Zwei-Faktor-Authentifizierung erhöht die Sicherheit: Tipps zur Nutzung
4 min

2FA: Doppelt geschützt hält besser

Ein Passwort, ergänzt mit einem wechselnden Code: Eine solche Zwei-Faktor-Authentifizierung erhöht die Sicherheit bei der Anmeldung ungemein. Wir stellen Ihnen die gängigsten Methoden vor und zeigen, wie Sie sie nutzen.

Wir kennen es von der Anmeldung fürs Online-Banking: Nach der Eingabe des Passworts erhalten wir per SMS einen Code. Oder wir müssen diesen über ein separates Kästchen erzeugen. Erst nach der Eingabe dieses Einmal-Passworts können wir auf unsere Konten zugreifen. Sollte ein Angreifer das Passwort kennen, kann er trotzdem nicht auf die Konten zugreifen. Es fehlt ihm der benötigte Einmal-Code.

Besser als das beste Passwort

Diese Art des Anmeldens mit zwei Sicherheitselementen – Passwort und Code – heisst Zwei-Faktor-Authentifizierung, kurz 2FA. Sie ist empfehlenswert für die Anmeldung zu allen Diensten im Internet, bei denen es um persönliche oder unternehmerische Daten geht. E-Mail-Konten, soziale Netzwerke, Business-Software im Web oder Online-Speicher, sie alle sollten mit 2FA abgesichert werden. Also eigentlich alle Dienste, bei denen eine Anmeldung übers Internet möglich ist.

Der Grund dafür ist einfach. All diese Daten sind zu heikel, um sie einem unbekannten Angreifer zu überlassen. Zu gross ist der mögliche Schaden, wenn ein Cyber-Krimineller in Ihrem Firmennamen Rechnungen verschickt oder Ihre Facebook-Freunde um Geld angeht.

Das Schadenspotenzial multipliziert sich, wenn Sie sich an Internet-Diensten mit Ihrem Facebook- oder Gmail-Konto anmelden. Hat ein Angreifer erst einmal Zugriff auf eines dieser Konten, wird er auch die damit verbundenen Dienste abklappern. Facebook und Gmail respektive die G Suite sollten deshalb unbedingt mit Zwei-Faktor-Authentifizierung geschützt werden. Übrigens, gemäss der Online-Fachzeitschrift «The Register» nutzen nur zehn Prozent der Gmail-Nutzer 2FA, was das Webmail-Angebot umso attraktiver für Angriffe macht.

Ein sicheres Passwort alleine bietet zwar einen gewissen Schutz, reicht aber für sensible Daten nicht aus. Denn auch ein noch so ausgeklügeltes Passwort kann mittels Keylogger – eine Malware, die die Tastatureingaben mitschneidet – ausgelesen und an den Angreifer übermittelt werden. Und sollte das Passwort bereits in einer Liste gelandet sein, die Angreifer nutzen, wird auch eine schwer knackbare Zeichenkombination plötzlich unsicher. Deshalb sollten Sie wenn immer möglich Ihre geschäftlichen und privaten Konten mit Zwei-Faktor-Authentifizierung schützen.

Welche 2FA-Möglichkeiten bieten Internet-Dienste an?

Auf twofactorauth.org sind die 2FA-Angebote von verschiedenen Service-Providern aufgelistet. Über die angegebenen Links erfahren Sie, wie genau Sie die 2FA beim jeweiligen Anbieter einrichten können. Die Liste ist aber nicht vollständig. Sollte Ihr Anbieter nicht aufgeführt sein, informieren Sie sich direkt bei ihm über die Möglichkeiten einer Zwei-Faktor-Authentifizierung.

Token als Hardware-Schutz für 2FA

Eine Zwei-Faktor-Authentifizierung verlangt nach einem zweiten Gerät oder zumindest zweiten Kanal. Einen guten Schutz bildet ein Token («Jeton») in Form von separater Hardware. Dabei handelt es sich um einen physischen «Schlüssel» mit Informationen, die für das Login benötigt werden. Bekannt sind vor allem die Smartcard, die bei der Anmeldung in ein Kartelesegerät gesteckt werden muss. Ähnlich funktionieren auch einige Online-Banking-Systeme beim Login-Verfahren. Eine Alternative zu einem separaten Token sind spezielles USB-Sticks, auf denen weitere erforderliche Anmeldedaten hinterlegt sind.

Der Vorteil: Das Risiko, dass Unbefugte sowohl Ihre Login-Daten kennen als auch im Besitz Ihres Tokens sind, ist minimal. Nichtsdestotrotz können Tokens gestohlen werden – oder einfach verloren gehen. Daher müssen Tokens verwaltet werden, wenn sie als Firmenlösung eingesetzt werden. Ausserdem sind sie mit Anschaffungskosten verbunden.

Zwei-Faktor-Authentifizierung via Smartphone

2FA ist auch ohne Token möglich. Das Smartphone kann ebenso als zweiter Faktor bei der Anmeldung eingesetzt werden. Auch hier gibt es verschiedene Verfahren zur Authentifizierung:

Einmal-Passwort via SMS: Das ist die mit Abstand geläufigste 2FA-Methode. Wer sich mit seinen Nutzerdaten bei einem Dienst anmeldet, erhält von eine Textnachricht mit einem Passwort, das ebenfalls in der Anmeldemaske eingegeben werden muss. Erst dann ist die Nutzeridentifikation abgeschlossen. Der grosse Vorteil: Diese Methode funktioniert mit jedem Mobiltelefon ohne zusätzliche Software.

App: Inzwischen gibt es auch spezielle Authentifizierungs-Apps wie Authy oder Google Authenticator, die zur Anmeldung eingesetzt werden. Über eine einzige Anwendung können Nutzer praktisch alle 2FA-Zugänge verwalten. Dabei werden die sogenannten «Soft Tokens» auf dem Gerät selber generiert. So ist – im Gegensatz zu den Anmelde-Codes per SMS – keine Verbindung mit dem Mobilfunknetz oder Internet notwendig.

2-Faktor-Authentifizierung mit Smartphone und Mobile ID.
Unspektakulär, aber sicher: 2FA mit Mobile ID.

Wie beim Token gilt auch für das Smartphone: Es kann gestohlen werden oder verloren gehen. Damit Sie im Notfall auch ohne Smartphone auf ihre Services zugreifen können, sollten Sie beim Einrichten der 2FA unbedingt eine Alternative zu ihrem Gerät auswählen. Etwa ein Zweithandy oder einen einmal gültigen Backup-Code.

Mobile ID: Die Methode erlaubt eine einfache Anmeldung bei zahlreichen Online-Diensten, beispielsweise bei Postfinance oder im Swisscom Kundencenter: Beim Login erhält der Nutzer auf seinem Smartphone eine entsprechende Meldung und gibt auf dem Gerät seinen sechsstelligen Mobile-ID-Code ein.

Da die 2FA über die SIM-Karte erfolgt, muss man sich beim Kauf oder Wechsel eines neuen Telefons nicht bei allen Diensten neu authentifizieren. Mobile ID wird von Swisscom und anderen Schweizer Mobilfunkanbietern unterstützt.

IT-Sicherheit für KMU

Dieser Leitfaden zeigt den Verantwortlichen in KMU, worauf sie ihr Augenmerk legen sollten. Häufig lassen sich KMU von externen Partnern beim Thema IT-Sicherheit unterstützen. Bei dieser Zusammenarbeit ist es essenziell, dass der KMU-Verantwortliche weiss, was der Partner genau tut – und wo dessen Verantwortung aufhört. Der Leitfaden zeigt Ihnen, wie Sie die Verantwortlichkeiten sauber klären können und welche Fragen Sie ihrem IT-Dienstleister unbedingt stellen sollten.

Keine Inhalte verpassen!

Erhalten Sie regelmässig spannende Artikel, Whitepaper und Event-Hinweise zu aktuellen IT-Themen für Ihr Unternehmen.

Jetzt lesen