Mehr Sicherheit bei der Anmeldung

Datenschutz

von Michel Paß

„Doppelt hält besser“ – Was im echten Leben gilt, das lässt sich vielfach auch auf die IT-Sicherheit übertragen. Mit der gewöhnlichen Kombination aus Benutzernamen und Passwort lassen sich heute nur noch die einfachsten Angriffe abwehren. Um ein angemessenes Schutzniveau gegen motivierte Angreifer sicherzustellen, sollte zusätzlich ein sog. zweiter Faktor eingesetzt werden, um den Anmeldeprozess abzusichern. Gerade bei der Verarbeitung besonders schützenswerter Daten und für Benutzer mit weitereichenden Berechtigungen sollte dieser Schutz zum Standard gehören.

Ein Passwort kann leicht abhandenkommen. Sei es durch einen Keylogger, den neugierigen Kollegen, der bei der Eingabe über die Schulter sieht oder die gehackte Datenbank, mit der Passwörter unkontrolliert verbreitet werden. In allen Fällen kann ein Angreifer Zugriff auf Daten erhalten. Im schlimmsten Fall erfahren Sie nicht einmal, dass ein unberechtigter Zugriff stattfindet und können keine Gegenmaßnahmen ergreifen.

Mit einem zweiten Faktor wird die Anmeldung neben dem, was Sie wissen, typischerweise Benutzername und Passwort, um das, was Sie besitzen (ein Smartphone bzw. ein zusätzliches Gerät) oder um das, was Sie sind (z.B. Ihren Fingerabdruck) erweitert. Aufgrund der geringen Praktikabilität wird der Faktor „das, was Sie sind“ hier nicht weiter betrachtet.

Ein zweiter Faktor kann ohne Investitionen in zusätzliche Hardware umgesetzt werden, wenn Ihre Mitarbeitenden Zugriff auf ein Smartphone haben. Mit Apps, wie dem „Google Authenticator“ oder „Authy 2-Factor Authentication“, lassen sich Zahlencodes als zweiter Faktor für eine Anmeldung erzeugen. Diese Zahlencodes sind nur für eine kurze Zeit gültig und müssen bei der Anmeldung zusätzlich zu Benutzernamen und Passwort eingegeben werden. Geht ein Smartphone verloren, dann kann die Koppelung zwischen der Anmeldung und dem Gerät aufgehoben werden, sodass ein Angreifer sich nicht mehr mit dem Gerät anmelden kann.

Besondere Sicherheit bieten Hardware-Token, wie etwa der „YubiKey“ oder der „Nitrokey“. Diese werden ebenfalls mit der Anmeldung gekoppelt und erzeugen für jede Anmeldung einen neuen Code. Der besondere Vorteil eines gesonderten Gerätes besteht darin, dass eine Infektion mit Schadsoftware beinahe ausgeschlossen ist und Schlüssel nicht extrahiert werden können, da das Gerät selbst über keine Verbindung zum Internet verfügt. Außerdem fällt bei einem Hardware-Token die Eingabe des Codes weg. Das Gerät wird einfach per USB an den PC angeschlossen und überträgt bei Berührung selbstständig die notwendigen Informationen, ohne einen Fingerabdruck lesen zu müssen.

Auch wenn ein Anmeldeprozess nicht direkt um einen zweiten Faktor erweitert werden kann, so kann in vielen Fällen durch eine ausgelagerte Benutzerverwaltung Abhilfe geschaffen werden. Sie ersetzt die software-eigene Anmeldeprozedur durch einen Prozess in einem externen Programm. Sog. Identity Provider sind Anwendungen, die speziell auf die Authentifizierung von Benutzern zugeschnitten sind. Sie unterstützen gängige Verfahren für eine sichere Authentifizierung mit einem zweiten Faktor und liefern über standardisierte Schnittstellen, wie OpenID Connect bzw. OAuth oder SAML, die Berechtigungen, mit denen sich ein Benutzer in einer Anwendung anmeldet. Neben kostenpflichtigen Produkten hat sich in den letzten Jahren besonders die kostenlose Software Keycloak verbreitet.

Die Einrichtung und Anbindung eines zweiten Faktors sind zwar mit einem nicht zu unterschätzenden Aufwand verbunden, die Vorteile für Ihre Sicherheit sind jedoch enorm und überwiegen in den meisten Fällen die Kosten für Einrichtung und Betrieb. Gerade als Auftragsverarbeiter nach Art. 28 DSGVO ist der Einsatz einer Zwei-Faktor-Authentifizierung ein guter Hinweis auf sinnvolle technische und organisatorische Maßnahmen.

Zurück