Im Rahmen unserer „Kurz erklärt“ Serie erfahren Sie heute, was sich hinter einer sogenannten Zwei-Faktor-Authentifizierung verbirgt und wie Sie diese Methode nutzen können, um die Daten in Ihrem Firmennetzwerk noch besser schützen zu können.

Wenn Sie sich mit Security Software beschäftigen oder beschäftigen möchten, werden Sie mit Sicherheit über diesen Begriff stolpern, da diese Methode bei Anmeldeprozessen, gerade für sensible Bereiche, zusätzlichen Schutz für Ihr Unternehmen bietet. Denn oft genug ist es in der Vergangenheit dazu gekommen, dass beispielsweise bei großen Mail Providern wie Yahoo die Identitäten und zugehörige Passwörter von Benutzern gestohlen wurden. Da Nutzer häufig ein und dasselbe Passwort für verschiedene Dienste nutzen, ist die Gefahr groß, dass sich die Kriminellen mit den gestohlenen Daten auch Zugang zu anderen Diensten verschaffen und so großen Schaden anrichten können. Sichern Sie die Nutzer-Authentifizierung gegenüber sensiblen Bereichen oder gegenüber im Unternehmen genutzten Diensten jedoch nicht nur durch die Eingabe eines Passworts, sondern durch eine zweite Authentifizierung, wird der Datenklau für Angreifer deutlich erschwert.

In diesem Artikel möchte ich neben der kurzen Erläuterung des Konzepts einer Zwei-Faktor-Authentifizierung auch kurz auf die „Herausforderungen“ in der Praxis eingehen, die Sie bei der Einführung einer solchen Lösung in Ihrem Unternehmen haben könnten.

Starten wir mit …

Was versteht man überhaupt unter Authentifizierung?

Authentifizierung bedeutet der Nachweis einer Entität, dass sie es wirklich ist. Die Anmeldung an einem Windows-Client stellt beispielsweise bereits einen Authentifizierungsvorgang dar. Der Authentifizierungsdienst des Systems verifiziert die Entität, hier den Nutzer, und gewährt anschließend Zugang für einen definierten Kontext und Zeit (hier Windows).

Dabei gibt es unterschiedliche Arten der Authentifizierung. Diese werden hier sehr gut zusammengefasst beschrieben.

Bezüglich der Zwei-Faktor-Authentifizierung gibt es darüber hinaus verschiedene Prozesse, die Bezug nehmen auf den 2. Faktor, und zwar:

Mittelbare Zwei-Faktor-Authentifizierung

Als mittelbare Authentifizierung bezeichnet man die Authentifizierung durch die Eingabe eines generierten Passcodes als zweiten Faktor. Dies kann beispielsweise durch das Senden einer SMS oder die Generierung innerhalb einer App erfolgen.

(Halb-)automatische Zwei-Faktor-Authentifizierung

Eine (halb-)automatische Authentifizierung kennzeichnet eine tiefergehende Integration in den Anmelde-Workflow, beispielweise mit Technologien wie NFC oder Bluetooth. Diese Technologien ermöglichen nach einer Personalisierung von Mobilfunkgeräten eine halb, d. h. ohne Dateneingabe, oder vollautomatische Authentifizierung der Benutzer.

Was ist nun konkret eine Zwei-Faktor-Authentifizierung?

Als Zwei-Faktor-Authentifizierung, kurz 2FA, bezeichnet man die Authentifizierung eines Anwenders anhand zweier unterschiedlicher, voneinander unabhängiger Komponenten (Faktoren) an einem System.

Die Komponenten beim Geld abheben an einem Bankautomaten sind zum Beispiel die Bankkarte selbst sowie die Geheimzahl. Nur wenn beide Komponenten bereitgestellt werden, erlaubt das System den Zugriff. Diese Voraussetzung macht es Angreifern deutlich schwieriger, sich als legitimer Benutzer auszugeben.

