Anwendungen mit 2FA

Unternehmen Zwei-Faktor-Authentisierung

Wie die Zwei-Faktor-Authentisierung Cloud- und SaaS-Dienste schützt

Viele Firmen nutzen Cloud- und SaaS-Dienste zur Verarbeitung personenbezogener Daten oder sensibler Informationen wie Zahlungsdaten. Die Verantwortung für die Sicherheit dieser Daten hat aber weiterhin das Unternehmen – und nicht der Provider. Trotzdem bleibt die Zwei-Faktor-Authentisierung, eine zusätzliche Sicherheitsebene beim Identitätsnachweis aller Mitarbeiter, oft ungenutzt.

Mit Anwendungen wie Microsoft 365, der Adobe Creative Cloud oder der Fernwartungslösung TeamViewer sind inzwischen selbst Kleinstunternehmen in der Cloud angekommen. Doch das Gros der Firmen hat dabei den Wert einer sicheren Zwei-Faktor-Authentisierung noch immer nicht erkannt. Zu diesem Ergebnis kommt eine aktuelle Studie des SANS Institute. Selbst nach der pandemiebedingten Homeoffice-Pflicht gaben im „SANS 2021 Password Management and Two-Factor Authentication Methods Survey“ noch 27 Prozent der Befragten an, bislang keine Multi- oder Zwei-Faktor-Authentisierung implementiert zu haben. Die Gründe: Für 38 Prozent der Befragten machen 2FA und MFA den Anwendern das Leben zu schwer, während 25 Prozent glauben, eine starke Nutzerauthentifizierung sei zu schwierig zu implementieren. Ein gefährlicher Trugschluss! 

Die Studie zeigt zudem, dass auch die mangelhafte Sorgfalt beim Umgang mit Passwörtern weiterhin ein Problem darstellt: 54 Prozent aller Mitarbeiter verwenden noch immer die gleichen Passwörter für mehrere berufliche Konten, und 41 Prozent der Firmeninhaber merken sich Passwörter sogar auf dem guten alten Notizzettel. Angesichts der datenschutzrechtlichen Vorgaben und Empfehlungen sowie des laxen Umgangs mit Kennwörtern führt für Unternehmen kein Weg an starken Identitäts und Zugriffskontrollen vorbei. Dabei hat sich das Konzept der Zwei-Faktor-Authentisierung etabliert, inzwischen bieten fast alle führenden Online-Plattformen die Möglichkeit, sich zusätzlich zum Passwort mit einem weiteren Authentisierungsfaktor anzumelden 

Microsoft 365 mit Zwei-Faktor-Authentisierung sicher nutzen

Welche wichtige Rolle eine Multi- oder Zwei-Faktor-Authentisierung für Unternehmen spielt, zeigte Microsoft anhand brisanter Zahlen auf der RSA Conference 2020 . Der Cloud-Gigant verarbeitet täglich über 30 Milliarden Log-ins von mehr als einer Milliarde Anwendern. Monat für Monat werden rund 0,5 Prozent der Benutzerkonten kompromittiert (über 1,2 Millionen im Januar 2020). Die Wahrscheinlichkeit, dass sich Unbefugte Zugang zu einem Account verschaffen, sinkt allerdings drastisch bei der Nutzung einer starken Nutzerauthentifizierung. So waren laut den Microsoft-Technikern mehr als 99,9 Prozent der kompromittierten Benutzerkonten nicht per MFA gesichert. 

„Keine Multi-Faktor-Authentisierung zu nutzen, ist heute schon fast grob fahrlässig“, warnt auch Alexander Siegelin, IT-Leiter der Kraftanlagen Gruppe. In seinem Unternehmen arbeiten etwa 1.600 Mitarbeiter regelmäßig mit Microsoft-Produkten – immer mehr davon mit Microsoft 365 und Microsoft Teams. Bei der Einführung einer Zwei-Faktor-Authentisierung mit zeitlich limitierten Einmalpasswörtern (Time-based One-time Password, kurz: TOTP) setzte die Kraftanlagen Gruppe allerdings nicht auf die Smartphone-App Microsoft Authenticator, sondern auf eine Hardware-Lösung, den REINER SCT Authenticator. Die Vorteile:

Und wie stark hat die doppelte Sicherheit per Zwei-Faktor-Authentisierung nun den Anwendern das Leben erschwert? Gar nicht: „Wir hatten kaum Rückfragen zur Nutzung“, berichtet Siegelin. Selbst Angestellten, die nicht täglich am PC arbeiten, reichte ein knapp einminütiges Video zur Verwendung des Authenticators. Inzwischen nutzt die Kraftanlagen Gruppe auch zur Anmeldung im Social Intranet eine Zwei-Faktor-Authentisierung – und ein Single-Sign-on (SSO) über Azure Active Directory ist bereits in Vorbereitung.

