mac it Illustration

Zwei-Faktor-Authentisierung

Warum ein Passwort allein heute nicht mehr ausreicht

In der IT-Praxis sieht man zusehends, dass ein starkes Passwort allein keinen ausreichenden Schutz mehr bietet. Phishing, Spam und wiederverwendete Zugangsdaten machen klassische Login-Verfahren angreifbar. Genau hier setzt die Zwei-Faktor-Authentisierung (2FA) an. 

 

Was ist die Zwei-Faktor-Authentisierung?

Unter Zwei-Faktor-Authentisierung versteht man ein Verfahren zur Zugriffskontrolle, bei dem sich ein Benutzer mit zwei voneinander unabhängigen Faktoren identifiziert. Die Kombination dieser beiden Komponenten erhöht die Sicherheit gegenüber einfachen passwortbasierten Anmeldungen deutlich.

2FA ergänzt demnach den Anmeldeprozess um eine zusätzliche Sicherheitsstufe. Selbst wenn ein Passwort gehackt wurde, bleibt der Zugriff in vielen Fällen blockiert, weil ein weiterer, unabhängiger Faktor für den finalen Zugriff oder Login erforderlich ist. Für Unternehmen, öffentliche Einrichtungen und auch Privatanwender ist das heute einer der wirksamsten Schritte, um Konten, Systeme und sensible Daten besser abzusichern.

Unterschied zwischen Authentisierung, Authentifizierung und Multi-Faktor-Authentifizierung

Die Begriffe Authentisierung und Authentifizierung werden häufig gleichbedeutend verwendet, bezeichnen jedoch unterschiedliche Teilprozesse bei einem Anmeldevorgang. Zudem gibt es den gängigen Begriff der Multi-Faktor-Authentisierung, der im Folgenden erklärt wird. 


Authentisierung

Hier authentisiert sich ein Benutzer und weist seine Identität gegenüber einem System nach, zum Beispiel mit einem Passwort, einer PIN oder einer Chipkarte.

 
Authentifizierung

Im Anschluss authentifiziert – also prüft das System, ob diese Angaben gültig sind und die Identität damit tatsächlich bestätigt werden kann.

 
Multi-Faktor-Authentisierung

Der Begriff der Multi-Faktor-Authentisierung (MFA) im Bereich der Zugriffskontrollverfahren ist sehr gängig. Wie der Name schon sagt, werden bei der Multi-Faktor-Authentisierung mehrere Faktoren für einen Anmeldeprozess miteinander kombiniert.  

Bei der MFA können – wie bei der 2FA – demnach zwei oder auch mehr als zwei Berechtigungsnachweise miteinander kombiniert werden, was den Identitätsdiebstahl noch weiter erschwert und den Anmeldevorgang zeitlich etwas verlängert.
Jede 2FA ist demnach eine Form der MFA, aber nicht jede MFA ist nur eine 2FA.

Ablauf der Zwei-Faktor-Authentisierung

Bei der Zwei-Faktor-Authentisierung erfolgt zunächst die Anmeldung i.d.R. über die Eingabe von Name und Passwort als ersten Faktor. Nach dessen Validierung wird der Zugriff nun aber nicht unmittelbar freigegeben, sondern erst nach erfolgreicher Prüfung eines weiteren, zweiten Faktors. 

1FA - Zwei-Faktor-Authentisierung

Dadurch wird verhindert, dass ein gehacktes Kennwort allein ausreicht, um unbefugten Zugriff auf Daten oder Systemfunktionen zu ermöglichen.

Faktoren zur Authentisierung​


Die 2 Faktoren zur Authentisierung stammen aus unterschiedlichen Kategorien:

  • Wissen – zum Beispiel Passwort oder PIN
  • Besitz – zum Beispiel Smartphone, Hardware-Token, Chipkarte
  • Biometrie – zum Beispiel Fingerabdruck oder Gesichtserkennung

 
Entscheidend ist dabei die Kombination der verschiedenen Kategorien, um höchstmögliche Sicherheit zu gewährleisten.

Gängige Systeme zur Zwei-Faktor-Authentisierung

Nicht jedes Verfahren bietet das gleiche Sicherheitsniveau.
Die oben genannten drei Kategorien der 2FA (Wissen, Besitz und Biometrie) lassen sich in die folgenden Systeme einteilen:

OTP- und TAN-Verfahren

Einmalkennwörter, auch OTPs oder TANs genannt, gehören zu den am weitesten verbreiteten Verfahren der 2FA. Sie werden entweder zeitbasiert oder ereignisbasiert erzeugt und sind nur für kurze Zeit gültig.

 
Typische Varianten:

  • Authenticator-App mit zeitbasiertem Code
  • Hardware-TAN-Generator
  • pushTAN auf einem separaten Gerät
  • SMS-TAN beziehungsweise mTAN 

 
Aus technischer Sicht gilt: App- oder hardwarebasierte Verfahren sind klar vorzuziehen. Die Übermittlung per SMS ist zwar noch verbreitet, aber sicherheitstechnisch schwächer. Problematisch wird es vor allem dann, wenn dasselbe Gerät sowohl für den Login als auch für den Empfang der TAN genutzt wird. Dann ist die Trennung der Faktoren nur eingeschränkt gegeben.

