© Art Alex/Shutterstock.com
Zwei-Faktor-Authentifizierung in der eigenen Applikation nutzen

Der zweite Faktor


Die Zwei-Faktor-Authentifizierung ist eine Authentifizierungsmethode, die zum Identitätsnachweis eines Anwenders zwei unterschiedliche und unabhängige Komponenten benutzt, zum Beispiel den Fingerabdruck plus den Zugangscode beim Eingang ins Gebäude. Zunehmend wird diese Sicherheit auch für die eigene Applikation angeboten.

Historisch hat man Zugänge zu schützenswerten Daten, Modellen und Prozessen in der Informationstechnik lediglich durch ein Passwort abgesichert. Der Grad der Sicherheit durch Passwortschutz fällt unterschiedlich aus. Es handelt sich dabei um ein Zusammenspiel von technischen und organisatorischen Maßnahmen (TOM). Beispielsweise sind die Nutzer zu einem sorgfältigen Umgang mit ihren Passwörtern anzuhalten. Sie dürfen diese nicht (sichtbar für andere Personen) notieren, sollten sie regelmäßig wechseln und eine Kombination aus Zahlen, Sonderzeichen, Klein- und Großbuchstaben wählen, damit man das Passwort nicht durch einfaches Probieren erraten kann. Es gibt eine Vielzahl von Hinweisen, wie man ein sicheres Passwort erstellt und sich dieses gleichfalls merkt. Als Betreiber einer Plattform, App usw. ist man gut beraten, dem Nutzer einige Hinweise zum Erstellen eines „guten“ Passworts mit auf den Weg zu geben (Kasten: „Passwortregeln für höhere Sicherheit“).

Passwortregeln für höhere Sicherheit

Das Thema Passwortsicherheit betrifft fast jeden Anwendungsfall. Nicht alle Passwörter sind sicher. Manche schützen die Daten nicht, sondern öffnen die Tür für Hacker. Wie erstellt man ein sicheres Passwort? Die goldenen Regeln lauten:

  • Mindestens zehn Zeichen lang

  • Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen

  • Das Passwort darf keine Begriffe enthalten, die mit der betreffenden Person in Verbindung stehen

Des Weiteren noch folgende Tipps:

  • Ersetzen: Einzelne Buchstaben werden durch Symbole und Sonderzeichen ersetzt, beispielsweise ss => §, a => @ etc.

  • Wörter: Aneinanderreihen von Wörtern, die in keinem Zusammenhang stehen, z. B. BuchHimmelParis

  • Satz: Einen Satz ausdenken und immer die Anfangsbuchstaben von jedem Wort nehmen, dazu Zahlen und Sonderzeichen hinzufügen

  • Die Passwörter sollten regelmäßig geändert werden; wie oft, hängt von der Sensibilität der Daten ab

Ebenso sollten Passwörter nicht mehrfach verwendet werden, damit beim Verlust des Passworts nicht der Zugang zu einer Vielzahl von Plattformen und Diensten gefährdet ist.

So richtig und wichtig diese Hinweise mit dem Umgang von Passwörtern auch sind, wissen wir doch, dass diese oft nicht umfassend umgesetzt werden. Technisch betrachtet ist die Frage der Übermittlung der Passwörter und deren Speicherung zu klären. Beides hat nach dem heutigen Stand der Technik zwingend in verschlüsselter Form zu geschehen.

Letztendlich wurde festgestellt, dass die geltenden Hinweise und Vorschriften nicht genügten, um eine ausreichende Sicherheit für sensible Kundendaten (persönliche Daten) zu bieten und bei Prozessen eine ungerechtfertigte Nutzung auszuschließen. Dieses Manko hat auch der Gesetzgeber erkannt und hat im Rahmen der Datenschutz-Grundverordnung (DSGVO) europaweit mit den entsprechenden Vorgaben nachgebessert. In diesem Zusammenhang wird immer wieder § 32 DSGVO „Sicherheit und Verarbeitung“ zitiert:

„1. Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“

Demnach müssen Maßnahmen zum Schutz der Daten ergriffen werden, die auch dem aktuellen Stand der Technik entsprechen. Wir können heute davon ausgehen, dass die Absicherung eines Zugangs lediglich über ein einfaches Passwort in vielen Fällen das geforderte Schutzniveau nicht erreicht. Das Ziel ist die Erhöhung der Sicherheit. Dem Stand der Technik bei der Absicherung eines Zugangs entspricht heute die Zwei-Faktor-Authentifizierung (2FA). Die 2FA dient zur Sicherung von Remotezugängen, Webapplikationen, virtuellen Umgebungen und Cloud-Services durch einen zweiten Faktor. Die 2FA funktioniert grundsätzlich wie folgt: Der Nutzer gibt sein Passwort ein und bestätigt die Richtigkeit des eingegebenen Kennworts. Dieses führt jedoch nicht zu dem gewünschten Inhalt, sondern es muss eine weitere Hürde gemeistert werden. Viele 2FA-Systeme greifen nach der Passwortabfrage auf ein externes System zurück. Das kann zum Beispiel ein Smartphone mit einem Bestätigungscode oder Fingerabdruck sein. Nur wenn beide Zugangsfaktoren korrekt sind, erhält der Anwender den gewünschten Zugriff auf den Inhalt.

Zur Anwendung kommt die 2FA bereits in folgenden Bereichen: Onlinebanking, Debit- oder Kreditkartenzahlung, Cloud-Anbieter, Social-Media-Plattformen, digitale Steuererklärung, Onlineausweisfunktion des Personalausweises etc. Auch bei anderen Anwendungen, die sensible Daten verarbeiten, wird zunehmend der Einsatz der 2FA gefordert. Diese Art der Nutzerberechtigung bietet also ein höheres Level an Sicherheit als die bloße Eingabe von Nutzername und Passwort. Andererseits steigt auch der Aufwand für den Nutzer und die technische Umsetzung ist komplexer.

Bevor wir weiter auf die 2FA ...

Neugierig geworden? Wir haben diese Angebote für dich:

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang