Multi-Faktor-Authentifizierung (MFA): So schützen Sie Ihre digitale Identität

• Mit Multi-Faktor-Authentifizierung schützen Sie Ihre digitalen Accounts neben dem Passwort mit einem zusätzlichen Sicherheitsschritt.
• Der große Vorteil: Stiehlt jemand Benutzername und Passwort, kann er oder sie trotzdem nicht auf Ihr Konto zugreifen.
• Zu den sichersten MFA-Methoden zählen Passkeys und USB-Sicherheitsschlüssel, die auf Public-Key-Kryptografie basieren und Phishing-Angriffen vorbeugen.
• Wir zeigen Ihnen, welche MFA-Methoden es gibt und wie Sie die Multi-Faktor-Authentifizierung aktivieren, um Ihre digitale Identität effektiv zu schützen.

MFA und 2FA - Was es ist und wofür es verwendet wird

Was ist Multi-Faktor-Authentifizierung (MFA)?

Multi-Faktor-Authentifizierung (MFA) schützt den Zugang zu digitalen Konten durch einen oder mehrere zusätzliche Faktoren, die für die Anmeldung erforderlich sind. Der erste Faktor ist das Passwort. Als zweiter Faktor werden häufig Einmalpasswörter verwendet, die z.B. als SMS-Code empfangen oder mit einer Authentifizierungs-App auf dem eigenen Gerät erstellt werden.

Wofür wird es verwendet?

MFA wird verwendet, um Kontozugänge mit einem weiteren Sicherheitsschritt bei der Anmeldung zu schützen. Sie können MFA für jeden Ihrer Accounts aktivieren, solange der Dienst diese Sicherheitsfunktion bereitstellt. Das trifft heute auf die meisten großen Dienstanbieter im Internet zu.

Gut zu wissen: Online-Dienste bieten teils unterschiedliche Möglichkeiten zur Authentifizierung mit einem zusätzlichen Faktor an. Sie müssen sich daher leider jeweils selbst informieren, ob ein bestimmter Dienst auch die Authentifizierungsmethode Ihrer Wahl unterstützt.

Idealerweise schützen Sie natürlich den Log-in all Ihrer Online-Konten mit einem zusätzlichen Faktor. Wenn Sie MFA bislang nicht aktiviert haben, beginnen Sie mit den wichtigsten – sprich, den Konten, deren "feindliche Übernahme" am verheerendsten wäre. Denken Sie dabei an:

• E-Mail-Konten (Outlook, Gmail, ...)
• Online-Banking/Investment (Ihre Bank, Investment-Accounts, Krypto-Börsen, ...)
• Bezahldienste (PayPal, Amazon Pay, Google Pay, ...)
• Cloud-Speicher (Google Drive, Microsoft OneDrive, DRACOON, ...)
• Soziale Netzwerke (LinkedIn, Meta, X/Twitter, ...)

MFA und 2FA – was ist der Unterschied?

Die Zwei-Faktor-Authentifizierung (2FA) erfordert genau zwei Identifikationsmethoden, z.B. Passwort und SMS-Code.

Multi-Faktor-Authentifizierung ist der Überbegriff für alle Authentifizierungsmethoden, die mehr als einen Faktor zur Verifizierung der Identität voraussetzen – der erste Faktor ist dabei immer das Passwort. Umgangssprachlich werden 2FA und MFA oft synonym verwendet.

Anschauliches Beispiel für 1FA, 2FA, 3FA

• Normale Anmeldung oder "Ein-Faktor-Authentifizierung": Benutzername und Passwort (1)
• Zwei-Faktor-Authentifizierung: Benutzername, Passwort (1) und Fingerabdruck (2)
• Drei-Faktor-Authentifizierung: Benutzername, Passwort (1), Fingerabdruck (2) und SMS-Code (3)

Wie funktioniert die Multi-Faktor-Authentifizierung und vor welchen Angriffen schützt sie?

MFA funktioniert, indem neben dem Passwort noch weitere Berechtigungsnachweise zur Bestätigung der Identität erbracht werden müssen, um sich in einen Account einloggen zu können.

In der Regel sind für den Authentifizierungsprozess folgende Schritte notwendig:

1. Sie geben Benutzernamen und Passwort in der Anmeldemaske ein.
2. Sind diese korrekt, werden Sie aufgefordert, sich nun mit einem weiteren Faktor zu verifizieren, den Sie vorher festgelegt haben. Das kann z.B. ein Fingerabdruck sein oder ein einmaliger Code, den Sie mit einer Authentifizierungs-App mobil auf Ihrem Smartphone generieren oder per E-Mail oder SMS zugeschickt bekommen.
3. Ihre Identität wird bestätigt und Sie werden in Ihren Account eingeloggt.

Sie müssen den zweiten Faktor zum Glück nicht bei jeder Anmeldung neu authentifizieren. Ihr Gerät speichert bei der ersten Verifizierung einen sog. Token, der Ihre Anmeldung mit diesem Gerät beim nächsten Mal automatisch bestätigt. Erneut authentifizieren müssen Sie sich erst, wenn dieser Token entweder abläuft oder Sie sich z.B. von einem neuen Standort aus anmelden.

Sie können auch mehrere Authentifizierungsfaktoren festlegen, die beim Anmelden nacheinander abgefragt werden. Es können also theoretisch zwischen Schritt 2 und Schritt 3 noch weitere Schritte notwendig sein, um Ihre Identität zu bestätigen.

Oft werden im Hintergrund noch weitere Sicherheitsfaktoren abgefragt, ohne dass Sie es merken. Das können z.B. die IP-Adresse, der Standort des Geräts oder das Gerät selbst sein. Die Zwei-Faktor-Authentifizierung ist also in Wirklichkeit oft eine Multi-Faktor-Authentifizierung.

Adaptive Multi-Faktor-Authentifizierung – zusätzlicher Identitäts-Check nur bei Verdacht

Wenn Sie sich im Ausland für einen Dienst schon einmal neu anmelden mussten, lag das an einer adaptiven Authentifizierung. Im Hintergrund hat sich das System nämlich unter anderem Ihren Standort gemerkt und wenn sich dieser ändert, wird zur Sicherheit ein erneuter Identitätsnachweis gefordert. Je nach Situation wird bei der adaptiven Authentifizierung nach unterschiedlichen Anmeldeinformationen gefragt, was die Sicherheit noch einmal zusätzlich erhöht.

Eine adaptive Authentifizierung erstellt für jeden Benutzer und jede Benutzerin ein Profil, das Informationen wie z. B. IP-Adresse, geografischer Standort oder angemeldete Geräte umfasst. Bei jedem Authentifizierungsversuch wird eine Risikobewertung durchgeführt und geprüft, wie wahrscheinlich es ist, dass Sie wirklich Sie sind. Je nach Risikobewertung muss dann ein neuer Identitätsnachweis erbracht werden oder auch nicht. Eine besonders hohe Risikobewertung kann sogar dazu führen, dass Ihr Konto aus Sicherheitsgründen automatisch gesperrt wird.

Gegen diese Angriffe schützt MFA Ihre digitalen Kontozugänge

MFA schützt Sie vor allen Angriffen, die es auf Ihre Log-in-Daten abgesehen haben. Denn nur mit Benutzername und Kennwort kommen Angreifer ohne den zusätzlichen Identitätsnachweis nicht in Ihren Account.

Konkret schützt Sie Multi-Faktor-Authentifizierung gegen:

1. Passwortdiebstahl oder -verlust: Falls Sie Ihren Kontozugang verlieren sollten oder er von jemandem gestohlen wird.

2. Phishing-Angriffe: Sie klicken versehentlich auf einen schädlichen Link und geben Ihre Log-in-Daten auf einer gefälschten Website ein, die diese sofort an einen Hacker sendet.

3. Brute-Force-Angriffe: Wenn eine Person oder ein Bot versuchen sollte, Ihr Kennwort nach dem Versuch-und-Irrtum-Prinzip wiederholt zu erraten, bleibt Ihr Konto geschützt, da für jeden Anmeldeversuch der zusätzliche Faktor benötigt wird.

