Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?
Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?
Starker Zugangsschutz nicht nur im Zahlungsverkehr
Nicht nur im Zahlungsverkehr ist ein starker Zugangsschutz sinnvoll, der das Nutzer-Passwort um weitere Sicherheits-Faktoren ergänzt. Das zweite Sicherheits-Merkmal kann etwa ein Einmal-Passwort oder eine Chipkarte sein. Benötigen Nutzer zwei dieser Zugangs-Mechanismen, spricht man von Zwei-Faktor-Authentifizierung, abgekürzt 2FA.
Die Datenschutz-Grundverordnung (DSGVO) besagt in Artikel 32 (Sicherheit der Verarbeitung): „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, …“
Haben personenbezogene Daten also einen hohen Schutzbedarf, muss auch der Schutz vor unbefugten Zugang entsprechend hoch sein. Das betrifft etwa Gesundheits- oder Kreditkarten-Daten. In der Regel geschieht dies durch eine Zwei-Faktor-Authentifizierung und eine Verschlüsselung.
Leider stößt es bei den Nutzern auf wenig Gegenliebe, wenn sie weitere Schutzfaktoren verwenden sollen, um ihren Zugang abzusichern. Sie scheuen den Aufwand.
Mehr Aufwand, mehr Schutz?
Datenschutzbeauftragte versuchen schon seit Langem, Nutzer und Geschäftsleitung von den Vorteilen einer 2FA zu überzeugen. Denn der zusätzliche Aufwand bringt ja zusätzlichen Schutz.
Insbesondere ein Verfahren, welches das Smartphone verwendet, das die meisten Nutzer ohnehin bei sich tragen, scheint ein guter Kompromiss zu sein: Das Einmal-Passwort als zusätzlicher Sicherheitsfaktor kommt häufig als SMS auf das Smartphone des Nutzers.
Berichte über bekannt gewordene Vorfälle (wie der Reddit Hack) zeigen jedoch, dass Angreifer die SMS mit dem Einmal-Passwort ausspähen können. Neben dem Nutzer-Passwort könnte also auch das Einmal-Passwort, das per SMS kommt, in unbefugte Hände geraten.
Wie ist so etwas möglich? Dafür reicht schon eine Spionage-App, die der Nutzer nichtsahnend installiert.
Die App verlangt Zugriff auf die SMS des Nutzers. Und da die wenigsten Nutzer überprüfen, welche Berechtigungen eine App wirklich braucht, leitet sie ungestört die SMS mit Einmal-Passwort an den Angreifer weiter.
Zwei-Faktor-Authentifizierung bleibt wichtig
Bedeuten Vorfälle wie der Reddit-Hack nun, dass ein starker Zugangsschutz, der auf 2FA basiert, gar nicht stark ist? Lohnt sich der Aufwand für ein solches Verfahren noch?
Raten Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter nicht von der Zwei-Faktor-Authentifizierung ab. Suchen Sie vielmehr wie bei jedem Security-Verfahren nach Schwachstellen.
SMS sind auf vielen Endgeräten ungeschützt. Security-Token, also spezielle Geräte, die Einmal-Passwörter erzeugen, schaffen Abhilfe. Sie haben im Vergleich zu den üblichen Smartphones einige Vorteile. Unter anderem installiert der Nutzer auf Security-Tokens keine fremden Apps, die die Erlaubnis bekommen, SMS-Nachrichten zu lesen.
Grundsätzlich gilt zudem, dass die Security mehrstufig sein sollte, also etwa zusätzlich zum Zugangsschutz mit 2FA eine Verschlüsselung nötig ist.
Das Beispiel Zwei-Faktor-Authentifizierung zeigt: Alle Security-Verfahren können Schwachstellen haben. Deshalb sind mehrere Schichten für die Security immer von Vorteil.