Zwei-Faktor-Authentifizierung: Das kommt auf Unternehmer zu /fileadmin/_processed_/5/8/csm_Zwei-Faktor-Authentifizierung_198255754_S_5fc10639fa.jpg 2019-05-07 Lexware

Zwei-Faktor-Authentifizierung: Das kommt auf Unternehmer zu

Von Thomas Schirmer
Aktualisiert am: 07.05.2019

2019 soll ein neues Gesetz auf den Weg gebracht werden, das Online-Händler zur Einführung zusätzlicher Schutzmechanismen verpflichtet. Erfahren Sie hier, welche Vorteile eine Zwei-Faktor-Authentifizierung bietet und welche Herausforderungen damit auf Anbieter zukommen.

Es tut sich etwas in Sachen IT-Sicherheit: Noch in diesem Jahr soll es eine Gesetzesvorlage geben, nach der Anbieter von Online- und Telekommunikationsdiensten außer für starke und sichere Passwörter auch dafür zu sorgen haben, dass zusätzliche Schutzmechanismen eingerichtet werden. Dies sieht jedenfalls ein Positionspapier der SPD für das geplante „IT-Sicherheitsgesetz 2.0“ vor.

Eine zentrale Rolle spielt dabei die „Zwei-Faktor-Authentifizierung“, auch „Zwei-Faktor-Authentisierung“ oder kurz „2FA“ genannt. Betreiber von Online-Shops und Internetdiensten sollen sie verpflichtend einsetzen. Ungeklärt ist noch, ob die 2FA-Vorgabe grundsätzlich für alle Online-Anbieter, nur für Unternehmen ab einer bestimmten Größe oder nur für bestimmte Branchen gelten soll. Die technischen Verfahren, die dabei zum Einsatz kommen sollen, sind auch noch unklar.

2FA bietet deutlich besseren Schutz als ein Passwort

Lange waren Benutzerkonten und Passwörter die einzige Option zum Schutz von Online-Diensten. Hacker und unbefugte Dritte, die in den Besitz dieser Zugangsdaten gelangten, konnten durch den Diebstahl der digitalen Identität sehr leicht große Schäden anrichten. Die Zwei-Faktor-Authentifizierung bringt hier einen zusätzlichen Sicherheitsgewinn. Dieser entsteht, indem Bestellungen, Zahlungsvorgänge oder Änderungen von Server- oder Sicherheitseinstellungen nicht mehr allein dadurch ausgelöst werden können, dass sich Nutzer von Internetdiensten mit Ihrem Benutzerkonto und einem Kennwort ausweisen.

Es kommt als zweiter Faktor noch eine zusätzliche Legitimierung hinzu, die von einem anderen Gerät aus erfolgt und als Einmalkennwort eingegeben werden muss. Die Zwei-Faktor-Authentifizierung macht das herkömmliche einstufige zu einem zweistufigen Verfahren, das durch die zusätzliche Sicherheitsfunktion ein wesentlich höheres Sicherheitsniveau bietet.

Diese Möglichkeiten der Zwei-Faktor-Authentifizierung gibt es

Das andere Gerät kann z. B. ein Fingerabdruck- oder Iris-Scanner sein, der die biometrischen Daten des Nutzers erfasst und bestätigt. Oder ein Mobiltelefon, das ein Einmalkennwort in einer SMS empfängt, die vom Online-System automatisch verschickt wird. Nach dem Empfang muss dieses Einmalpasswort in das Online-System eingegeben werden, um etwa einen Bestellvorgang abzuschließen oder eine Grundeinstellung zu ändern.

Alternativ kann das notwendige Einmalkennwort auch mit einer Smartphone-App (Software-Token) oder einem zusätzlichen Gerät (Hardware-Token) vom Nutzer selbst erzeugt werden. Das Online-System zeigt zu diesem Zweck einen Sicherheitscode direkt an, der vor Ort in die Smartphone-App oder das Zusatzgerät eingegeben werden muss. Da App oder Zusatzgerät zuvor beim Onlineanbieter registriert und angemeldet werden mussten, erwartet das Online-System die Eingabe eines bestimmten Einmalkennworts. Wird dies korrekt generiert und eingegeben, führt das Online-System die gewünschte Aktion aus. Die Einmalkennwörter sind meist einfache Ziffernfolgen, die zügig nach der Erstellung eingegeben werden müssen, bevor sie ihre Gültigkeit verlieren.

Tipp: Einmalkennwörter generieren

Apps für die Erzeugung von Einmalkennwörtern nach dem standardisierten und allgemein anerkannten TOTP-Verfahren (Time-based One-Time Password) gibt es von unterschiedlichen Anbietern sowohl für Android als auch für iOS. Weit verbreitet sind Google Authenticator, Microsoft Authenticator und Auth.

