Durch die wachsende Digitalisierung im privaten und beruflichen Umfeld steigt auch die Gefahr von Cyberattacken und Phishing-Angriffen stetig. Auch Hochschulen werden immer häufiger ein Ziel solcher Angriffe. Daher ist die IT-Sicherheit ein zentrales Thema an der RWTH Aachen University.
Am 1. Februar 2024 wird an der RWTH die Multifaktor-Authentifizierung (MFA) für den Service VPN eingeführt. So wird der Schutz der von euch genutzten IT-Services wesentlich erhöht. Im folgenden Blogbeitrag klären euch darüber auf, was ihr nun tun müsst.
Was ist die Multifaktor-Authentifizierung?
MFA ist ein Sicherheitsverfahren, bei dem ihr zusätzlich zu euren üblichen Anmeldedaten einen Sicherheitscode benötigt. Dieser wird durch ein separates Gerät oder eine App generiert, wie es beispielsweise beim Online-Banking der Fall ist. Detailliertere Erläuterungen zu MFA-Mechanismen findet ihr in unserem Blogbeitrag „Sicherheitsmechanismen kurz erklärt: MFA“.
Was ändert sich für euch?
Am 1. Februar 2024 startet die Einführungsphase der MFA für VPN. Ab diesem Zeitpunkt wird das VPN-System mit einem zweiten Faktor geschützt, da es zu den wichtigsten und sicherheitsrelevantesten Systemen an der RWTH gehört. In dieser Einführungsphase habt ihr die Möglichkeit, den Umgang mit dem zweiten Faktor beim VPN-Login zu üben.
Nach Eingabe eurer bekannten Anmeldedaten in den VPN-Client werdet ihr nach diesem zweiten Faktor gefragt. Während der Einführungsphase könnt ihr euch auch ohne einen selbsterstellten Token anmelden, indem ihr das tagesaktuelle Datum als zweiten Faktor eingebt. Folgt dazu einfach den Anweisungen in der Anmeldemaske bei eurer Anmeldung in den VPN-Client.
Ab dem 19. März 2024 ist die Nutzung des zweiten Faktors beim VPN-Login dann verpflichtend. Heißt also: Ab diesem Zeitpunkt könnt ihr euch nicht mehr ohne einen selbstgesetzten zweiten Faktor ins VPN einwählen.
Wie nutzt ihr MFA?
Im Selfservice könnt ihr über den Tokenmanager eure Token selbstständig erstellen und verwalten. Aktuell könnt ihr darüber Hardwaretoken, App-Token (z.B. über Authenticator-Apps), TAN-Listen und E-Mail-Token einrichten. Bitte beachtet, dass die beiden erstgenannten Token die sichersten Varianten sind. Anleitungen zur Einrichtung der Token findet ihr auf den Hilfeseiten von IT Center Help.
MFA für VPN
Für VPN könnt ihr aktuell Hardwaretoken, App-Token und die TAN-Liste nutzen. Im ersten Schritt müsst ihr eine TAN-Liste erstellen. Eine Auswahl weiterer Token ist an diesem Punkt noch nicht möglich. Bitte beachtet, dass die TAN-Liste nur für Backup-Token genutzt werden soll. So seid ihr auch für den Fall abgesichert, falls eure favorisierte Token-Art ausfallen sollte (z.B. leerer Akku eures Smartphones oder Verlust eures Hardwareschlüssels).
In einem zweiten Schritt erstellt ihr dann euren gewünschten Token. Dabei stehen euch der Hardwaretoken oder der App-Token zur Verfügung. Die Nutzung des E-Mail-Tokens wird beim Service VPN nicht unterstützt. (*)
Eure Mithilfe ist gefragt
Während der Einführungsphase benötigt das IT Center eure Hilfe. Mit einer Umfrage wird euer Feedback hinsichtlich Verständnis, Dokumentation und Bedienung eingeholt, welches uns helfen wird, die Nutzung der MFA-Dienste zu vereinfachen. Wir danken euch für eure Unterstützung!
Ausblick
Zukünftig werden auch weitere IT-Services der RWTH mit MFA geschützt. Aktuell ist ein Prozess zur Ausgabe dienstlicher Hardwareschlüssel durch das IT Center in Vorbereitung. Über beide Themenbereiche werdet ihr zu gegebener Zeit informiert. Falls ihr bereits einen YubiKey als Hardwareschlüssel besitzt, findet ihr auf IT Center Help eine passende Anleitung für die Einrichtung des YubiKeys.
Solltet ihr Fragen haben oder auf Probleme stoßen, könnt ihr euch telefonisch unter +49 241 80 24680, per E-Mail an servicedesk@itc.rwth-aachen.de oder via Chat an das IT-ServiceDesk wenden.
Verantwortlich für die Inhalte dieses Beitrags sind Nicole Wießner und Corinna Hausberg.
Sehr geehrte Frau Wießner, sehr geehrte Frau Hausberg,
ich habe die Rundmail zur Einführung der MFA für VPN erhalten. Ist es richtig, dass wir erst ab Donnerstag das Einrichten eines Token üben können, augenblicklich ist über den Selfservice nur die Möglichkeit „TAN Liste…“ zum Anklicken gegeben. Für die sichere Variante Hardwaretoken f. VPN und RWTH Single Sign-On ist ein Hardwareschlüssel erforderlich. Die Ausgabe solcher ist scheinbar noch in Vorbereitung. Selbst beim Anklicken der einzigen Funktion zum sogenannten „Üben“ erscheint nur eine Fehlermeldung. Beim Anruf im IT-Center wurde ich von einer unwissenden Person in eine Warteschleife gesetzt. In einer Teamsitzung heute möchte ich zumindest auf diese neue „Sicherheit“ hinweisen, kann aber dazu nichts weiter erklären. Ich besitze zudem kein Smartphone, werde mich dazu auch nicht zwingen lassen. Ich bitte um Rückruf von kompetenten Menschen, die sich dieses neue Sicherheitsverfahren ausgedacht haben. T.: 93645 (vormittags) 96400 (nachmittags) MO-Do. Vielen Dank.
Hallo Eva-Maria,
vielen Dank für deinen Kommentar.
Im Blogbeitrag haben wir den Abschnitt „MFA für VPN“ entsprechend deiner Frage zur TAN-Liste angepasst.
Wir bedauern, dass dir beim Telefonat nicht direkt weitergeholfen werden konnte. Im Supportticket konnten wir allerdings einsehen, dass bereits ein reger E-Mail-Austausch zu deinen Rückfragen mit unserem Support-Team stattgefunden hat. Wir hoffen, deine offenen Fragen wurden dort abschließend beantwortet. Falls das nicht der Fall sein sollte, hast du natürlich auch weiterhin die Möglichkeit, den IT-ServiceDesk zu kontaktieren.
Viele Grüße
das IT Center Blog Team