DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Artikel-Serie “Sichere Iden­ti­täten sind erreichbar” — Teil 3

Digitale Iden­ti­täten schützen: Zwei-Faktor-Authen­ti­fi­zierung

Der Klau von E-Mail-Adressen, Pass­wörtern und PINs gehört heute zum Internet-Alltag. Das muss nicht sein. Mit ein­fachen Regeln und bewährten tech­ni­schen Hilfs­mitteln lässt sich die digitale Iden­tität im Internet schützen. Im zweiten Teil der Serie haben wir uns dem Pass­wort­schutz und dem elek­tro­ni­schen Per­so­nal­ausweis gewidmet. Im heu­tigen dritten Teil stellen wir heute die Zwei-Faktor-Authen­ti­fi­zierung zum Schutz Ihrer digi­talen Iden­tität vor. 

Sichere und starke Pass­wörter sind die Grund­vor­aus­setzung für ‚Sichere Iden­ti­täten’. Geht es um sehr sen­sible und per­sön­liche Daten, bei­spiels­weise im Fall von Online-Banking, Bezahl-Ser­vices, Cloud-Spei­chern oder Social Media-Pro­filen, ist ein zusätz­licher Schutz ratsam.

Mehr Sicherheit durch Zwei-Faktor-Authen­ti­fi­zierung

Eine Mög­lichkeit der Zwei-Faktor-Authen­ti­fi­zierung durch den elek­tro­ni­schen Per­sonal-ausweis mit den Fak­toren „Besitz“ (eID-Karte) und „Wissen“ (6-stellige PIN) wurde schon vor­ge­stellt.

Immer mehr Diens­te­an­bieter — wie Facebook, Dropbox, Paypal oder Google — ein Ver­fahren an, das ein zweites Sicher­heits­merkmal ver­langt und deshalb als Zwei-Faktor-Authen­ti­fi­zierung bezeichnet wird.

Selbst wenn es zu einem Datenleck beim Internet-Anbieter kommt oder man Opfer einer Phishing-Attacke wird und Benut­zername und Passwort ver­se­hentlich preisgibt, haben die Cyber-Kri­mi­nellen keinen Zugang, weil sie den zur Iden­ti­fi­zierung not­wen­digen zweiten Faktor nicht kennen.

Die Zwei-Faktor-Authen­ti­fi­zierung basiert auf zwei unter­schied­lichen Kom­po­nenten aus den Bereichen „Wissen“ oder „Besitz“. Der zweite Faktor kann beim „Wissen“ ein Sicher­heitscode oder eine PIN sein oder eine im „Besitz“ befind­liche Chip­karte oder ein spe­ziell dafür vor­ge­se­hener USB-Stick.

Viele Internet-Nutzer kennen die Zwei-Faktor-Authen­ti­fi­zierung vom Online-Banking. Dort wird beim smsTAN-Ver­fahren zur Bestä­tigung einer Zah­lungs­an­weisung die TAN (eine oftmals sechs­stellige Zah­len­kom­bi­nation) auf das Mobil­te­lefon geschickt. Dabei lässt sich jedes SMS-fähige Handy mit einer deut­schen Mobil­nummer ver­wenden.

Viele Diens­te­an­bieter bieten neben dem Versand des Sicher­heits­codes auf das Handy noch weitere Mög­lich­keiten der Zwei-Faktor-Authen­ti­fi­zierung an. So stehen mobile Apps zur Ver­fügung, die einen indi­vi­du­ellen, tem­porär erzeugten Sicher­heitscode erzeugen. Dieser wird dann in die Log-in-Maske ein­ge­geben, um die Anmeldung abzu­schließen.

Kleines Gerät für großen Schutz 

Bei vielen Online-Banken können Kunden alter­nativ das chipTAN- oder smartTAN-Ver­fahren nutzen. Mit­tel­punkt der Lösung ist ein TAN-Gene­rator, ein kleines, kabel­loses Gerät in der Größe eines Taschen­rechners. In Ver­bindung mit einer in den TAN-Gene­rator ein­ge­steckten Chip­karte — meistens die EC– oder eine andere Bank­karte – wird der Sicher­heitscode erzeugt. Die Ver­wendung von zwei getrennten Geräten macht es Betrügern fast unmöglich, die Ver­bindung zu mani­pu­lieren. Außerdem gilt die TAN nur für einen bestimmten Auftrag und das auch nur zeitlich begrenzt.

Für die Zwei-Faktor-Authen­ti­fi­zierung lassen sich auch spe­zielle USB-Sticks auf Basis des U2F-Stan­dards (Uni­versal Second Factor) ein­setzen. Auf dem Stick ist ein Sicher­heits­schlüssel hin­terlegt, auch Token genannt. Das ist die einzige Funktion des Geräts, Daten lassen sich darauf nicht spei­chern.

Nach der Kenn­wort­eingabe fordert der Com­puter den Anwender auf, den Stick in den USB-Anschluss des Rechners zu stecken. Bei einigen Modellen wird die Eingabe per Fin­gertipp auf das Schlüs­sel­symbol des USB-Sticks bestätigt. Letz­teres ist eine zusätz­liche Sicher­heits­maß­nahme. Diese USB-Sticks mit Sicher­heits­schlüssel gibt es inzwi­schen in vielen Elek­tronik-Märkten und Online-Shops zu Preisen von teil­weise 20 Euro zu kaufen und sind eine loh­nende Inves­tition. Einzige Ein­schränkung: Hardware-basierte Sicher­heits­schlüssel werden momentan noch nicht von allen Anwen­dungen und von allen Browsern unter­stützt.

Fazit: Zwei-Faktor-Authen­ti­fi­zie­rungs­ver­fahren, die von vielen Internet-Diensten inzwi­schen stan­dard­mäßig ange­boten werden, ermög­lichen zusätz­liche Sicherheit. Häufig werden hierfür die Fak­toren „Besitz“ und „Wissen“ genutzt. In der Zukunft könnte sich auch noch der Faktor „Bio­metrie“ weiter durch­setzen.

++++

Der Beitrag ist Teil der SIDBB-Arti­kel­serie “Sichere Iden­ti­täten sind erreichbar” erschienen. Bisher erschienen:

Teil 1: Sichere Iden­tität als Schlüs­sel­element für Ver­trauen im Netz

Teil 2: Digitale Iden­tität schützen — Pass­wort­schutz und elek­tro­ni­scher Per­so­nal­ausweis

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Anne-Sophie Braun, SIDBB

Anne-Sophie Braun ist seit Februar 2016 Geschäfts­füh­rerin des Vereins Sichere Iden­tität Berlin-Bran­denburg e.V. (SIDBB). Haupt­be­ruflich ist sie seit 2014 bei der Bun­des­dru­ckerei GmbH tätig. Davor war sie mehrere Jahre bei Start-up-Unter­nehmen beschäftigt. Braun ist Diplom-Kauffrau mit den Schwer­punkten Inter­na­tio­nales Management & Politik, BWL und Euro­pa­recht sowie zer­ti­fi­zierte Pro­jekt­ma­nagement-Fachfrau.

Bild:  ©SIDBB

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.