Zwei-Faktor-Authentifizierung im Homeoffice

Laut des Bundesarbeitsministeriums sollen Arbeitgeber ab dem 01.Oktober 2022 grundsätzlich wieder verpflichtet werden, Homeoffice zum Schutz vor Corona-Infektionen anzubieten. 

Bereits der erste Beschluss bzgl. der „Homeoffice-Pflicht“ für Arbeitgeber während der Bund-Länder Konferenz am 19. Januar 2021 führte dazu, dass Unternehmen plötzlich mit ungeahnten logistischen und technologischen Problemen konfrontiert waren, die es zu lösen galt. Doch die wenigsten waren darauf vorbereitet, plötzlich für alle ihre Mitarbeiter einen sicheren Fernzugriff von zu Hause aus zu gewährleisten. 

Schnell und unkompliziert schienen VPN-Lösungen (Virtual Private Network) zu sein, weil sie den Vorteil haben, dass nur zugelassene Benutzer Zugang zu den übertragenen Daten erhalten. 

Viele gängige VPN-Lösungen sind jedoch für die Anwendung im Homeoffice nicht geeignet, da der Zugriff standardmäßig oft nur per Benutzername und Passwort abgesichert ist. Doch insbesondere wenn es um geschäftskritische und personenbezogene Daten und Anwendungen geht, sollte die Zugangssicherheit oberste Priorität haben. Hier ist eine 2-Faktor-Authentifizierung unumgänglich.

Tipp: Wenn Sie das VPN mit einer Zwei-Faktor-Authentifizierung (abgekürzt 2FA) kombinieren, ist es optimal vor Angreifern geschützt. 

Was bedeutet 2-Faktor-Authentifizierung?

Bei der 2-Faktor-Authentifizierung wird der Zugang zu einem Account oder einem System nicht nur über die Eingabe eines Benutzernamens oder einer E-Mail Adresse und dem dazugehörigen Passwort abgesichert, sondern zusätzlich durch einen zweiten Faktor. Dieser wird über einen separaten Kanal zur Verfügung gestellt. 

Welche Vorteile bietet die 2-Faktor-Authentifizierung im Home Office?

Oft sind private im Gegensatz zu beruflichen Netzwerken nicht so gut abgesichert. Dadurch besteht die Gefahr, dass Passwörter oder Login-Daten von Dritten leicht abgefangen, firmeninterne Informationen mitgelesen oder unbemerkt manipuliert werden (Man-in-the-Middle-Attacken). Auch wenn Arbeitsgeräte verloren gehen oder gestohlen werden, können Login-Daten ausgelesen werden. Insbesondere dann, wenn Betriebssysteme wie z.B. Windows genutzt werden, die Daten zwischenspeichern. 

Eine Zwei-Faktor-Authentifizierung erschwert die effektive Verwendung der abgefangenen oder gestohlenen Daten. Dem Angreifer bleiben meist nur 15-20 Sekunden Zeit, bis der zweite Faktor seine Gültigkeit verliert. Ein starkes Sicherheitsplus.

Tipp: Erweiterte Lizenzen haben viele Vorteile. Wenn Sie cloudbasiert arbeiten, haben Sie z.B. als Microsoft-Nutzer mit einer erweiterten Lizenz die Möglichkeit, ein Konto im Falle eines Diebstahls einfach abzumelden. Dadurch sind die Daten erst einmal gesichert.  

Bei einigen Anbietern erleichtern erweiterte Lizenzen u.a. auch das Management von Geräten. Dadurch lassen sich z.B. Festplattenverschlüsselungen einfach mitverwalten. 

Allgemein gilt, dass erweiterte Lizenzen umso wichtiger sind, je mehr Mitarbeiter in einem Unternehmen arbeiten. 

Gibt es auch Nachteile im Zusammenhang mit der 2-Faktor-Authentifizierung im Homeoffice?

Zwar bietet die 2-Faktor-Authentifizierung ein hohes Maß an Sicherheit. Doch das regelmäßige Abfragen des Verifizierungscodes empfinden viele Nutzer als wenig komfortabel. Außerdem müssen Nutzer immer ihr Handy oder ein anderes Gerät mitführen, mit dem der Code generiert wird. 

Manche Anbieter haben jedoch auch hierfür Lösungen parat. Als Microsoft-Kunde haben Sie z.B. die Möglichkeit, Ihr Arbeitsgerät derart zu autorisieren, dass Sie nicht ständig nach dem Verifizierungscode gefragt werden.

Problematisch ist es in manchen Fällen, wenn ein Handy und damit der zweite Faktor verloren geht. Vor allem dann, wenn der Zugriff auf die Daten dringend ist. Hier hilft in der Regel nur ein Wiederherstellungscode, der im Idealfall virtuell (z.B. im Passwortmanager) hinterlegt ist, so dass Sie jederzeit und von jedem Ort darauf zugreifen können. 

Welche Alternativen gibt es bzgl. der Verifizierung?

4.1 Verifizierung per SMS: Sie bekommen eine SMS mit einem Code an eine angegebene Nummer. Nach der Eingabe des Benutzernamens und des Passworts verifizieren Sie sich zusätzlich mit diesem Code, um Zugang zu dem entsprechenden System zu erhalten. 

4.2 Verifizierung per E-Mail: Bei dieser Variante erhalten Sie den Verifizierungscode per E-Mail. 

4.3 Verifizierung mittels Token: Die Authentifizierung mittels Token funktioniert im Grunde wie ein Fahrschein, der gestempelt wurde. Nach der Anmeldung per Anmeldedaten erhalten Sie einen Token und damit Zugriff auf eine Website, eine Anwendung oder eine Ressource. Der Zugriff ist gekoppelt an die Gültigkeit des generierten Tokens. Ist der Token abgelaufen, haben Sie auch keinen Zugriff mehr auf die jeweilige Website, Anwendung oder Ressource.

Der Vorteil der Verifizierung mittels Token ist, dass Sie nicht jedes Mal die Anmeldedaten neu eingeben müssen, wenn Sie auf dieselbe Website oder Anwendung zugreifen, die durch das generierte Token geschützt wird. Allerdings ist es von Vorteil, wenn Sie über einige Programmierkenntnisse verfügen.

Token gibt es in verschiedenen Ausführungen. Verbundene Token (Hardware-Token) erinnern an USB-Sticks und müssen in ein Gerät eingesteckt werden. Kontaktlose Token-Varianten (z.B. der magische Ring von Microsoft) setzen eine bestimmte Nähe zum Server voraus, um eine Kommunikation zu ermöglichen . Getrennte Token kommunizieren über große Entfernungen mit dem Server, ähnlich wie z.B. beim zweistufigen Authentifizierungsprozess via Smartphone. 

Hinweis: Nicht alle Rechner und Programme unterstützen Hardware-Token, weil manche Anbieter eigene Authentifikatoren zur Verifizierung anbieten, wie z.B. Microsoft (Microsoft Authenticator, siehe Punkt 5). Bei Microsoft gibt es allerdings die Möglichkeit, sich über den Arbeitsrechner z.B. via Gesichtserkennung oder Fingerabdruck zu authentifizieren. Sollte dieser für die Authentifizierung wichtige Arbeitsrechner abhanden kommen, kann Ihnen gegebenenfalls der in Ihrem Unternehmen zuständige Administrator weiterhelfen.

4.4 Verifizierung per Authentifizierungs-App: Hierbei kommen verschiedene Apps zum Einsatz, die entweder direkt einen Verfizierungs-Code zur Verfügung stellen oder eine Bestätigung über eine Push-Benachrichtigung versenden, die die Verifizierung abschließt.

Grundsätzlich sind SMS Dienste bzw. die Verifizierung per E-Mail nicht zu empfehlen, weil sie von Außenstehenden leicht zu knacken sind. Sicherer ist die 2-Faktor-Authentifizierung über eine App, weil der generierte Verifizierungs-Code nur für eine bestimmte Zeit gültig ist. Dadurch sind die Online-Konten besser vor Hackerangriffen geschützt.

Welche Apps eignen sich für eine 2-Faktor-Authentifizierung
        im Homeoffice?

Prinzipiell verfügen die meisten Authenticator-Apps über dieselben Funktionen. Nachfolgend haben wir für Sie die Vorteile von 4 nützlichen Apps zusammengetragen, die sowohl für iOS als auch für Android geeignet sind:

  • Google Authenticator 
  • Microsoft Authenticator 
  • Bitwarden
  • Authy

Der Google Authenticator ist vor allem wegen seiner einfachen Benutzung sehr beliebt. Ist der QR-Code einmal gescannt, werden sofort die notwendigen Codes generiert, ohne dass weitere Einstellungen vorgenommen werden müssen.  

Auch der Microsoft Authenticator ist einfach zu handhaben. Wenn Sie bereits  Microsoft-Nutzer sind, können Sie sich sowohl über vereinfachte Anmeldeoptionen als auch die Möglichkeit freuen,Tokens einzeln zu konfigurieren und auf Wunsch auszublenden.

Sollten Sie auf intuitive Menüs und Funktionen, hohe Sicherheitsstandards und eine Vielfalt bei der Browser-Kompatibilität Wert legen, könnte Bitwarden genau das Richtige für Sie sein. Bitwarden gibt es entweder in der kostenlosen Open Source Variante oder in den kostenpflichtigen Versionen Teams bzw. Enterprise, die mehr Komfort bieten. 

Authy ist eine App, die im Gegensatz zu anderen Anbietern alle Token in der Cloud speichert. Dies ermöglicht einen geräteunabhängigen Zugriff auf die Codes. Außerdem kann die App mit Passwort bzw. Fingerabdruck gesichert werden und zeigt immer den zuletzt benutzten Code auf dem Bildschirm an. Allerdings muss vor der Nutzung von Authy eine Handynummer hinterlegt werden. 

Fazit:

Das Thema Homeoffice ist und bleibt wohl auch in den kommenden Jahren präsent. Umso wichtiger ist es, sich mit dem Thema intensiv auseinanderzusetzen, damit Sie in Ihrem Unternehmen die richtigen und notwendigen Maßnahmen ergreifen und die bestmöglichen Sicherheitsstandards schaffen. Zusätzlich sollten Sie neben Schulungen für Ihre Mitarbeiter (bei Unternehmen mit über 50 Mitarbeitern in enger Zusammenarbeit mit dem jeweiligen Datenschutzbeauftragten) auch dafür sorgen, das Risiko für Cyberangriffe und Datenlecks zu begrenzen. In diesem Zusammenhang bietet Ihnen eine Zwei-Faktor-Authentifizierung viele Vorteile. 

Für Fragen rund um die Themen Homeoffice und Zwei-Faktor-Authentifizierung steht Ihnen unser Expertenteam gern zur Verfügung. Darüber hinaus bieten wir themenspezifische Mitarbeiterschulungen an. Nehmen Sie hierfür einfach Kontakt mit unserer Kundenberatung auf, entweder unter info@datadiorama.com oder per Telefon unter 0331 – 76 991 680.