Was ist eigentlich... Zwei-Faktor-Authentifizierung?

Eine der größten Sorgen vieler Unternehmen ist, dass firmeninterne Daten entwendet werden. Im Hinblick auf vermehrte Meldungen von Datendiebstahl in den letzten Monaten dies auch nicht ganz zu Unrecht. Die Folgen eines solchen Zwischenfalls sind zumeist neben finanziellen Schaden, insbesondere Vertrauens- und Imageverlust bei Kunden. Cyberkriminelle gelangen an sensible Daten meist durch legitime Zugangsdaten, indem Sie die Datenbank mit den Zugangsdaten direkt angreifen, oder zugangsberechtigte Personen durch gezielte Phising-Attacken dazu bringen, diese preiszugeben.

Die Sicherheitsfirma Rapid 7 hat vor zwei Jahren 268 Firmen einem Penetrationstest unterzogen und die gegenwärtigen Sicherheitsvorkehrungen aktiv angegriffen. Dabei stellte sich heraus, dass gerade mal 15% der Firmen Zwei-Faktor-Authentifizierung für den Schutz von vertraulichen Daten benutzten. Selbst eine automatische Account-Sperre, welche bei mehreren fehlerhaften Zugangsversuchen innerhalb kürzester Zeit, wie es beispielsweise bei einer Brute-Force Attacke der Fall wäre, aktiviert wird, gab es nur in 20% der Unternehmen.

Um sich trotz eines erfolgreichen Brute-Force Angriffes schützen zu können, gibt es die sogenannte Zwei-Faktor-Authentifizierung. Diese besteht, wie schon der Name vermuten lässt, aus zwei Faktoren: Etwas das man weiß, beispielsweise ein Passwort, und etwas was man hat, klassisch in Form eines Tokes. Wenn umfassend und korrekt eingesetzt, kann Zwei-Faktor-Authentifizierung eine sehr effektive Sicherheitsmaßnahme darstellen. So wird diese Technologie auch bei Google genutzt, wo es laut eigener Aussage seit der Einführung eines Token-basierenden Systems keinen Fall von Accountdiebstahl mehr gegeben haben soll.

Token generieren anhand eines einzigartigen, kryptografischen Schlüssels in regelmäßigen Abständen Zahlencodes. Da diese nur sehr kurze Zeit gültig sind, muss man das Gerät schon bei sich haben, um sich in seinen Account einloggen zu können. Tokens gibt es in verschiedenen Ausführungen. Die einfachste und primitivste Form eines Tokens ist das Senden eines Einmalcodes per SMS auf ein Mobiltelefon, wie es beispielsweise von Banken in Form einer TAN zur Verifizierung einer Online-Transaktion verwendet wird. Da SMS jedoch im Klartext über das Funknetz übermittelt werden, ist diese Methode wohl nur für die wenigsten Unternehmen (und die meisten Banken) eine attraktive Lösung. Token sind ebenfalls als Standalone Apps für Smartphones verfügbar, welche eine deutlich höhere Sicherheit bieten. Da der Einmalcode in diesem Falle direkt auf dem Gerät erzeugt wird, ist auch ein Zugriff auf das Funknetz nicht notwendig. Des Weiteren funktioniert die Code-Generierung auch offline. Sehr angenehm, wenn man mal wieder im Serverraum im Keller steht und im dicken Betonbau kein Netz hat.

Zusätzlich gibt es jedoch auch hardwarebasierte Lösungen, zum Beispiel in Form eines kleinen, dedizierten Geräts mit einem LCD Display, welches auf Knopfdruck einen Code generiert und  anzeigt. So eine Lösung ist von Fortinet in Form des FortiToken erhältlich. Auch bietet Fortinet Tokens an, welche in einem USB-Port angeschlossen werden und einen Account so per Knopfdruck authentifizieren können.