Die Zwei-Faktor-Authentisierung mit TOTP in Unternehmen
Die Zwei-Faktor-Authentisierung ist weit sicherer als der einfache Log-in mit Benutzername und
Passwort. Für Unternehmen sollte sie zur Absicherung von Benutzerkonten zum Pflichtprogramm
zählen, denn noch nie wurde die deutsche Wirtschaft so stark angegriffen wie heute. 2FA und TOTP
sichern aber nicht nur sensible Firmendaten, sie reduzieren auch Lizenzkosten und erleichtern
zugleich die tägliche Arbeit der Mitarbeiter.
Ende 2021 machte Google die Zwei-Faktor-Authentisierung (kurz: 2FA) für rund 150 Millionen Nutzer
zum Standard. Ein längst überfälliger Schritt, denn ein Passwort allein reicht schon lange nicht mehr –
da sind sich alle Sicherheitsexperten einig. Alle großen Cloud- und Online-Dienste bieten inzwischen
eine sichere Zwei-Faktor-Authentisierung, um das Risiko von Phishing-Angriffen zu verringern und
Kontoübernahmen zu unterbinden. Trotzdem mangelt es bislang nicht nur bei privaten Nutzern an
der Akzeptanz des Sicherheitsstandards.
In einer Studie zur „Basic Account Hygiene“ [1] hat Google bereits 2019 belegt, dass selbst die
unsicherste 2FA-Variante (Versand zufällig generierter SMS-Token an das Smartphone des
Anwenders) automatisierte Bot-Attacken komplett blockiert. Zudem entschärft sie 96 Prozent der
groß angelegten Phishing-Kampagnen und 76 Prozent der gezielten Angriffe (Spear-Phishing). Zu
ähnlichen Ergebnissen kommt der Cloud-Gigant Microsoft, der täglich über 30 Milliarden Log-ins von
mehr als einer Milliarde Anwendern verarbeitet. So gaben Microsoft-Techniker auf der „RSA
Conference 2020“ bekannt, dass mehr als 99,9 Prozent der kompromittierten Benutzerkonten nicht
per MFA gesichert seien. Abseits des Online-Bankings nutzt bislang aber trotzdem nur jeder zweite
User eine sichere Multi-Faktor-Authentifizierung.
Welche Cybergefahren Unternehmen aktuell bedrohen
Cybergefahren bereiten Firmen laut „Allianz Risk Barometer 2022“ weltweit die größten Sorgen [3] .
Ransomware-Angriffe, Verletzungen des Datenschutzes durch Datenpannen oder IT-Ausfälle
beunruhigen die Betriebe sogar noch mehr als Geschäfts- und Lieferkettenunterbrechungen,
Naturkatastrophen oder die Covid-19-Pandemie. Die Sorge ist absolut berechtigt: „Noch nie wurde
die deutsche Wirtschaft so stark angegriffen wie heute“, warnt auch Matthias Wachter,
Abteilungsleiter für Internationale Zusammenarbeit, Sicherheit, Rohstoffe und Raumfahrt im
Bundesverband der Deutschen Industrie e. V. [4] . „Die Anzahl der Angriffe ist in der Corona-
Pandemie weiter gestiegen, weil Unternehmen im Homeoffice noch verwundbarer sind.“
Die Anfälligkeit von Einzelpersonen und Unternehmen untersuchen die aktuellen „CRIF Cyber
Reports“ im Open und Dark Web [5]. Die Studie zeigt konkret, welche Daten am häufigsten betroffen
sind, welche Informationen sich im Web finden und wo sich der Datenverkehr konzentriert. Demnach
trifft der E-Mail- und Passwort-Diebstahl die USA, Russland, Frankreich und Deutschland derzeit am
stärksten. Deshalb geben die Autoren der Studie den dringenden Rat, „die Zwei-Faktor-
Authentifizierung zu aktivieren, um so zu verhindern, dass Hacker in Konten eindringen, selbst
nachdem sie den Benutzernamen und das Passwort herausgefunden haben“.
Wie Unternehmen mit 2FA und TOTP Risiken minimieren
Die Zwei-Faktor-Authentisierung bietet eine doppelte Sicherung für Benutzerkonten und nutzt neben
dem Benutzernamen und dem Passwort noch eine weitere Erkennungsmethode. Cloud-Dienste wie
Microsoft 365 und firmeneigene Virtuelle Private Netzwerke (VPN) für die Anbindung von
Mitarbeitern im Homeoffice oder Außendienst verwenden als zweiten Faktor oft Einmalpasswörter.
Eine derartiges Time-based One-time Password (kurz: TOTP) ist nur für eine einmalige Verwendung
gültig und zeitlich limitiert. Eine Serie von Blog-Beiträgen stellt die Funktionsweise dieser Technik und
ihre Einsatzmöglichkeiten in der Arbeitswelt genauer vor:
- Warum die Zwei-Faktor-Authentisierung auch für Unternehmen sinnvoll ist
Im Zahlungsverkehr und bei vielen Cloud- und Online-Diensten zählt die doppelte Sicherung
per Zwei-Faktor-Authentisierung längst zum Standard. Durch verschärfte Regeln beim
Datenschutz und vermehrte Homeoffice-Fernzugriffe wird der Identitätsnachweis mittels 2FA
aber auch für Unternehmensnetzwerke immer wichtiger.
