Warum die Zwei-Faktor-Authentisierung auch für Unternehmen sinnvoll ist
Benutzerkonten und Passwörter haben beim Schutz sensibler Daten ausgedient. Im Zahlungsverkehr und bei vielen Online-Diensten zählt die doppelte Sicherung per Zwei-Faktor-Authentisierung längst zum Standard. Durch verschärfte Regeln beim Datenschutz und vermehrte Homeoffice-Fernzugriffe wird der Identitätsnachweis mittels 2FA aber auch für Unternehmensnetzwerke immer wichtiger.
Zwischen Hackern und sensiblen Unternehmensdaten steht oft nur ein Passwort. Der Benutzername lässt sich anhand von Personendaten meist leicht erraten und der laxe Umgang mit Kennwörtern sowie Social-Engineering- oder Brute-Force-Attacken öffnen Angreifern schnell Tür und Tor. Eine doppelte Sicherung verspricht die Zwei-Faktor-Authentisierung. Dieses Verfahren nutzt zusätzlich zu Benutzernamen und Passwort noch eine weitere Erkennungsmethode.
Am Geldautomaten ist die Zwei-Faktor-Authentisierung seit Jahren üblich. Als erste Stufe der Authentisierung dient hier die EC-Karte. Das Abheben von Bargeld gelingt aber erst nach Eingabe der PIN, dem zweiten Faktor der Authentisierung. Ganz ähnlich funktionierte das lange Zeit beim Online-Banking mit der PIN und den Transaktionsnummern einer iTAN-Liste als Einmalkennwort. Inzwischen bieten aber auch PINs und iTANs keine ausreichende Sicherheit mehr. Deshalb verpflichten staatliche Regulierungen die Zahlungsdienstleister nun zu einer „starken Kundenauthentifizierung“ (Strong Customer Authentication).
Die Zwei-Faktor-Authentisierung im Zahlungsverkehr
Im elektronischen Zahlungsverkehr geht es nicht nur um hochsensible Daten, sondern auch um viel Geld. Höchste Sicherheitsstandards sollten hier eine Selbstverständlichkeit sein. Deshalb zwingt die Zahlungsdiensterichtlinie PSD2 (Payment Services Directive2) seit 2021 viele Unternehmen zur Zwei-Faktor-Authentisierung (kurz: 2FA). Betroffen sind hiervon alle Firmen, die Online-Zahlungen durchführen. Dazu gehören nicht nur Banken, sondern auch Fintechs, Zahlungsdienstleister, Internet-Shops oder Online-Anbieter von Buchhaltungssoftware. Hier zählt bei elektronischen Zahlungen nun ein zweites Sicherheitsmerkmal zum Pflichtprogramm. Künftig sind für eine Zahlung somit zwei dieser drei Faktoren notwendig:
- Wissen: beispielsweise ein Passwort oder eine PIN
- Besitz: etwa eine Bankkarte oder ein Smartphone
- Biometrie: Fingerabdruck oder Gesichtserkennung
Bei Bankgeschäften erfolgt die Umsetzung dieser Anforderungen bei chipTAN und Sm@rt-TAN mithilfe von speziellen TAN-Generatoren. Diese Geräte generieren für Transaktionen mit Unterstützung der Bankkarte eine TAN und erfüllen hohe Sicherheitsanforderungen. Die Verfahren photoTAN und SecureGo ermöglichen hingegen die Nutzung von Smartphone-Apps für die TAN-Generierung. Hier ist ein zusätzliches Gerät zwar nicht zwingend erforderlich, aber das Smartphone lässt sich – beispielsweise über die Android-Banking-Malware „Cerberus“ – auch leichter kompromittieren.
