2-Faktor-Authentifizierung: Kür oder Pflicht?

[IITR – 19.03.21] Die verstärkte Arbeit aus dem Home-Office und die damit einhergehende Öffnung für externe Zugriffe auf die Unternehmensdaten bedeutet für Unternehmen auch ein stark gewachsenes Risiko, Opfer von Hackerangriffen zu werden. Eine interne Auswertung der Vorfälle des letzten Jahres zeigt: viele Hackerangriffe hätten vermieden werden können, wenn die Unternehmen ihre datenhaltenden Systeme konsequent mit 2-Faktor-Authentifizierung abgesichert hätten.

Risiko bei Cloud-basierten Datenverarbeitungssysteme

Cloud-basierte Datenverarbeitungssysteme zeichnen sich dadurch aus, dass sie frei im Internet verfügbar sind und ein Zugang technisch gesehen sehr leicht möglich ist. Es bedarf regelmäßig nur einer Internetverbindung und eines internetfähigen Endgeräts (PC, Notebook, Tablet, Smartphone). Viele dieser Datenverarbeitungssysteme erfordern lediglich einen Benutzernamen und ein Passwort. Sobald dieses richtig eingegeben wurde erhält der Benutzer einen direkten Zugang zu den im System gespeicherten Daten.

Risiko bei unternehmensinternen Datenverarbeitungssysteme

Bei unternehmensinternen Datenverarbeitungssystemen werden die Zugriffe über das Internet regelmäßig durch VPN-Zugänge abgesichert. Der VPN-Zugang stellt eine sichere Leitungsverbindung (Ende zu Ende) dar. Ob es sich bei der Person vor dem Endgerät auch tatsächlich um einen zugriffsberechtigten Beschäftigten handelt kann der VPN-Zugang aber regelmäßig nicht eindeutig sicherstellen.

(1) Passwort-Verlust: Verwendung des Passworts auch bei anderen Diensten

Verwendet nun ein Benutzer sein Passwort nicht nur für die Absicherung des Firmensystems, sondern auch im privaten Umfeld (Online-Shopping, private E-Mail-Accounts, Social-Media etc.), so sind die Unternehmensdaten auch dann gefährdet, wenn diese Dienste aus dem privaten Umfeld Opfer von Hackerangriffen werden und so das Passwort in die Hände potentieller Angreifer fällt. Können diese nun (z.B. durch den automatisierten Abgleich mit Social-Media-Profilen) die Verbindung der privaten Zugangsdaten zu Ihrem Unternehmen herstellen ist ein gezielter Angriff auf die Unternehmensdaten unter Nutzung des Passwortes möglich. Für die Benutzer eines Cloud-basierten Datenverarbeitungssystem ist dabei regelmäßig nicht erkennbar, ob mit ihrem Benutzerkonto Angriffsversuche oder gar erfolgreiche Zugriffe getätigt wurden.

(2) Passwort-Verlust: Speicherung des Passworts im Browser

Erschwerend kommt hinzu, dass der Benutzername und das Passwort relativ leicht im Browser gespeichert werden können. Hat nun (z.B. im privaten Umfeld) eine andere Person Zugang zu dem Gerät, können hier relativ einfach Unternehmensdaten durch Drittpersonen eingesehen werden.

(3) Passwort-Verlust: Abgriff durch „Social Engineering“

Auch besteht das Risiko, dass Nutzer durch „Social Engineering“ Angriffe verleitet werden könnten, die eigenen Zugangsdaten dem Angreifer zu offenbaren.

2-Faktor-Authentifizierung: wirksame Möglichkeit zum Schutz personenbezogener Daten

Bei einer 2-Faktor-Authentifizierung wird der Zugangsschutz zu Datenverarbeitungssystemen neben dem Passwort durch einen weiteren (zweiten) Faktor abgesichert. Hierfür können verschiedene Möglichkeiten in Betracht gezogen werden. So kann z.B.

• ein sich ständig wechselnder Zahlencode (als Smartphone-App oder als separater Code-Generator)
• eine separate Freigabe-App auf dem Smartphone
• Zusendung eines Einmal-Codes per SMS
• ein Zertifikat auf dem Endgerät
• Einwahl aus bestimmten fest definierten IP-Adresskreis des Unternehmens
• ein MAC-Adress-Filter

als sicherer zweiter Faktor für den Zugang zu Datenverarbeitungsanlagen eingesetzt werden.

2-Faktor-Authentifizierung: wirksame Möglichkeit zum Schutz personenbezogener Daten

Die Absicherung von Systemen mit personenbeziehbaren Daten mittels 2-Faktor-Authentifizierung ist dabei aus unserer Sicht von der Datenschutzgrundverordnung auch verpflichtend vorgeschrieben. So verlangt Art. 32 („Sicherheit der Verarbeitung“) DSGVO:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“

Es ist nach unserer Lesart hier als Stand der Technik anzusehen, sämtliche Systeme mit personenbeziehbaren Daten über ein 2-Faktor-Verfahren abzusichern. Auch die Implementierungskosten sind inzwischen zu vernachlässigen. Die meisten Cloud-Systeme bieten inzwischen (in der Regel ohne Aufpreis) die Absicherung über 2-Faktor-Verfahren an (zur Schaffung einer solchen Funktionalität sind die Cloud-Anbieter im Lichte des Art. 25 „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ DSGVO auch verpflichtet).

Auch aktuelle Firewall-Systeme für die Einwahl über VPN bieten eine Sicherung über 2-Faktor-Verfahren standardmäßig mit an. Und insbesondere das vergangene Jahr hat gezeigt, dass gerade Systeme ohne 2-Faktor-Verfahren einem erheblichen Risiko eines Datenabflusses ausgesetzt sind.

Fazit: 2-Faktor-Verfahren als Stand der Technik

Eine 2-Faktor-Authentifizierung stellt einen wirksamen Zugangsschutz zu Datenverarbeitungssystemen dar und ist gemäß den Vorgaben des Art. 32 („Sicherheit der Verarbeitung“) DSGVO bei Systemen, die personenbeziehbare Daten verarbeiten aus unserer Sicht zwingend erforderlich. Wir empfehlen darüber hinaus, sämtliche Systeme mit Unternehmensdaten (unabhängig vom Personenbezug) mit einem 2-Faktor-Verfahren abzusichern (dies insb. auch im Licht von allgemeinen Vorgaben zur Informationssicherheit wie ISO27001/TISAX sowie dem Gesetz zum Schutz von Geschäftsgeheimnissen).

Autor: Ralf Zlamal, Externer Datenschutzbeauftragter