Faktoren bei der Zwei-Faktor-Authentifizierung

Klassifiziert werden Faktoren in drei Arten:

  • Besitz: Dieser Faktor gehört jemandem, beispielsweise eine Bankkarte oder ein Schlüssel
  • Wissen: Diese Art von Faktor ist nur dem Anwender bekannt, beispielsweise ein Benutzername, ein Kennwort, eine Geheimzahl, eine Antwort auf eine Sicherheitsfrage
  • Merkmal: Hierbei handelt es sich um ein körperliches Merkmal wie beispielsweise der Fingerabdruck oder die Iris.

Herausforderungen in der Praxis

Herausforderungen ergeben sich für IT-Verantwortliche hinsichtlich der Akzeptanz und Anwendbarkeit.

Akzeptanz einer Zwei-Faktor-Authentifizierungslösung

Die Akzeptanz bei Anwendern ist ein klassisches Dilemma vor dem IT-Verantwortliche stehen und aus meiner Erfahrung legen diese es auch sehr unterschiedlich aus. Es hängt hier eben häufig an den einzelnen Verantwortlichen, ob 2FA im Unternehmenskontext eingeführt wird oder nicht.

Nutzer reagieren natürlich zumeist eher ablehnend auf die Einführung eines zweiten Faktors zur Authentifizierung. Der Nutzen ist für die Anwender in der Regel zwar nachvollziehbar, aber der zusätzliche Aufwand ist naturgemäß ein sehr viel stärker gewichtetes Argument. Hier ist es aus meiner Sicht wichtig, frühzeitig die Anwender mitzunehmen, um die Akzeptanz für diese Maßnahme zu erhöhen.

Wichtigste Maßnahme ist selbstverständlich die frühzeitige Informierung aller Anwender. Eine weitere hilfreiche Maßnahme ist die Identifizierung von Key-Usern, bei denen 2FA zunächst eingeführt wird. Diese Key-User können schon Erfahrung sammeln und später bei einer flächendeckenden Einführung den übrigen Anwendern bei Bedarf mit Rat und Tat zur Seite stehen.

Anwendbarkeit

Aus der Usability-Perspektive stellen sich hier zwei entscheidende Fragen:

  • Wie sehen die aktuellen Anmelde-Workflows der Mitarbeiter aus?
  • Wie kann ich mit so wenig Aufwand wie möglich 2FA in die Workflows der Mitarbeiter integrieren?

Die erste Frage klingt vielleicht etwas banal, ist aber aus meiner Erfahrung sehr entscheidend: Nur wenn man sich wirklich bewusst ist, wann, wo, wie und wie häufig sich die einzelnen Mitarbeiter im Unternehmen anmelden, können hier gegebenenfalls auch Optimierungen vorgenommen werden.

Beispielweise habe ich es schon in Kundenprojekten erlebt, dass geichzeitig mit der Einführung von 2FA auf SSO mittels SAML gewechselt wurde. Dies hat in dem genannten Fall dazu geführt, dass sich die Anwender deutlich seltener anmelden mussten und deshalb die Akzeptanz erwähnenswert hoch war.

Die Frage bezüglich der Integration in Anmelde-Workflows ist prinzipiell etwas einfacher zu beantworten. Es gibt zwei entscheidende Workflows, die hierbei bedacht werden sollten:

  1. Die Anmeldung selbst
  2. Das Ausrollen eines Authentisierungs-Tokens

Zu 1)
Wenn man die im Kapitel „Akzeptanz“ beschriebenen Hinweise umsetzt, werden aus meiner Erfahrung alle Arten der 2FA (mittelbar, (halb-)automatisch) von den Anwendern gut angenommen.

Zu 2)
Das Ausrollen von Authentisierungs-Tokens ist ein nachrangiges Kriterium, aber sollte nicht unterschätzt werden. Hierbei ist zu beachten, dass dies für Nutzer selbstständig und auch für Administratoren per Mehrfach-Rollout möglich sein sollte.

