Jetzt kaufen 2FA in Microsoft 365: Warum die Zwei-Faktor-Authentisierung unverzichtbar
Zwischen Hackern und sensiblen Unternehmensdaten steht oft nur ein Passwort. Der Benutzername lässt sich anhand von Personendaten meist leicht erraten und der laxe Umgang mit Kennwörtern sowie Social-Engineering- oder Brute-Force-Attacken öffnen Angreifern schnell Tür und Tor. Eine doppelte Sicherung verspricht die Zwei-Faktor-Authentisierung. Dieses Verfahren nutzt zusätzlich zu Benutzernamen und Passwort noch eine weitere Erkennungsmethode.
Am Geldautomaten ist die Zwei-Faktor-Authentisierung seit Jahren üblich. Als erste Stufe der Authentisierung dient hier die EC-Karte. Das Abheben von Bargeld gelingt aber erst nach Eingabe der PIN, dem zweiten Faktor der Authentisierung. Ganz ähnlich funktionierte das lange Zeit beim Online-Banking mit der PIN und den Transaktionsnummern einer iTAN-Liste als Einmalkennwort. Inzwischen bieten aber auch PINs und iTANs keine ausreichende Sicherheit mehr. Deshalb verpflichten staatliche Regulierungen die Zahlungsdienstleister nun zu einer „starken Kundenauthentifizierung“ (Strong Customer Authentication).
Bei Bankgeschäften erfolgt die Umsetzung dieser Anforderungen bei chipTAN und Sm@rt-TAN mithilfe von speziellen TAN-Generatoren. Diese Geräte generieren für Transaktionen mit Unterstützung der Bankkarte eine TAN und erfüllen hohe Sicherheitsanforderungen. Die Verfahren photoTAN und SecureGo ermöglichen hingegen die Nutzung von Smartphone-Apps für die TAN-Generierung. Hier ist ein zusätzliches Gerät zwar nicht zwingend erforderlich, aber das Smartphone lässt sich – beispielsweise über die Android-Banking-Malware „Cerberus“ – auch leichter kompromittieren.
Völlig analog setzen Webdienste bei der Absicherung des Log-ins auf eine Zwei-Faktor-Authentisierung mit einem Einmalpasswort, das nur für eine einmalige Verwendung gültig und meist auf Basis der aktuellen Uhrzeit zeitlich limitiert ist (Time-based One-time Password, kurz TOTP). Die Generierung der hier verwendeten Einmalpasswörter kann ebenfalls am Smartphone oder – und hier deutlich sicherer – über zusätzliche Hardware wie einen Authenticator für die sichere Zwei-Faktor-Authentisierung mit TOTP erfolgen.
Diese Technik erschwert Phishing-Angriffe sowie Attacken mit Keyloggern und sichert in vielen Unternehmen bereits den Zugang zu Office-Paketen wie Microsoft 365 oder Fernwartungs-Tools wie TeamViewer ab. 2FA und TOTP sind aber zugleich Techniken, die sich auch im eigenen Unternehmensnetzwerk einsetzen lassen.
„Unter Berücksichtigung des Stands der Technik, (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Der Bundesverband IT-Sicherheit e. V. empfiehlt in seiner „Handreichung zum Stand der Technik“ eine Zwei-Faktor-Authentisierung zur Härtung von Serversystemen. Anderenfalls müssten Unternehmen den Einsatz starker einheitlicher Kennwortrichtlinien für Benutzerpasswörter (etwa Kennwortlänge, Komplexität, Sperrzähler, Änderungszyklus etc.) sicherstellen. Noch einen Schritt weiter geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinen Empfehlungen zum Schutz von Benutzer-Accounts: Die beim Innenministerium angesiedelte Behörde fasst sämtliche Details zu Authentisierungsverfahren im Baustein ORP.4 Identitäts- und Berechtigungsmanagement des IT-Grundschutz-Kompendiums sowie in dessen Umsetzungshinweisen zusammen. Demnach müssten Firmen grundsätzlich überlegen, ob Passwörter als alleiniges Authentisierungsverfahren überhaupt noch eingesetzt werden sollten. Insbesondere für Benutzerkonten mit weitreichenden Berechtigungen empfiehlt das BSI eine starke Authentisierung mit mindestens zwei Authentisierungsmerkmalen, also beispielsweise über ein Passwort und ein zusätzliches, zeitlich limitiertes Einmalpasswort (TOTP).
Kommt es zu einem Datendiebstahl personenbezogener Daten, drohen Unternehmen nicht nur Reputationsverluste, sondern auch Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Im Falle eines Falles müssten betroffene Organisationen nachweisen, dass sie die Bestimmungen der EU-DSGVO beachtet und die Daten durch ein angemessenes Schutzniveau gesichert haben. Ob einfache Benutzerkonten und Passwörter dabei noch ein angemessenes Schutzniveau bieten, ist angesichts der BSI-Empfehlungen in vielen Fällen bereits fraglich.
Eine starke Authentifizierung im eigenen Firmennetzwerk ist vor allem dann erforderlich, wenn Mitarbeiter Zugriff auf interne, sicherheitskritische Daten oder Anwendungen haben und die Vertraulichkeit oder Integrität sensibler Daten durch einen Identitätsdiebstahl gefährdet wären. Dies gilt prinzipiell für Versicherungen und viele Behörden, aber auch für Finanzdienstleister, Bildungseinrichtungen sowie medizinische Einrichtungen, Krankenhäuser und andere Unternehmen in der Gesundheitsbranche. Betroffen sind zudem Betriebe in Industrie und Handel sowie Arztpraxen, Anwälte oder Wirtschaftsprüfer, die einen ausreichenden Schutz ihrer Patienten- und Mandantendaten sicherstellen müssen.
