Doppelt hält besser: Zwei-Faktor-Authentisierung (2FA)

Doppelt hält besser: Zwei-Faktor-Authentisierung (2FA)


Längst nicht nur Unternehmen und Behörden geraten in das Visier von Cyberkriminellen. Auch Privatpersonen sollten ihre Informationen und digitalen Identitäten bestmöglich vor Bedrohungen schützen. Für Online-Konten stellt die sogenannte Zwei-Faktor-Authentisierung (oft abgekürzt mit 2FA) einen wirksamen Schutzmechanismus dar. Worum es sich hierbei handelt und für welche Anwendungsbereiche sich die Nutzung der Zwei-Faktor-Authentisierung empfiehlt, erfahren Sie im nachfolgenden Blog-Beitrag.


Was bedeutet Zwei-Faktor-Authentisierung?

Die Zwei-Faktor-Authentisierung ermöglicht eine deutlich bessere Absicherung von Online-Konten gegen unberechtigte Zugriffe, als das ausschließlich mittels eines Passwortschutzes möglich ist. Im Rahmen eines Anmeldevorgangs wird neben den klassischen Anmeldeinformationen, oftmals bestehend aus Benutzername oder E-Mail-Adresse und Passwort, zusätzlich noch ein weiterer Faktor, beispielsweise ein auf Anfrage per SMS zugesandter sechsstelliger Zahlencode benötigt.

Grundsätzlich kann zwischen folgenden Kategorien an Faktoren unterschieden werden:

  • Wissen, z.B. Passwort oder PIN,
  • Besitz, z.B. Chipkarte oder TAN-Generator und
  • Biometrie, z.B. Fingerabdruck oder Retina.

Durch die Nutzung der Zwei-Faktor-Authentisierung werden zur erfolgreichen Bewältigung des Anmeldevorgangs also grundsätzlich zwei unterschiedliche der oben genannten Kategorien benötigt. Dies können somit Besitz und Wissen (Besitz der Bankkarte und Wissen der PIN), Besitz und Biometrie (Besitz des Smartphones und Verwendung des Fingerabdrucks) oder Wissen und Biometrie (Wissen eines Zugangscodes und Abgleich der Retina) sein.

Allen Anwendungsformen gemein ist, dass es Unbefugten erschwert wird, sich Zutritt oder Zugriff auf schützenswerte Informationen zu verschaffen. Wird für einen Anmeldevorgang die E-Mail-Adresse, das Passwort und ein zusätzlicher per SMS übersandter Zugangscode benötigt, muss die unbefugte Person Kenntnis über E-Mail-Adresse und Passwort und zugleich Zugriff auf das jeweilige Handy oder Smartphone des Konto-Inhabers haben. Unbefugte Zugriffe werden somit zunehmend unwahrscheinlicher.


Welche Formen der Zwei-Faktor-Authentisierung gibt es?

Die Zwei-Faktor-Authentisierung kann in unterschiedlichen Anwendungsformen umgesetzt werden, wobei im Alltag insbesondere zwei Formen anzutreffen sind:

  • TAN/OTP-Systeme: TAN (Transaktionsnummer) und OTP (One-Time Password) basieren auf Einmalkennwörtern, die als zweiten Faktor verwendet werden. In der Vergangenheit wurden TAN auf Papierlisten bereitgestellt, nunmehr werden hauptsächlich TAN-Generatoren (Hardware) oder entsprechende Authenticator-Apps (Software) genutzt. Noch sicherer gelten eTAN und chipTAN, bei denen die TAN aus den Transaktionsdaten generiert werden. Ein weiterer Vertreter ist smsTAN.
  • Kryptographische Token: Die Authentisierung erfolgt durch das Senden einer Anforderung an das Token (z.B. USB-Token), die das Token nur mithilfe eines privaten Schlüssels korrekt beantworten kann. Der Schlüssel kann als Softwarezertifikat gespeichert werden (z.B. ELSTER), sicherer ist die Speicherung in Hardware auf einer Chipkarte (HBCI, Signaturkarten) oder einem speziellen USB-Stick/NFC-Token (FIDO/U2F). Auch der Personalausweis enthält einen sicheren Schlüsselspeicher.


Was ist der Unterschied ziwschen Authentisierung und Authentifizierung?

