen schützen. Die Zwei-Faktor-Authentisierung ist ein wichtiges Sicherheitsinstrument, das einen effektiven Schutz vor unerlaubten Zugriffen auf die eigenen Daten bietet und Teil einer umfassenden Cybersicherheitsstrategie sein sollte. Wer sie nutzt, ist auf der sicheren Seite – ohne wenn und aber.