In den Medien lesen wir immer wieder von gestohlenen Passwörtern. Die Zwei-Faktor-Authentifizierung ist sicherlich kein Wundermittel gegen solche Risiken. Aber sie ist eine starke Maßnahme, um den Zugriff auf IT-Systeme und damit auf unsere wertvollen Daten sicherer zu machen. Das gilt gleichermaßen für Unternehmen, Behörden und auch für den privaten Bereich. Aber was genau bedeutet Authentifizierung und welche sind diese zwei Faktoren? In diesem Artikel der Serie #ExplainIT gibt Alicja Rothe aus dem Informationssicherheits-Management der Münchner IT Antworten.
Die einfachste Art der Authentifizierung
Die einfachste Art, sich an einem IT-System anzumelden, ist mit E-Mailadresse und Passwort. Die E-Mail ist in diesem Fall das sogenannte Identitätsmerkmal, also das Merkmal, mit dem das System die Anmeldung einer bestimmten Person oder einem Konto zuordnet. Es kann statt der E-Mailadresse auch ein Benutzername oder eine Kennung wie die Personalausweisnummer oder eine Kundennummer sein.
Das Passwort hingegen ist der Authentifizierungsfaktor, also der Faktor, mit dem eine Person beweist, dass ihr das Identitätsmerkmal und die dazugehörende Identität gehört. Damit haben wir alles, was wir für eine Authentifizierung benötigen: genau eine Identität, die mit mindestens einem Faktor bestätigt wird.
2-Faktor-Authentifizierung: Sicherheit mit doppeltem Boden
Zur Authentifizierung können auch mehrere Faktoren zum Einsatz kommen. Diese können drei verschiedene grundlegende Ausprägungen haben:
- Wissen – zum Beispiel Passwort oder PIN
- Besitz – zum Beispiel Schlüsselkarte, Smartphone oder Token
- Biometrie – zum Beispiel Fingerabdruck oder Retina
Faktor eins bei einer Zwei-Faktor-Authentifizierung ist meist Wissen, also ein Passwort. Faktor zwei kann dann ein Fingerabdruck, ein Code per SMS, aber auch ein TAN-Generator sein. Die Person besitzt neben ihrem Wissen also etwas oder weist eine biometrische Eigenschaft auf, die sie eindeutig identifiziert.
Für Kriminelle entstehen so erhebliche Schwierigkeiten, Zugang zu diesen Accounts zu erlangen. Selbst wenn sie Passwörter erbeuten, können sie sich nach wie vor nicht in die Benutzerkonten einloggen, weil ihnen beispielsweise der zugehörige Token fehlt. Bei der Anmeldung mit zwei Faktoren wird also ein doppelter Boden geschaffen, der dann noch schützt, wenn eine Barriere überwunden wurde.
Beim Online-Banking ist das mittlerweile eine Standardsicherheitsmaßnahme. Aber auch nahezu alle großen Internetdienste bieten mittlerweile die Möglichkeit, die Zwei-Faktor-Authentifizierung einzurichten.
Was ist eigentlich ein Token?
Token sind kleine Geräte, die Freischalt-Codes erzeugen. Vergleichbar mit einem herkömmlichen Schlüssel, der nur für ein bestimmtes Türschloss und damit eine bestimmte Tür, passt, wird der Token eindeutig mit der Identität verbunden, für die er gelten soll. Dabei gibt es verschiedene Arten von Token, zum Beispiel:
- RSA-Token zeigen laufend neue Codes an.
- Virtuelle Token sind kleine Software-Programme, die auf der Festplatte installiert werden und ebenfalls sichtbare Codes erzeugen.
- Immer mehr im Kommen ist der im Bild gezeigte YubiKey, der seine Codes über eine Schnittstelle selbst überträgt und durch das sogenannte FIDO2-Verfahren sogar vor Phishing-Angriffen schützt.
Durch ihre einfache Handhabung und Sicherheitsfunktionalität sind Token ideale zweite Faktoren für das Arbeiten im Homeoffice.