Neben dem Begriff der Zwei-Faktor-Authentisierung findet sich oftmals auch der Begriff der Zwei-Faktor-Authentifizierung. Hintergrund ist hierbei, dass die Begriffe Authentisierung und Authentifizierung im allgemeinen Sprachgebrauch oftmals synonym verwendet werden.

Aus technischer Sicht beschreiben jedoch die beiden Begriffe verschiedene Teilprozesse eines Anmeldevorgangs: So erfolgt durch die Nutzenden eines Systems eine Authentisierung mittelst eindeutiger Anmeldeinformationen. Das System wiederum prüft die Gültigkeit der verwendeten Anmeldeinformationen und authentifiziert so die Nutzenden. Im Kontext unseres Themas ist somit der Begriff Zwei-Faktor-Authentisierung richtig. Im Zweifel ist jedoch nicht der Name entscheidend, sondern der Umstand, dass Sie dieses Verfahren nutzen!


Wo sollte ich eine Zwei-Faktor-Authentisierung nutzen?

Die Nutzung der Zwei-Faktor-Authentisierung bietet sich grundsätzlich in allen Bereichen an, in denen über Online-Konten sensible oder anderweitig schützenswerte Informationen verarbeitet werden. Das können beispielsweise sein:

  • E-Mail-Postfächer: Das persönliche E-Mail-Postfach sollte gegen unberechtigte Zugriffe besonders geschützt werden: Einerseits da hierüber zum Teil auf eine große Anzahl persönlicher Informationen zugegriffen werden kann, andererseits da standardmäßig das E-Mail-Konto zum Zurücksetzen der Passwörter anderer Online-Konten verwendet wird. Hierbei ist jedoch oftmals die Einrichtung einer Zwei-Faktor-Authentisierung technisch nur dann möglich, wenn auf das E-Mail-Postfach per Browser zugegriffen wird.
  • Soziale Netzwerke: Profile in sozialen Netzwerken können missbraucht werden, um auf sensible Inhalte zuzugreifen oder im Namen des Profilinhabers Inhalte zu posten und zu versenden. Die meisten Anbieter ermöglichen die Aktivierung der Zwei-Faktor-Authentisierung in den Kontoeinstellungen.
  • Cloud-Speicherdienste: Je umfangreicher Cloud-Speicherdienste im Alltag genutzt werden, umso eher lassen sich darin auch besonders sensible Informationen finden. Das können beispielsweise Lohnabrechnungen, Steuerinformationen oder ärztliche Gutachten sein. Auch bei weniger sensiblen Informationen empfiehlt sich eine Absicherung mittels Zwei-Faktor-Authentisierung mit zunehmender Datenmenge.
  • Gaming-Plattformen: Auch preisintensive Spiele oder eine umfangreiche Spielebibliothek kann aufgrund potenzieller wirtschaftlicher Schäden besonders schützenswert sein. Aus diesem Grund sollten auch solche digitalen Assets durch eine Zwei-Faktor-Authentisierung vor unberechtigten Zugriffen geschützt werden. Einige Anbieter stellen hierfür besondere Smartphone-Apps bereit.
  • Zahlungsdienstleister: Auch Online-Konten bei Zahlungsdienstleistern oder bei sonstigen Online-Konten, in denen Zahlungsinformationen hinterlegt sind, sollte aufgrund potenzieller wirtschaftlicher Schäden bei unberechtigten Zugriffen eine Zwei-Faktor-Authentisierung über die Konteneinstellungen aktiviert werden. Bei Banken hingegen ist die Nutzung einer Zwei-Faktor-Authentisierung im Rahmen des Online-Bankings bereits gesetzlich vorgeschrieben.


Fazit

Die Zwei-Faktor-Authentisierung stellt ein sinnvolles Verfahren zur zusätzlichen Absicherung von Online-Konten dar. Auch wenn hierdurch der Anmeldevorgang geringfügig mehr Zeit in Anspruch nimmt, sollte diese überall – wo möglich – aktiviert werden. Denn so besteht auch bei Verlust der Anmeldeinformationen eine hohe Wahrscheinlichkeit, dass Unbefugte nicht auf die Online-Konten zugreifen können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Mitgliedschaften des Dresdner Instituts für Datenschutz