Eine Person tippt mit der rechten Hand auf der Tastatur eines Notebooks und hält in der linken Hand ein Smartphone. Im Vordergrund zeigt eine Einblendung eine stilisierte Passwort-Eingabe mit einem Schlosssymbol.
Security

Zwei-Faktor-Authentifizierung (2FA): Das steckt dahinter

Seit den Anfängen des Internets sind Onlinekonten meist durch eine simple Abfrage des Nutzernamens und eines Passworts vor unberechtigten Zugriffen geschützt. Doch längst haben Cyberkriminelle Mittel und Wege gefunden, um an diese Zugangsinformationen zu gelangen und sensible Daten zu stehlen. Die sogenannte Zwei-Faktor-Authentifizierung (2FA) verhindert dies durch eine zusätzliche Verifizierung der tatsächlichen Account-Inhaber:innen.

Cyberangriffe haben in den vergangenen Jahren immer mehr zugenommen: Rund 90 Prozent aller Unternehmen waren schon einmal davon betroffen. Die Erbeutung von Zugangsdaten stellt dabei nach wie vor eine der beliebtesten Methoden dar, zum Beispiel durch den Einsatz von Phishing-E-Mails. Wenn Sie allerdings auf eine Zwei-Faktor-Authentifizierung zum Schutz Ihrer Online-Konten setzen, können die Kriminellen wenig Schaden anrichten – selbst wenn diese an Ihre Zugangsdaten gelangt sind.

Was 2FA ist, wie sie funktioniert und warum Ihr Unternehmen sie unbedingt einsetzen sollte, erfahren Sie in diesem Beitrag.

Inhaltsverzeichnis

Was ist Zwei-Faktor-Authentifizierung?

Viele Berufstätige greifen täglich auf alle Arten von Online-Accounts zu – vor allem, wenn sie in der Cloud arbeiten. Für jedes System und jeden Cloud-Service benötigen sie einen Zugang, zum Beispiel für E-Mails oder Programmsuiten wie Microsoft 365 Business. Je nach Tätigkeit und Verantwortung rufen sie dabei regelmäßig besonders wertvolle oder sensible Daten ab. Dazu gehören etwa kritische Geschäftsprozesse, Bankdaten und persönliche Angaben von Kund:innen.
Aus diesem Grund ist es kein Wunder, dass die digitalen Konten ein lukratives Ziel für Kriminelle darstellen: Angriffe auf Accounts von Unternehmen, Regierungen und Privatpersonen haben in den vergangenen Jahren stark zugenommen. Vor dem Hintergrund aktueller geopolitischer Krisen ist die Zahl sogar noch einmal in die Höhe geschnellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spricht in diesem Zusammenhang sogar von einer „Zuspitzung der IT-Sicherheitslage“ für Deutschland.
Die Zwei-Faktor-Authentifizierung sichert die klassische „Zugangskontrolle“ mittels Benutzername und Passwort zusätzlich ab: Haben Benutzer:innen ihre Daten korrekt eingegeben, erfolgt eine weitere Überprüfung, ob es sich tatsächlich um die berechtigte Person handelt. Diese kann durch die Eingabe eines zusätzlichen Codes/PINs auf einem registrierten Mobilgerät erfolgen, durch die Zahlenkombination in einer 2FA-App oder bei höheren Sicherheitsvorkehrungen mittels eines Fingerabdrucks.

Warum reicht ein Passwort nicht aus?