Greifen Kollegen im Homeoffice oder Außendienstmitarbeiter über ein Virtual Private Network (VPN) auf geschäftskritische Firmendaten und Anwendungen zu, sollten auch diese Zugänge den besten Schutz erhalten. Hier sind die Gefahren eines Identitätsdiebstahls sogar besonders hoch. Im Homeoffice nutzen nämlich gerade einmal 42 Prozent der Organisationen ausschließlich unternehmenseigene IT, aber Privat-PCs der Mitarbeiter sind in der Regel wesentlich leichter kompromittierbar. Unternehmen sollten deshalb auch hier auf doppelte Sicherheit setzen und für VPN-Verbindungen sowie eine Zwei-Faktor-Authentisierung sorgen. Laut BSI machen davon bislang aber nur rund die Hälfte aller deutschen Unternehmen Gebrauch.
Verlagern Firmen ihre Daten und Anwendungen aus dem eigenen Netzwerk oder Rechenzentrum in die Cloud, gewinnt das Thema „Sichere Zugänge“ zusätzliche Brisanz. Größere Betriebe haben die Absicherung ihrer Hybrid-Cloud-Umgebungen meist im Blick. Bei Software as a Service (SaaS) wie Microsoft 365, die Mitarbeitern Office- und Produktivitätstools oder andere Business-Anwendungen für ihre tägliche Arbeit zur Verfügung stellen, sieht das aber oft noch anders aus. Diese Cloud-Anwendungen befinden sich auch in vielen kleineren Betrieben im Einsatz, in denen das Sicherheitsbewusstsein noch nicht ganz so ausgeprägt ist. Oft werden die Anwendungen dann per Standard-Log-in genutzt, obwohl ein Großteil der SaaS-Dienste auch die sichere Zwei-Faktor-Authentisierung mit TOTP unterstützt.
Für Unternehmen ist es wichtig, Mitarbeiter in puncto IT- und Informationssicherheit zu sensibilisieren und bei der Umsetzung neuer Sicherheitsmaßnahmen mitzunehmen. Das gilt auch für die unternehmensweite Einführung einer Zwei-Faktor-Authentisierung. Natürlich erfordert der Log-in mit einem zusätzlichen Faktor zunächst etwas mehr Aufwand. Einheitliche, hardwarebasierte Endgeräte zur Generierung der zeitlich limitierten Einmalpasswörter erhöhen allerdings – im Vergleich zu softwarebasierten 2FA-Lösungen – nicht nur die Sicherheit, sondern erleichtern der IT auch den Support der Angestellten.
Zusätzlichen Komfort für die IT und alle Mitarbeiter bietet insbesondere in hybriden Cloud-Umgebungen die Einführung eines Identity- und Access-Managements (IAM), das sämtliche Zugänge und Ressourcen zusammenführt. Derartige IAM-Lösungen, die es inzwischen auch cloudbasiert gibt, erleichtern IT-Admins die Verwaltung von Benutzeridentitäten und Zugriffsrechten erheblich. Mitarbeitern, Dienstleistern und Partnern ermöglichen sie aber auch den einfachen Zugriff per Single Sign-On (SSO). Benutzer müssen ihre Zugangsdaten dann nur einmal eingeben, um auf alle Unternehmensdaten und -anwendungen in der Cloud oder hinter der Firewall des Firmennetzwerks zugreifen zu können. Dieser Komfortgewinn steigert nicht nur die Produktivität, sondern auch die Akzeptanz einer doppelten Sicherung per Zwei-Faktor-Authentisierung.
Jetzt kaufen 2FA in Microsoft 365: Warum die Zwei-Faktor-Authentisierung unverzichtbar
Jetzt kaufen Sicherheit auf ein neues Level: Warum 2FA in
Jetzt kaufen (2FA) Zwei-Faktor-Authentisierung bzw. Authentifizierung an Universitäten: Ein umfassender
DNS-Spoofing: Definition und Schutzmaßnahmen In der IT-Sicherheit ist DNS-Spoofing ein
Inkognito-Modus richtig nutzen Der Inkognito-Modus klingt im ersten Moment für
Jetzt kaufen 2FA in öffentlichen Verwaltungen Warum Sicherheit unerlässlich ist!
Proxy-Server und die Gefahr durch Hacker Proxy-Server dienen als Vermittler
Adversary-in-the-Middle-Angriff: Gefahr für alle Daten Ein Adversary-in-the-Middle-Angriff ist eine Form
Man-in-the-Middle-Angriff erkennen und verhindern Ein Man-in-the-Middle-Angriff ist eine Attacke, bei
Datenschutz bei ChatGPT und anderer KI Mit neuen Entwicklungen und
Zeiterfassung und Datenschutz Durch die Entscheidung des Bundesarbeitsgerichts im September
Vishing und was man dagegen tut Beim Vishing handelt sich
Daran erkennt man, dass das Handy gehackt wurde Das Handy
Eine hacksichere Webseite erstellen Die eigene Webseite hacksicher zu machen,
Cybersecurity im Urlaub Urlaubszeit. Endlich Entspannung. Fern von der Arbeit.
Qualifikationen von Datenschutzbeauftragten Ein Datenschutzbeauftragter sorgt dafür, dass in einem
Umgang mit gehackten E-Mails Die E-Mail ist als Kommunikationsmedium nicht
Betrügerische Webseiten und Fake Shops Dass Hacker alles versuchen, um
So kann man Spam verhindern Spam ist uns allen sehr
Statistiken zur Zwei-Faktor-Authentifizierung Statistiken zur Zwei-Faktor-Authentifizierung Die Zwei-Faktor-Authentifizierung gibt es