Warum Sie Ihre digitale Identität unbedingt mit zwei oder mehr Faktoren schützen sollten

Wissen Sie, wie Hacker normalerweise vorgehen? Zuerst werden meistens möglichst viele Benutzernamen/E-Mail-Adressen und Passwörter gestohlen. Das kann durch ein Datenleck eines Online-Dienstes geschehen, durch einen Virus, der die Zugangsdaten stiehlt oder ein Phishing-Angriff, der den Opfern die Zugangsdaten abluchst.

Anschließend geht es weiter nach dem Prinzip des geringsten Widerstands und die Konten ohne MFA stehen im Fokus.

MFA bietet Ihnen jedoch nicht nur den Vorteil, dass für den Log-in ein weiterer Sicherheitsschritt erforderlich ist. Es kann auch dazu führen, dass Sie deshalb den Angriff überhaupt erst bemerken. Beispielsweise weil Sie Ihr Smartphone mit einer Push-Benachrichtigung dazu auffordert, eine Anmeldung zu bestätigen, die nicht von Ihnen stammt. Mehr und mehr Dienste erfordern außerdem für gewisse Transaktionen oder zum Verifizieren einer Passwortänderung ebenfalls den zweiten Faktor.

Für Unternehmen spielt zusätzlich zu den o.g. Faktoren auch die Compliance eine Rolle, für die MFA erforderlich sein kann.

Was sind gängige Methoden zur Zwei-Faktor-Authentifizierung?

Besitz, Wissen, Inhärenz – die 3 Arten der Authentifizierung

Zwar existieren viele verschiedene Authentifizierungsmethoden aber im Prinzip gibt es nur drei verschiedene Arten, Ihre Identität digital zu verifizieren:

1. Wissen: Etwas, das nur Sie wissen – z.B. Passwort, PIN, Sicherheitsfrage, Einmalpasswort
2. Besitz: Etwas, das nur Sie besitzen – z.B. Security-USB-Key, Smartcards, Hardware-Token
3. Inhärenz: Eine Eigenschaft, die Sie ausmacht – z.B. biometrische Daten wie Fingerabdruck, Iris- oder Gesichtserkennung

Jede Authentifizierungsmethode hat ihre eigenen Vor- und Nachteile. Eine Lösung sollte möglichst sicher sein und wenig Zeit kosten, um sich damit zu verifizieren.

Einmalpasswörter (OTPs) – der häufigste Authentifizierungsfaktor

Einmalpasswörter oder engl. One-Time-Passwords (OTPs) sind nur einmal gültige 4- bis 8-stellige Codes, die Sie entweder selbst erstellen, z.B. mit einer Anwendung auf dem Smartphone, oder per E-Mail oder SMS separat zugeschickt bekommen. Immer, wenn Sie sich erneut authentifizieren müssen, wird ein neuer Code generiert.

Es gibt verschiedene Möglichkeiten, ein OTP zu erhalten, aber nicht jede davon bietet das gleiche Maß an Sicherheit. Am häufigsten werden SMS-Codes oder E-Mail-Codes für Einmalpasswörter verwendet. Das bietet zwar deutlich mehr Schutz als nur ein Passwort, aber E-Mails und SMS können theoretisch abgefangen oder auf andere Weise kompromittiert werden. Da gibt es bessere Möglichkeiten.

Schnell und sicher – die besten MFA-Faktoren

1. Passkeys: Identitätsnachweis durch ein verifiziertes Gerät

Das wohl beste Verfahren für den Identitätsnachweis sind Passkeys, damit können Sie Passwörter sogar ganz ersetzen. Passkeys funktionieren mit Public-Key-Kryptografie, wobei digital auf Ihrem Gerät ein geheimer Schlüssel (Private Key) erstellt wird, mit dem Sie Ihre Identität bestätigen.

Der Anbieter kann mithilfe eines öffentlichen Schlüssels (Public Key) bestätigen, dass Sie den privaten Schlüssel besitzen, ohne ihn dabei selbst zu kennen. Der private Schlüssel verlässt somit niemals Ihr Gerät und kann deshalb auch nicht abgefangen werden.

