Zwei-Faktor-Authentifizierung bald Pflicht?

Nach dem Hackerangriff Anfang des Jahres, bei dem zahlreiche Daten von Politikern und Prominenten entwendet wurden, ist eine rege Diskussion um die zukünftige Datensicherheit entfacht. So fordern viele Politiker, die Online-Portale müssten rigoroser bei ihren Sicherheitsanforderungen an Passwörtern sein. Außerdem soll die Zwei-Faktor-Authentifizierung verpflichtender Standard werden. Doch auch die Nutzer müssen Verantwortung zeigen.

Bundesministerin fordert besseren Schutz durch Zwei-Faktor-Authentifizierung

In die Diskussion um die Konsequenzen des Datendiebstahls hat sich auch die Bundesministerin der Justiz und für Verbraucherschutz Katarina Barley zu Wort gemeldet. Sie fordert, dass Online-Portale künftig die Zwei-Faktor-Authentifizierung (kurz: 2FA) zur Pflicht machen sollen. Außerdem soll laut Frau Barley geprüft werden, ob und inwieweit weitere gesetzliche Maßnahmen für die Internetplattformbetreiber und Softwarehersteller sinnvoll sind.

Was bedeutet die Zwei-Faktor-Authentifizierung?

Ist der Zugang zu einem Account mit einer 2FA geschützt, dann wird Eure Identität immer über 2 voneinander unabhängige Komponenten abgefragt. Ihr gebt bspw. Euer Passwort und den Benutzernamen wie gewohnt ein. Nach der Bestätigung müsst Ihr aber noch eine PIN eingeben, um Euch anmelden zu können. Diese bekommt Ihr per SMS. Auch biometrische Faktoren können als zweite Authentifizierung genutzt werden, z.B. ein Fingerabdruck. Hacker können also nicht auf Euren Account zugreifen, selbst wenn sie im Besitz des Passworts sind.

Wer bietet derzeit die 2FA?

Zahlreiche Anbieter haben bereits die Zwei-Faktor-Authentifizierung integriert, darunter Facebook, Instagram, Amazon oder Dropbox. Eine gute und ständig aktuell gehaltene Übersicht über die Anbieter mit 2FA findet Ihr auf https://twofactorauth.org/.

Auch die Nutzer müssen Verantwortung übernehmen

Der Auflistung bei twofactorauth.org kann man zwar entnehmen, dass viele Online-Portale den sichereren Zugang ermöglichen, verpflichtend ist er jedoch nur selten, meist nur bei Banken. Das wiederum führt zu dem Problem, dass viele Nutzer die 2-fache Authentifizierung gar nicht aktivieren und das Konto dementsprechend auch unzureichend gesichert ist. So nutzen nach Angabe der Bundestagsabgeordneten Anke Domscheit-Berg vom Januar diesen Jahres, nur sehr wenige Mitglieder des Bundestags die Zwei-Faktor-Authentifizierung für ihren Facebook-Account.

Doch auch generell sind viele Nutzer im Umgang mit ihren Passwörtern sehr nachlässig. So zeigte die Veröffentlichung des Hasso-Plattner-Institut zu den am häufigsten genutzten Passwörtern 2018, dass Zahlenreihen nach wie vor zu den beliebtesten Passwörtern zählen. Einen Online-Account mit einem Zugang à la „123456“ zu sichern, ist aber genau so effektiv wie dem Hacker gleich das Passwort in die Hand zu drücken.

Frau Barley und andere, vom Datenklau betroffene Politiker stellen daher nicht nur Forderungen an die Online-Anbieter, sondern verweisen auch darauf, wie wichtig ein verantwortungsvoller Umgang mit den eigenen Daten ist. Werden verstärkte Sicherheitsmaßnahmen wie die 2FA angeboten, dann solltet Ihr sie auch nutzen. Das Mindestmaß an Sicherheit ist die Vergabe eines sicheren, komplexen Passwortes.


Weitere Blogbeiträge zum Thema Sicherheit


16 Kommentare  |  Kommentar schreiben

16 Kommentare zu “Politik fordert: Zwei-Faktor-Authentifizierung soll Pflicht werden

Timo #

Geschrieben am 10. Juli 2019 um 13:32 Uhr

Es bleibt hier leider die Frage offen, wann bei webgo für
-Kundenkonto
-Webspace-Admin und
-Email-Konten
2FA genutzt werden kann.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 11. Juli 2019 um 10:05 Uhr

Lieber Timo,

vielen Dank für Deine Frage!

Wir führen noch dieses Jahr eine postalische PIN zur Authentifizierung, der Kundenkonten ein.
Bisher führen wir bei Verdachtsmomenten von möglichem Missbrauch des Kontos auch persönliche Verifizierungsanrufe durch.
Bei der Einführung einer 2FA spielt vor allem die Usability eine große Rolle. Höchstwahrscheinlich führen wir die 2FA per SMS ein, um so ein unkompliziertes aber trotzdem sehr sicheres Verfahren zu haben.
Dieses Verfahren wird jedoch höchstwahrscheinlich erst mit dem neuem Kundenportal released.

Liebe Grüße
Dein webgo Social Team

Timo #

Geschrieben am 16. Juli 2019 um 10:14 Uhr

Danke für die Antwort.
Ich verstehe sie so: Es wird irgendwann ein neues Kundenportal mit SMS-Tan (für den Login?) geben.

-Wie sieht es dann mit dem Admin-Portal aus?
-Gibt es Ideen für die IMAP-Zugänge? Das ist sicher kein leicht zu lösendes Problem, aber gerade für Emailkonten ist ein reiner Passwortschutz sehr wenig, insbesondere wenn auch der Webmailer genutzt wird.
-Verstehe ich es richtig, dass SMS genutzt werden soll, weil der OTP-Standard zu kompliziert ist? Ich denke OTP sollte zumindest als Option verfügbar sein, da es ja sicherer und auch günstiger (für webgo) ist.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 22. Juli 2019 um 16:05 Uhr

Lieber Timo,

selbstverständlich. Bitte entschuldige die etwas verspätete Antwort.
Zugang zum Adminportal erhältst Du wie gewohnt über das Kundenportal, bzw. über den entsprechenden Link inkl. passender Zugangsdaten.

Sämtliche 2FA relevanten Änderungen, würden erst mit dem neuen Kundenportal kommen können. Welches Verfahren Schlussendlich zum Einsatz kommt, können wir noch nicht mit 100 prozentiger Gewissheit sagen.
Ob das OTP per SMS oder per Mail übermittelt wird, steht noch nicht fest. Ein per SMS übermitteltes OTP ist zumindest noch ein Stückweit sicherer, als per Mail.
Für IMAP gilt nach wie vor, dass die Daten immer mittels SSL/TLS Verschlüsselung übermittelt werden. Die Wahl der Passwörter für die E-Mail Konten, können bei Einrichtung selber festgelegt werden.
Hierbei ist es sinnvoll einen Passwortmanager (https://www.webgo.de/blog/richtigen-passwort-manager-fuers-unternehmen-finden/) zu nutzen, oder ein eigenes Passwortes zu bestimmen. Doch dabei gibt es einiges zu berücksichtigen. Worauf dabei zu achten ist, haben wir hier zusammengefasst: https://www.webgo.de/blog/schutzen-sie-sich-tipps-fur-sichere-passworter/

Eine postalische PIN zur Authentifizierung der Nutzer, wird unabhängig vom neuen Kundenportal kommen.

Ich hoffe wir konnten Dir mit der Antwort weiterhelfen!

Liebe Grüße
Dein webgo Social Team

Robert #

Geschrieben am 22. März 2020 um 10:39 Uhr

Hallo zusammen,

der Thread hier ist inzwischen 10 Monate alt … gibt es irgendwelche Neuigkeiten zum Thema 2FA bei WebGo?

Vielen Dank und Grüße
Robert

webgo #

Geschrieben am 23. März 2020 um 14:00 Uhr

Moin Robert,

einen genauen Termin können wir derzeit leider noch nicht nennen. Es wird jedoch defintiv dieses Jahr kommen.

Liebe Grüße

Dein webgo Social Team

Holland #

Geschrieben am 6. Juni 2020 um 09:11 Uhr

Hallo zusammen

Wenn sie schreiben, dass es definitiv dieses Jahr kommen wird dann müsste jetzt schon vieles darüber entschieden und entwickelt sein in welcher Form und bei welchen Logins (siehe Post Timo # Geschrieben am 10. Juli 2019) sie 2FA anbieten werden.

Bisher haben viele Webhoster 2FA für die Konsole, jedoch nicht für das Webmail-Login und das E-Mail. Werden sie von Anfang an 2FA nicht nur für das Kundenportal sondern auch für E-Mail und Webmail-Login anbieten?

Liebe Grüsse
Nicky

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 9. Juni 2020 um 15:21 Uhr

Liebe/r Nicky,

vielen Dank für Deine Frage, sehr gerne beantworten wir diese bestmöglich.

Nach derzeitigem Stand ist dies lediglich für das Kundenportal geplant. Es tut uns leid, dass wir Dir keine positivere Auskunft geben konnten, aber hoffen Dir dennoch damit weitergeholfen zu haben.

Liebe Grüße
Dein webgo Social Team

T.H. #

Geschrieben am 15. Januar 2021 um 00:08 Uhr

Hallo zusammen,

jetzt sind seitdem 10 Monate UND noch einmal 10 Monate vergangen.
Wie kann ich den Sicherheitsmechanismus im Kundenkonto aktivieren?
Benutzername + Kennwort ist Mittelalter und hoffentlich nicht der aktuelle „State of the Art“?

VG

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 18. Januar 2021 um 10:50 Uhr

Lieber T.H.,

wir sind uns dessen bewusst und möchten uns dafür entschuldigen! In der Vergangenheit, wurden wir jedoch vor einige andere Herausforderungen gestellt, die die Priorisierung leicht verschoben haben. Geplant ist es ja bereits für das neue Kundenportal. Wann es so weit ist, können wir aktuell leider nicht genau abschätzen.