Der YubiKey kommuniziert über eine Schnittstelle mit dem Gerät, Quelle: IT-Referat München
“Anderes” ist besser als “mehr”
Wie wichtig unterschiedliche Faktoren bei der Authentifizierung sind, zeigen folgende Beispiele. Nehmen wir an, die Anmeldung an einem System erfolgt über die Abfrage zweier Passwörter. Oder – ein Beispiel aus der Gebäudesicherheit – der Zutritt zu einem Büro ist durch eine Chipkarte für das Eingangstor und einen Schlüssel für den entsprechenden Raum abgesichert.
In beiden Fällen wird jeweils der gleiche Faktor abgefragt: Im ersten Fall Wissen und im zweiten Besitz. Wenn Kriminelle in den Besitz eines Faktors kommen, beispielsweise durch Diebstahl besagter Chipkarte, dann ist es naheliegend, dass sie über das gleiche Vorgehen auch an den zweiten Teil, also den Schlüssel, kommen. Hier sei auf die gestohlene Handtasche verwiesen. Oder im ersten Beispiel: Wer Passwort 1 ausspähen kann, wird vermutlich auch Passwort 2 in Erfahrung bringen.
Erst wenn eine Authentifizierung über zwei unterschiedliche Faktoren erfolgt, wie Passwort und Token, bietet sie einen starken Schutz gegen Kriminelle.
Zwei-Faktor-Authentifizierung in der Verwaltung
Die Zwei-Faktor-Authentifizierung ist ein einfaches, schnelles und vor allem sicheres Verfahren, das überall auf der Welt zum Einsatz kommt. Auch in der öffentlichen Verwaltung ergeben sich im Kontext der Digitalisierung zahlreiche Nutzungsmöglichkeiten, um digitale Verwaltungsabläufe hierdurch abzusichern. Die Bereitstellung eines starken zweiten Faktors für alle Mitarbeitenden ist daher ein wesentliches Element der Informationssicherheitsstrategie Münchens.
Kommentare (2)
Kommentar absenden
Weitere Beiträge
Digitale Barrierefreiheit: Menschen mit Einschränkungen helfen als Fachkundige in eigener Sache
Ein Gebärdensprach-Avatar für gehörlose Menschen
Leichte Sprache ist schwer
Leichte Sprache großgeschrieben – Regeln für sehr hohe Verständlichkeit
Anatomie eines Cyberangriffs am Beispiel Cyberspionage – in fünf Schritten zum Desaster
Million geknackt: Anzahl der eingereichten Online-Formulare jetzt siebenstellig
Schnell mitmachen, die neue Beteiligungsplattform DIPAS kennenlernen und die „Innenstadt weiterdenken“
#ExplainIT: Co-Creation erklärt
WerkSTADT Digitales München – Online Service bürgernah gestalten
Stadt München – User Experience für zufriedenere Beschäftigte
Abschied von der Hundemarke? Mehr Online-Service bei der Hundesteuer
ein Beispiel aus der Gebäudesicherheit – der Zutritt zu einem Büro ist durch eine Chipkarte für das Eingangstor und einen Schlüssel für den entsprechenden Raum abgesichert.
In beiden Fällen wird jeweils der gleiche Faktor abgefragt: Im ersten Fall Wissen und im zweiten Besitz. Wenn Kriminelle in den Besitz eines Faktors kommen, beispielsweise durch Diebstahl besagter Chipkarte, dann ist es naheliegend, dass sie über das gleiche Vorgehen auch an den zweiten Teil, also den Schlüssel, kommen.
Müsste es statt “Wissen” nicht “Besitz” heißen im obigen Beispiel.
Danke für die Nachfrage.
“Wissen” bezieht sich auf das erste Beispiel “2 Passwörter”.
“Besitz” wiederum auf das Beispiel Chipkarte und Schlüssel.
Viele Grüße, Stefan Döring