In Zeiten komplizierter Passwörter mit vielen Sonderzeichen stellt sich die Frage, warum deren Eingabe bei einer verschlüsselten Webseite nicht ausreicht. Tatsächlich ist ein guter Passwortschlüssel nicht so einfach von Hacker:innen zu knacken – er ist einer einfachen Zahlenfolge wie beispielsweise „123456789“ immer vorzuziehen. Aus diesem Grund bedienen sich Kriminelle heute anderer Methoden, um an Ihre Zugangsdaten zu gelangen. Einige davon sind:
  • Spear-Phishing: Gezielte Spam-Mails fordern Sie unter Angabe Ihres Namens oder anderer persönlicher Bezugspunkte auf, auf einen Link zu klicken, um Ihre Zugangsdaten zu erneuern, etwa für Ihren Mobilfunkanbieter. Dies ist jedoch eine Falle und Sie geben damit Ihre aktuellen Zugangsdaten preis.
  • Man-in-the-Middle-Angriff: Kriminelle setzen sich zwischen Absender:innen und Empfänger:innen, etwa beim Zugang zu einem Banking-Account. Dadurch können Sie die Kommunikation mitlesen und Ihre auf diese Weise gestohlenen Zugangsdaten missbräuchlich verwenden.
  • Social Engineering: Eine vermeintlich vertrauenswürdige E-Mail mit einer Ihnen bekannten Person als Absender:in fordert Sie auf, schnell eine Bankweisung zu tätigen oder auf einer Webseite einen Account zu verifizieren. Anstatt auf einer echten landen Sie allerdings auf einer gefälschten Seite und geben dort Ihre Daten ein.
  • Malware: Auf Firmenrechner eingeschleuste Malware (etwa durch einen Trojaner) liest Ihre Zugangsdaten aus und leitet sie an Kriminelle weiter.
Junger Mann im Home Office schaut auf seinen Notebook-Bildschirm

Identitätsprüfung leicht gemacht

Nicht sicher, ob eine Person die ist, für die sie sich ausgibt? Mit den Vodafone Identity Verification Services haben Cyber-Kriminelle beim Identitätsbetrug keine Chance.

  • Unrechtmäßige Zugriffe entdecken
  • Identitätsdiebstähle aufdecken
  • Konten und Daten wirksam schützen

Cyberangriffe betreffen nicht nur große Unternehmen

Vor einigen Jahren galten vor allem Großunternehmen als besonders gefährdet für Cyberangriffe – vermeintlich war hier für Kriminelle am meisten „Beute zu machen“. Doch längst sind auch KMU und Freelancer:innen in den Fokus gerückt: Obwohl die Schadenssummen hier meist geringer ausfallen, erscheint die Erfolgswahrscheinlichkeit für einen Angriff höher. Denn viele kleinere Unternehmen investieren weniger in ihre Cyber Security, also den Schutz ihrer Netzwerke und Daten.
In den letzten Jahren ist die Zahl der Webseiten massiv gestiegen, die persönliche Daten ihrer Nutzer:innen „verlieren“. Da Cyberkriminelle technisch weiter aufrüsten, stellen immer mehr Unternehmen fest, dass ihre in vielen Fällen veralteten Sicherheitssysteme den modernen Bedrohungen und Angriffen nicht gewachsen sind.
Von technischen Versäumnissen abgesehen, gefährdet häufig menschliches Versagen die IT-Systeme von Unternehmen. Die „Schwachstelle Mensch“ ist ein entscheidendes Einfallstor für Schadprogramme und den darauffolgenden Datenverlust.
Ein Beispiel: Eine bei Kriminellen beliebte Methode war es lange Zeit, Schadsoftware auf einen USB-Stick zu kopieren und beispielsweise hinter einer Bild- oder Tondatei zu verstecken. Die Täter:innen sorgten dafür, dass Angestellte einer Firma den Stick fanden, etwa im Foyer oder auf dem Parkplatz des Unternehmens. Schloss ihn daraufhin jemand aus Neugier an den Arbeitsrechner an, installierte sich eine Schadsoftware auf dem Computer. Danach verbreitete sich die Malware im schlimmsten Fall im gesamten Netzwerk.
In Zeiten von Cloud Computing ohne den Austausch physischer Datenträger sind das Spear Phishing und das Social Engineering an die Stelle der oben geschilderten Methode getreten. Anstatt das Schadprogramm auf einem USB-Stick zu aktivieren, leiten die Angreifer:innen die Opfer durch gezielte Ansprachen auf infizierte Webseiten. Auf diese Weise können Kriminelle durchgehend eine Vielzahl von Angriffen aus der Anonymität heraus starten, anstatt wie früher einzelne USB-Sticks zu platzieren.

Es entsteht nicht nur finanzieller Schaden

Die Folgen eines erfolgreichen Cyberangriffs sind oft weitreichend spürbar: Stehlen Kriminelle beispielsweise vertrauliche Daten, kann dies nicht nur einen unmittelbaren finanziellen Schaden für Ihr Unternehmen nach sich ziehen. Stattdessen drohen Ihnen auch mittel- und langfristige Einbußen, die Sie bei der Entdeckung eines Datendiebstahls noch nicht absehen können.
Zum Beispiel kann das Vertrauen der Kund:innen in Ihr Unternehmen Schaden nehmen; vor allem, wenn die Öffentlichkeit auf den Datendiebstahl aufmerksam wird. Daraus resultierende finanzielle und rufschädigende Verluste können übrigens alle Arten von Organisationen betreffen: globale Unternehmen, kleine Firmen, Start-ups und sogar gemeinnützige Organisationen.
Auch für Verbraucher:innen können die Nachwirkungen eines gezielten Hacks oder Identitätsdiebstahls unangenehme Folgen haben. So verwenden Kriminelle gestohlene Zugangsdaten, um damit etwa Kreditkarten zu fälschen und Bankkonten zu plündern. Begeben sie sich mit der gefälschten Kreditkarte zusätzlich noch auf „Einkaufstour“, schädigen sie die Kreditwürdigkeit der tatsächlichen Karteninhaber:innen.
Durch die Zwei-Faktor-Authentifizierung können Sie Ihre Accounts wirkungsvoll schützen – egal, ob es sich dabei um den Zugang zu Firmensoftware, E-Mail-Accounts oder Bankkonten handelt. Wie die 2FA konkret funktioniert, erklären wir Ihnen im folgenden Abschnitt.
Stadtansicht mit Symbolen für Verkehrsmittel

Mobile Cyber Security für Ihr Business

Mit unseren Ready Business-Sicherheitslösungen schützen Sie Ihr Unternehmen vor Viren, Industrie-Spionage, Cyber-Angriffen und unautorisiertem Zugriff auf Ihre Netze.

  • Sichere Kommunikation
  • Für Homeoffice und Büro
  • Globales, sicheres Log-in-Verfahren

2FA: So funktioniert sie

Die Zwei-Faktor-Authentifizierung ist eine zusätzliche Sicherheitsebene. Mit ihr können Sie sicherstellen, dass nur diejenigen Personen Zugang zu einem Onlinekonto erhalten, die tatsächlich dazu berechtigt sind.
Zur Identifikation geben Sie Ihren Zugangsnamen und das dazugehörige Passwort ein. Danach müssen sie eine weitere Information angeben, anstatt sofort Zugang zu erhalten. Dieser zweite Faktor kann aus einer der folgenden Kategorien stammen:
  • Etwas, das nur Sie wissen: (Wissensfaktor): Dies kann eine persönliche Identifikationsnummer (PIN), ein Passwort, die Antwort auf eine geheime Frage oder ein bestimmtes Tastendruckmuster sein.
  • Etwas, das nur Sie haben (Besitzfaktor): Normalerweise besitzen Nutzer:innen etwas zur Identitätsbestätigung, zum Beispiel eine Kreditkarte oder ein Smartphone.
  • Etwas, das Sie sind (Authentifizierungsfaktor): Diese Kategorie ist technisch fortgeschrittener. Hier identifizieren sich die Nutzer:innen mithilfe ihres Fingerabdrucks, ihres Iris- oder Gesichts-Scans oder mit ihrem Stimmabdruck.
Bei der 2FA können Kriminelle Ihre Online-Konten nicht mithilfe nur eines dieser Faktoren entsperren. Selbst, wenn sie an das Passwort oder das Smartphone gelangen, ist es sehr unwahrscheinlich, dass eine dritte Person in den Besitz sämtlicher Zwei-Faktor-Informationen kommt.

Gängige 2FA-Arten: Diese sollten Sie kennen

Wenn eine von Ihnen genutzte oder gehostete Webseite nur ein Passwort und keine 2FA anbietet, liefert sie damit unnötig viel Angriffsfläche für Cyberangriffe. Ihre Daten sind hier nicht gut aufgehoben. Ganz anders sieht es bei Webseiten oder Portalen aus, die eine 2FA anbieten.
Dabei können unterschiedliche Arten der Zwei-Faktor-Authentifizierung zum Einsatz kommen: Einige sind stärker und komplexer als andere, aber alle bieten Ihnen einen besseren Schutz als Passwörter allein. Im Folgenden erklären wir Ihnen die heutzutage gängigsten Formen der 2FA.

