Datenschutz und Multi-Faktor-Authentisierung

In unseren Beitrag „Datenschutz und Authentisierung, Authentifizierung und Autorisierung“ gingen wir auf die Unterschiede dieser Begriffe ein. Was hat es aber im Speziellen damit auf sich, wenn Datenschutz und Multi-Faktor-Authentisierung („MFA“) zusammenkommen? Lesen Sie weiter, um mehr herauszufinden.

Was ist Multi-Faktor-Authentisierung?

Wenn wir von Multi-Faktor-Authentisierung schreiben, meinen wir die Kombination von mindestens zwei verschiedenen Möglichkeiten zur Authentisierung eines Nutzers. In der Praxis zeigt sich das dann so, dass ein Nutzer in den häufigsten Fällen zuerst ein Passwort eingibt und dann danach über einen anderen Weg, die Anmeldung bestätigen oder eine PIN o. Ä. eingeben muss.

– Auf der Webseite des BSI (Bundesamt für Sicherheit in der Informationstechnik) gibt es ebenfalls Informationen zu diesem Thema, wenn auch mit Bezug zur „nur“ Zwei-Faktor-Authentisierung („2FA“). –

Möglichkeiten für eine Authentisierung

Wir alle kennen verschiedene Möglichkeiten, uns in einem Portal, an einem Gerät, in der Cloud etc. anzumelden:

1)    Passworteingabe.

2)    Eintrag einer permanent festgelegten PIN.

3)    Nutzung einer Zugangskarte.

4)    Scan des Fingerabdrucks.

5)    E-Mail-Bestätigung der Anmeldung.

6)    Entsprechende Reaktion auf eine Benachrichtigung („Push“-Nachricht) auf beispielsweise dem Smartphone.

7)    Eingabe einer temporären, per Nachricht zugeschickten PIN.

8)    Auslesen eines QR-Codes mithilfe eines TAN-Gerätes.

9)    Eingabe einer für den einmaligen Gebrauch generierten PIN.

10)  Einsatz eines Software-Zertifikates in Kombination mit einem Benutzernamen und Passwort.

11)  Freigabe über einen Code aus einer App, die an die Geräte-ID des beispielsweise Smartphones des Berechtigten gekoppelt ist.

Wie immer ist diese Liste natürlich nicht abschließend, sondern dient dazu, eine Idee von den vielen Möglichkeiten zu bekommen.

Mehr Authentisierungsmöglichkeiten, zunehmende Sicherheit

Je mehr Authentisierungsmöglichkeiten ein Nutzer kombiniert, desto stärker ist die Absicherung vor unbefugtem Zugriff. So sind dann Situationen vermeidbar, in denen ein Angreifer Zugriff auf ein Konto erhält, indem er einfach nur das Passwort eingibt.

Natürlich ist ein Konto auch bei einer Zwei-Faktor-Authentisierung noch nicht vor unbefugtem Zugriff sicher. Schließlich kam es auch schon zu ungewollten Bestätigungen der zweiten Authentisierungsmöglichkeit aufgrund von DDOS-Angriffen auf ein Konto. Dies hatte dann zur Folge, dass der eigentliche Nutzer beispielsweise so lange Benachrichtigungen erhielt, bis er die Zugriffsanfrage versehentlich oder entnervt bestätigte. – Diese Angriffsmethode wird MFA-Fatigue-Angriff genannt. –

Die Lösung: Zusätzliche Authentisierungsmaßnahmen

Kommt dabei aber noch eine mindestens dritte Authentisierungsoption (beispielsweise Wissen, Besitz und/oder Zufallszahl) dazu, steigt die Sicherheit des jeweiligen Kontos. Denn ein Angreifer würde dann noch die dritte Nummer o. Ä. benötigen, um sich Zugriff auf das Profil verschaffen zu können.

Um zu vermeiden, dass man dann versehentlich einem MFA-Fatigue-Angriff erliegt, bieten sich beispielsweise Authentisierungs-Apps an. Diese erfordern die aktive Generierung einer temporären PIN. Idealerweise wird diese PIN dann mit einem anderen Gerät generiert als mit dem zum Einloggen in ein Konto o. Ä. Es hilft also auch die Einbindung von mindestens zwei separaten Geräten: Laptop und Mobiltelefon, TAN-Gerät, USB-Stick/Token o. Ä.

Wie immer gilt es aber, das erforderliche Sicherheitsniveau mit der Benutzerfreundlichkeit abzuwägen. Banken müssen nach der Zahlungsdienstrichtlinie PSD2 eine „starke Kundenauthentifizierung“ („Strong Customer Authentication“, „SCA“) mit mindestens zwei von drei Authentifizierungsmerkmalen bereits seit 2018 vornehmen, was jeder aus der Online-Kontoführung oder von Internetzahlungen kennen dürfte.

Einhaltung der Vorgaben der DSGVO

Die DSGVO selbst macht keine unmittelbare Vorgabe, dass eine Multi-Faktor-Authentisierung einzusetzen ist. Sie gibt in Art. 32 Abs. 1 DSGVO jedoch vor, dass ein Verantwortlicher – zusammengefasst – angemessene und dem Stand der Technik entsprechende technische und organisatorische Maßnahmen implementieren muss, die helfen, die Rechte und Freiheiten natürlicher Personen zu schützen. Welche Maßnahmen er implementiert, liegt in seinem Ermessen. Dabei empfiehlt es sich gleichwohl, sich an beispielsweise den BSI-Empfehlungen für den aktuellen Stand der Technik zu orientieren. Über u. a. diesen Weg landet ein Verantwortlicher schnell bei der Anforderung mindestens zwei Authentisierungsfaktoren einzuführen. Die Implementation einer Multi-Faktor-Authentisierung ist allerdings eine solcher Maßnahmen, deren Umsetzung an sich generell zu einer der wohl kostengünstigen Varianten zählt. Natürlich ist es dabei verständlich, dass noch nicht jeder Anbieter einer Cloud-, Software- oder anderen Lösung, die Konten und Profile benötigt, die Multi-Faktor-Authentisierung anbietet. Dann besteht die Möglichkeit, eventuell auch zu betrachten, ob es eine andere, gleichwertige Methode zum Schutz der personenbezogenen Daten gibt.

Fazit

Es ist empfehlenswert, die Vorgabe der Einrichtung einer Multi-Faktor-Authentisierung sowie die Erstellung und Nutzung komplexer Passwörter in den Richtlinien festzuhalten. So zeigt der Verantwortliche ebenfalls, dass er seinen Nachweispflichten gemäß Art. 5 Abs. 2 DSGVO nachkommt.

Sofern Sie Unterstützung bei der Erstellung solcher Richtlinien und bei anderen Datenschutzthemen wünschen, kontaktieren Sie uns gern.