Liebe Grüße
Dein webgo Social Team

SN #

Geschrieben am 31. Januar 2021 um 10:03 Uhr

Hallo,
auch ich möchte mich einreihen und spreche mich für ein OTP-Verfahren aus.
Aus dem einfachen Grund, so wenig wie möglich meine Tel. Nummer preis geben und nur zum Beispiel, wenn die Sperrbildschirmbenachrichtigungen aktiviert sind, ist die Nummer mit SMS öffentlich.

Ich finde es immer wieder erstaunlich, wie lange solche Entscheidungsprozesse dauern, nicht mal extrem große Unternehmen lassen sich zu 2FA leicht bewegen, WARUM?

Bitte erwägen Sie nachdrücklich auch den SSH-Zugang mit einer OTP-Authentifizierung absichern. Dieser Zugang ist genau so sensibel!
Grüße

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 1. Februar 2021 um 13:56 Uhr

Liebe/r SN,

wir werden Ihren Vorschlag definitiv intern ansprechen und danken Ihnen herzlich dafür! Auf Ihre Frage, warum selbst extrem große Unternehmen lange dafür benötigen, können wir Ihnen leider nicht beantworten und würden nur mutmaßen.

Ergänzend zu dem, was bisher in dem Beitrag als Antwort auf ähnliche gelagerte Fragen mitgeteilt wurde, müssen wir Sie leider noch um Geduld bitten. Wir können nachvollziehen, dass Ihnen dieses Thema wichtig ist und können Ihnen mitteilen, dass es uns genauso geht. Auch wir würden dies gerne schnellstmöglich umsetzen, müssen dabei jedoch einiges beachten und können dies für das (über die Jahre) gewachsene Kundensystem bzw. -portal, leider nicht einfach so umsetzen. Dies ist bedauerlicherweise erst mit dem neuen Kundensystem möglich.

Liebe Grüße
Ihr webgo Social Team

Kevin #

Geschrieben am 29. März 2021 um 07:59 Uhr

Hallo liebes webgo Social Team,

auch ich will nochmal nachfragen. Ihr habt geschrieben, es wird definitiv 2020 kommen. Nun ist fast 04.2021 und es ist nix davon zu sehen oder?
Wir brauchen hier unbedingt eine sicherere Möglichkeit des Logins. Ich bin noch in der 14 tägigen Wiederrufsphase bei euch Kunde und würde wahrscheinlich sonst wieder wechseln.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 29. März 2021 um 08:37 Uhr

Lieber Kevin,

das tut uns leid, dass wir aufgrund der vielen Unwägbarkeiten der letzten Zeit, nicht dazu gekommen sind, dieses Projekt wie geplant zu veröffentlichen. Es tut uns leid, dass wir Dir keine positivere Rückmeldung geben können, jedoch können wir keinen Termin, geschweige denn einen kurzfristigen, mitteilen.

Liebe Grüße
Dein webgo Social Team

Jochen #

Geschrieben am 5. April 2021 um 11:59 Uhr

Liebes Webgo-Team!

Ich muss gestehen, als langjähriger Kunde, dass mich diese Diskussion mehr und mehr besorgt. Erst “ganz sicher in 2019!”, dann “ganz sicher in 2020!” und jetzt keine Aussagen mehr. Und dabei sprechen wir nur über den Adminzugang. Zu SSH, IMAP gibt es wohl nichtmal Pläne, obwohl das mindestens ebenso so wichtig wäre (wie oben schon angemerkt).

Als Softwareentwickler besorgt mich es sehr, dass es euch (im Gegensatz zu anderen) in nunmehr 2 Jahren nicht möglich war, die 2FA einzubauen. Das sagt leider über die Software oder die Entwickler oder beides. Genau wegen solcher Unwilligkeit oder Unfähigkeit sollte der Gesetzgeber das unbedingt zur Pflicht machen.

Müssen wir tatsächlich alle wechseln?

Viele Grüße
Jochen

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 29. April 2021 um 08:19 Uhr

Lieber Jochen,

bitte entschuldige die verspätete Rückmeldung!

Wir können nachvollziehen, dass die Kommunikation hierzu unglücklich war und es – wie wir Deinem Vorredner schon mitteilten – in der Zeit einige Unwägbarkeiten gab, die leider zu einer derartigen Verzögerung geführt haben. Hierfür bitten wir vielmals um Verzeihung! Dies hat jedoch in keinster Weise etwas mit „Unwilligkeit“ noch „Unfähigkeit“ zu tun. Uns ist dies ebenso wichtig wie für Dich und versichern Dir, dass wir mit Hochdruck daran arbeiten und das neue Kundenportal schnellstmöglich realisieren möchten. Natürlich hoffen wir sehr, dass Du noch etwas Geduld aufbringen kannst und würden uns freuen, wenn Du bei uns bleibst.

Sollte dies für Dich keine Option sein, steht es Dir natürlich frei uns zu verlassen, welches wir gleichwohl sehr bedauern würden.

Liebe Grüße
Dein webgo Social Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.