Hohe Sicherheit durch Mehr-Faktor-Authentisierung

Noch vor wenigen Jahren bedeutete der Diebstahl der Zugangsdaten in Form von E-Mail-Adresse/Benutzername und Passwort den Kontrollverlust über den eigenen Account. Sei es ein Social Media Account, ein App-Zugang oder der Zugang zum Online-Banking. Immer häufiger wird dem Kunden die Möglichkeit angeboten, den Login durch mehrere Authentisierungsschritte abzusichern. Wie genau die Mehr-Faktor-Authentisierung – auch Authentifizierung genannt – funktioniert, welche Vorteile diese mit sich bringt und wie BSDEX die Sicherheitsvorkehrung nutzt, erfahren Sie in diesem Artikel.

Was ist eine Mehr-Faktor-Authentisierung

Eine klassische Authentisierung beschreibt einen Login mithilfe eines Benutzernamens und eines Passworts. Das einfachste Beispiel ist der Login bei einem E-Mail-Anbieter wie Yahoo, Google oder T-Online. Dies ist eine Anmeldung über einen einzelnen Faktor, dem Wissen über die Zugangsdaten. Die Mehr-Faktor-Authentisierung erweitert den Anmeldeprozess um mindestens einen weiteren Faktor. 

Wissen, Biometrie und Besitz als Authentisierungsfaktoren

Um sich zu authentisieren, benötigt man entweder Wissen, Biometrie oder Besitz. Ein normaler Login mit Benutzername und Passwort beruht auf Wissen. Sie wissen, wie ihre Zugangsdaten lauten und können sich damit anmelden.

Login BSDEX

Eine alternative bietet die Biometrie, also Ihr Körper. So können sie sich zum Beispiel über Ihren Fingerabdruck, Ihre Iris oder eine Gesichtserkennung einloggen. Das bekannteste Beispiel ist hierbei das Smartphone. So kann man sich bei vielen Smartphones über den Fingerabdruck anmelden oder indem man ganz einfach sein Gesicht in die Kamera hält. Allerdings bleibt es in der Regel bei einer einfachen Authentisierung, da man entweder das Passwort oder die Biometrie verwendet.

Biometrische Authentisierung

Die dritte Möglichkeit sich zu Authentisieren ist der Besitz. Dies kann zum Beispiel ein spezieller Hardware-USB-Stick sein, den man in den PC stecken muss, um sich anzumelden. Apple benutzt diese Art der Authentisierung zum Beispiel, um ein neues Gerät anzumelden. Findet ein Login auf einem neuen Gerät statt, erscheint auf den bereits vorhandenen Geräten die Meldung „Möchten Sie das Gerät freigeben?“. Es reicht also allein der Besitz/Zugriff auf einen bestimmten Gegenstand.

Besitz Authentisierung

2-Faktor-Authentisierung (2FA)

Sobald man zwei Faktoren in beliebiger Kombination verbindet, nennt man dies 2-Faktor-Authentisierung, kurz 2FA. Diese 2FA sollte Ihnen mittlerweile bei vielen Logins im Internet aufgefallen sein. Ob Instagram, Facebook oder LinkedIn, bei fast allen sozialen Netzwerken ist eine optionale 2FA möglich.Bei Banken ist die Authentisierung über zwei Merkmale bereits lange Standard. Schon vor 15 Jahren hatte man zu Hause eine ausgedruckte TAN-Liste liegen, die man genutzt hat, um den Login und die Überweisung zu bestätigen. Die gedruckten TAN-Listen sind mittlerweile veraltet, das Prinzip bleibt aber gleich. Der Zettel weicht dem USB-Stick oder der Smartphone-App. Egal ob Sparkasse oder Volksbank, jeder Nutzer benötigt heutzutage mindestens zwei Apps für das Online Banking auf dem Smartphone. Die normale Banking-App sowie eine App, die den Code zur 2FA enthält. Nur mit diesem Code ist zum Beispiel eine Überweisung möglich.Ein weiteres Beispiel ist die Bezahlung mit dem Smartphone. Hier führt eine Kombination aus Besitz und Biometrie zur Freischaltung der Karte. Das Smartphone mit der eingerichteten Bankkarte stellt den Besitz dar. Der Login via Gesichtserkennung oder Fingerabdruck stellt die Biometrie dar. Im Gegensatz dazu können bereits kleinere Beträge von 25 bis 50 Euro mit dem Besitz einer EC- oder Kreditkarte – dank kontaktlosem Bezahlen – bezahlt werden. Hier führt also allein der Besitz zur Freigabe von zum Beispiel 25 Euro bei Kartenzahlungen.

Biometrische Authentisierung

3-Faktor-Authentisierung (3FA)

Die 3-Faktor-Authentisierung, kurz 3FA, sorgt für weitere Sicherheit. Beispielhaft werden hier neben den Login-Daten zwei Authentisierungs-Codes an unterschiedliche Endpunkte geschickt. Zum Beispiel an eine E-Mail-Adresse und an eine Telefonnummer. Alternativ kann auch nach einem Login via Passwort die Abfrage des Fingerabdrucks und die Eingabe eines Sicherheitscodes folgen. Auch hier sind alle möglichen Kombinationen von Wissen, Biometrie und Besitz möglich. 