Sicherheitsabwägungen

Generische Sicherheitsabwägungen zu treffen ist im Organisations- oder
Unternehmenskontext sehr schwierig. Die Anwendungsfälle sind sehr vielfältig und innerhalb der Services kann der benötigte Schutzgrad sehr unterschiedlich sein. Sollten Sie hier Beratungsbedarf haben, stellen wir gerne Kontakt zu Ansprechpartnern her.

Integration in UCS

Univention positioniert sich als Plattformhersteller und bietet alle nötigen Schnittstellen, um 2FA zu integrieren. Wir haben verschiedene Projekte dazu begleitet und es befindet sich mit privacyIDEA4UCS eine Dritt-Hersteller-Applikation im Univention App Center, die 2FA mit UCS implementiert.

Wir freuen uns, wenn wir Ihnen eine gute Vorstellung darüber geben konnten, was hinter der Zwei-Faktor-Authentifizierung und den Tücken bei der Umsetzung einer solchen Sicherheitslösung steckt.

Wie gesagt, wenn Sie mehr Beratungsbedarf hierzu haben, sprechen Sie uns gern über unser Kontaktformular an.

Gern auch direktes Feedback!

 

Weitere Informationen zum Thema 2FA und Datensicherheit erhalten Sie auf den folgenden Seiten:

[1] Wikipedia: Zwei-Faktor-Authentifizierung
[2] Zwei-Faktor-Authentisierung an der Univention Management Console
[3] Datensicherheit durch Mehr-Faktor-Authentisierung in UCS mit privacyIDEA + SAML
[4] Single Sign-On für UCS 4.1
[5] Single Sign-On durch LDAP Anbindung an den Basler Schulen

UCS Core Edition jetzt kostenfrei einsetzen!

Zum Downloadbereich
Michel Smidt

Michel arbeitet seit Januar 2014 bei Univention zunächst im Team des Professional Services als Projektmanager im Bildungsbereich. Hier war er in verschiedenen Projekten im Schulträger-Umfeld involviert. Aktuell verantwortet er als Produkt Manager Education den gesamten Bildungsbereich bei Univention und arbeitet daran, in Deutschland die digitale Bildung nachhaltig voranzubringen. Wenn er neben Familie und Arbeit mal Zeit findet, sind seine persönlichen Interessen Laufen, Fußball und Kochen.

Was ist Ihre Meinung? Hinterlassen Sie einen Kommentar!

Kommentare

  1. Über die https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung#Mittelbare_Zwei-Faktor-Authentisierung bin ich zu Ihnen gekommen. Ich nutze das seit Jahrzehnten mit Tans, die ich zunächst brieflich, später als SMS bekam. Das SMS-Verfahren wird aber nicht mehr angeboten, ich hab’ kein sehr smartes Phone, und frage als Techniker immer nach, warum nicht mehr? Die Antworten sind abenteuerlich: Brüssel, Sicherheit (keine Verschlüsselung der SMS – aber dann könnte man ja Whatsapp anbieten), usw. Könnten Sie da mal drauf eingehen bitte. Fritz@Joern.De

    Antworten
  2. Im Artikel wird privacyIDEA4UCS verlinkt. Im App Katalog steht jetzt (Juli 2020) aber, die Empfehlung nach einer Alternative zu suchen. Gibt es Alternativen?

    Antworten
  3. Der Hersteller von privacyIDEA hat sich dafür entschieden, die Pflege der privacyIDEA App einzustellen, was ich sehr bedauere. Sie können privacyIDEA aber weiterhin nutzen, indem Sie es auf einem der unterstützten Systeme manuell installieren: https://privacyidea.readthedocs.io/en/latest/installation/index.html

    Anschließend können Sie die LDAP Konfiguration in privacyIDEA vornehmen: https://privacyidea.readthedocs.io/en/latest/configuration/useridresolvers.html

    Antworten

Schreibe einen Kommentar zu Johan Ahlers Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert