Zwei-Faktor-Authentifizierung bald Pflicht?

Nach dem Hackerangriff Anfang des Jahres, bei dem zahlreiche Daten von Politikern und Prominenten entwendet wurden, ist eine rege Diskussion um die zukünftige Datensicherheit entfacht. So fordern viele Politiker, die Online-Portale müssten rigoroser bei ihren Sicherheitsanforderungen an Passwörtern sein. Außerdem soll die Zwei-Faktor-Authentifizierung verpflichtender Standard werden. Doch auch die Nutzer müssen Verantwortung zeigen.

Bundesministerin fordert besseren Schutz durch Zwei-Faktor-Authentifizierung

In die Diskussion um die Konsequenzen des Datendiebstahls hat sich auch die Bundesministerin der Justiz und für Verbraucherschutz Katarina Barley zu Wort gemeldet. Sie fordert, dass Online-Portale künftig die Zwei-Faktor-Authentifizierung (kurz: 2FA) zur Pflicht machen sollen. Außerdem soll laut Frau Barley geprüft werden, ob und inwieweit weitere gesetzliche Maßnahmen für die Internetplattformbetreiber und Softwarehersteller sinnvoll sind.

Was bedeutet die Zwei-Faktor-Authentifizierung?

Ist der Zugang zu einem Account mit einer 2FA geschützt, dann wird Eure Identität immer über 2 voneinander unabhängige Komponenten abgefragt. Ihr gebt bspw. Euer Passwort und den Benutzernamen wie gewohnt ein. Nach der Bestätigung müsst Ihr aber noch eine PIN eingeben, um Euch anmelden zu können. Diese bekommt Ihr per SMS. Auch biometrische Faktoren können als zweite Authentifizierung genutzt werden, z.B. ein Fingerabdruck. Hacker können also nicht auf Euren Account zugreifen, selbst wenn sie im Besitz des Passworts sind.

Wer bietet derzeit die 2FA?

Zahlreiche Anbieter haben bereits die Zwei-Faktor-Authentifizierung integriert, darunter Facebook, Instagram, Amazon oder Dropbox. Eine gute und ständig aktuell gehaltene Übersicht über die Anbieter mit 2FA findet Ihr auf https://twofactorauth.org/.

Auch die Nutzer müssen Verantwortung übernehmen

Der Auflistung bei twofactorauth.org kann man zwar entnehmen, dass viele Online-Portale den sichereren Zugang ermöglichen, verpflichtend ist er jedoch nur selten, meist nur bei Banken. Das wiederum führt zu dem Problem, dass viele Nutzer die 2-fache Authentifizierung gar nicht aktivieren und das Konto dementsprechend auch unzureichend gesichert ist. So nutzen nach Angabe der Bundestagsabgeordneten Anke Domscheit-Berg vom Januar diesen Jahres, nur sehr wenige Mitglieder des Bundestags die Zwei-Faktor-Authentifizierung für ihren Facebook-Account.

Doch auch generell sind viele Nutzer im Umgang mit ihren Passwörtern sehr nachlässig. So zeigte die Veröffentlichung des Hasso-Plattner-Institut zu den am häufigsten genutzten Passwörtern 2018, dass Zahlenreihen nach wie vor zu den beliebtesten Passwörtern zählen. Einen Online-Account mit einem Zugang à la „123456“ zu sichern, ist aber genau so effektiv wie dem Hacker gleich das Passwort in die Hand zu drücken.

Frau Barley und andere, vom Datenklau betroffene Politiker stellen daher nicht nur Forderungen an die Online-Anbieter, sondern verweisen auch darauf, wie wichtig ein verantwortungsvoller Umgang mit den eigenen Daten ist. Werden verstärkte Sicherheitsmaßnahmen wie die 2FA angeboten, dann solltet Ihr sie auch nutzen. Das Mindestmaß an Sicherheit ist die Vergabe eines sicheren, komplexen Passwortes.


Weitere Blogbeiträge zum Thema Sicherheit

34 Kommentare  |  Kommentar schreiben

34 Kommentare zu “Politik fordert: Zwei-Faktor-Authentifizierung soll Pflicht werden

Timo #

Geschrieben am 10. Juli 2019 um 13:32 Uhr

Es bleibt hier leider die Frage offen, wann bei webgo für
-Kundenkonto
-Webspace-Admin und
-Email-Konten
2FA genutzt werden kann.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 11. Juli 2019 um 10:05 Uhr

Lieber Timo,

vielen Dank für Deine Frage!

Wir führen noch dieses Jahr eine postalische PIN zur Authentifizierung, der Kundenkonten ein.
Bisher führen wir bei Verdachtsmomenten von möglichem Missbrauch des Kontos auch persönliche Verifizierungsanrufe durch.
Bei der Einführung einer 2FA spielt vor allem die Usability eine große Rolle. Höchstwahrscheinlich führen wir die 2FA per SMS ein, um so ein unkompliziertes aber trotzdem sehr sicheres Verfahren zu haben.
Dieses Verfahren wird jedoch höchstwahrscheinlich erst mit dem neuem Kundenportal released.

Liebe Grüße
Dein webgo Social Team

Timo #

Geschrieben am 16. Juli 2019 um 10:14 Uhr

Danke für die Antwort.
Ich verstehe sie so: Es wird irgendwann ein neues Kundenportal mit SMS-Tan (für den Login?) geben.

-Wie sieht es dann mit dem Admin-Portal aus?
-Gibt es Ideen für die IMAP-Zugänge? Das ist sicher kein leicht zu lösendes Problem, aber gerade für Emailkonten ist ein reiner Passwortschutz sehr wenig, insbesondere wenn auch der Webmailer genutzt wird.
-Verstehe ich es richtig, dass SMS genutzt werden soll, weil der OTP-Standard zu kompliziert ist? Ich denke OTP sollte zumindest als Option verfügbar sein, da es ja sicherer und auch günstiger (für webgo) ist.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 22. Juli 2019 um 16:05 Uhr

Lieber Timo,

selbstverständlich. Bitte entschuldige die etwas verspätete Antwort.
Zugang zum Adminportal erhältst Du wie gewohnt über das Kundenportal, bzw. über den entsprechenden Link inkl. passender Zugangsdaten.

Sämtliche 2FA relevanten Änderungen, würden erst mit dem neuen Kundenportal kommen können. Welches Verfahren Schlussendlich zum Einsatz kommt, können wir noch nicht mit 100 prozentiger Gewissheit sagen.
Ob das OTP per SMS oder per Mail übermittelt wird, steht noch nicht fest. Ein per SMS übermitteltes OTP ist zumindest noch ein Stückweit sicherer, als per Mail.
Für IMAP gilt nach wie vor, dass die Daten immer mittels SSL/TLS Verschlüsselung übermittelt werden. Die Wahl der Passwörter für die E-Mail Konten, können bei Einrichtung selber festgelegt werden.
Hierbei ist es sinnvoll einen Passwortmanager (https://www.webgo.de/blog/richtigen-passwort-manager-fuers-unternehmen-finden/) zu nutzen, oder ein eigenes Passwortes zu bestimmen. Doch dabei gibt es einiges zu berücksichtigen. Worauf dabei zu achten ist, haben wir hier zusammengefasst: https://www.webgo.de/blog/schutzen-sie-sich-tipps-fur-sichere-passworter/

Eine postalische PIN zur Authentifizierung der Nutzer, wird unabhängig vom neuen Kundenportal kommen.

Ich hoffe wir konnten Dir mit der Antwort weiterhelfen!

Liebe Grüße
Dein webgo Social Team

Robert #

Geschrieben am 22. März 2020 um 10:39 Uhr

Hallo zusammen,

der Thread hier ist inzwischen 10 Monate alt … gibt es irgendwelche Neuigkeiten zum Thema 2FA bei WebGo?

Vielen Dank und Grüße
Robert

webgo #

Geschrieben am 23. März 2020 um 14:00 Uhr

Moin Robert,

einen genauen Termin können wir derzeit leider noch nicht nennen. Es wird jedoch defintiv dieses Jahr kommen.

Liebe Grüße

Dein webgo Social Team

Holland #

Geschrieben am 6. Juni 2020 um 09:11 Uhr

Hallo zusammen

Wenn sie schreiben, dass es definitiv dieses Jahr kommen wird dann müsste jetzt schon vieles darüber entschieden und entwickelt sein in welcher Form und bei welchen Logins (siehe Post Timo # Geschrieben am 10. Juli 2019) sie 2FA anbieten werden.

Bisher haben viele Webhoster 2FA für die Konsole, jedoch nicht für das Webmail-Login und das E-Mail. Werden sie von Anfang an 2FA nicht nur für das Kundenportal sondern auch für E-Mail und Webmail-Login anbieten?

Liebe Grüsse
Nicky

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 9. Juni 2020 um 15:21 Uhr

Liebe/r Nicky,

vielen Dank für Deine Frage, sehr gerne beantworten wir diese bestmöglich.

Nach derzeitigem Stand ist dies lediglich für das Kundenportal geplant. Es tut uns leid, dass wir Dir keine positivere Auskunft geben konnten, aber hoffen Dir dennoch damit weitergeholfen zu haben.

Liebe Grüße
Dein webgo Social Team

T.H. #

Geschrieben am 15. Januar 2021 um 00:08 Uhr

Hallo zusammen,

jetzt sind seitdem 10 Monate UND noch einmal 10 Monate vergangen.
Wie kann ich den Sicherheitsmechanismus im Kundenkonto aktivieren?
Benutzername + Kennwort ist Mittelalter und hoffentlich nicht der aktuelle „State of the Art“?

VG

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 18. Januar 2021 um 10:50 Uhr

Lieber T.H.,

wir sind uns dessen bewusst und möchten uns dafür entschuldigen! In der Vergangenheit, wurden wir jedoch vor einige andere Herausforderungen gestellt, die die Priorisierung leicht verschoben haben. Geplant ist es ja bereits für das neue Kundenportal. Wann es so weit ist, können wir aktuell leider nicht genau abschätzen.

Liebe Grüße
Dein webgo Social Team

SN #

Geschrieben am 31. Januar 2021 um 10:03 Uhr

Hallo,
auch ich möchte mich einreihen und spreche mich für ein OTP-Verfahren aus.
Aus dem einfachen Grund, so wenig wie möglich meine Tel. Nummer preis geben und nur zum Beispiel, wenn die Sperrbildschirmbenachrichtigungen aktiviert sind, ist die Nummer mit SMS öffentlich.

Ich finde es immer wieder erstaunlich, wie lange solche Entscheidungsprozesse dauern, nicht mal extrem große Unternehmen lassen sich zu 2FA leicht bewegen, WARUM?

Bitte erwägen Sie nachdrücklich auch den SSH-Zugang mit einer OTP-Authentifizierung absichern. Dieser Zugang ist genau so sensibel!
Grüße

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 1. Februar 2021 um 13:56 Uhr

Liebe/r SN,

wir werden Ihren Vorschlag definitiv intern ansprechen und danken Ihnen herzlich dafür! Auf Ihre Frage, warum selbst extrem große Unternehmen lange dafür benötigen, können wir Ihnen leider nicht beantworten und würden nur mutmaßen.

Ergänzend zu dem, was bisher in dem Beitrag als Antwort auf ähnliche gelagerte Fragen mitgeteilt wurde, müssen wir Sie leider noch um Geduld bitten. Wir können nachvollziehen, dass Ihnen dieses Thema wichtig ist und können Ihnen mitteilen, dass es uns genauso geht. Auch wir würden dies gerne schnellstmöglich umsetzen, müssen dabei jedoch einiges beachten und können dies für das (über die Jahre) gewachsene Kundensystem bzw. -portal, leider nicht einfach so umsetzen. Dies ist bedauerlicherweise erst mit dem neuen Kundensystem möglich.

