Black Friday und Cyber Monday – für Online-Shopper sind diese Aktionstage besonders reizvoll, weil viele Händler wieder mit großen Rabatten locken. Bei aller vorweihnachtlichen Liebe zur großen Schnäppchenjagd sollte dabei die Sicherheit der Nutzerdaten nicht vergessen werden. Allzu schnell werden sonst Kreditkartendaten gestohlen, hinterlegte Zahlungsinformationen missbraucht oder wichtige Log-in-Daten per Phishing entwendet. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine aktuelle Spam-Welle mit Bezug zu den Aktionstagen registriert und weist daher auf die Bedeutung der Zwei-Faktor-Authentisierung hin, die den Verbraucherinnen und Verbrauchern zusätzlichen Schutz bieten kann.
»Auch beim Online-Shopping müssen wir uns darauf verlassen können, dass unsere Kontodaten und andere persönliche Informationen sicher sind. Die Zwei-Faktor-Authentisierung erhöht die Sicherheit der Kundendaten deutlich, bei der Anmeldung ebenso wie beim Bezahlvorgang per Online-Banking, Online-Bezahldienst oder Kreditkarte. Wann immer es um sensible Daten geht, sind Online-Diensteanbieter aufgerufen, nutzerfreundliche und sichere Verfahren anzubieten. Verbraucherinnen und Verbraucher sollten gleichermaßen auf den Einsatz eines solchen Verfahrens bestehen. Als die nationale Cyber-Sicherheitsbehörde nimmt das BSI den digitalen Verbraucherschutz ernst und sorgt etwa mit dem elektronischen Personalausweis oder durch die Entwicklung sogenannter FIDO-Token für mehr Cybersicherheit in der Digitalisierung«, so BSI-Präsident Arne Schönbohm.
Mit der Zwei-Faktor-Authentisierung wird die Sicherheit von Log-in-Verfahren deutlich verbessert.
Neben der Kombination aus Nutzernamen und Passwort wird mindestens ein weiterer Faktor eingesetzt, der die Identität des Nutzers gegenüber Online-Händlern, Banken oder auch Social-Media-Diensten eindeutig bestimmt. Diese Verfahren ergänzen den Faktor Wissen (Passwort) um die Faktoren Besitz (etwa Chipkarte, TAN-Generator oder Zertifikat) oder Biometrie (etwa Fingerabdruck, Iris-Scan oder Gesichtserkennung).
Wie das funktioniert, welche Verfahren es gibt und wann sie sinnvoll eingesetzt werden, erklärt das BSI in seinem Verbraucherportal www.bsi-fuer-buerger.de
sowie im Podcast
(https://www.bsi.bund.de/SharedDocs/Audio/DE/BSIfB/2FA-zwei-faktor-authentisierung.html)
und der Video-Reihe »IT-Sicherheit verständlich erklärt«
(https://www.bsi.bund.de/SharedDocs/Videos/DE/BSIFB/2FA-zwei-faktor-authentisierung.html).
Spam und Phishing lassen sich grundsätzlich auch für Computer-Laien sehr zuverlässig erkennen. Wie das funktioniert erläutern das BSI unter https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/spamPhishingCo_node.html. Generell
Generell gilt: auf fragwürdige Mails nie antworten und im Zweifel einfach löschen.
Sicheres Einloggen leicht gemacht
Ende November rufen diverse Online-Händler wieder den Cyber Monday aus. Dort wird mit großen Rabattaktionen geworben und bereits für den Rausch unter dem Weihnachtsbaum eingekauft. Gebremst werden die schnellen Einkäufe durch Online-Banking und komplizierte Log-in-Prozesse. Damit Sie so kurz vor dem Jahresende nicht noch eine böse Überraschung erleben, zeigt BSI für Bürger Online-Shoppern und Sparfüchsen, wie sie mit Hilfe der sogenannten Zwei-Faktor-Authentisierung das Einkaufserlebnis sicher gestalten und welche Vorteile sich daraus ergeben.
Was ist Zwei-Faktor-Authentisierung?
Die Zwei-Faktor-Authentisierung ist ein Instrument zur Verbesserung von Log-in-Verfahren. Damit Nutzerinnen und Nutzer ihre Identität gegenüber der Bank, einem Social-Media-Konto oder einem Online-Händler bestätigen können, müssen sie in vielen Fällen eine Kombination aus E-Mail-Adresse/Benutzernamen und Passwort eingeben. Dieser einfache Zugang stellt eine Ein-Faktor-Authentisierung dar und kann als eine einfache Barriere für unbefugte Zugriffe verstanden werden.
Damit Unbefugten der Zugang wirklich verwehrt bleibt, bietet es sich an, beim Log-in stattdessen eine Zwei-Faktor-Authentisierung zu nutzen. Wenn der erste Faktor Wissen voraussetzt (also z.B. ein Passwort), sollte Faktor zwei auf Biometrie oder Besitz basieren. Das bedeutet, dass bei der Überprüfung des zweiten Faktors eine unverwechselbare Eigenschaft, z. B. ein Fingerabdruck, oder ein eindeutig nachgewiesenes Eigentum der Anwenderin oder des Anwenders abgefragt wird, z. B. ein TAN-Generator, ein Zertifikat oder eine Chipkarte. Die Prüfung der verschiedenen Faktoren kann dabei mehrstufig (Prüfung nacheinander) oder kombiniert (Prüfung gleichzeitig) erfolgen.
Erhält ein Unbefugter nun die Kombination aus Benutzernamen und Passwort, steht er oder sie vor der Hürde, einen Fingerabdruck oder einen nicht zu ermittelnden Code eingeben zu müssen. Ebenso wenig kann eine entwendete Chipkarte oder ein Softwarezertifikat genutzt werden, ohne die PIN bzw. das Kennwort zu kennen. Der Zugang bleibt verschlossen und die Daten sind gesichert.
Wann ist Zwei-Faktor-Authentisierung sinnvoll?
Grundsätzlich ist die Kombination mehrerer Faktoren bei jeder Art der Zugangsberechtigung sinnvoll. Bei besonders schützenswerten Daten ist eine solche Log-in-Absicherung sogar alternativlos. Wenn Sie folgende Dienste über das Internet nutzen, sollten Sie überprüfen, ob eine Zwei-Faktor-Authentisierung zur Verfügung steht und diese bereits eingerichtet ist:
- Online-Banking und Online-Zahlungsdienstleister
- Online-Shopping mit hinterlegter Kreditkarte oder Lastschriftmandat
- Online-Speicher und Clouds
- Social Media-Zugänge
- Account des Smartphones
- Fernzugriff auf Router oder Heimnetz
- Fernzugriffe auf Arbeitgebersysteme
In den meisten Fällen bietet exponierte Hard- und Software in den Sicherheitseinstellungen eine Zwei-Faktor-Authentisierung an.
Sollten Sie auf der Suche nach weiteren Informationen zur Absicherung Ihrer Online-Dienste sein, finden Sie ausführliche Erklärungen und die gängigsten technischen Lösungen in unseren Artikel zur Zwei-Faktor-Authentisierung.
Studie zur Zwei-Faktor-Authentifizierung – Payback, GMX und Zalando fallen durch
Mit der Zwei-Faktor-Authentifizierung die Anforderungen der EU-Datenschutzgrundverordnung erfüllen
Besitz macht sicher(er) – Mehr Schutz für digitale Zugänge durch Zwei-Faktor-Authentisierung
Zwei-Faktor-Authentifizierung bei SaaS-Lösungen – Security first
Cyberangriffe zur Übernahme von E-Mail-Konten sind weitverbreitet