Völlig analog setzen Webdienste bei der Absicherung des Log-ins auf eine Zwei-Faktor-Authentisierung mit einem Einmalpasswort, das nur für eine einmalige Verwendung gültig und meist auf Basis der aktuellen Uhrzeit zeitlich limitiert ist (Time-based One-time Password, kurz TOTP). Die Generierung der hier verwendeten Einmalpasswörter kann ebenfalls am Smartphone oder – und hier deutlich sicherer – über zusätzliche Hardware wie einen Authenticator für die sichere Zwei-Faktor-Authentisierung mit TOTP erfolgen.
Diese Technik erschwert Phishing-Angriffe sowie Attacken mit Keyloggern und sichert in vielen Unternehmen bereits den Zugang zu Office-Paketen wie Microsoft 365 oder Fernwartungs-Tools wie TeamViewer ab. 2FA und TOTP sind aber zugleich Techniken, die sich auch im eigenen Unternehmensnetzwerk einsetzen lassen.
Datenschutzrechtliche Vorgaben und Empfehlungen
Für die Absicherung des Firmennetzwerks durch eine Zwei-Faktor-Authentisierung mit zeitlich limitierten Einmalpasswörtern (TOTP) sprechen vor allem die in den letzten Jahren stark verschärften Datenschutzbestimmungen. Die EU-Datenschutz-Grundverordnung (EU-DSGVO) verpflichtet Unternehmen beispielsweise dazu, bei der Verarbeitung sensibler Daten auch den Stand der Technik zu berücksichtigen. Diesen Anspruch formuliert die EU-DSGVO im Artikel 32 zur „Sicherheit der Verarbeitung“:
„Unter Berücksichtigung des Stands der Technik, (…) treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Der Bundesverband IT-Sicherheit e. V. empfiehlt in seiner „Handreichung zum Stand der Technik“ eine Zwei-Faktor-Authentisierung zur Härtung von Serversystemen. Anderenfalls müssten Unternehmen den Einsatz starker einheitlicher Kennwortrichtlinien für Benutzerpasswörter (etwa Kennwortlänge, Komplexität, Sperrzähler, Änderungszyklus etc.) sicherstellen. Noch einen Schritt weiter geht das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit seinen Empfehlungen zum Schutz von Benutzer-Accounts: Die beim Innenministerium angesiedelte Behörde fasst sämtliche Details zu Authentisierungsverfahren im Baustein ORP.4 Identitäts- und Berechtigungsmanagement des IT-Grundschutz-Kompendiums sowie in dessen Umsetzungshinweisen zusammen. Demnach müssten Firmen grundsätzlich überlegen, ob Passwörter als alleiniges Authentisierungsverfahren überhaupt noch eingesetzt werden sollten. Insbesondere für Benutzerkonten mit weitreichenden Berechtigungen empfiehlt das BSI eine starke Authentisierung mit mindestens zwei Authentisierungsmerkmalen, also beispielsweise über ein Passwort und ein zusätzliches, zeitlich limitiertes Einmalpasswort (TOTP).
Kommt es zu einem Datendiebstahl personenbezogener Daten, drohen Unternehmen nicht nur Reputationsverluste, sondern auch Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Im Falle eines Falles müssten betroffene Organisationen nachweisen, dass sie die Bestimmungen der EU-DSGVO beachtet und die Daten durch ein angemessenes Schutzniveau gesichert haben. Ob einfache Benutzerkonten und Passwörter dabei noch ein angemessenes Schutzniveau bieten, ist angesichts der BSI-Empfehlungen in vielen Fällen bereits fraglich.
Die Zwei-Faktor-Authentisierung im Unternehmen
Eine starke Authentifizierung im eigenen Firmennetzwerk ist vor allem dann erforderlich, wenn Mitarbeiter Zugriff auf interne, sicherheitskritische Daten oder Anwendungen haben und die Vertraulichkeit oder Integrität sensibler Daten durch einen Identitätsdiebstahl gefährdet wären. Dies gilt prinzipiell für Versicherungen und viele Behörden, aber auch für Finanzdienstleister, Bildungseinrichtungen sowie medizinische Einrichtungen, Krankenhäuser und andere Unternehmen in der Gesundheitsbranche. Betroffen sind zudem Betriebe in Industrie und Handel sowie Arztpraxen, Anwälte oder Wirtschaftsprüfer, die einen ausreichenden Schutz ihrer Patienten- und Mandantendaten sicherstellen müssen.
Greifen Kollegen im Homeoffice oder Außendienstmitarbeiter über ein Virtual Private Network (VPN) auf geschäftskritische Firmendaten und Anwendungen zu, sollten auch diese Zugänge den besten Schutz erhalten. Hier sind die Gefahren eines Identitätsdiebstahls sogar besonders hoch. Im Homeoffice nutzen nämlich gerade einmal 42 Prozent der Organisationen ausschließlich unternehmenseigene IT, aber Privat-PCs der Mitarbeiter sind in der Regel wesentlich leichter kompromittierbar. Unternehmen sollten deshalb auch hier auf doppelte Sicherheit setzen und für VPN-Verbindungen sowie eine Zwei-Faktor-Authentisierung sorgen. Laut BSI machen davon bislang aber nur rund die Hälfte aller deutschen Unternehmen Gebrauch.
Verlagern Firmen ihre Daten und Anwendungen aus dem eigenen Netzwerk oder Rechenzentrum in die Cloud, gewinnt das Thema „Sichere Zugänge“ zusätzliche Brisanz. Größere Betriebe haben die Absicherung ihrer Hybrid-Cloud-Umgebungen meist im Blick. Bei Software as a Service (SaaS) wie Microsoft 365, die Mitarbeitern Office- und Produktivitätstools oder andere Business-Anwendungen für ihre tägliche Arbeit zur Verfügung stellen, sieht das aber oft noch anders aus. Diese Cloud-Anwendungen befinden sich auch in vielen kleineren Betrieben im Einsatz, in denen das Sicherheitsbewusstsein noch nicht ganz so ausgeprägt ist. Oft werden die Anwendungen dann per Standard-Log-in genutzt, obwohl ein Großteil der SaaS-Dienste auch die sichere Zwei-Faktor-Authentisierung mit TOTP unterstützt.
Mehr Komfort dank Zwei-Faktor-Authentisierung
Für Unternehmen ist es wichtig, Mitarbeiter in puncto IT- und Informationssicherheit zu sensibilisieren und bei der Umsetzung neuer Sicherheitsmaßnahmen mitzunehmen. Das gilt auch für die unternehmensweite Einführung einer Zwei-Faktor-Authentisierung. Natürlich erfordert der Log-in mit einem zusätzlichen Faktor zunächst etwas mehr Aufwand. Einheitliche, hardwarebasierte Endgeräte zur Generierung der zeitlich limitierten Einmalpasswörter erhöhen allerdings – im Vergleich zu softwarebasierten 2FA-Lösungen – nicht nur die Sicherheit, sondern erleichtern der IT auch den Support der Angestellten.
Zusätzlichen Komfort für die IT und alle Mitarbeiter bietet insbesondere in hybriden Cloud-Umgebungen die Einführung eines Identity- und Access-Managements (IAM), das sämtliche Zugänge und Ressourcen zusammenführt. Derartige IAM-Lösungen, die es inzwischen auch cloudbasiert gibt, erleichtern IT-Admins die Verwaltung von Benutzeridentitäten und Zugriffsrechten erheblich. Mitarbeitern, Dienstleistern und Partnern ermöglichen sie aber auch den einfachen Zugriff per Single Sign-On (SSO). Benutzer müssen ihre Zugangsdaten dann nur einmal eingeben, um auf alle Unternehmensdaten und -anwendungen in der Cloud oder hinter der Firewall des Firmennetzwerks zugreifen zu können. Dieser Komfortgewinn steigert nicht nur die Produktivität, sondern auch die Akzeptanz einer doppelten Sicherung per Zwei-Faktor-Authentisierung.