Liebe Grüße
Ihr webgo Social Team

Kevin #

Geschrieben am 29. März 2021 um 07:59 Uhr

Hallo liebes webgo Social Team,

auch ich will nochmal nachfragen. Ihr habt geschrieben, es wird definitiv 2020 kommen. Nun ist fast 04.2021 und es ist nix davon zu sehen oder?
Wir brauchen hier unbedingt eine sicherere Möglichkeit des Logins. Ich bin noch in der 14 tägigen Wiederrufsphase bei euch Kunde und würde wahrscheinlich sonst wieder wechseln.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 29. März 2021 um 08:37 Uhr

Lieber Kevin,

das tut uns leid, dass wir aufgrund der vielen Unwägbarkeiten der letzten Zeit, nicht dazu gekommen sind, dieses Projekt wie geplant zu veröffentlichen. Es tut uns leid, dass wir Dir keine positivere Rückmeldung geben können, jedoch können wir keinen Termin, geschweige denn einen kurzfristigen, mitteilen.

Liebe Grüße
Dein webgo Social Team

Jochen #

Geschrieben am 5. April 2021 um 11:59 Uhr

Liebes Webgo-Team!

Ich muss gestehen, als langjähriger Kunde, dass mich diese Diskussion mehr und mehr besorgt. Erst “ganz sicher in 2019!”, dann “ganz sicher in 2020!” und jetzt keine Aussagen mehr. Und dabei sprechen wir nur über den Adminzugang. Zu SSH, IMAP gibt es wohl nichtmal Pläne, obwohl das mindestens ebenso so wichtig wäre (wie oben schon angemerkt).

Als Softwareentwickler besorgt mich es sehr, dass es euch (im Gegensatz zu anderen) in nunmehr 2 Jahren nicht möglich war, die 2FA einzubauen. Das sagt leider über die Software oder die Entwickler oder beides. Genau wegen solcher Unwilligkeit oder Unfähigkeit sollte der Gesetzgeber das unbedingt zur Pflicht machen.

Müssen wir tatsächlich alle wechseln?

Viele Grüße
Jochen

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 29. April 2021 um 08:19 Uhr

Lieber Jochen,

bitte entschuldige die verspätete Rückmeldung!

Wir können nachvollziehen, dass die Kommunikation hierzu unglücklich war und es – wie wir Deinem Vorredner schon mitteilten – in der Zeit einige Unwägbarkeiten gab, die leider zu einer derartigen Verzögerung geführt haben. Hierfür bitten wir vielmals um Verzeihung! Dies hat jedoch in keinster Weise etwas mit „Unwilligkeit“ noch „Unfähigkeit“ zu tun. Uns ist dies ebenso wichtig wie für Dich und versichern Dir, dass wir mit Hochdruck daran arbeiten und das neue Kundenportal schnellstmöglich realisieren möchten. Natürlich hoffen wir sehr, dass Du noch etwas Geduld aufbringen kannst und würden uns freuen, wenn Du bei uns bleibst.

Sollte dies für Dich keine Option sein, steht es Dir natürlich frei uns zu verlassen, welches wir gleichwohl sehr bedauern würden.

Liebe Grüße
Dein webgo Social Team

winklerrr #

Geschrieben am 21. November 2021 um 22:16 Uhr

Ende 2021… wie ist der Stand?

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 22. November 2021 um 15:37 Uhr

Lieber winklerrr,

vielen Dank für Deinen Kommentar. Wir können Dir das erste Quartal 2022 als Info hierzu nennen. 😉

Liebe Grüße
Dein webgo Social Team

Ju #

Geschrieben am 14. Dezember 2021 um 09:27 Uhr

Ich muss jetzt auch noch meinen Quark dazutun. Ein Thema seit 2019 hier und inzwischen die 3. Verschiebung (wenn ich richtig gezählt habe).