Zwei-Faktor-Authentisierung in Microsoft 365 einrichten

Sowohl Microsoft 365 als auch Office 365 unterstützen standardmäßig die Multi-Faktor-Authentisierung für Benutzerkonten. Probieren Sie es aus: Die Einrichtung per QR-Code ist schnell erledigt! Melden Sie sich wie gewohnt bei office.com an und bestätigen Sie die Aufforderung „Weitere Informationen“ mit „Weiter“. Im ersten Schritt der Einrichtung wählen Sie als „Authentifizierungstelefon“ die „mobile App“ und als Anmeldemethode die Option „Überprüfungscode verwenden“, bevor Sie mit einem Klick auf „Einrichten“ bestätigen. 

Nun erscheint ein QR-Code, den Sie entweder am Smartphone mit Microsofts Authenticator-App oder über eine Hardware-Lösung wie den REINER SCT Authenticator einscannen. Anschließend wählen Sie am PC „Got It“ und bestätigen zweimal mit „Weiter“. Dann tragen Sie im zweiten Schritt das vom Authenticator generierte, zeitlich beschränkte Einmalkennwort ein, um Ihre 2FAKonfiguration zu überprüfen. Abschließend geben Sie im dritten Schritt noch eine Sicherungstelefonnummer wie Ihre Büronummer ein und bestätigen mit „Weiter“ und „Fertig“. Der nächste Log-in erfolgt dann bereits über eine sichere Zwei-Faktor-Authentisierung. 

Die Bereitstellung und Konfiguration einer mehrstufigen Authentifizierung für Mitarbeiter und Heimarbeiter erfolgt gegebenenfalls über den globalen Administrator des Unternehmens. Er hat im Microsoft-365-Admin-Center die Möglichkeit, eine veraltete MFA auf Benutzerbasis zu deaktivieren und firmenweit alle Konten auf eine moderne Authentifizierung umzustellen. Je nach Lizenz lassen sich dabei über Richtlinien zum Initiieren der MFA auch (risikobasierte) bedingte Zugriffe konfigurieren, um beispielsweise Gruppenmitgliedschaften des Nutzers oder IP-Standortinformationen des Endgeräts zu berücksichtigen.

2FA-Absicherung für die Cloud und firmeneigene Hardware

Ebenso wie bei Microsoft 365 und Office 365 können Organisationen und Mitarbeiter die doppelte Sicherung per Zwei-Faktor-Authentisierung bei einer Vielzahl weiterer Internet-Dienste nutzen. Selbst die Absicherung firmeneigener Hardware – etwa der Zugriff auf Router oder NAS-Systeme – gelingt auf diese Weise. Die folgende Liste bietet einen kurzen Überblick der wichtigsten Bereiche, in denen sich eine sichere Zwei-Faktor-Authentisierung mit zeitlich limitierten Einmalpasswörtern nutzen lässt:

Höchsten Schutz für all diese Dienste bietet Unternehmen der REINER SCT Authenticator. Der auf Hardware basierende TOTP-Generator kommt im Gegensatz zu einer Authenticator-App auf dem Smartphone ohne Internetverbindung aus und lässt sich deshalb auch nicht online angreifen. Das hosentaschentaugliche Gerät speichert die elektronischen Schlüssel für bis zu 60 Benutzerkonten und generiert die zum Log-in benötigten Einmalpasswörter präzise alle 30 Sekunden.

Weitere Beiträge

2FA im Unternehmen

Warum die Zwei-Faktor-Authentisierung auch für Unternehmen sinnvoll ist Benutzerkonten und

TOTP-Einmalkennwörter

Wie TOTP-Einmalkennwörter sensible Unternehmensdaten sichern Time-based One-Time Passwords (kurz: TOTP)