Besonders praktisch sind Passkeys deshalb, weil sie nicht nur besonders sicher, sondern auch einfach und schnell zu handhaben sind. Haben Sie einen Passkey bei einem Anbieter verifiziert, reicht für den Log-in eine kurze Bestätigung am Smartphone per Fingerabdruck oder Gesichtserkennung.

Je nach Anbieter müssen sie teils nicht einmal Ihren Benutzernamen eingeben. Ein Passkey schützt zudem auch vor Phishing-Angriffen, weil er nur auf der Website gültig ist, für die Sie ihn erstellt haben.

2. FIDO2 Security Keys: Security-USB-Sticks zur Zwei-Faktor-Authentifizierung

FIDO2 Security Keys sind spezielle USB-Sticks, die ebenfalls Public-Key-Kryptografie für den Identitätsnachweis verwenden. Wie bei Passkeys wird dabei auf einem solchen Sicherheits-USB-Stick ein geheimer Schlüssel gespeichert, der den USB-Stick niemals verlässt. Das Sicherheitsniveau gleicht daher dem von Passkeys.

Um die Anmeldung mit dem zweiten Faktor zu bestätigen, müssen Sie den Security-USB-Stick nur anschließen und an einer bestimmten Stelle berühren. Es gibt auch Security-USB-Keys, die nur mit einem bestimmten Fingerabdruck funktionieren oder zur Bestätigung neben der Berührung noch ein zusätzliches Passwort erfordern.

3. Authentifizierungs-Apps: die sichersten Einmalpasswörter

Mit Authentifizierungs-Apps wie Microsoft Authenticator, Google Authenticator oder Authy können Sie Einmalpasswörter einfach selbst auf Ihrem Smartphone erstellen. Der Vorteil: Im Gegensatz zum Einmalpasswort per E-Mail oder SMS kann es nicht auf dem Weg zu Ihnen abgefangen werden, weil sie direkt auf Ihrem Gerät erstellt werden.

Haben Sie die Authenticator-App mit Ihrem Konto verknüpft, müssen Sie die App nur öffnen, den neuen Code für Ihr jeweiliges Konto kopieren und in der Anmeldemaske einfügen.

Dieses Verfahren benötigt für die Anmeldung zwar mehr Zeit als das von Passkeys oder Security-USB-Keys, ist aber deutlich schwerer zu knacken, als einmalige Codes per E-Mail oder SMS zu empfangen. Zudem unterstützen die meisten Dienste mittlerweile Authentifizierungs-Apps zur 2FA. Bei Passkeys und Security-Keys ist das noch nicht der Fall, auch wenn mittlerweile große Anbieter wie Microsoft und Google auch Passkeys und USB-Sicherheitsschlüssel unterstützen.

Authentifizierungs-Apps bieten deutlich mehr Sicherheit im Vergleich zu SMS-Codes und E-Mail-Codes, kommen aber nicht ganz an das Sicherheitsniveau von Passkeys und Security-USB-Sticks heran, da der Verifizierungscode der App jedes Mal mit dem Anbieter geteilt wird.

Unsichere Authentifizierungsmethoden, die häufig verwendet werden

Jede Form der Authentifizierung bietet ein unterschiedliches Maß an Sicherheit. Wie Sie im Abschnitt zuvor gesehen haben, gibt es durchaus Möglichkeiten, die sowohl schnell als auch sicher sind. Dennoch werden am häufigsten Methoden verwendet, die als unsicher gelten. Das liegt vor allem daran, dass sie sich besonders schnell einrichten lassen bzw. keine zusätzliche Hard- oder Software benötigen, was für viele noch eine Barriere darstellt. Weniger sicher sind sie deshalb, weil sie entweder abgefangen oder manipuliert werden können.

Das betrifft vor allem:

• SMS-Authentifizierung: Ein Code wird Ihnen per SMS zugeschickt
• E-Mail-Authentifizierung: Ein Code wird Ihnen per E-Mail zugeschickt
• Authentifizierung mit biometrischen Daten: Sie bestätigen die Anmeldung mit Fingerabdruck oder Gesichtserkennung

Wie Unternehmen die digitale Identität ihrer Kunden schützen können

1. Bieten Sie mehrstufige Authentifizierung (MFA/2FA) und einen verschlüsselten Log-in-Prozess an

Zwei-Faktor-Authentifizierung anzubieten, ist heutzutage in mehrerlei Hinsicht Pflicht – insbesondere, weil dadurch das Sicherheitsrisiko durch menschliche Fehler, wie sie jedem passieren können, drastisch reduziert wird. MFA macht die Zugänge Ihrer Kunden rundum einfach sicherer, die Daten derer Kunden ebenso und dann ist da noch die Compliance, die MFA oft obligatorisch macht. Denken Sie daran, dass die jeweilige Lösung auch den Kommunikationsweg des Log-in-Prozesses verschlüsselt, was zusätzlich vor Cyberattacken schützt.

Was verwendet DRACOON?

Eine der MFA-Methoden, die DRACOON anbietet, stammt von unserem Partner XignSys. Dabei handelt es sich um eine flexible und benutzerfreundliche Lösung der höchsten Sicherheitsstufe, die vom BSI nach TR-03107 bewertet wurde und verschiedene passwortlose Authentifizierungsfaktoren über die kostenlosen App Xign.Me ermöglicht. In unserer Dokumentation können Sie nachlesen, wie Sie XignSys an DRACOON anbinden.

2. Verwenden Sie adaptive Authentifizierung und Single Sign-on (SSO)

MFA muss nicht nur sicher sein, sondern sich auch möglichst unauffällig in den Arbeitsalltag integrieren und zentral steuern lassen. Damit sich Ihre Kunden nicht bei jeder Anmeldung erneut authentifizieren müssen, bieten sich SSO-Lösungen an, die sich die Authentifizierung "merken" und nur erneut danach fragen, wenn beim Log-in z.B. ein neues Gerät erkannt wird.

Was verwendet DRACOON?

Um SSO bereitzustellen und die Verwaltung aller Identitäten und deren Berechtigungen so bequem wie möglich zu gestalten, setzt DRACOON auf den Partner Bare.ID. Neben einer bequemen Nutzerverwaltung über ein lokales Benutzerverzeichnis, bietet die Lösung die bequeme SSO-Methode Open ID Connect. Für die Einmalanmeldung stehen dabei mehrere MFA-Methoden zur Verfügung. Bare.ID bietet Ihnen eine ausführliche Anleitung, wie Sie DRACOON mit Bare.ID verbinden können. In unserer eigenen Dokumentation finden Sie außerdem alle Informationen, wie Sie Open ID Connect in DRACOON aktivieren und konfigurieren.

3. Bieten Sie auch passwortlose Authentifizierungsmethoden an

Warum Zwei-Faktor-Authentifizierung in der Praxis oft nicht verwendet wird, liegt schlicht am zusätzlichen Aufwand. Machen Sie es deshalb Ihren Kunden so einfach wie möglich, ihre Kontozugänge mit 2FA zu schützen und bieten Sie Methoden an, die sicher sind und gleichzeitig den Arbeitsablauf nicht durch lange Verifizierungsprozesse behindern. Am besten eignen sich dafür Security-Keys und die relativ neuen Passkeys, die von Google und Microsoft angeboten werden.

Was verwendet DRACOON?

Als hardwarebasierte Authentifizierungslösung setzt DRACOON auf den iShield Key, ein Fido2-Security-Key des Partners Swissbit. Swissbit ermöglicht eine hochsichere 2FA-Hardwarelösung, die nach einmaliger Einrichtung weniger Zeit für die Authentifizierung benötigt, als sie für die Eingabe eines Passworts brauchen würden. Wie Sie einen iShield Key mit DRACOON verbinden und verwenden, können Sie in diesem PDF im Detail nachlesen.

So aktivieren Sie die Zwei-Faktor-Authentifizierung in DRACOON

Um die mehrstufige Authentifizierung in DRACOON verwenden zu können, muss sie ein Administrator bzw. ein Benutzer mit der Rolle "Konfigurationsmanager" zuerst für alle Benutzer freischalten.

Ist 2FA für Ihr Benutzerkonto freigeschaltet, gehen Sie wie folgt vor, um diese zu aktivieren:

1. Installieren Sie eine Authentifizierungs-App auf Ihrem Mobiltelefon, z.B. Microsoft Authenticator, Google Authenticator oder Authy.
2. Melden Sie sich im Browser in Ihrem DRACOON-Konto an.
3. Klicken Sie rechts oben auf Ihr Profilbild und dann auf "Benutzerkonto verwalten".
4. Im Reiter "Sicherheit" finden Sie den Abschnitt "Zweistufige Authentifizierung". Klicken Sie rechts daneben auf den Button "Aktivieren".
5. Es öffnet sich ein Fenster, um die zweistufige Authentifizierung einzurichten. Folgen Sie der Anleitung, um Ihre Authentifizierungs-App mit DRACOON zu verknüpfen.
6. Fügen Sie unten den sechsstelligen Code aus Ihrer Authentifizierungs-App ein und klicken dann auf "Bestätigen".
7. Die Zwei-Faktor-Authentifizierung ist jetzt für Ihr Konto aktiviert.

Die Verwendung einer Authentifizierungs-App ist bei DRACOON die Standard-Methode zur mehrstufigen Authentifizierung. Als Konfigurationsmanager können Sie auch weitere Methoden aktivieren. Diese finden Sie im Menü unter "Einstellungen" > "Authentifizierung".

Sie finden auch eine Anleitung und weitere Details auf unserer Support-Seite.

Informationen über die verschiedenen Rollen und Berechtigungen bei DRACOON finden Sie auf unserer Seite über Rollen- und Berechtigungsmanagement (engl. Identity and Access Management, kurz IAM).

Weitere Möglichkeiten, Ihre DRACOON-Cloud zu schützen

• Aktivieren Sie clientseitige Verschlüsselung unter "Einstellungen" > "Sicherheit" > "Clientseitige Verschlüsselung".
• Machen Sie die zweistufige Authentifizierung zur Voraussetzung, entweder für alle Benutzer oder nur für bestimmte, unter "Einstellungen" > "Sicherheit" > Zweistufige Benutzerauthentifizierung. Hinweis: Aktivieren Sie die Option erst, wenn alle Benutzer 2FA eingerichtet haben, um niemanden aus dem eigenen Konto auszusperren. Auch Administratoren können so ausgesperrt werden.
• Berechtigen Sie Datenraum-Administratoren den Virenschutz zu aktivieren unter "Einstellungen" > "Sicherheit" > "Virenschutz".
• Deaktivieren Sie die Anmelde-Option über die eigene E-Mail-Adresse unter "Einstellungen" > "Authentifizierung" > "Lokale Benutzer". Manche externen Dienste setzen diese Einstellung voraus, um mit DRACOON verbunden werden zu können.
• Machen Sie starke Passwörter obligatorisch, indem Sie Regeln für Kennwörter erstellen unter "Einstellungen" > "Richtlinien" > "Kennwortrichtlinien für Benutzer"

Passwortlos – der Trend kennt nur eine Richtung

Passwörter: Schwer zu merken, oft zu schwach, und wenn nicht, dauert das Eingeben zu lange. Der Trend geht klar hin zu "Passwordless", also eine komplett passwortlose Authentifizierung. Das geht nicht nur schneller, sondern ist gleichzeitig auch sicherer, wenn dafür Verfahren mit Public-Key-Kryptografie, wie Passkeys oder Security-USB-Keys, verwendet werden.

Dabei liegt es nicht nur an den Nutzerinnen und Nutzern, diese Technologien für Ihre Konten zu aktivieren. Die Voraussetzung ist auch, dass Unternehmen Ihren Nutzerinnen und Kunden diese Möglichkeiten auch zur Verfügung stellen.