Hardware-Tokens für 2FA

Hardware-Tokens sind wahrscheinlich die älteste Form der 2FA. Sie sind klein wie ein Schlüsselanhänger und erzeugen alle 30 Sekunden einen neuen Code. Wenn eine Person versucht, auf ein Konto zuzugreifen, wirft sie einen Blick auf das Gerät und gibt den angezeigten 2FA-Code auf der Webseite oder in der App ein. Andere Versionen von Hardware-Token übertragen den 2FA-Code automatisch, beispielsweise über den USB-Anschluss eines Computers.
Hardware-Tokens haben sich jedoch in der Vergangenheit immer wieder als nachteilig erwiesen. Für Unternehmen ist die Verteilung dieser Geräte kostspielig. Darüber hinaus gehen die Token-Geräte leicht verloren oder werden gestohlen.

SMS-Textnachrichten und sprachbasierte 2FA

Die SMS-basierte 2FA interagiert direkt mit Ihrem Telefon. Nachdem die Webseite einen Benutzernamen und ein Passwort erhalten hat, sendet sie Ihnen einen einmaligen Code per Textnachricht. Wie beim Hardware-Token-Verfahren müssen Sie diesen Code in die Anwendung eingeben, um Zugang zu erhalten. Ähnlich verhält es sich mit der sprachbasierten 2FA, bei der Sie automatisch angerufen werden und den 2FA-Code per mündlicher Übermittlung erhalten.
Für Online-Aktivitäten mit geringem Risiko ist die Authentifizierung per Text oder Stimme in den meisten Fällen ausreichend. Für Webseiten, die persönliche Daten speichern, ist diese Art der 2FA möglicherweise nicht sicher genug – theoretisch können Kriminelle die Textnachrichten abfangen und gegebenenfalls für ihre Zwecke modifizieren.
Unter Expert:innen gelten SMS als die am wenigsten sichere Methode zur Authentifizierung von Nutzer:innen. Unternehmen sollten deshalb wenn möglich über die SMS-basierte 2FA hinausgehen.
Offenes Vorhängeschloss vor Zahlenmuster

Vodafone Cyber-Security-Services

Immer mehr DDoS-Attacken, professionelle Hacker-Angriffe, hohe Compliance-Anforderungen: Nie war es wichtiger, Ihre Infrastruktur vor Risiken zu schützen. Dank der Vodafone Cyber-Security-Services können Sie Ihre IT-Infrastruktur umfassend absichern: von DDoS-Mitigation über Managed Firewall bis zum Schutz der physikalischen Komponenten.

Mehr Sicherheit für Ihr Unternehmen: Wir beraten Sie gern zu den passenden Cyber-Security-Lösungen.

Software-Token für 2FA

Die aktuell beliebteste Form der Zwei-Faktor-Authentifizierung verwendet einen softwaregenerierten, zeitbasierten und einmaligen Passcode – auch „Software-Token“ genannt. Diese Methode ist gleichzeitig eine gute Alternative zu SMS und Sprache.
Zunächst müssen die Sie dafür eine kostenlose 2FA-App auf Ihr Smartphone oder Ihren Desktop herunterladen und installieren – eine Auswahl dieser Apps finden Sie weiter unten. Anschließend können Sie die App auf jeder Webseite einsetzen, die diese Art der Authentifizierung unterstützt. Bei der Anmeldung geben Sie zunächst Namen und ein Kennwort ein. Im Anschluss generiert die App den Code, den sie Ihnen für einen festgelegten Zeitraum anzeigt.
Diese Soft-Tokens sind in der Regel weniger als eine Minute lang gültig. Da der Code auf demselben Gerät generiert und angezeigt wird, besteht dabei nicht die Gefahr, dass ihn Kriminelle abfangen. Soft-Token gelten damit als deutlich sicherer als SMS- und Sprachübermittlungsmethoden.

Push-Benachrichtigung für 2FA

Webseiten und Apps können eine Push-Benachrichtigung auf ein mobiles Endgerät senden, anstatt sich auf den Empfang und die Eingabe eines 2FA-Tokens zu verlassen. Diese Nachricht zeigt an, dass ein Authentifizierungsversuch stattfindet. Auf Ihrem Gerät sehen Sie dann alle Details über den Vorgang und können den Zugriff mit einer einzigen Berührung genehmigen oder verweigern. Bei diesem Verfahren handelt es sich um eine passwortlose Authentifizierung, die keine Code-Eingabe verlangt.
Durch die direkte und sichere Verbindung zwischen dem Marketender, dem 2FA-Dienst und dem Gerät verhindert die Push-Benachrichtigung alle kriminellen Zugriffe wie zum Beispiel Phishing und Man-in-the-Middle-Angriffe.
Sie funktioniert jedoch nur mit einem Gerät, das mit dem Internet verbunden und in der Lage ist, Apps zu installieren. In Gegenden mit schlechter Mobilfunkanbindung kann die SMS-basierte 2FA eine mögliche Ausweichlösung sein. Doch es gilt: Push-Benachrichtigungen bieten eine benutzerfreundlichere und sicherere Form der Authentifizierung.