So funktioniert die Zwei-Faktor-Authentisierung – Video vom BSI

YouTube

2FA einfach per Smartphone App umsetzen

Die bekannteste und sicherlich auch einfachste Möglichkeit einer 2FA ist die Nutzung einer Authenticator App. Es gibt unterschiedliche Anbieter für solche Apps, der Funktionsumfang ist in der Regel identisch. Die App muss in einem ersten Schritt einfach heruntergeladen und geöffnet werden. Nun wird die 2FA dort aktiviert, wo man den Login durch die weitere Authentisierung absichern möchte. In der Regel wird dort ein QR-Code oder eine Nummer angezeigt. Dieser QR-Code muss mit der Authenticator App einfach eingescannt werden. Nun ist in der App ein meist sechsstelliger Code zu sehen, welcher sich alle 30 Sekunden ändert. Dieser Code muss nun immer eingegeben werden, wenn man sich beim jeweiligen Tool einloggt. Aktiviert man zum Beispiel die 2FA bei Instagram, muss nach dem Login via Benutzername und Passwort zusätzlich in die Authenticator App gegangen werden, um den Code zu kopieren und diesen dann zusätzlich einzugeben. Es können in der App beliebig viele Authentisierungen hinzufügt werden.

Erweiterte Sicherheit durch Hardware-2FA

Eine Alternative zur digitalen zweiten Authentisierung sind unterschiedliche Hardware-Lösungen. Dies kann zum Beispiel der Personalausweis sein, aber auch USB-Sticks, die genau zu diesem Zweck produziert werden. Häufig wird die Hardware-2FA als sicherere Methode bezeichnet.

Den 2. und 3. Authentisierungsfaktor nicht verlieren

Je mehr Informationen man für den Zugang benötigt, desto problematischer ist der Verlust. Verliert man zum Beispiel das Smartphone inklusive Authenticator App und besitzt kein Backup für das Smartphone so geht auch der Zugang zum jeweiligen Tool, Produkt oder Service verloren. Manche Anbieter bieten einen Wiederherstellungscode an, den man bei der Einrichtung der 2FA oder 3FA erhält und sicher verwahren soll. Hat man diesen ebenfalls nicht mehr, kann es kompliziert oder sogar unmöglich werden, sich wieder anzumelden.

 Nutzen mehrerer Geräte für die Authentisierung

Die Mehr-Faktoren-Authentisierung soll den Login sicherer machen. Deshalb ist es am besten, wenn das Gerät zur Anmeldung und das Gerät zur Authentisierung nicht identisch sind. Hat zum Beispiel der Angreifer Zugriff auf Ihr Smartphone und auf diesem befinden sich sowohl die Anmeldedaten als auch die App für die 2FA/3FA, dann ist der zusätzliche Faktor kein wirklicher Schutz mehr. Es ist besonders davon abzuraten in einem Passwort-Manager zugleich die 2FA zu integrieren. Dies ist nämlich bei einigen Anbietern möglich. Der Verlust des Zugangs für ein Browserspiel ist sicherlich nicht so schlimm. Sollte der Angreifer allerdings Zugang zum Passwort-Manager inklusive aller 2FA-Codes erhalten, stehen diesem alle Türen offen.

Eine Mehr-Faktor-Authentisierung bietet einen deutlich höheren Sicherheitsfaktor

Eine Mehr-Faktor-Authentisierung, richtig umgesetzt, bietet deutlich mehr Sicherheit. Ein Beispiel: Gehen wir davon aus, Sie haben Ihren PC und Ihren Browser über einen längeren Zeitraum nicht auf dem neuesten Stand gehalten. Sie haben unbemerkt eine Ransomware auf Ihrem Computer installiert, welche in der Lage ist Ihre Tastatur aufzunehmen und Ihren Browserverlauf zu beobachten. Die angreifende Person ist nun in der Lage, sich überall anzumelden, wo sie Benutzername und Passwort angegeben haben. Doch ohne den zweiten Faktor können die Hacker mit den Zugangsdaten nicht viel anfangen. Je mehr Faktoren notwendig sind, um sich einzuloggen, desto größer wird der Aufwand für die angreifende Person. Zugangsdaten, 2FA-Code und Gesichtserkennung? Zugangsdaten, E-Mail Code und Benachrichtigung auf Ihr Tablet? Aus einem Hackerangriff aus der Ferne müsste eventuell ein echter Einbruch in die Wohnung des Opfers stattfinden. Der Aufwand ist in den meisten Fällen sicherlich zu groß.

Die 2-Faktor-Authentisierung bei der Börse Stuttgart Digital Exchange

Wer die Services der BSDEX nutzen möchte, braucht eine 2FA zwingend notwendig. Die BSDEX nutzt dafür einen SMS-Tan, welche ähnlich zur Authenticator App ist. Sobald sich der Anlager mit den Zugangsdaten einloggt, erhält dieser per SMS einen Code, welcher eingeben werden muss. Einem Angreifer ist es also nicht möglich, sich allein mit den Zugangsdaten anzumelden und auf das jeweilige Konto zuzugreifen. Selbst wenn jemand Zugang zum persönlichen Computer hat, ist ein Zugriff nicht möglich.

Die BSDEX plant in Zukunft eine optionale 3-Faktor-Authentisierung

Den Kunden möglichst viel Sicherheit zu bieten ist eine der Kernwerte der Börse Stuttgart Digital Exchange. Deshalb steht die Einführung weiterer Authentisierungsmöglichkeiten auf der BSDEX Road Map. Sollte eine 2FA nicht genügend Sicherheit bieten, können weitere Faktoren hinzugefügt werden. Ein genaues Datum gibt es für die 3FA allerdings noch nicht.