Der Datenschutz verlangt, dass Unternehmen ihre Systeme, auf denen personenbezogene Daten verarbeitet werden, absichern. In der Praxis geschieht dies durch Zugriffskontrollen, damit die Daten nur von befugten Mitarbeitern verarbeitet werden können.
In einigen Unternehmen stellt sich den Datenschutz- oder IT-Sicherheitsverantwortlichen die Frage, ob eine Verpflichtung zur Implementierung von Zugriffskontrollen auf Basis der 2-Faktor-Authentifizierung (2FA) besteht. In diesem Beitrag gehen wir darauf ein, was dieser Sicherheitsmechanismus bedeutet und ob er Teil der datenschutzrechtlichen Anforderungen (z.B. nach DSGVO) ist.
Notwendigkeit von Schutzmaßnahmen
Cyberkriminelle haben es mehr denn je auf Unternehmensdaten abgesehen. Die meisten Angreifer verfolgen dabei eines der folgenden Ziele
- Datendiebstahl
Diebstahl von Daten, um sie an Wettbewerber zu verkaufen. Oft wird auch mit der Veröffentlichung gedroht, um Geld zu erpressen. Je sensibler die Daten und je größer der mögliche Skandal, desto eher sind die Opfer bereit, hohe Summen zu zahlen. - Systeme lahmlegen
Angreifer suchen nach wichtigen Dateien, um diese zu verschlüsseln und so die IT-Systeme ihrer Opfer lahmzulegen. Anschließend wird die Entschlüsselung gegen Zahlung eines Lösegelds in Aussicht gestellt.
Solche Cyber-Angriffe kommen häufiger vor, als man denkt. In vielen Fällen gelingt es den Angreifern, Benutzernamen und Passwörter auszuspähen. Damit verschaffen sie sich Zugang zu den Systemen ihrer Opfer. Die meisten Angriffe lassen sich in folgende drei Kategorien einteilen
- Hackerangriff
Systeme werden gezielt angegriffen, z.B. durch Einschleusen von Malware. - Social Engineering
Angreifer täuschen ihre Opfer per E-Mail oder Telefonanruf, um ihnen unbemerkt Zugangsdaten zu entlocken oder gefährliche Anweisungen zu geben. - Ausnutzen von Benutzerfehlverhalten
Viele Benutzerinnen und Benutzer machen es Cyberkriminellen leicht, indem sie beispielsweise Browserdaten an öffentlichen Computern nicht löschen oder für verschiedene Dienste die selben Passwörter verwenden.
Zwei-Faktor-Authentisierung erklärt
Beim einfachen Login mit Benutzername und Passwort dient lediglich ein Faktor der Sicherheit, nämlich das Passwort. Während der Benutzername öffentlich bekannt sein kann, ist das Passwort geheim.
Ein Passwort ist nicht der einzige Faktor, der sicheres Einloggen ermöglicht. Die folgende Übersicht listet die gängigsten Sicherheitsfaktoren zum Nachweis der eigenen Identität auf
- Biometrische Daten (z.B. Fingerabdruck oder Iris-Scan)
- Manuelle Freigabe per Authenticator-App (auf einem anderen Gerät, z.B. Smartphone)
- Passwort
- Security-Token (z.B. Chipkarte, Smartphone oder USB-Key)
- Sicherheitscode / Einmalpasswort (z.B. via SMS oder Telefonanruf übermittelt)
Bei der 2-Faktor-Authentisierung reicht es nicht aus, beim Anmeldevorgang den Benutzernamen und z.B. ein Passwort anzugeben. 2FA ist ein zweistufiges Authentifizierungsverfahren, bei dem ein zusätzlicher Faktor zum Nachweis der Identität erforderlich ist. Erst wenn beide Faktoren korrekt sind, wird die Zugriffsberechtigung erteilt.
Im Bereich der Consumer-Anwendungen mit 2FA ist das Login mit Passwort und zusätzlichem Sicherheitscode / Einmalpasswort (Time-based One-Time Password, kurz TOTP), das per SMS versendet wird, weit verbreitet. Im Business-Umfeld erfreut sich die Kombination aus Passwort und USB-Token großer Beliebtheit.
Welcher 2. Faktor letztendlich zur Anwendung kommt, ist u.a. eine Frage des angestrebten Sicherheitsniveaus. So wird z.B. die SMS zunehmend kritisch gesehen, da sie abgefang werden kann.
Das Hinzufügen eines zweiten Faktors zum Anmeldeprozess macht einen großen Unterschied in Bezug auf die Sicherheit. Ein Passwort ist vergleichsweise leicht zu erlangen. Der zweite Faktor ist davon losgelöst und kann daher vom Angreifer nur schwer abgefangen oder gefälscht werden. Solche Angriffe erfordern einen viel größeren Aufwand.
Interessant zu wissen: Statt Zwei-Faktor-Authentisierung wird oft der Begriff Zwei-Faktor-Authentifizierung verwendet, was technisch gesehen nicht ganz korrekt ist. Erfahren Sie mehr über die Unterschiede zwischen Authentisierung und Authentifizierung. Die 2FA ist übrigens ein spezieller Anwendungsfall der Multi-Faktor-Authentisierung.
Besteht im Datenschutz die Pflicht zum Einsatz von 2FA?
Diese Frage kann nicht pauschal beantwortet werden. Die DSGVO macht keine konkreten technischen Vorgaben, sondern gibt einen rechtlichen Rahmen vor. Dieser besagt, dass der Schutz der Daten gewährleistet sein muss. Die Umsetzung in der Praxis kann z.B. durch technisch organisatorische Maßnahmen (TOM) erfolgen.
Die Sicherung von Systemen durch ein Login ist eine solche Maßnahme. Ebenso kann eine klassische Authentisierung mit Benutzername und Passwort ausreichend sein. Es ist jedoch zu bedenken, dass ein Identitätsnachweis mittels 2FA mehr Sicherheit verspricht. Je nach Einzelfall (Art der Daten, bestehende Risiken) kann es daher empfehlenswert sein, sich für eine 2-Faktor-Authentisierung zu entscheiden.
2FA in der Informationssicherheit
Gerade im Mittelstand gibt es immer mehr Unternehmen, die eine Zertifizierung ihrer Informationssicherheit (Infosec) anstreben oder bereits erreicht haben und diese aufrechterhalten wollen. Je nach Zielsetzung bzw. gewähltem Standard (z.B. ISO 27001 oder BSI IT-Grundschutz) kann es aus Sicht der Informationssicherheit wünschenswert oder sogar notwendig sein, Zugänge über 2FA abzusichern.
Hürden für zweistufige Authentisierungsverfahren in der Praxis
Eine der größten Hürden bei der Umstellung auf 2FA liegt erfahrungsgemäß bei den Mitarbeitern. Viele sehen in dieser Form der Authentisierung einen Komfortverlust und lehnen sie daher ab.
Objektiv betrachtet hält sich der Mehraufwand bei der Anmeldung mit 2FA jedoch in Grenzen. Bei den meisten Verfahren handelt es sich nur um einen zusätzlichen Zeitaufwand von wenigen Sekunden. Im Gegenzug wird die Sicherheit bei der Anmeldung deutlich erhöht.
Eine weitere Hürde ist das erhöhte Ausfallrisiko. Fällt z.B. das Mobilfunknetz aus oder hat der Benutzer seinen USB-Stick verlegt, kann er sich nicht sofort am System anmelden. Glücklicherweise lässt sich dieses Risiko absichern, indem z.B. ein dritter Faktor für solche Notfälle eingesetzt werden kann.
Fazit
Aus Sicht der DSGVO ist eine Absicherung mittels 2-Faktor-Authentisierung nicht zwingend erforderlich, es kommt vielmehr auf den Einzelfall an. Ähnlich verhält es sich im Bereich der Informationssicherheit, wo je nach Situation eine Verpflichtung zur Zugangskontrolle mittels 2FA oder ähnlicher Maßnahmen bestehen kann. Aber unabhängig davon, ob eine Verpflichtung besteht oder nicht, ist die Zwei-Faktor-Authentisierung in Anbetracht der erhöhten Sicherheit in den meisten Fällen eine vernünftige Entscheidung.
Bei Fragestellungen rund um die Informationssicherheit helfen wir gerne weiter. Wir bieten Unternehmen eine bundesweite Beratung an, wie z.B. in Ingolstadt, München und Rostock. Nutzen Sie unsere kostenlose Erstberatung, um mehr zu erfahren.