JOWECON GmbH

Fragen und Antworten zur Zwei-Faktor-Authentifizierung

/in , /von
Erstellt von Team JOWECON

Die Zwei-Faktor-Authentifizierung (2FA), wie auch die Multi-Faktor-Authentifizierung (MFA), nehmen in der Absicherung von Konten einen immer höheren Stellenwert ein. Aber auch hier ergeben sich Fragen, auf die der BSI Antworten gegeben hat. Wie Sie bei einer erfolgreiche Implementierung einer 2FA, bzw. MFA, vorgehen sollten, haben wir Ihnen in unserem Blogbeitrag Zwei-Faktor-Authentifizierung erfolgreich einführen – JOWECON beschrieben.

Die Zwei-Faktor-Authentifizierung (2FA) ist eine technisch organisatorische Maßnahme (TOM), die den Anforderungen des Datenschutzes und der Informationssicherheit entspricht. Die Sicherheit allein durch SMS oder Telefon kann als fragliche Methode angesehen werden und Authenticator-Apps sind schon seit einiger Zeit alltagstauglich.

Mit diesem kurzen Blogbeiztrag möchten wir auf die sehr übersichtliche Darstellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) verweisen. Auf der Seite BSI – Zwei-Faktor-Authentisierung – mehr Sicherheit für Geräte und Daten (bund.de) erfahren Sie zunächst wie eine 2FA funktioniert.

Die Anwendung birgt natürlich auch Risiken und wirft Fragen auf, die das BSI beantwortet hat. Die Kernfragen und Antworten haben wir mit den entsprechenden weiterführenden Links zu den Seiten des BSI hier aufgelistet.

Fragen und Antworten zur 2FA

? Eine meiner Banken fordert mich auf, meinen Fingerabdruck ein zweites Mal einzuscannen, die zweite öffnet bei Bedarf eine zweite App. Habe ich dann noch eine 2FA?

Antwort BSI: Eine Anmeldung in der App mit gleichzeitiger 2FA-Bestätigung in derselben App oder auf dem selben Smartphone schwächt nach unserer Einschätzung das Sicherheitsniveau.

Welche Angriffsmöglichkeiten gibt es bei einer 2FA und welche Schutzmaßnahmen gibt es gegen die jeweiligen Angriffe?

Antwort BSI: Angriffe sind tatsächlich auf vielen Wegen möglich, z.B. durch Schadsoftware auf dem Gerät, das Abfangen von SMS, oder durch zwischenmenschliche Beeinflussung. Das BSI hat gängige Verfahren geprüft, die Ergebnisse sind unter folgendem Link zu finden: https://lnkd.in/eF-d73mZ

Ist sichergestellt, dass Smart-Home-Devices eine 2FA haben und nicht von Unbefugten genutzt werden können?

Antwort BSI: Das BSI reguliert derzeit keine vernetzten Endanwendergeräte, jedoch empfiehlt das BSI mit der ETSI EN 303 645 die Nutzung von MFA in Internet of Things. Weitere Infos finden sich unter folgendem Link: https://lnkd.in/eJCmw2jW

Wie stelle ich denn sicher, dass ich bei Verlust des 2FA (z.B. Handy defekt) ich mich aus meinen Accounts nicht ausschließe?

Antwort BSI: Wenn die App oder das Gerät keine Backups für die 2FA-Schlüssel ermöglichen, könnten weitere Faktoren, wie z.B. ein FIDO-Sicherheitsschlüssel für die Wiederherstellung hinterlegt werden.

Das könnte Dich auch interessieren
Um ein Audit nach 27001 erfolgreich zu bestehen, sollte man wissen was auf die Organisation zukommt. Wir erläutern Ihnen in diesem Blogbeitrag worauf es ankommt.JOWECON GmbHErfahrungsbericht zu einem Erst-Zertifizierungsaudit nach ISO / IEC 27001
Datenschutzkonformer Umgang mit KI8-Punkte-Roadmap zum datenschutzkonformen Umgang mit KI
Checkliste: Flexible Sicherheitsstrategie gegen CyberangriffeJOWECONCheckliste: Flexible Sicherheitsstrategie gegen Cyberangriffe
Leitfaden zur ISO 27000 ZertifizierungJOWECON GmbHISO 27000: Worauf kommt es an?
Wer ein ISMS 27001 einführen will, der sollte sich auch mit der digitalen Arbeitsweise im Team auseinandersetzenJOWECON GmbHISMS 27001 implementieren mit Jira und Confluence