2FA best practice
Die Zwei-Faktor-Authentifizierung (2FA) ist eine Maßnahme zur Härtung von Authentifizierungsverfahren, bei der neben einem Passwort ein zusätzlicher, unabhängiger Faktor verwendet wird. Ziel ist es, das Risiko unbefugter Zugriffe bei kompromittierten Zugangsdaten signifikant zu reduzieren.
Im Kontext eines Informationssicherheitsmanagementsystems (ISMS) ist 2FA eine zentrale Maßnahme im Bereich Zugriffskontrolle und Identitätsmanagement.
Begriffsklärung
2FA (Zwei-Faktor-Authentifizierung): Authentifizierung mittels genau zweier unterschiedlicher Faktoren.
MFA (Multi-Faktor-Authentifizierung): Authentifizierung mittels zwei oder mehr Faktoren.
Authentifizierungsfaktoren:
Wissen: z. B. Passwort oder PIN
Besitz: z. B. Token, Smartphone
Inhärenz: z. B. biometrische Merkmale
OTP (One-Time Password): Einmalig gültiges Passwort.
TOTP (Time-based One-Time Password): Zeitbasiertes OTP mit kurzer Gültigkeit.
FIDO2 / U2F: Offene Standards für starke, phishing-resistente Authentifizierung mittels Hardware-Token oder Plattform-Authentikatoren.
Push-Verfahren: Bestätigung einer Anmeldung über eine aktive Freigabe auf einem registrierten Gerät.
Bewertung von Authentifizierungsverfahren
Die Sicherheit von 2FA hängt maßgeblich von der Qualität und Unabhängigkeit der verwendeten Faktoren ab.
SMS-basierte Verfahren:
- Einfach umzusetzen, aber anfällig für SIM-Swapping und Abfangen von Nachrichten
- Für niedrige Schutzbedarfe vertretbar, für höhere Schutzbedarfe ungeeignet
TOTP (Authenticator-App):
- Etabliertes Verfahren mit guter Sicherheit
- Offline nutzbar, keine Übertragung sensibler Daten
- Anfällig bei kompromittierten Endgeräten
Push-Verfahren:
- Hohe Benutzerfreundlichkeit
- Risiko durch „Push-Fatigue“ (unbedachtes Bestätigen von Anfragen)
Hardware-Token (z. B. FIDO2, U2F, YubiKey):
- Sehr hohe Sicherheit, insbesondere phishing-resistent
- Keine Übertragung von Geheimnissen
- Höherer organisatorischer und finanzieller Aufwand
Biometrische Verfahren:
- Komfortabel, aber meist nur in Kombination mit einem weiteren Faktor sinnvoll
- Abhängigkeit von Endgerät und Implementierung
Empfehlungen nach Schutzbedarf
Die Auswahl geeigneter 2FA-Verfahren sollte auf Basis des Schutzbedarfs erfolgen.
Niedriger Schutzbedarf:
- TOTP oder Push-Verfahren ausreichend
- SMS nur als Übergangslösung
Mittlerer Schutzbedarf:
- TOTP oder Push-Verfahren
- Vermeidung von SMS
- Absicherung der Endgeräte erforderlich
Hoher Schutzbedarf:
- Einsatz phishing-resistenter Verfahren (z. B. FIDO2, Hardware-Token)
- Keine SMS-basierten Verfahren
- Kombination mit gehärteten Endgeräten und restriktiven Zugriffskontrollen
Anforderungen im ISMS-Kontext
2FA sollte nicht als Einzelmaßnahme, sondern als Bestandteil eines übergreifenden Authentisierungskonzepts betrachtet werden.
Wesentliche Anforderungen sind:
- Definition von verbindlichen Vorgaben je Schutzbedarf (z. B. in einer Zugriffskontrollrichtlinie)
- Verpflichtender Einsatz von MFA für privilegierte Konten und Fernzugriffe
- Regelungen zur Registrierung, Ausgabe und Sperrung von Faktoren
- Sichere Wiederherstellungsverfahren (z. B. Identity Proofing)
- Schutz der Endgeräte (z. B. Mobile Device Management)
- Protokollierung und Überwachung von Authentifizierungsereignissen
Hinweise zur Umsetzung
Bei der Auswahl konkreter Produkte sollten folgende Kriterien berücksichtigt werden:
- Unterstützung sicherer Standards (z. B. FIDO2)
- Integration in bestehende Identitäts- und Zugriffsmanagementsysteme
- Mandantenfähigkeit und Skalierbarkeit
- Unterstützung von Richtlinien (z. B. Conditional Access)
- Verfügbarkeit von Wiederherstellungsmechanismen
Konkrete Produkte (z. B. Authenticator-Apps oder Hardware-Token) sind austauschbar und sollten nicht im Vordergrund der Sicherheitsstrategie stehen.