Kryptographische Token

Besonders stark sind Verfahren, bei denen ein privater kryptographischer Schlüssel sicher gespeichert und für die Anmeldung bei der Zwei-Faktor-Authentisierung verwendet wird.

 
Dazu zählen unter anderem:

  • FIDO2- oder U2F-Sicherheitsschlüssel
  • Smartcards und Signaturkarten
  • NFC- oder USB-Token
  • Zertifikatsbasierte Verfahren (z.B. in Verwaltungs- o. Steueranwendungen) 

 
Hier liegt der wesentliche Sicherheitsvorteil darin, dass der private Schlüssel das Gerät nicht verlässt. Das reduziert Angriffsflächen deutlich. Gerade hardwaregestützte Verfahren sind deshalb für sensible Unternehmenszugänge besonders empfehlenswert.

Biometrische Verfahren

Biometrische Merkmale können ebenfalls ein zweiter Faktor für die Authentisierung sein. Dabei wird ein zuvor erfasstes körperliches Merkmal überprüft, um die Identität der Person zu bestätigen.  

 
Hier gibts es:

  • Fingerabdruck
  • Gesichtserkennung
  • Iris-Erkennung (Muster einer Regenbogenhaut)
  • Menschliche Stimme 

 
Beim Einsatz biometrischer Merkmale muss die Umsetzung technisch sauber erfolgen – am besten inklusive Lebenderkennung, damit das System z.B. nicht mit einem Foto ausgetrickst werden kann. In professionellen Umgebungen ist Biometrie vor allem dann sinnvoll, wenn sie mit einem Besitzfaktor oder einer sicheren Gerätebindung kombiniert wird.

Empfehlungen und Chancen von 2FA

  • Die Zwei-Faktor-Authentisierung sollte idealerweise überall dort aktiviert werden, wo ein Online-Dienst diese Funktion unterstützt, um mehr Sicherheit zu gewährleisten.
  • Prüfung der verfügbaren Anmeldeverfahren: Viele Plattformen bieten 2FA oder MFA an, haben diese Option jedoch nicht automatisch aktiviert.
  • Besonders empfehlenswert sind hardwarebasierte Verfahren wie Security Keys oder separate Authenticator-Apps, da sie einen stärkeren Schutz bieten.

Risiken und Einschränkungen von 2FA

  • Multi- und Zwei-Faktor-Authentisierung verlängert den Login-Prozess geringfügig.
  • Die 2FA kann zwar unter Umständen auf vertrauenswürdigen Geräten bewusst übersprungen werden, dies verringert aber die Sicherheit.
  • Geht ein besitzbasierter Faktor verloren, etwa Smartphone, Token oder Security Key, kann der Zugang zum Dienst eingeschränkt oder vollständig blockiert sein. Nach Möglichkeit sollte man daher
  • vorsorgen und, insofern möglich, mehrere zweite Faktoren hinterlegen, z.B. weitere Token, TANApp oder Nummer für mTAN.

Was bedeutet 2FA konkret für Unternehmen?

Unternehmen, die cloudbasierte Anwendungen oder virtuelle Desktop-Infrastrukturen einsetzen, sollten Zwei-Faktor-Authentisierung als verbindlichen Sicherheitsstandard etablieren. Dadurch wird verhindert, dass Passwörter allein für den Zugriff auf Systeme, Daten oder Netzwerke ausreichen.

2FA bietet Schutz in typischen Cyberrisikoszenarien:

  • bei verlorenen oder gestohlenen Endgeräten
  • bei gehackten oder wiederverwendeten Passwörtern
  • bei Phishing-Versuchen, bei denen man sich auf einer gefälschten Website anmelden soll, da Ihnen nur die echte Website einen funktionierenden 2FA-Code zuschickt
Schutz von Benutzerkonten und ZugriffssicherheitIllustration eines Laptops mit Benutzersymbol, Schutzschild und Schlüssel. Das Bild steht für sicheren Benutzerzugang, Schutz von Konten, Zugriffskontrollen und die Absicherung digitaler Identitäten vor unbefugtem Zugriff.

Fazit

Der Einsatz und die Implementierung einer Zwei-Faktor-Authentisierung hilft Ihrem Unternehmen und Ihren Mitarbeitern dabei, eine sicherere IT-Infrastruktur aufzubauen – sowohl hausintern als auch mit Remote-Mitarbeitern. In Kombination mit der Verwendung von sicheren Passwörtern und einem Passwort-Manager können Sie mit der 2FA nachhaltig hohe IT-Sicherheitstandards in Ihrem Arbeitsalltag etablieren. 

Weitere interessante Beiträge

endpoint-protection
IT-News
Cybersecurity mit Managed Endpoint Security
20. Februar 2025
Zum Blogbeitrag
Imageshooting-Tag-1_2025_ZVE5696-bb_86-full
IT-News
10 IT-Sicherheitstipps für Unternehmen
2. März 2026
Zum Blogbeitrag
Zwei Personen zünden in einer Stadtumgebung Feuerwerk: Eine Frau steht mit erhobenen Armen, während ein kniender Mann eine Rakete anzündet.
mars-News
mars wünscht ein gutes neues Jahr
13. Dezember 2024
Zum Blogbeitrag

Verpassen Sie keine IT-News mehr!

Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig aktuelle Updates aus der IT-Welt.