Systeme, die personenbezogene Daten verarbeiten, erfordern robuste Sicherheitsmaßnahmen. Üblicherweise wird dies durch einen Anmeldevorgang erreicht, der die Eingabe eines Benutzernamens und eines Passworts erfordert. Die Zwei-Faktor-Authentifizierung (2FA) bietet jedoch eine zusätzliche Sicherheitsebene.
Im Kontext des Unternehmensdatenschutzes tauchen oft Fragen zur verpflichtenden Implementierung von 2FA auf. Dieser Artikel befasst sich mit diesen Bedenken.
Die wachsende Bedrohung für Daten
Cyberkriminelle nehmen Unternehmensdaten zunehmend ins Visier. Ihre Hauptziele sind:
- Datenraub: Daten stehlen, um sie an Wettbewerber zu verkaufen oder mit ihrer Veröffentlichung zu drohen, um Geld zu erpressen. Je sensibler die Daten, desto höher das Lösegeld.
- Systemabschaltung: Angreifer verschlüsseln wichtige Dateien und lähmen so die IT-Systeme des Opfers. Anschließend fordern sie ein Lösegeld für die Entschlüsselung.
Solche Cyberangriffe sind häufiger, als man denkt. In vielen Fällen gelingt es den Angreifern, Benutzernamen und Passwörter zu erhalten, wodurch sie Zugriff auf die Systeme ihrer Opfer erhalten. Diese Angriffe können kategorisiert werden als:
- Hacking: Direkte Angriffe auf Systeme, oft durch Einführung von Schadsoftware.
- Social Engineering: Opfer durch E-Mails oder Telefonanrufe täuschen, um Zugangsdaten zu extrahieren oder schädliche Befehle auszuführen.
- Ausnutzung des Benutzerverhaltens: Viele Benutzer unterstützen Cyberkriminelle unbeabsichtigt, indem sie Browserdaten auf öffentlichen Computern nicht löschen oder dasselbe Passwort für mehrere Dienste verwenden.
Verständnis für die Zwei-Faktor-Authentifizierung
Ein traditioneller Anmeldevorgang mit Benutzername und Passwort basiert nur auf einem Sicherheitsfaktor: dem Passwort. Es gibt jedoch mehrere Sicherheitsfaktoren, die einen sicheren Login gewährleisten können:
- Biometrische Daten (z.B. Fingerabdruck oder Iris-Scan)
- Manuelle Freigabe über eine Authenticator-App (auf einem separaten Gerät, wie einem Smartphone)
- Passwort
- Sicherheitstoken (z.B. Chipkarte, Smartphone, USB-Schlüssel, NFC-Token)
- Sicherheitscode/Einmalpasswort (per SMS oder Telefonanruf gesendet)
- Mobile OpenID Connect (als passwortloser Token)
Mit 2FA reicht es nicht aus, nur einen Benutzernamen und ein Passwort einzugeben. Ein zusätzlicher Sicherheitsfaktor ist obligatorisch. Nur wenn beide Faktoren überprüft werden, wird der Zugriff gewährt.
Ist 2FA für den Datenschutz verpflichtend?
Die Datenschutz-Grundverordnung (DSGVO) legt keine technischen Anforderungen fest, bietet jedoch einen rechtlichen Rahmen. Sie schreibt vor, dass Daten geschützt werden müssen, was durch technische und organisatorische Maßnahmen (TOMs) erreicht werden kann.
Obwohl 2FA eine verbesserte Sicherheit bietet, ist ihre Implementierung nicht immer verpflichtend. Angesichts der erhöhten Sicherheit, die sie bietet, ist die Entscheidung für die Zwei-Faktor-Authentifizierung jedoch oft eine kluge Wahl.
2FA in der Informationssicherheit
Während 2FA aus Sicht des Datenschutzes möglicherweise optional ist, sieht es im Bereich der Informationssicherheit anders aus. Viele mittelständische Unternehmen streben Zertifizierungen an oder halten diese aufrecht. Je nach gewähltem Standard kann es erforderlich sein, den Zugriff mit 2FA zu sichern. Darüber hinaus könnten einige Cyberrisikoversicherungen entweder die Verwendung von 2FA verlangen oder die Prämien für deren Implementierung reduzieren.
Herausforderungen bei der Zwei-Faktor-Authentifizierung
Eine der größten Herausforderungen bei der Einführung von 2FA ist der Widerstand der Mitarbeiter. Viele sehen es als Hindernis für ihren Arbeitsablauf. Der zusätzliche Zeitaufwand für die Anmeldung ist jedoch minimal, und die Sicherheitsvorteile sind erheblich.
Eine weitere Herausforderung ist das erhöhte Risiko eines Systemzugriffsfehlers. Wenn beispielsweise das Mobilfunknetz ausfällt oder ein Benutzer seinen USB- oder NFC-Schlüssel verlegt, kann er sich nicht sofort anmelden. Glücklicherweise kann dieses Risiko durch einen Backup-Drittfaktor gemindert werden.
Fazit
Aus Sicht der DSGVO ist die Implementierung der Zwei-Faktor-Authentifizierung nicht strikt verpflichtend. Im Bereich der Informationssicherheit und aus Sicht der Cyberrisikoversicherungen könnten die Anforderungen jedoch unterschiedlich sein. Unabhängig davon, ob sie verpflichtend ist, ist die Zwei-Faktor-Authentifizierung angesichts der erhöhten Sicherheit, die sie bietet, oft die richtige Wahl.