Systeme, die personenbezogene Daten verarbeiten, erfordern eine angemessene Absicherung. Meist geschieht dies über einen Login, der die Eingabe von Benutzername und Passwort erfordert. Noch mehr Sicherheit verspricht die Absicherung mittels 2-Faktor-Authentisierung (2FA).
Im Zusammenhang mit dem betrieblichen Datenschutz kommt gelegentlich die Frage auf, ob die Pflicht zur Absicherung eines Zugangs mittels 2FA besteht. Nachfolgend beantworten wir diese Frage.
Daten sind ernsthaften Gefahren ausgesetzt
Cyberkriminelle haben es auf Daten von Unternehmen abgesehen. Die Mehrheit der Angreifer verfolgt eines dieser Ziele:
- Datendiebstahl: Diebstahl von Daten, um diese an Wettbewerber zu verkaufen. Ebenso wird gerne mit einer Veröffentlichung gedroht, um Geld zu erpressen. Je sensibler die Daten und je größer der mögliche Skandal, desto größer ist die Bereitschaft der Opfer, hohe Summen zu zahlen.
- Stilllegung von Systemen: Angreifer suchen nach wichtigen Dateien, um diese zu verschlüsseln und damit die IT-Systeme ihrer Opfer lahm zu legen. Anschließend wird gegen Zahlung von Lösegeld eine Entschlüsselung in Aussicht gestellt.
Derartige Cyberangriffe ereignen sich häufiger als vermutet. In zahlreichen Fällen gelingt es den Angreifern, Benutzernamen und Passwörter zu erbeuten. So verschaffen sie sich Zugriff auf die Systeme ihrer Opfer. Die meisten Angriffe lassen sich in folgende drei Kategorien unterteilen:
- Hackerangriff: Systeme werden gezielt attackiert, beispielsweise durch Einschleusen von Malware.
- Social Engineering: Angreifer täuschen ihre Opfer via E-Mail oder Telefonanruf, um ihnen unbewusst Zugangsdaten zu entlocken oder gefährliche Anweisungen zu geben.
- Ausnutzen von fehlerhaftem Nutzerverhalten: Viele Nutzer machen es den Cyberkriminellen leicht, indem sie beispielsweise Browser-Daten auf öffentlichen Computern nicht löschen oder bei verschiedenen Diensten dieselben Passwörter verwenden.
Zwei-Faktor-Authentisierung erklärt
Beim einleitend beschriebenen Login mit Benutzername und Passwort dient lediglich ein Faktor der Absicherung, nämlich das Passwort. Während der Benutzername öffentlich bekannt sein kann, ist das Passwort geheim.
Ein Passwort ist nicht der einzige Faktor, der sicheres Einloggen ermöglicht. Die nachfolgende Übersicht listet die häufigsten Sicherheitsfaktoren zum Nachweis der eigenen Identität auf:
- Biometrische Daten (z.B. Fingerabdruck oder Iris-Scan)
- Manuelle Freigabe per Authenticator-App (auf einem anderen Gerät, z.B. Smartphone)
- Passwort
- Security-Token (z.B. Chipkarte, Smartphone oder USB-Key)
- Sicherheitscode / Einmalpasswort (z.B. via SMS oder Telefonanruf übermittelt)
Im Rahmen der 2-Faktor-Authentisierung genügt es nicht, beim Anmeldeprozess den Benutzernamen und beispielsweise ein Passwort anzugeben. 2FA ist ein zweistufiges Authentisierungsverfahren, weshalb zum Nachweis der Identität die Verwendung eines zusätzlichen Faktors verpflichtend ist. Nur wenn beide Faktoren stimmen, wird die Zugriffsberechtigung erteilt.
Im Feld von Consumer-Anwendungen mit 2FA ist der Login mit Passwort und ergänzendem Sicherheitscode / Einmalpasswort (Time-based One-Time Password, kurz TOTP), der via SMS versendet wird, stark verbreitet. Im Business-Umfeld erfreut sich wiederum die Kombination aus Passwort und USB-Token einer großen Beliebtheit.
Welcher 2. Faktor letztlich Anwendung findet, ist unter anderem eine Frage des angestrebten Sicherheitsniveaus. So wird beispielsweise die SMS zunehmend kritisch betrachtet, da es möglich ist sie abzufangen.
Das Hinzufügen des zweiten Faktors beim Anmeldeprozess macht im Hinblick auf die Sicherheit einen enormen Unterscheid. Ein Passwort ist im Vergleich leicht zu erbeuten. Aber der zweite Faktor ist davon losgekoppelt, weshalb er vom Angreifer nur schwer abgefangen oder gefälscht werden kann. Derartige Angriffe erfordern einen viel größeren Aufwand.
Interessant zu wissen: Häufig wird statt Zwei-Faktor-Authentisierung der Ausdruck Zwei-Faktor-Authentifizierung verwendet, was fachlich gesehen jedoch nicht ganz korrekt ist. Erfahren Sie mehr über die Unterschiede zwischen Authentisierung und Authentifizierung.
Besteht im Datenschutz die Pflicht zum Einsatz von 2FA?
Pauschal ist diese Frage nicht zu beantworten. Die DSGVO macht keine konkreten technischen Vorschriften, sondern gibt ein rechtliches Rahmenwerk vor. Dieses besagt, dass ein Schutz der Daten gewährleistet sein muss. Die Umsetzung in der Praxis kann z.B. mittels technisch organisatorischer Maßnahmen (TOM) erfolgen.
Das Absichern von Systemen mit einem Login ist solch eine Maßnahmen. Entsprechend kann eine klassische Authentisierung, die Benutzername und Passwort erfordert, ausreichend sein. Zu bedenken ist jedoch, dass ein Identitätsnachweis mit 2FA mehr Sicherheit verspricht. Je nach Einzelfall (Art der Daten, bestehende Risiken) kann es daher empfehlenswert sein, sich für die 2-Faktor-Authentisierung zu entscheiden.
2FA in der Informationssicherheit
Entsprechend bleibt es häufig dabei, dass 2FA aus datenschutzrechtlicher Sicht als freiwillige Maßnahme erachtet werden kann. Anders sieht es im Feld der Informationssicherheit aus.
Besonders im Mittelstand finden sich zunehmend mehr Unternehmen, die eine Zertifizierung anstreben oder diese erreicht haben und aufrechterhalten wollen. Je nach Zielsetzung bzw. dem gewählten Standard kann bei der Informationssicherheit die Notwendigkeit bestehen, Zugänge per 2FA abzusichern.
Hürden bei zweistufigen Authentisierungsverfahren in der Praxis
Eines der größten Hindernisse bei der Umstellung auf 2FA sind erfahrungsgemäß die Mitarbeiter. Viele Menschen sehen in dieser Form der Authentisierung eine Komforteinbuße und sprechen sich deshalb dagegen aus.
Streng genommen hält sich der Mehraufwand beim Einloggen jedoch in Grenzen. Die meisten Verfahren erfordern im Vergleich nur wenige zusätzliche Sekunden an Zeit. Im Gegenzug wird die Sicherheit beim Login deutlich erhöht.
Eine weitere Hürde ist das höhere Ausfallrisiko. Sollte z.B. das Mobilfunknetz ausfallen oder der Nutzer seinen USB-Key verlegt haben, kann er sich nicht unmittelbar am System anmelden. Erfreulicherweise lässt sich dieses Risiko absichern, indem beispielsweise für solche Notfälle ein dritter Faktor nutzbar ist.
Fazit
Aus Sicht der DSGVO ist eine Absicherung mittels Zwei-Faktor-Authentisierung nicht zwingend verpflichtend, letztlich kommt es auf den Einzelfall an. Im Feld der Informationssicherheit ist die Situation eine andere, dort kann eine Pflicht zur Zugangsabsicherung per 2FA bestehen. Doch unabhängig davon, ob eine Verpflichtung besteht oder nicht: In Anbetracht der erhöhten Sicherheit ist die Zwei Faktor-Authentisierung meist eine vernünftige Entscheidung.