{"id":18189,"date":"2024-01-03T13:00:45","date_gmt":"2024-01-03T12:00:45","guid":{"rendered":"https:\/\/blog.rwth-aachen.de\/itc\/?p=18189"},"modified":"2024-01-05T08:58:12","modified_gmt":"2024-01-05T07:58:12","slug":"sicherheitsmechanismen-kurz-erklaert-mfa","status":"publish","type":"post","link":"https:\/\/blog.rwth-aachen.de\/itc\/2024\/01\/03\/sicherheitsmechanismen-kurz-erklaert-mfa\/","title":{"rendered":"Sicherheitsmechanismen kurz erkl\u00e4rt: MFA"},"content":{"rendered":"<div class=\"twoclick_social_bookmarks_post_18189 social_share_privacy clearfix 1.6.4 locale-de_DE sprite-de_DE\"><\/div><div class=\"twoclick-js\"><script type=\"text\/javascript\">\/* <![CDATA[ *\/\njQuery(document).ready(function($){if($('.twoclick_social_bookmarks_post_18189')){$('.twoclick_social_bookmarks_post_18189').socialSharePrivacy({\"txt_help\":\"Wenn Sie diese Felder durch einen Klick aktivieren, werden Informationen an Facebook, Twitter, Flattr, Xing, t3n, LinkedIn, Pinterest oder Google eventuell ins Ausland \\u00fcbertragen und unter Umst\\u00e4nden auch dort gespeichert. N\\u00e4heres erfahren Sie durch einen Klick auf das <em>i<\\\/em>.\",\"settings_perma\":\"Dauerhaft aktivieren und Daten\\u00fcber-tragung zustimmen:\",\"info_link\":\"http:\\\/\\\/www.heise.de\\\/ct\\\/artikel\\\/2-Klicks-fuer-mehr-Datenschutz-1333879.html\",\"uri\":\"https:\\\/\\\/blog.rwth-aachen.de\\\/itc\\\/2024\\\/01\\\/03\\\/sicherheitsmechanismen-kurz-erklaert-mfa\\\/\",\"post_id\":18189,\"post_title_referrer_track\":\"Sicherheitsmechanismen+kurz+erkl%C3%A4rt%3A+MFA\",\"display_infobox\":\"on\"});}});\n\/* ]]> *\/<\/script><\/div><p><div id=\"attachment_18195\" style=\"width: 310px\" class=\"wp-caption alignright\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-18195\" class=\"wp-image-18195 size-medium\" src=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/12\/Blog-Layout-1-1-300x200.png\" alt=\"Laptop umgeben von Sicherheitssymbolen\" width=\"300\" height=\"200\" srcset=\"https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/12\/Blog-Layout-1-1-300x200.png 300w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/12\/Blog-Layout-1-1-1024x683.png 1024w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/12\/Blog-Layout-1-1-768x512.png 768w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/12\/Blog-Layout-1-1-1536x1024.png 1536w, https:\/\/blog.rwth-aachen.de\/itc\/files\/2023\/12\/Blog-Layout-1-1-2048x1365.png 2048w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/><p id=\"caption-attachment-18195\" class=\"wp-caption-text\">Quelle: <a href=\"https:\/\/de.freepik.com\/vektoren-kostenlos\/cyber-sicherheitskonzept_8290045.htm\">Freepik<\/a><\/p><\/div><\/p>\n<p>Die Multifaktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, die den Zugang zu digitalen Ressourcen wie Ger\u00e4ten, Netzwerken oder Onlinediensten durch die Kombination mehrerer Authentifizierungsfaktoren erm\u00f6glicht. Im Wesentlichen erfordert die MFA mindestens zwei unabh\u00e4ngige Best\u00e4tigungen der Identit\u00e4t einer anwendenden Person, um auf die Ressource zuzugreifen.<\/p>\n<p><!--more--><\/p>\n<p>MFA erh\u00f6ht die Sicherheit erheblich: Selbst wenn ein Authentifizierungsfaktor kompromittiert wird, ist der Zugriff immer noch durch den zweiten Faktor gesch\u00fctzt. Eine genauere und ausf\u00fchrlichere Erkl\u00e4rung findest du in unserem fr\u00fcheren <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2021\/05\/05\/die-multi-faktor-authentifizierung\/\">Blogbeitrag<\/a> und im <a href=\"https:\/\/www.youtube.com\/watch?v=xCCni1Sxe80\">Video des BSI<\/a>.<\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">Welche Arten der MFA gibt es?<\/span><\/h3>\n<p>Es gibt mehrere Arten von Multifaktor-Authentifizierungsmethoden. Sie basieren auf unterschiedlichen Faktoren zur Identifizierung von Nutzenden. Diese Faktoren k\u00f6nnen zum Beispiel ein Kennwort (Wissen), ein Smartphone (Besitz) oder ein Fingerabdruck (biometrische Eigenschaft) sein. Jede Methode hat ihre eigenen Vor- und Nachteile in Bezug auf Nutzungsfreundlichkeit, Sicherheit und Anf\u00e4lligkeit gegen\u00fcber Angriffen. Zu den h\u00e4ufig genutzten Arten geh\u00f6ren die folgenden:<\/p>\n<p><strong><span style=\"color: #00549f;\">Hardwaretoken<br \/>\n<\/span><\/strong>Hierbei handelt es sich um physische Ger\u00e4te (Sicherheitsschl\u00fcssel), die ggf. durch PIN oder biometrische Eigenschaften (wie den Fingerabdruck) gesch\u00fctzt sind und einmalig g\u00fcltige Codes generieren. Die Codes werden nach verschiedenen Verfahren berechnet unter anderem HOTP\u2013 HMAC-based One-Time Password und WebAuthn\/FIDO2 (Web Authentication).<br \/>\nBeim <strong>HOTP-Verfahren <\/strong>wird ein Geheimnis (in Form eines Kennworts) vom Dienst ausgestellt und in den Sicherheitsschl\u00fcssel eingebunden. Anhand dieses Geheimnisses werden die Codes in einer festen Reihenfolge generiert. Beim <strong>WebAuthn-Verfahren<\/strong> hingegen handelt es sich um ein Challenge-Response-Verfahren. Der Server richtet eine Anfrage an den Token, der auf diese antwortet. Diese Tokens k\u00f6nnen USB-Schl\u00fcssel wie beispielsweise Yubikey, Smartcards oder spezialisierte Authentifizierungsger\u00e4te sein.<\/p>\n<ul>\n<li><strong>Pro<\/strong>: Starke Authentifizierung, da eigenst\u00e4ndiges nicht st\u00e4ndig verbundenes Ger\u00e4t. Angriffe auf das Ger\u00e4t werden daher erschwert (beispielsweise Datenklau des Geheimnisses).<\/li>\n<li><strong>Kontra<\/strong>: Anschaffungskosten, Schulungen f\u00fcr Nutzende, Kompatibilit\u00e4t je nach System und Anbieter.<\/li>\n<li><strong>Sicherheitsstufe<\/strong>: Sehr gut aufgrund der Kombination von Besitz und Wissen.<\/li>\n<\/ul>\n<p><span style=\"color: #00549f;\"><strong>Authentifizierungs-Apps<br \/>\n<\/strong><\/span>Diese Apps erzeugen zeitbasierte oder einmalige Sicherheitscodes nach dem TOTP-Verfahren (Time-based One-time Password) oder wie oben beschrieben, nach dem HOTP-Verfahren auf einem Ger\u00e4t der Nutzenden. Beispiele sind Google Authenticator, Microsoft Authenticator, Authy oder 2FAS Auth.<\/p>\n<ul>\n<li><strong>Pro:<\/strong> Generiert Sicherheitscodes auf einem anderen Endger\u00e4t.<\/li>\n<li><strong>Kontra:<\/strong> Installation einer zus\u00e4tzlichen App n\u00f6tig. Potenzielles Risiko von Malware-Angriffen auf das Endger\u00e4t. Ggfs. Einsatz von privaten Endger\u00e4ten (zum Beispiel Smartphone) im dienstlichen Kontext notwendig.<\/li>\n<li><strong>Sicherheitsstufe:<\/strong> Gut, da das separate Endger\u00e4t sowie die App im besten Fall kennwortgesch\u00fctzt sind.<\/li>\n<\/ul>\n<p><strong><span style=\"color: #00549f;\">TAN-Liste<br \/>\n<\/span><\/strong>Eine TAN-Liste (Transaktionsnummern-Liste) ist eine Liste mit einmaligen Sicherheitscodes, die zur Authentifizierung verwendet wird. Jede Nummer auf dieser Liste kann nur einmal genutzt werden und dient dazu, eine bestimmte Transaktion zu best\u00e4tigen. Wenn Nutzende eine Transaktion durchf\u00fchren m\u00f6chten, fordert das System eine Transaktionsnummer (TAN) von der Liste an. Die Nutzenden geben diese Nummer dann ein, um die Transaktion zu autorisieren. Hierbei ist zu beachten, dass es auch TAN-Listen gibt, bei denen die Reihenfolge der Nummernwahl vorgegeben ist. Nachdem eine Nummer verwendet wurde, gilt sie als ung\u00fcltig und muss abgehakt werden, um zu verhindern, dass sie erneut genutzt wird.<\/p>\n<ul>\n<li><strong>Pro<\/strong>: Einfach und nutzungsfreundlich, ben\u00f6tigt keine speziellen zus\u00e4tzlichen Ger\u00e4te oder Codes.<\/li>\n<li><strong>Kontra:<\/strong> Gefahr des Verlusts sowohl digital als auch physisch (ungesicherte Codes kann jede*r nutzen).<\/li>\n<li><strong>Sicherheitsstufe<\/strong>: Mittel, aber potenziell anf\u00e4llig f\u00fcr Phishing-Angriffe.<\/li>\n<\/ul>\n<p><strong><span style=\"color: #00549f;\">SMS-Codes* oder E-Mail-Codes<br \/>\n<\/span><\/strong>Hierbei sendet das System einen einmaligen Sicherheitscode an das Mobiltelefon oder an die E-Mail-Adresse der anwendenden Person. Diese muss den generierten Code am Service eingeben, um den Zugriff zu best\u00e4tigen.<\/p>\n<ul>\n<li><strong>Pro:<\/strong> Einfach zu verwenden, keine zus\u00e4tzliche App oder Hardware erforderlich.<\/li>\n<li><strong>Kontra:<\/strong> Anf\u00e4llig f\u00fcr SIM-Swapping-Angriffe bei SMS-Codes. E-Mail-Codes k\u00f6nnten durch gehackte E-Mail-Konten kompromittiert werden. Sie sind anf\u00e4llig f\u00fcr Hacking-Angriffe in Form von Phishing und Fernangriffen. Dies stellt auch das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI) in einer Bewertungstabelle \u201e<a href=\"https:\/\/www.bsi.bund.de\/SharedDocs\/Downloads\/DE\/BSI\/Publikationen\/Studien\/2FA\/it-sicherheit.pdf\">IT-Sicherheit<\/a>\u201c heraus.<\/li>\n<li><strong>Sicherheitsstufe:<\/strong> Schlecht, da das Sicherheitsrisiko aufgrund der oben genannten Angriffsm\u00f6glichkeiten hoch ist.<\/li>\n<\/ul>\n<p><strong><span style=\"color: #00549f;\">pushTAN<br \/>\n<\/span><\/strong>Die pushTAN<sup>*<\/sup> (\u00fcberwiegend f\u00fcr Transaktionen und Authentifizierungszwecke im Zusammenhang mit Bankgesch\u00e4ften eingesetzt) funktioniert \u00fcber eine App, die auf dem Smartphone installiert ist und in Verbindung mit dem Bankkonto des Nutzenden steht. Hier erhalten die Nutzenden nach der Ausl\u00f6sung einer Transaktion am Computer eine Push-Benachrichtigung auf das gekoppelte Smartphone. In dieser Benachrichtigung wird eine TAN angezeigt, die spezifisch f\u00fcr diese Transaktion generiert wurde.<\/p>\n<ul>\n<li><strong>Pro<\/strong>: TANs werden nicht auf dem Ger\u00e4t gespeichert\/generiert, sondern \u00fcber eine gesicherte Verbindung an das ausgew\u00e4hlte verifizierte Ger\u00e4t gesendet.<\/li>\n<li><strong>Kontra:<\/strong> Installation einer zus\u00e4tzlichen App n\u00f6tig. Vertrauen in die Integrit\u00e4t des Ger\u00e4ts und des Netzwerks f\u00fcr Push-Benachrichtigungen. Verifizierungsprozess notwendig.<\/li>\n<li><strong>Sicherheitsstufe<\/strong>: Gut, vergleichbar mit oder besser als Authentifizierungs-Apps.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3><span style=\"color: #00549f;\">MFA bietet Schutz und Sicherheit<\/span><\/h3>\n<p>Die Multifaktor-Authentifizierung erh\u00f6ht die Sicherheit von Systemen signifikant, indem sie einen zus\u00e4tzlichen Schutz vor unberechtigten Zugriffen bietet. Selbst wenn ein Authentifizierungsfaktor kompromittiert wird, m\u00fcssen Angreifende mindestens eine weitere Sicherheitsbarriere \u00fcberwinden, bevor sie Zugang zum Ziel erhalten. Jede H\u00fcrde, die dabei errichtet wird, fungiert als weiterer Schutzfaktor f\u00fcr die Sicherheit sensibler Daten.<\/p>\n<p><strong>Wichtig<\/strong>: Jeder zweite Faktor ist nur so sicher, wie er behandelt wird. Jeder weitere Faktor erh\u00f6ht die Sicherheit vor Fernangriffen. Insgesamt steigt die Sicherheit nur dann, wenn auch der erste Faktor (Login-Daten) weiterhin sorgf\u00e4ltig mit einem sicheren Kennwort verwendet wird. Grunds\u00e4tzlich empfiehlt das IT Center aufgrund der oben genannten Sicherheitsaspekte die Nutzung von Hardwaretoken und Smartphone-Apps.<\/p>\n<p>&nbsp;<\/p>\n<p>Quellen:<\/p>\n<p>[1] <a href=\"https:\/\/www.onelogin.com\/de-de\/learn\/what-is-mfa\">One Login<\/a><\/p>\n<p>[2] <a href=\"https:\/\/www.security-insider.de\/was-ist-multi-faktor-authentifizierung-mfa-a-631486\/\">Security Insider<\/a><\/p>\n<p>[3] <a href=\"https:\/\/blog.rwth-aachen.de\/itc\/2023\/05\/31\/multifaktor-authentifizierung-im-idm-selfservice\/\">IT Center Blog<\/a><\/p>\n<p>&nbsp;<\/p>\n<p>*Dieses Verfahren wird durch das IT Center nicht angeboten.<\/p>\n<hr \/>\n<p>Verantwortlich f\u00fcr die Inhalte dieses Beitrags sind <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/it-center\/profil\/team\/~epvp\/mitarbeiter-campus-\/?gguid=PER-FV6GWWB&amp;allou=1\">Janin Iglauer<\/a>, <a href=\"https:\/\/www.itc.rwth-aachen.de\/go\/id\/epvp\/gguid\/PER-FSX9U9J\/allou\/1\/\">Malak Mostafa<\/a>, <a href=\"https:\/\/www.itc.rwth-aachen.de\/cms\/it-center\/it-center\/profil\/team\/~epvp\/mitarbeiter-campus-\/?gguid=PER-WA9GPG2&amp;allou=1\">Jelena Nikolic<\/a>.<\/p>","protected":false},"excerpt":{"rendered":"<p>Die Multifaktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, die den Zugang zu digitalen Ressourcen wie Ger\u00e4ten, Netzwerken oder Onlinediensten durch die Kombination mehrerer Authentifizierungsfaktoren erm\u00f6glicht. Im Wesentlichen erfordert die MFA mindestens zwei [&hellip;]<\/p>\n","protected":false},"author":5003,"featured_media":18195,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"c2c_always_allow_admin_comments":false,"footnotes":""},"categories":[306,311,312,314,315],"tags":[609,621,62,303,869],"class_list":["post-18189","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ankuendigungen","category-fun-facts","category-insight-it-center","category-it-sicherheit","category-services-support","tag-cyber-security","tag-cybersicherheit","tag-mfa","tag-multi-faktor-authentifizierung","tag-multifaktor-authentifizierung"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/18189","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/users\/5003"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/comments?post=18189"}],"version-history":[{"count":14,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/18189\/revisions"}],"predecessor-version":[{"id":18270,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/posts\/18189\/revisions\/18270"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media\/18195"}],"wp:attachment":[{"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/media?parent=18189"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/categories?post=18189"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.rwth-aachen.de\/itc\/wp-json\/wp\/v2\/tags?post=18189"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}