Apps zur Zwei-Faktor-Authentifizierung

Weit verbreitet sind hierbei die Authenticator-Apps von Microsoft und Google. Google hat seine App schon vor über zehn Jahren erstmals vorgestellt, doch mittlerweile haben kleine und unabhängige Anbieter Alternativen herausgebracht. Diese Apps nutzen zur Authentifizierung ein sogenanntes „Time-based on-time password“ (TOTP). Sie bieten hinsichtlich der Benutzungsfreundlichkeit, Sicherheit und Funktionalität häufig Vorteile gegenüber dem Google Authenticator.
Die wichtigsten Apps für die 2FA sind:
  • Google Authenticator: Bereits seit 2010 bietet Google seine Authenticator-App an, die entsprechend weit verbreitet ist. Sie verwendet allerdings nur einen 80 Bit langen Geheimcode und speichert die mit Servern ausgetauschten Geheimdaten im Klartext auf dem Mobilgerät. Deren Sicherheit hängt damit vor allem von der Absicherung des Geräts ab. Auch der Zugang zur App kann lediglich auf dem iPhone geschützt werden, mit Android-Geräten ist dies nicht möglich.
  • Microsoft Authenticator: Im Unterschied zur Google-App können Sie hier die angezeigten Codes ausblenden und auch in der Cloud speichern. Zudem können Sie die App auf allen Betriebssystemen per PIN, Fingerabdruck oder FaceID schützen. Allerdings weist Microsofts Authenticator mitunter Inkompatibilitäten zwischen unterschiedlichen Betriebssystemen auf. Ein besonderer Vorteil: Mittels des Authenticators können Sie sich bei Ihren Microsoft-Konten ohne Kennwort und nur mit der App anmelden, etwa bei Microsoft 365 Business.
  • Cisco Duo Mobile: Die 2FA-App von Cisco basiert auf Duo Mobile, einer der ältesten Anwendungen in diesem Bereich. Die übersichtlich gestaltete App blendet zwar die Codes aus, bietet aber keinerlei Zugriffschutz. Auch hier hängt die Sicherheit ausschließlich von der Absicherung des verwendeten Mobilgeräts ab. Dafür bietet Cisco eine Cloud-Synchronisation zwischen verschiedenen Geräten und unterstützt auch die Apple Watch.
  • Twilio Authy: Die optisch etwas gewöhnungsbedürftige App Twilio Authy bietet eine Cloudsynchronisation für sämtliche gängigen Betriebssysteme und verfügt zudem über einen Zugriffsschutz. Allerdings müssen Sie bei der Nutzung der App Ihre Mobilnummer verknüpfen und können Token aufgrund dessen nicht einfach auf andere Handys exportieren.
  • Free OTP: Diese Open-Source-App beschränkt sich auf die wesentlichen Funktionen und bietet keine Cloud-Synchronisation. Dafür punktet sie mit guter Übersichtlichkeit und ist überdies sehr ressourcensparend: Die App benötigt nur rund 3 Megabyte Speicherplatz – im Vergleich dazu sind die Alternativen von Google mit ca. 20 Megabyte und Microsoft mit 150-200 Megabyte regelrechte „Speicherfresser“.
  • andOTP: Diese App setzt auf größtmögliche Sicherheit und bietet einen Zugriffsschutz und verschlüsselte Exportfunktionen. Wenn Codes inaktiv sind, kann die App sie ausblenden oder löschen. Sogar ein „Panic-Button“ ist integriert, mit dem Sie sämtliche Tokens auf einmal löschen können. Insgesamt bietet die App den größten Funktionsumfang aller 2FA-Apps. Der Nachteil von andOTP: Es gibt die App nur für Android.
  • Step Two: Mit der sehr reduzierten Benutzungsoberfläche konzentriert sich Step Two auf die wichtigsten Funktionen und bietet eine gute Synchronisation zwischen den Apple-Betriebssystemen iOS und macOS. Dafür gibt es keinen Zugriffsschutz und die App blendet Codes nicht aus.
Übrigens: Ab Version 15 integriert Apples iOS einen 2FA-Authenticator direkt im Betriebssystem. Sie finden ihn auf dem iPhone unter „Einstellungen | Passwörter“. Dort tippen Sie bei „Account-Optionen“ auf „Bestätigungscode konfigurieren“. Auch im Safari-Browser von macOS finden Sie die 2FA-Funktion unter „ Einstellungen | Passwörter“.

