In diesem Beitrag behandeln wir die gängigen Fragen zur Multi-Faktor-Authentifizierung und den Zusammenhang für den Datenschutz.
Die Multi-Faktor-Authentifizierung (MFA) ermöglicht über mehrere festgelegte Komponenten, den Zugriff auf Anwendungen und die dahinter stehenden Informationen und Daten, zu sichern. Ziel ist, nur solchen Personen den Zugriff zu gewähren, die diesen auch benötigen und zugleich vor Cyberattacken zu schützen. Das zur Identifikation einzugebende Passwort, wird durch einen oder mehrere – insbesondere unabhängige – Faktoren ergänzt.
Die Multi-Faktor-Authentifizierung als auch die Zwei-Faktor-Authentifizierung (2FA) bieten hohen Schutz vor unbefugtem Zugriff auf Ihre Software und Daten. Der einziger Unterschied der beiden besteht in der Anzahl der genutzten Faktoren, die für die Anmeldung erforderlich sind. Bei der 2FA sind, wie der Name schon sagt, lediglich zwei Faktoren für den Log-in nötig. Bei der MFA hingegen, kommen zwei oder mehr Faktoren zum Einsatz.
Da sie einen Schutz vor unberechtigten Zugriffen auf Informationen und Daten bietet, ist die Multi-Faktor-Authentifizierung auch für die Gewährleistung der Sicherheit personenbezogener Daten im Rahmen der DSGVO eine genutzte Maßnahme. Sie kann also im Kontext der DSGVO als sogenannte technische und organisatorische Maßnahme (TOM) klassifiziert werden.
Die Multi-Faktor-Authentifizierung schützt vor einer der häufigsten Ursachen von erfolgreichen Cyberattacken, dem Zugriff aufgrund von schwachen, wiederverwendeten oder gestohlenen Passwörtern. Nutzer und Nutzerinnen wählen häufig Passwörter, die sie sich leicht merken können. Daher lässt sich diese Schwachstelle nur schwer vermeiden. Die MFA ist daher der beste und wirksamste Schutz gegen die Mehrheit von Angriffen im Zusammenhang mit Passwörtern, wie etwa Brute-Force-Attacken (d.h. dem Versuch ein Passwort zu knacken in dem mögliche Passwörter nach dem Trial-and-Error Prinzip ausprobiert werden).
Der größte Nachteil der Multi-Faktor-Authentifizierung ist, dass sie die Komplexität für die Nutzerinnen und Nutzer erhöht. Gerade technisch wenig versierte Nutzer*innen können das Einrichten und Nutzen der MFA als kompliziert empfinden. Insbesondere weil sie den Aufwand beim Log-in deutlich erhöht. Jedoch kann die Multi-Faktor-Authentifizierung je nach Sicherheitsbedarf im System individuell ausgestaltet werden – insbesondere welche und wie viele Faktoren eingesetzt werden. Es gibt folglich Möglichkeiten derartige Nachteile möglichst gering zu halten und eine MFA etwa nur in besonders sicherheitsrelevanten Bereichen einzusetzen.
Es gibt insgesamt vier verschiedene Faktoren die kombiniert werden können:
“Wissen” – neben dem Passwort sind dies z. B. PINs und Sicherheitsfragen
“Besitz” – das sind beispielsweise E-Mails, SMS oder Anrufe, die über einen Laptop oder ein Mobiltelefon empfangen werden können
“Inhärenz” – sprich einem einzigartigen, nur dem autorisierten Nutzer zuordenbaren Merkmal, beispielsweise einem Fingerabdruck, Gesichtserkennung oder Iris-Scan
“Standort” – das können z.B. bestimmte regional zuordenbare IP-Adressen oder die Geolokalisierung sein
Anwendung finden die unterschiedlichen Faktoren vor allem beim Log-In des Nutzers. Ihr Einsatz bietet sich aber auch zum Schutz weiterer sensibler Systemhandlungen. So etwa bei Passwortänderungen, Änderungen der Sicherheitsfrage oder der mit dem Benutzerkonto verknüpften E-Mail Adresse, beim Ausschalten der MFA oder dem Umschalten von einer Nutzer-Session auf eine Administrator-Session.
Damit der Zugriff auf die Datenschutzmanagement-Software von caralegal sicher – d.h. nur durch berechtigte Personen – erfolgen kann, wurde als Sicherheitsfeature eine individuell konfigurierbare Multi-Faktor-Authentifizierung eingebaut. Diese kann entweder freiwillig, bei Bedarf aber auch als verpflichtendes Element für alle Nutzer eingerichtet werden. Außerdem können innerhalb der Software, durch ein spezifisches Rechte- und Rollensystem, individuelle Nutzungsberechtigungen an Mitarbeiter und Mitarbeiterinnen vergeben werden. Daten sind somit noch besser geschützt.
Link kopieren