- Wie die Zwei-Faktor-Authentisierung Cloud- und SaaS-Dienste schützt
Viele Firmen nutzen Cloud- und SaaS-Dienste zur Verarbeitung personenbezogener Daten
und sensibler Informationen. Doch die Sicherheit dieser Daten obliegt weiterhin dem
Unternehmen – und nicht dem Provider. Trotzdem bleibt die Zwei-Faktor-Authentisierung
bei Diensten wie Microsoft 365 oft ungenutzt.
- Wie TOTP-Einmalkennwörter sensible Unternehmensdaten sichern
Time-based One-Time Passwords erweitern den Log-in um eine weitere Komponente und
sichern sensible Firmendaten per Zwei-Faktor-Authentisierung. Doch wie funktionieren die
zeitlich begrenzt gültigen TOTP-Einmalkennwörter überhaupt und welche Vorteile bietet ein
Hardware-Authenticator?
- Wie KeePass als Back-up für einen TOTP-Authenticator funktioniert
Ein TOTP-Authenticator scannt QR-Codes und erleichtert den Umstieg auf sichere 2FA-Logins.
Doch was passiert, wenn der Authenticator verloren geht? Dann hilft ein Back-up aller
Schlüssel und Kennwörter. Ein Passwort-Manager wie KeePass verwaltet diese sensiblen
Daten für die Zwei-Faktor-Authentisierung.
Im Grunde funktioniert der Log-in mit 2FA und TOTP ebenso einfach wie das gewohnte TANVerfahren
im Online-Banking, wo die Zwei-Faktor-Authentisierung bereits seit Jahren erfolgreich im
Einsatz ist. Die erforderlichen Einmalpasswörter in Form eines sechs- oder achtstelligen Zahlencodes
generiert hier allerdings ein sogenannter Authenticator. Dieser Authenticator kann sich entweder als
App auf dem Smartphone befinden oder – sicherer und komplett ohne Internet-Verbindung – in
einer eigenen Hardware wie dem REINER SCT Authenticator verbaut sein.
Wie die Zwei-Faktor-Authentisierung Firmennetze sichert
Die doppelte Sicherung per 2FA ist effektiv, macht den Mitarbeitern das Leben jedoch zu schwer –
derartige Vorbehalte hört man in Unternehmen und entsprechenden Studien noch immer. Ein
Beispiel aus der Praxis belegt aber sehr anschaulich: 2FA und TOTP können den Komfort sogar
steigern und die Komplexität für die Administratoren und Anwender drastisch reduzieren.
So stand beispielsweise Mitte des Jahres 2020 bei der Treuhand Saar Steuerberatungsgesellschaft
mbH in Saarbrücken eine Neuausrichtung der EDV und die Verbesserung der VPN-Infrastruktur auf
dem Plan. Bei der Umsetzung des Projekts nutzte die com4data GmbH aus St. Wendel den Citrix
NetScaler als VPN Gateway und den REINER SCT Authenticator zur Generierung der
Einmalkennwörter.
Diese Kombination bietet eine ganze Reihe von Vorteilen: Umständliche VPN-Installationen und
lästige Lizenzkosten für VPN-Clients gehören der Vergangenheit an. Da sich der NetScaler auch als
RDP-Proxy einsetzen lässt, entfällt die Installation von VPN-Clients komplett. Stattdessen melden sich
Homeoffice- und Außendienst-Mitarbeiter per Webbrowser beim NetScaler-User-Portal an. Dank
Active-Directory-Anbindung funktioniert das mit den gleichen Anmeldedaten wie am
Büroarbeitsplatz. Nach der Erstanmeldung folgt zusätzlich die Abfrage des Einmalpassworts als
zweiter Faktor. Hier ersetzt der REINER SCT Authenticator quasi den zuvor genutzten VPN-Client.
Der Zugriff erfolgt schließlich über Standardprotokolle wie HTTPS sowie TLS und ermöglicht auch die
Anmeldung über öffentliche Hotspots oder Gäste-WLANs. Ohne administrativ aufwendige Software-
Installationen können die Angestellten nun selbst private PCs oder Computersysteme vor Ort
verwenden. Da der NetScaler zusätzlich als Reverse-Proxy fungiert, baut der Remote Client dabei
auch keine direkte Verbindung zur firmeneigenen Serverfarm auf. Stattdessen verbinden sich die
Beschäftigten nur mit dem Netscaler, der dann die Verbindung zur Serverfarm herstellt. Hat der
Mitarbeiter seine Arbeit beendet, schließt er einfach das geöffnete Browserfenster, um die
Verbindung dauerhaft zu trennen. Komfortabler kann die Anbindung externer Arbeitskräfte kaum
ablaufen!