Implementierung der 2FA

Mittlerweile bieten die meisten seriösen Anbieter von Online-Accounts und Cloud-Software die Zwei-Faktor-Authentifizierung als zusätzliche Sicherheitsoption an. Haben Sie sich bereits vorab dafür entschieden, eine App als Software-Token für die 2FA zu verwenden, installieren Sie diese am besten bereits vor der Aktivierung auf Ihrem Mobilgerät oder Computer.
Die Aktivierung unterscheidet sich bei den unterschiedlichen Anbietern mitunter ein wenig voneinander – meist gehen Sie dabei aber wie folgt vor:
  • Öffnen Sie den Account, für den Sie die 2FA aktivieren möchten.
  • Wählen Sie im Navigationsbereich die Einstellungen zu „Konto“ oder „Sicherheit“ aus.
  • Wählen Sie dort die Option, die auf die Zwei-Faktor-Authentifizierung verweist. In manchen Fällen kann sie auch „Bestätigung in zwei Schritten“ oder ähnlich lauten, wie etwa bei den Google-Konten.
  • Folgen Sie den Anweisungen des Tools.
Wichtig: Richtet Ihr Unternehmen die 2FA für Sie und alle anderen Mitarbeiter:innen ein, brauchen Sie die Aktivierung nicht selbst vornehmen. Meist erfolgt dies durch die IT-Administration, die Ihnen weitere Anweisungen dazu gibt, ob und auf welche Weise Sie die Zwei-Faktor-Authentifizierung einsetzen sollen. Häufig ist es dabei von Ihrer Seite aus nur nötig, eine Authenticator-App zu installieren oder einen anderen Token einzurichten.

Vorteile und Herausforderungen

Die Vorteile der 2FA liegen ganz klar auf der Hand: Mittels einer zweiten Ebene zur Verifizierung Ihrer Accountdaten reduzieren Sie die Wahrscheinlichkeit für einen unberechtigten Zugriff signifikant. Zudem verschafft ein möglicher Diebstahl der Zugangsdaten Kriminellen keinen Vorteil – der Account bleibt für sie in der Regel unangreifbar. Selbst vergleichsweise unsichere 2FA-Methoden oder -Apps bieten also eine zusätzliche Sicherheitsebene, die Ihre Cybersecurity deutlich verbessert.
Vorteile:
  • sorgt für eine zusätzliche Sicherheitsschranke zum Schutz Ihrer Daten
  • stellt sicher, dass nur die tatsächlich berechtigte Person Zugang erhält
  • macht den Diebstahl von Zugangsdaten oder Kennwörtern weitgehend unwirksam
  • verhindert den Missbrauch von Accountdaten durch Kriminelle
Herausforderungen:
  • Bei Verlust oder Diebstahl eines Mobilgeräts droht der gleichzeitige Verlust von Accountdaten und dazugehöriger Authentifizierung.
  • Fahrlässiger Umgang mit unverschlüsselten Authenticator-Apps ermöglicht es Kriminellen, die Codes mitzulesen.
  • Mittels Phishing können Kriminelle versuchen, sowohl die Zugangsdaten als auch den zweiten Faktor zu erbeuten.
  • Trojaner oder Man-in-the-Middle-Angriffe können die Authentifizierung auf dem Computer oder Mobilgerät auslesen und für eigene Zwecke missbrauchen.
Junger Mann studiert das Vodafone Cyber Security Whitepaper am Laptop

Whitepaper: Cyber Security

Cyberangriffe und kein Ende: Die potenziellen Schäden sind gewaltig und auch der Mittelstand ist zunehmend betroffen. Unser Cyber-Security-Whitepaper verrät, wie wirksamer Schutz vor Kriminellen gelingt:

  • Zahlen, Daten und Fakten zur Bedrohung durch Cyberattacken
  • Einblicke in Angriffsmethoden wie Malware, Ransomware & Co.
  • Maßnahmenplan, um Ihr Unternehmen effektiv zu schützen

Gibt es eine Pflicht zur Zwei-Faktor-Authentifizierung?

Wenngleich viele Unternehmen mittlerweile eine 2FA für die Sicherung ihrer IT-Zugänge verwenden: Es gibt keine gesetzliche oder generelle Verpflichtung, eine Zwei-Faktor-Authentifizierung einzurichten. Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) nennt keine konkreten Vorschriften, wie Unternehmen, Behörden und Einzelpersonen den verpflichtenden Datenschutz technisch umsetzen müssen.
Allerdings spricht die Verordnung in Artikel 32 von einer „Berücksichtigung des Stands der Technik“. Manche Rechtsexpert:innen sehen hier durchaus eine Verpflichtung zur 2FA, da ihrer Auffassung nach die Zwei-Faktor-Authentifizierung dem neuesten Stand der Technik entspricht. Dementsprechend leite sich aus dem Verordnungstext eine Anwendungsverpflichtung ab.
Auch wenn die Auslegung umstritten ist –mit der 2FA sind Sie bei all Ihren Unternehmens-Accounts grundsätzlich auf der sicheren Seite.

Das Wichtigste zur Zwei-Faktor-Authentifizierung in Kürze

  • Vermehrt stellen Unternehmen fest, dass ihre veralteten Sicherheitssysteme den modernen Bedrohungen und Angriffen durch Cyberkriminelle nicht gewachsen sind. Dazu zählt auch der Schutz von Accounts lediglich durch einen Nutzernamen und ein Passwort.
  • Die Zwei-Faktor-Authentifizierung (2FA) ist eine zusätzliche Sicherheitsebene, durch die nur tatsächlich berechtigte Personen Zugang zu einem Onlinekonto erhalten.
  • Software-Token und Push-Benachrichtigungen gelten als die aktuell sichersten 2FA-Arten.
  • Als Software-Token kommen meist sogenannte Authenticator-Apps zum Einsatz. Verbreitet sind hierbei entsprechende Apps von Microsoft und Google – es gibt aber auch Programme von unabhängigen Anbietern, die häufig sogar mehr Funktionen bieten.
  • Laut der Meinung von Rechtsexpert:innen kann die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) unter Umständen als Pflicht zum Einsatz der 2FA interpretiert werden.
  • Als Unternehmen können und sollten Sie Ihre Benutzungskonten durch eine Zwei-Faktor-Authentifizierung zusätzlich schützen – auf diese Weise sinkt die Wahrscheinlichkeit erheblich, dass Kriminelle mit erbeuteten Zugangsdaten Schaden anrichten können.
Das könnte Sie auch interessieren:
Security
Zwei Personen schütteln sich die Hand. Im Hintergrund ist die Skyline einer Stadt zu sehen. Im Vordergrund Icons.

Auftragsverarbeitungsvertrag (AVV) – Für mehr Datenschutz

Jedes Unternehmen sammelt Daten – egal ob von Kund:innen-, Lieferanten oder Personal. Ihre Handhabung kann tückisch sein. Das Fundament für einen DSGVO-konformen Umgang mit Daten ist der sogenannte Auftragsverarbeitungsvertrag (AVV). Das Unternehmen, das seine Website bei einem Webhosting-Provider speichert; die Marketing-Agenturen, die im Auftrag ihrer Kund:innen personenbezogene Daten verarbeiten; Personaldienstleister, die im Auftrag ihrer Kund:innen Personal suchen und einstellen – sie alle benötigen einen Auftragsverarbeitungsvertrag (AVV), um diese Daten DSGVO-konform verarbeiten zu können. Das gilt sowohl für das Unternehmen, das in Ihrem Auftrag Daten verarbeitet, als auch für Ihre eigene Firma, wenn Sie Zugriff auf externe Daten von Kund:innen haben. Hier erfahren Sie das Wichtigste zu diesem komplexen Thema in der Übersicht.

Telefon

Digitalisierungs-Beratung

Sie haben Fragen zur Digitalisierung? Jetzt kostenlos beraten lassen. Montag-Freitag von 8-20 Uhr, außer an Feiertagen.

0800 505 4539

Hilfe und Service

Montag bis Freitag von 8 bis 20 Uhr, außer an Feiertagen.

0800 172 1234
Online
Vor Ort