Warum 2-Faktor-Authentifizierung (2FA) wichtig ist

Rund zwei Millionen Menschen in Deutschland sind im vergangenen Jahr Opfer eines Betrugsversuchs mit ihrem Smartphone geworden. Das ist jede*r fünfte Erwachsene. Bei den unter 30-Jährigen sind es sogar 30 Prozent. Die Dunkelziffer dürfte noch höher liegen, denn viele Opfer von Cyberkriminalität merken gar nicht, dass ihr Konto oder Gerät gehackt wurde.

Warum ist mehr Sicherheit wichtig?

Die Gefahr, dass Online-Konten gehackt oder missbraucht werden, ist heute größer denn je und nimmt weiter zu. Die Anmeldung bei einem Konto erfolgt leider immer noch viel zu häufig ausschließlich über eine Kombination aus Benutzername und Passwort. Passwörter sind jedoch oft viel zu leicht zu knacken. Einer der Hauptfaktoren hierfür sind die Nutzer*innen selbst, beziehungsweise deren Bequemlichkeit. Häufig werden einfache Passwörter verwendet (konkrete Beispiele, die von Leaks und/oder Hacks betroffen sind, finden sich z.B. hier) oder ein und dasselbe Passwort wird für mehrere Accounts verwendet. Im Extremfall haben Nutzer*innen für alle ihre Zugänge exakt ein Passwort. Wird einer der Zugänge geknackt, sind alle geknackt.

Daher ist es wichtig, die Sicherheit zu erhöhen und eine zusätzliche Schutzmaßnahme einzubauen, die sicherstellt, dass keine unbefugten Dritten Zugang zu den Accounts erhalten. Hier kommt die Zwei-Faktor-Authentifizierung (2FA) ins Spiel. Mit 2FA können Konten durch einen zweiten Faktor, wie beispielsweise ein Smartphone oder einen anderen Dienst (siehe unten), geschützt werden. Der Vorteil ist, dass dieses Verfahren sowohl sehr sicher als auch sehr bequem ist. Und es stellt sicher, dass niemand ohne ausdrückliche Zustimmung oder zumindest Kenntnis des Kontoinhabers auf das Konto zugreifen kann – selbst wenn die Zugangsdaten zufällig bekannt werden oder durch einen Hackerangriff erbeutet wurden.

Wie funktioniert 2FA?

Beim Einloggen in ein Konto muss nach der Eingabe der Anmeldedaten (also Benutzer*innenname und Passwort) eine zusätzliche Bestätigung erfolgen. Dies kann entweder in Form von Codes geschehen, die nur eine sehr begrenzte Gültigkeit haben (in der Regel maximal 20 Sekunden), oder durch ein Gerät, auf dem die Anmeldung per Push-Nachricht signalisiert wird und diese Nachricht bestätigt werden muss.

Die Bezeichnung Zwei-Faktor-Authentifizierung kommt von diesem zweiten Faktor, der für die Authentifizierung erforderlich ist. Es muss nicht nur die Kenntnis der Zugangsdaten nachgewiesen werden, sondern auch der Besitz des zweiten Faktors, indem ein dort generierter Code eingegeben oder eine dort erscheinende Abfrage bestätigt wird.

2FA erhöht die Sicherheit

2FA erhöht die Sicherheit von Online-Aktivitäten erheblich und kann vor Hacker-Angriffen und anderen schädlichen Aktivitäten schützen. Ohne den zweiten Faktor kann niemand auf das geschützte Konto zugreifen, selbst wenn die Zugangsdaten kompromittiert wurden. Angreifer*innen müssen also einen deutlich höheren Aufwand betreiben, um einen mit 2FA geschützten Account zu knacken. Da die für die 2FA verwendeten Geräte (Smartphones) mittlerweile größtenteils über Gesichtserkennung oder Fingerabdruckleser verfügen, ist in vielen Fällen selbst ein gestohlenes Smartphone als zweiter Faktor für Angreifer*innen wertlos.

Das gilt besonders für Unternehmen

Speziell für Unternehmen gehört eine zuverlässige 2FA zu den wichtigen und mittlerweile unverzichtbaren Sicherheitsmaßnahmen. Art 32 DSGVO schreibt vor, dass Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Hierbei wird zwar nicht explizit auf den Einsatz von 2FA als mögliche Maßnahme hingewiesen, allerdings wird verlangt, dass die Maßnahmen dem Stand der Technik entsprechen. Damit ist es nahezu ausgeschlossen, im Unternehmen auf den Einsatz von 2FA zu verzichten. Zusätzlich fordert Art. 32 Abs. 1 lit. d DSGVO eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen. Hierdurch soll unter anderem sichergestellt werden, dass in der Vergangenheit getroffene und damals angemessene und wirksame Maßnahmen, die zum aktuellen Zeitpunkt als veraltet oder unwirksam angesehen werden müssen, auffallen. Dies sollte nun bei Anmeldungen ohne zweiten Faktor der Fall sein. Insgesamt ist die Implementierung von 2FA in Unternehmen ein wichtiger Schritt, um die Datensicherheit zu erhöhen und den Schutz personenbezogener Daten zu gewährleisten.

Die Nachteile von 2FA

Der Nachteil von 2FA ist, dass es einen zusätzlichen Aufwand für die Nutzer*innen bedeutet. Anstatt einfach nur ein Passwort einzugeben, muss ein Code generiert oder ein Gerät bereitgehalten werden. Dies kann für manche Menschen einen zu hohen Komfortverlust darstellen und dazu führen, dass sie 2FA gar nicht erst nutzen. Außerdem ist auch 2FA nicht vollkommen sicher. Wird beispielsweise das Smartphone, das als zweiter Faktor verwendet wird, gestohlen, kann auch ein mit 2FA geschütztes Konto gehackt werden, sofern das Smartphone nicht optimal geschützt ist.

Das Haupteinfallstor bei mit 2FA geschützten Zugängen ist als letztlich das gleiche wie bei einfachem Passwortschutz: Die Nutzer*innen sind oft einfach zu bequem und unterschätzen das Risiko.

Fazit

Die Sicherheit von Passwörtern ist also nur so gut wie die Menschen, die sie benutzen. Und die sind in der Regel häufig zu bequem für eine optimale Passwort-Sicherheit. Ein guter erster Schritt wäre es daher, das Bewusstsein für Passwortsicherheit zu schärfen und den Nutzer*innen klar zu machen, welche Konsequenzen ihre Unachtsamkeit haben kann. 2FA steigert diese Sicherheit dann um ein Vielfaches.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.