Was ist eine Zwei-Faktor-Authentifizierung? Ist sie sinnvoll?

Durch die steigende Vernetzung, egal ob im privaten Bereich oder im betrieblichen Umfeld, wachsen auch die Ansprüche an die Sicherheit. Die Anforderungen zur Öffnung von Betriebsanlagen nach außen bringen neue Risiken und mit der Zunahme digitaler Prozesse gibt der Einzelne oft mehr über sich preis, als er das eigentlich will. Es braucht Maßnahmen und möglichst sichere Software, um unerlaubte Zugriffe zu verhindern. Eine bewährte Option ist dabei die Zwei-Faktor-Authentifizierung zum Schutz vor unautorisiertem Zugriff.

Was ist eine Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung, abgekürzt 2FA, ist eine Sicherheitsmaßnahme in der IT, bei der zwei voneinander unabhängige Komponenten genutzt werden, um den Zugriff auf Netzwerke oder Anwendungsbereiche zu sichern. 2FA erlaubt es, den Identitätsnachweis erheblich sicherer zu gestalten. Heute empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) den grundsätzlichen Einsatz der Zwei-Faktor-Authentifizierung für die Nutzung von IT-Services in seinen IT-Grundschutz-Katalogen.

So funktioniert Zwei-Faktor-Authentifizierung

Bei der Zwei-Faktor-Authentifizierung, auch Zwei-Schritt-Verifizierung genannt, benötigt der User zwei verschiedene Schlüssel. Bei dem Ersten handelt es sich meistens um ein Passwort. Das wird dabei wie gewohnt vom User selbst festgelegt. Der zweite Schlüssel ist idealerweise kein Passwort. In der Praxis gibt es verschiedene Möglichkeiten, eine der bekanntesten ist sicherlich das mTAN-Verfahren, dass die meisten aus dem Online-Banking kennen. Bei der Anmeldung auf einer Seite oder zur Genehmigung einer Transaktion wird ein Code per SMS (manchmal auch in einer App) verschickt, dieser muss zusätzlich eingegeben werden. Er lässt sich nur einmal verwenden und ist nur für ein kurzes Zeitfenster gültig. Der zweite Schlüssel kann aber auch ein biometrisches Merkmal sein, das funktioniert zum Beispiel mit der Gesichtserkennung oder die Verwendung des Fingerabdrucks beim eigenen Smartphone. Diese Verfahren sollten aber besser nicht für hochsensible Daten wie das Online-Depot genutzt werden, da es nicht ausgeschlossen ist, dass die eigenen Fingerabdrücke in fremde Hände gelangen.

Zudem gibt es noch die Option Hardware-Schlüssel zu nutzen. Dabei bekommen Nutzer einen physischen Schlüssel in Form einer Chipkarte, eines USB-Dongles oder etwa eines Funk-Transmitters. Diese werden bei Bedarf mit einem entsprechenden Lesegerät oder dem NFC-Leser des Smartphones genutzt. Diese Option macht aber für den privaten Gebrauch wenig Sinn (hohe Anschaffungskosten) und wird eher von größeren Unternehmen und in Behörden genutzt. Eine etwas sicherer und weniger aufwendigere Option ist die Verwendung von Security-Token, also speziellen Geräte, die Einmal-Passwörter erzeugen. Sie haben im Vergleich zu den üblichen Smartphones einige Vorteile. Unter anderem installiert der Nutzer auf Security-Tokens keine fremden Apps, die die Erlaubnis bekommen, SMS-Nachrichten zu lesen. Gerade im beruflichen Umfeld ist die Methode mit den Tokens daher sehr verbreitet. Weitere Informationen und Videos finden Sie im Artikel "Zwei-Faktor-Authentisierung" vom BSI.

Wieso die Methode Sinn ergibt

Auch wenn sich eine hundertprozentige Sicherheit für die (unternehmens-)eigenen Daten und Accounts nie realisieren lässt, macht eine Zwei-Faktor-Authentifizierung trotzdem Sinn. Die Methode fügt dem Identifikationsprozess eine weitere Stufe hinzu die Unbefugte erst überwinden müssen. Das führt zu mehr Aufwand, der oftmals nicht in Verhältnis zum (potenziellen) Gewinn steht. Gerade Phishing-Attacken scheitern an der Sicherheitsvorkehrung, denn dieses Prinzip ist davon abhängig, über gefälschte Mails Passwörter und PINs zu ermitteln. Selbst wenn die Adressaten darauf hereinfallen und die Daten weitergeben, lässt sich damit noch nichts anfangen, da ja der zweite Schlüssel (etwa der Fingerabdruck oder die mTAN) nicht vorliegt. Die im Internet häufigsten Bedrohungsszenarien für den Identitätsdiebstahl können durch 2FA verhindert werden. Man muss aber auch immer abwägen, wo das Verfahren wirklich notwendig ist. Für den Zugriff auf Spotify wäre eine Zwei-Schritt-Verifizierung zum Beispiel übertrieben, beim Online-Banking sieht das schon wieder anders aus. Hier ist die Maßnahme ein schnell implementierter zusätzlicher Schutz vor potenziell großen Schäden. Aber auch das eigene E-Mail-Konto (falls möglich) oder die Konten bei Google und die iCloud mit persönlichen Informationen sollten einen solchen Schutz erfahren. Eine Liste von Vor- und Nachteilen wurde von Kaspersky erstellt.

Fazit

Die Zwei-Faktor-Authentifizierung ist nicht nur sinnvoll, sondern absolut wichtig und wird sich in den nächsten Jahren weiter als gängige Sicherheitsmaßnahme in der IT etablieren, wie auch das BSI bestätigt. Natürlich wird die Maßnahme allein bei gezielten Angriffen nicht reichen, um die Angreifer von Anwendungen und Informationen fernzuhalten. Allerdings trifft diese Aussage auf die meisten Sicherheitsmaßnahmen zu. Alle Security-Verfahren können Schwachstellen haben und daher sind mehrere Maßnahmen auf unterschiedlichen Ebenen immer sinnvoll.