Eine Mehrfaktor-Authentifizierung (MFA) kann helfen, Organisationen vor Cyberangriffen schützen, weil Sie unberechtigte Zugriffe auf Software erschwert und damit ein Element der überall erforderlichen Risikominimierung zum Schutz von (Personen-)Daten ist. Wir möchten Ihnen hier einen Einblick in die Vorteile und Herausforderungen geben.
Übersicht
1) Was ist eine MFA?
Die Mehrfaktor-Authentifizierung (MFA) ist ein Sicherheitsmechanismus, der in vielen Bereichen verwendet wird, um die Sicherheit von Konten und Systemen zu erhöhen. Im Gegensatz zur herkömmlichen Ein-Faktor-Authentifizierung, bei der nur ein Passwort oder eine PIN benötigt wird, um auf ein Konto zuzugreifen, erfordert die MFA mindestens zwei Faktoren zur Authentifizierung. Vor allem als Schutz vor Cyberangriffen ist eine MFA sehr zu empfehlen. Mehrere Faktoren bieten nämlich zusätzliche Sicherheit, da ein Angreifer sowohl das Passwort als auch den zweiten Faktor stehlen müsste, um Zugang zum Konto zu erhalten. Dies macht es viel schwieriger für Angreifer, in ein Konto einzudringen, selbst wenn sie das Passwort des Benutzers kennen.
2) Der Ablauf
Zur Authentifizierung und Nutzung des System muss sich die Person vorab identifizieren.
Die Faktoren, die bei einer MFA zum Einsatz kommen können, sind:
- Etwas, das der Benutzer weiß (z.B. Passwort, PIN, Antwort auf eine geheime Frage)
- Etwas, das der Benutzer hat (z.B. Smartphone, Token, Smartcard)
- Etwas, das der Benutzer ist (z.B. Fingerabdruck, Iris-Scan, Gesichtserkennung)
Die meisten MFA-Systeme verwenden zwei Faktoren, z.B. ein Passwort und ein Token. Hier ist ein Beispiel für einen typischen Ablauf:
- Der Benutzer gibt seinen Benutzernamen und sein Passwort ein, um auf sein Konto zuzugreifen.
- Das System sendet eine Anfrage an den Benutzer, um einen zweiten Faktor zur Authentifizierung zu liefern, z.B. durch eine Push-Benachrichtigung auf das Smartphone oder durch eine Abfrage nach einem Sicherheits-Token.
- Der Benutzer liefert den zweiten Faktor zur Authentifizierung, z.B. indem er den Bestätigungscode aus der Push-Benachrichtigung eingibt oder das Sicherheits-Token in ein Kartenlesegerät einsteckt.
- Das System überprüft die Kombination aus Benutzername, Passwort und zweitem Faktor und gewährt Zugang zum Konto, wenn alles korrekt ist.
3) Die datenschutzrechtliche Einordnung der Mehrfaktor-Authentifizierung
Die Mehrfaktor-Authentifizierung (MFA) ist aus datenschutzrechtlicher Sicht grundsätzlich positiv zu bewerten, da sie dazu beiträgt, die Sicherheit personenbezogener Daten zu erhöhen.
Die Art und Weise, wie die MFA umgesetzt wird, kann jedoch den Datenschutz beeinträchtigen. Zum Beispiel kann die Verwendung biometrischer Daten (wie Fingerabdrücke oder Gesichtsscans) als Authentifizierungsfaktor bedenklich sein, wenn diese Daten unverschlüsselt oder unzureichend geschützt übertragen oder gespeichert werden. In solchen Fällen sollten geeignete technische und organisatorische Maßnahmen ergriffen werden, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgt.
Darüber hinaus müssen die Verantwortlichen für die Verarbeitung personenbezogener Daten, wie beispielsweise Unternehmen oder Behörden, sicherstellen, dass sie die Grundsätze der Datenschutz-Grundverordnung (DSGVO) einhalten. Dies bedeutet, dass sie sicherstellen müssen, dass die Verarbeitung personenbezogener Daten transparent, zweckgebunden und angemessen ist und dass die betroffenen Personen über ihre Rechte in Bezug auf die Verarbeitung informiert werden.
4) Was man beachten sollte
Am Anfang stehen das Verfahren selbst und die Auswahl der technischen Lösung sowie die Information des Betriebsrats/ Personalrats (falls vorhanden) und ggf. eine abzuschließende Betriebs-/Dienstvereinbarung.
Weitere Punkte sind:
- Informieren und unterstützen Sie die Mitarbeitenden.
Eine MFA kann zu Beginn die Komplexität des Arbeitsalltags erhöhen. Eine Unterstützung und Befähigung zur Nutzung kann zunächst aufwändig sein, doch ist es ein Aufwand, der sich langfristig lohnt. - Binden Sie DSB, Organisationsleitung und/oder IT-Verantwortliche ein.
Es sollte entschieden werden, ob die MFA unternehmens- oder gruppenweit, ggf. national oder international eingeführt werden soll. - Wählen Sie die richtige MFA-Methode aus.
Damit verbunden hängen auf die technischen Lösungen zusammen. Beurteilen Sie die Risiken, beachten Sie die Empfehlungen der Aufsichtsbehörden und die bereits eingerichteten Sicherheitsmaßnahmen. - Passen Sie auf bei Authenticator-Apps.
Hier sollte unter Anwendung eines strengen Anforderungskatalogs ein Auswahlverfahren vorgenommen werden. Viele Anbieter verwenden außerdem häufig Tracker von Drittanbietern. Auch dies sollten Sie beachten. - Dokumentieren Sie Ihre Entscheidungen (nach Art. 30 DSGVO).
- Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik finden Sie hier.
5) Die Verwendung privater Endgeräte der Beschäftigten
Wenn Beschäftigte private Endgeräte und Kontaktdaten zur Verfügung stellen sollen, um beispielsweise Zugang zu Unternehmensressourcen zu erhalten oder um im Homeoffice zu arbeiten, gibt es einige datenschutzrechtliche Aspekte zu berücksichtigen.
Zunächst einmal ist es wichtig, dass die Beschäftigten freiwillig und informiert zustimmen, private Endgeräte und Kontaktdaten zur Verfügung zu stellen. Es sollte sichergestellt werden, dass sie vollständig über die Konsequenzen und Risiken informiert werden, einschließlich möglicher Sicherheitsbedenken und datenschutzrechtlicher Aspekte.
Zudem müssen die Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die personenbezogenen Daten auf privaten Geräten sicher verarbeitet und geschützt werden. Dies kann beispielsweise durch die Verschlüsselung von Daten oder die Nutzung von sicheren Verbindungen wie VPNs erfolgen.
Auch sollten die Unternehmen sicherstellen, dass private Kontaktdaten nur für den jeweiligen Zweck genutzt werden und nicht unbefugt an Dritte weitergegeben werden. Hierbei können auch Maßnahmen wie die Trennung von geschäftlichen und privaten Kontaktdaten oder die Nutzung von sicheren und verschlüsselten Kommunikationskanälen helfen.
Insgesamt ist es wichtig, dass Organisationen und Beschäftigte die datenschutzrechtlichen Anforderungen bei der Nutzung von privaten Endgeräten und Kontaktdaten im geschäftlichen Kontext berücksichtigen und geeignete Maßnahmen ergreifen, um die Sicherheit und den Schutz personenbezogener Daten zu gewährleisten.
6) Fazit
Insgesamt kann die Mehrfaktor-Authentifizierung als eine positive Entwicklung im Bereich des Datenschutzes betrachtet werden, sofern sie ordnungsgemäß umgesetzt wird und die Datenschutzprinzipien eingehalten werden.
Sollten Sie hierbei Unterstützung benötigen, melden Sie sich gerne bei uns.
Quelle: Viele der Gedanken hier haben wir aus der Zeitschrift „Datenschutz-Praxis“, Ausgabe 3/2023