Bin schon länger Kunde. Wenn der Termin Q1 ’22 nicht gehalten wird, muss ich mich anderweitig umsehen.

Vor allem wäre auch ein Wort zu 2FA bei SSH und IMAP interessant sowie ob ihr nun nur SMS oder OTP dazu nehmt.

Viele Grüße

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 16. Dezember 2021 um 08:48 Uhr

Liebe/r Ju,

vielen Dank für Deinen Kommentar welchen wir natürlich bestmöglich beantworten möchten. Wir werden die 2FA Authentifizierung „nur“ für den Login zum neuen Kundenportal anbieten.
Dies hat folgende Hintergründe: Zum einen ist dies bei einem Mailclient nicht zu empfehlen, da dieser regelmäßig Verbindungen zum Mailserver aufbaut und Du Dich jedes mal authentifizieren müsstest und zum anderen kannst Du bei SSH mit einem SSH Key arbeiten. Das Passwort sollte man bei SSH sowieso immer deaktivieren.

Wir hoffen Dir damit weitergeholfen zu haben und wünschen Dir noch eine schöne Vorweihnachtszeit!

Liebe Grüße
Dein webgo Social Team

Ju #

Geschrieben am 13. Januar 2022 um 08:31 Uhr

Hallo Marcel,

danke für die prompte Antwort. Wird 2FA mit OTP unterstützt werden?

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 17. Januar 2022 um 10:22 Uhr

Lieber Ju,

genau, dass wird dann über ein OTP umgesetzt. 🙂

Liebe Grüße
Dein webgo Social Team

Mo #

Geschrieben am 24. Februar 2022 um 09:35 Uhr

Liebes Webgo-Team,
wie ist der aktuelle Status? Erfolgt die Einführung von 2FA für das Kundenmenü in Q1-2022 – also spätestens bis zum 31.03.2022?
Besten Dank im Voraus.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 25. Februar 2022 um 15:54 Uhr

Lieber Mo,

das ist definitiv das Ziel. Sollte es bis dahin wider erwarten nicht klappen, werden wir dies kurzfristig noch im alten WCS implementieren.

Liebe Grüße
Marcel vom webgo Social Team

Mo #

Geschrieben am 1. April 2022 um 07:47 Uhr

Liebes Webgo-Team,
wie ist der aktuelle Status? Wann wird die 2FA für das Kundenmenü zur Verfügung gestellt?
Besten Dank.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 4. April 2022 um 07:50 Uhr

Lieber Mo,

uns ist bewusst, dass Ihr bei dem Thema „auf heißen Kohlen sitzt“. Eine Implementierung von 2FA für das aktuelle Kundenmenü haben wir leider nicht wie erhofft kurzfristig implementieren können. Es wird bedauerlicherweise noch ein bisschen Zeit in Anspruch nehmen. Auch wir hätten gerne bessere Neuigkeiten für Euch und möchten uns für die Verzögerungen entschuldigen. Natürlich sind wir weiterhin dran und schauen, dies schnellstmöglich realisieren zu können!

Liebe Grüße
Marcel vom webgo Social Team

Mo #

Geschrieben am 24. August 2022 um 16:53 Uhr

Liebes Webgo-Team,
4 weitere Monate sind verstrichen und wir als Kunden haben bislang immer noch keine Informationen erhalten, wann 2FA für das Kundenmenü zur Verfügung gestellt wird. Wird das Thema von Webgo noch verfolgt?
Besten Dank.

Matthias #

Geschrieben am 28. August 2022 um 13:19 Uhr

Liebes webgo-Team,

abgesehen von den ärgerlichen Verzögerungen bei der Einführung einer 2FA habe ich noch eine andere Frage.
In dem Beitrag vom 16. Dezember 2021 um 08:48 Uhr wird empfohlen für SSH-Zugänge einen SSH-Key zur Authentifizierung zu benutzen und die Authentifizierung per Passwort zu deaktivieren. Das ist sicher ein sehr sinnvoller Ratschlag.
Wie lässt sich dies bei den Webhosting-Angeboten von webgo (bei mir Webhosting – CMS Pro) einstellen?