Der Vorteil: Höhere Sicherheit für Nutzer und Unternehmen

Die Zwei-Faktor-Authentifizierung ist kein neues Verfahren, sondern wird bereits seit mehreren Jahren von großen Online-Händlern und Internetdiensten eingesetzt. Hierzu zählen die "allmächtigen" Internetkonzerne Google, Amazon oder Microsoft, aber auch spezialisierte Anbieter wie Dropbox. Im Gegensatz zur geplanten Gesetzesinitiative sind Einsatz und Nutzung der Zwei-Faktor-Authentifizierung bisher aber nicht zwingend notwendig. Auch kann vom Nutzer festgelegt werden, welches der angebotenen Zwei-Faktor-Verfahren (SMS, E-Mail, automatischer Telefonanruf, Einmalkennwort-App oder Hardware-Token) zum Einsatz kommt und welche Transaktionen damit geschützt werden sollen.

Die Zwei-Faktor-Authentifizierung bietet deutlich mehr Sicherheit für Nutzer und Anbieter: Gerät bei der Zwei-Faktor-Authentifizierung das Passwort für das Benutzerkonto in falsche Hände, kann allein dadurch kein Schaden entstehen. Denn für einen Missbrauch würde ja auch noch die zweite Sicherheitsfunktion benötigt.

Angreifer müssen also auch das Smartphone des Nutzers in ihre Verfügungsgewalt bekommen oder die Kommunikation umleiten bzw. abhören, um in den Besitz des zusätzlichen Einmalkennworts zu kommen. Unmöglich ist dies nicht, erfordert aber einen ungleich höheren Aufwand als das Ausspionieren des Passworts. Nutzer sind dadurch also besser vor Missbrauch geschützt. Da die Zwei-Faktor-Authentifizierung gleichzeitig einen besseren Identitätsnachweis liefert, erhöht sich auch die Transaktionssicherheit für die Anbieter.

Diese Nachteile hat die Zwei-Faktor-Authentifizierung

Die Hauptnachteile sind der höhere technische Aufwand und die umständliche Abwicklung, die Bestell- und Zahlungsvorgänge deutlich zeitaufwändiger macht und dazu führt, dass viele Transaktionen abgebrochen werden. Das jedenfalls behauptet der „Händlerbund“, der größte Onlinehandelsverband Europas, und warnt daher vor den „verheerenden Folgen“ der Einführung der Zwei-Faktor-Authentifizierung für den Onlinehandel. Die zu erwartende gesetzliche Regelung würde allerdings nicht nur das allgemeine Sicherheitsniveau fördern, sondern auch dafür sorgen, dass Zwei-Faktor-Verfahren schnell allgemein akzeptiert werden und eben keinen Wettbewerbsnachteil darstellen.

Themenseite "Datensicherheit"

Wenn Sie nicht mehr auf Geschäftsdaten zugreifen können, wird das schnell sehr teuer. Damit Ihnen das nicht passiert, zeigen wir Ihnen auf der Themenseite "Datensicherheit", wie Sie Ihre Daten effektiv vor Diebstahl, Missbrauch und Verlust schützen.

Mögliche Neuregelung nimmt Shop-Betreiber in die Pflicht

Auch wenn derzeit noch nicht feststeht, welche Anbieter von der gesetzlichen Regelung konkret betroffen sind, ist davon auszugehen, dass in Kürze alle Shop-Betreiber eine Zwei-Faktor-Authentifizierung anbieten müssen.

Der Aufwand dafür wird sich aber in relativ engen Grenzen halten, weil gängige Online-Shop-Systeme „2FA“ integrieren werden, falls sie dies nicht bereits getan haben. Das bei Kleinunternehmern beliebte Web-Baukastensystem Jimdo hat dies angekündigt, und auch für Wordpress, Joomla und andere populäre Baukastensysteme soll es entsprechende Erweiterungen geben. Hoster und Provider wie 1&1 und Strato, die auch die Einrichtung von Online-Shops ermöglichen, werden ebenfalls folgen.

Für Anbieter wird die Einführung der Zwei-Faktor-Authentifizierung definitiv zusätzlichen Aufwand und zusätzliche Kosten bedeuten. Beides sollte jedoch machbar und überschaubar sein. Online-Tutorials und Supportanfragen werden bei der Umsetzung helfen. Unternehmer müssen auf jeden Fall beachten, dass zusätzliche Kosten nicht in Form einer Servicegebühr direkt auf die Kunden abgewälzt werden dürfen, sondern einkalkuliert werden müssen!


Bewerten Sie diesen Artikel:
(0)
1 5 1 5