Viele Grüße
Matthias

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 5. September 2022 um 13:09 Uhr

Lieber Mo,

wir können nachvollziehen, dass es Euch ein wichtiges Anliegen ist. Sehr gerne hätten wir Euch dies bereits jetzt ermöglicht. Uns ist dies ebenso wichtig, leider schaffen wir es nicht, es noch in das aktuelle System zu integrieren und müssen daher auf das neue Kundenportal verweisen, welches sich in der Entwicklung befindet. Sobald dies fertig ist, werdet Ihr auf unseren Kanälen selbstverständlich darüber informiert.

Liebe Grüße
Marcel vom webgo Social Team

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 5. September 2022 um 13:16 Uhr

Lieber Matthias,

das tut uns auch leid und natürlich können wir das nachvollziehen, auch wir hätten Euch sehr gerne bereits die Einführung verkündet!

Es freut uns, dass Dir dieser Ratschlag weiterhilft. Zu Deiner Frage hinsichtlich der Einstellung der SSH Key Authentifizierung:
Dafür würden wir Dich bitten unseren Support zu kontaktieren. Dieser hilft Dir bei der Einrichtung und hinterlegt den SSH Key bei uns.

Liebe Grüße
Marcel vom webgo Social Team

Leon #

Geschrieben am 3. Januar 2023 um 16:11 Uhr

Hallo, ich habe gerade hier die Kommentare gesehen und wollte mich informieren, wie es mit dem neuen Kundenportal und 2FA aussieht.
Gibt es hier schon genauere Pläne oder wurde das ganze aufs Eis gelegt?

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 27. Januar 2023 um 08:39 Uhr

Lieber Leon,

uns ist bewusst, dass die Wartezeit sehr lange ist und Ihr auf heißen Kohlen sitzt. Auch wir hätten das neue Kundenportal sehr gerne bereits fertiggestellt. Wir versichern, dass wir weiterhin intensiv daran arbeiten und dieses Projekt nicht auf Eis gelegt haben. Sobald wir fertig sind, werdet Ihr es umgehend erfahren! 🙂

Liebe Grüße
Marcel vom webgo Social Team

Leonhard Salcher #

Geschrieben am 10. Mai 2023 um 10:29 Uhr

Guten Tag,
ich bin einer der Kunden der nicht ganz so schnell war, überall 2FA einzurichten, alle wichtigen Anbieter haben mittlerweile nachgezogen. Umso erstaunlicher das es WebGo nicht schafft für das Kundenportal und Webmail diese Lösung anzubieten, ich war regelrecht entsetzt als ich den Thread hier gelesen habe. Gibt es denn Neuigkeiten hierzu. Ansonsten werde ich leider prüfen müssen zu einem anderen Anbieter zu wechseln.

Marcel El-Ghori (webgo GmbH) #

Geschrieben am 22. Mai 2023 um 15:26 Uhr

Lieber Leonhard,

das bedauern wir auch sehr und können absolut nachvollziehen, dass die Umsetzung des neuen Kundenportals und die damit verbundene Implementierung von 2FA erwartet wird. Wir sind weiterhin dran und setzen alles daran, dass dies so schnell wie möglich passiert. Auch wir hätten dies natürlich lieber heute, als morgen, wird jedoch leider noch Zeit in Anspruch nehmen. Natürlich kannst Du, sofern Du es wünschst, aus diesem Grund auch unsere Zufriedenheitsgarantie nutzen, gleichwohl wir dies natürlich bedauern würden.

Wir melden uns dazu einmal persönlich bei Dir und möchten uns erneut und in aller Form für die lange Wartezeit in diesem Zusammenhang entschuldigen.

Liebe Grüße
Marcel vom webgo Social Team

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert