Authentifizierung: So schützen KMU ihr Netzwerk und ihre Daten mit 2FA und MFA

Arbeiten Ihre Mitarbeitenden zumindest tageweise von zu Hause oder unterwegs? Greifen Webapplikationen oder Lieferanten regelmässig auf Ihr Firmen­netzwerk zu? Dann sollten Sie Ihre IT und Ihre Daten unbedingt mit starken Authentifizierungs­massnahmen wie 2FA oder MFA schützen.
Frau sitzt am Computer in einer Lagerhalle
Diese Themen erwarten Sie

Passwortschutz reicht nicht: 2FA und MFA für KMU

Eine Lücke im Sicherheits­dispositiv vieler KMU in der Schweiz ist der Fernzugriff von aussen. Immer mehr Mitarbeitende im Home Office, Freelancer, IT-Dienstleister oder Zulieferer greifen auf das Firmen­netzwerk, Webapplikationen, geschäfts­kritische Programme und sensible Daten zu. Ein Passwort allein genügt nicht mehr, um den Zugriff sicher zu schützen und zu regeln. Egal wie gut es ist. Mit einer Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) können kleine und mittlere Unternehmen die Sicherheit ihrer Daten und Systeme mit vergleichsweise wenig Aufwand stark verbessern.

Authentisieren oder authentifizieren?

 Jeder Login-Prozess lässt sich in drei Schritte unterteilen: 

  1. Anmelden: Der Anwender identifiziert sich mit seinem Benutzer­namen und seinem Passwort und meldet sich an – die Authentisierung.
  2. Prüfen: Das System prüft alle Angaben des Anwenders und gleicht sie mit den Einträgen in der Datenbank ab – die Authentifizierung.
  3. Berechtigen: Das System gibt den Zugang frei, wenn die Angaben stimmen, und räumt dem Anwender seine rollen­basierten Rechte – die Autorisierung.

Wie funktionieren 2FA und MFA?

Bei der Zwei-Faktor-Authentifizierung muss sich der Anwender mit zwei Faktoren authentifizieren. In der Regel mit seinem Passwort und einem weiteren Faktor. Dies kann zum Beispiel ein Code sein, den das System nach der korrekten Eingabe des Passworts mit einer SMS an das registrierte Smart­phone sendet. Weitere Faktoren können beispiels­weise eine Authenticator App, sein Fingerabdruck, ein USB-Token, eine Smartcard oder ein Client-Zertifikat auf seinem Laptop sein.

Bei der Multi-Faktor-Authentifizierung muss sich der Anwender nach diesem Prinzip mit mindestens zwei Faktoren authentifizieren:

  • Etwas, das nur der Benutzer kennt, zum Beispiel sein persönliches Passwort
  • Etwas, das nur der Benutzer besitzt, beispielsweise sein Smartphone oder sein USB-Token
  • Etwas, das nur der Benutzer hat oder ist, zum Beispiel sein Finger­abdruck (Touch ID) oder sein Gesicht (Face ID)

Unabhängig davon, ob der Zugang mit 2FA oder MFA geschützt ist: Das System gibt den Zugang erst frei, wenn alle Faktoren korrekt authentifiziert wurden.

Die Vorteile von 2FA und MFA für KMU

  • Sicherheit: 2FA und MFA senken das Risiko unberechtigter Zugriffe und Datenschutz­verletzungen deutlich, da Cyberkriminelle mindestens zwei Schlösser knacken müssen. Selbst wenn sie das Passwort durch Phishing herausfinden, können sie weder auf das System noch auf die Daten zugreifen, weil ihnen zum Beispiel das Smartphone oder der Finger­abdruck fehlen.
  • Compliance: Immer mehr Branchen müssen strenge Sicherheits­standards wie starke Authentifizierungs­massnahmen einhalten. Unternehmen, die diese Anforderungen erfüllen, vermeiden rechtliche Konsequenzen und stärken gleichzeitig das Vertrauen der Kunden und Partner.
  • Kosten: Mit der 2FA- oder MFA-Einführung für alle Benutzer­konten vermeiden KMU Verluste, kostspielige Betriebs­unterbrechungen, teure System- und Datenwieder­herstellungs­massnahmen sowie nicht bezifferbare Reputations­schäden, die sogar ihre Existenz gefährden können.

Tipps für die Einführung von MFA und 2FA in KMU

Die MFA- oder 2FA-Einführung muss sorgfältig geplant und ausgeführt werden, um die Authentifizierung nahtlos zu integrieren und das Firmen­netzwerk wirksam zu schützen. KMU, die über keine oder zu wenig IT-Ressourcen verfügen, beauftragen am besten Fachleute. Zum Beispiel ihren IT-Dienstleister für Fernzugriffe auf das Firmen­netzwerk oder ihren Webhoster oder einen Programmierer für Zugriffe auf den Onlineshop. Sinnvollerweise werden diese Zugriffspunkte mit MFA oder 2FA geschützt:

  • Fernzugriffe auf sensible und geschäftskritische Unter­nehmensdaten, zum Beispiel E-Mails
  • Zugriffe auf das Intranet über das Virtual Private Network (VPN)
  • Zugriffe auf Web- oder Cloud-Lösungen beziehungsweise -Anwendungen
  • Zugriffe auf  Infrastructure-as-a-Service- (Iaas) und Software-as-a-Service-Komponenten (SaaS) 
  • Netzwerk­komponenten und Steuerungs­systeme, die mit dem Internet verbunden sind

MFA oder 2FA sollte für das gesamte Unternehmen implementiert werden, nicht nur für die Mitarbeitenden. Das heisst durch­gängig für alle Benutzerinnen und Benutzer: von den Mitarbeitenden über das Management, die IT-Mitarbeitenden und Administratoren bis hin zu externen Mit­arbeitenden und Dienst­leistern. Nur dann sind die IT-Infra­struktur und die geschäfts­kritischen Daten wirklich sicher und geschützt. Grundsätzlich sollte es keine Ausnahmen geben und die Multi-Faktor-Authentifizierung müsste für alle Benutzerinnen und Benutzer und Fernzugriffe durchgesetzt werden. Begründete Ausnahmen von dieser Regel sollten dokumentiert und zeitlich begrenzt werden. Alle Mit­arbeitenden sollten während der 2FA/MFA-Einführung entsprechend geschult werden und wissen, wie die Eingabe des zweiten und vielleicht dritten Faktors funktioniert und in welchen Situationen diese Faktoren abgefragt werden.

Vorbeugen statt heilen: Risikobeurteilungen für KMU

Für KMU bieten wir unter anderem Security Checks und Security Assessments an, die Schwachstellen wie fehlende 2FA oder MFA aufzeigen. Solche Sicherheits­lücken müssen umgehend geschlossen werden. Durch den Sicherheits­verantwortlichen des KMU, durch die IT-Abteilung oder durch einen externen IT-Dienstleister, wenn der Support ausgelagert ist. Zurich Resilience Solutions führt jährlich 60’000 kostenpflichtige Risiko­beurteilungen durch. Unter anderem für KMU, die wissen wollen, wie sicher ihre IT-Infrastruktur, ihre geschäfts­kritischen Applikationen und ihre sensiblen Daten sind.
Frau mit Laptop

Cyber­versicherung für KMU
Gut vorbereitet bewältigen Sie die Folgen einer Cyber-Attacke oder eines System­ausfalls besser – ob Betriebs­­unterbruch, Daten­verlust oder Haftungs­ansprüche von Kunden oder Partnern.

Cyberversicherung abschliessen

FAQs zur technischen Implementierung von Multi-Faktor-Authentifizierung (MFA) für Firmenkunden/KMU

Welche Systeme sollten mit 2FA oder MFA geschützt werden?

Alle mit dem Internet verbundenen Systeme, Anwendungen und Daten Ihrer Firma. Dazu gehören unter anderem

  • Fernverbindungen für den Zugriff auf das Firmen­netzwerk wie VPN- oder Citrix-Verbindungen,
  • das E-Mail System Ihrer Firma,
  • Web-Anwendungen von Drittanbietern («Software as a Service»), die Ihre Firma nutzt, und
  • aus dem imInternet erreichbare Netzwerk­komponenten und Steuerungs­systeme.

Für welche Nutzerinnen und Nutzer sollte 2FA oder MFA aktiviert werden?

Für alle mit Fernzugriff auf Ihr Firmennetzwerk, Ihre Daten und Ihre Systeme. Und das am besten ohne Ausnahmen, weil jedes ungeschützte Nutzer­konto angreifbar ist. Deshalb sollte 2FA oder MFA für

  • alle Mitarbeitenden aus allen Geschäftsbereichen,
  • die gesamte Unternehmens­führung und alle Leitungsfunktionen,
  • alle IT-Mitarbeitenden und IT-Administratoren und
  • alle externen Mitarbeitenden oder Lieferanten

mit Fernzugriff eingerichtet und aktiviert werden. 

Welche Alternativen gibt es, falls 2FA oder MFA nicht für alle Konten und Nutzer möglich ist?

  • Sie können für bekannte und vertrauenswürdige Partner eine Quell-IP-Adresse festlegen, über die sie auf das Firmen­netzwerk zugreifen dürfen. 2FA oder MFA muss trotzdem für alle anderen IP-Adressen aktiviert werden. 
  • Alle, die auf das Firmen­netzwerk zugreifen können, müssen sichere Passwörter definieren und quartalsweise ändern. Wenn ein Passwort mehrmals falsch eingegeben wird, sollte das Konto gesperrt werden. 
  • Installieren Sie eine Fernwartungs­software wie TeamViewer für Dienstleister, die nur gelegentlich auf das Firmen­netzwerk zugreifen müssen.
  • Wenn Sie beispielsweise Nieder­lassungen permanent anbinden wollen, könnte eine Site-to-Site VPN-Verbindung sinnvoll sein. Fragen Sie Ihren IT-Dienstleister. 

Was ist neben dem Passwort ein sicherer zweiter Faktor?

In absteigender Reihenfolge von sehr sicher bis zu weniger sicher:

  • Hardware-Dongle/FIDO2-Mechanismen
  • SmartCard mit Sicherheits-Chip
  • Authenticator App auf dem Smartphone
  • Client-Zertifikate auf dem Laptop
  • SMS-Benachrichtigung mit Code

Was sollte bei der Implementierung der MFA- oder 2FA-Lösung beachtet werden?

  • Führen Sie regelmässige Updates und Patches durch, um die Sicherheit Ihrer Lösung zu gewährleisten
  • Nutzen Sie die neuesten Kryptografie­verfahren und konfigurieren Sie Ihre Systeme, wie vom Hersteller empfohlen. 
  • Deaktivieren Sie Legacy-Authentication- und Fallback-Mechanismen. Diese älteren Authentifizierungs­methoden bieten oft nur eine schwache Verschlüsselung oder gar keinen zweiten Faktor und sind deshalb anfälliger für Angriffe.
  • Aktivieren Sie Logging für alle Anmeldungen und richten Sie einen Alarm für Fehlversuche und verdächtige Aktivitäten ein. 
  • Achten Sie schon bei der Implementierung auf die Skalierbarkeit und Verfügbarkeits­anforderungen der 2FA/MFA-Lösung.

Nützliche Links

LinkedIn E-Mail

Weitere Artikel

Mann schaut in einem Tablet etwas nach

Plan B: Business Continuity Plan für KMU

Wenn die IT stillsteht, stehen die meisten Unternehmen still. Darum brauchen KMU, die immer häufiger Opfer von Cyberattacken werden, einen Kontinuitätsplan als Plan B.
Mehr erfahren
So schützen sich KMU vor Hackerangriffen

Ein Hackerangriff ist existenz­bedrohend

Jede Woche gehen beim Bundesamt für Cyber­sicherheit BACS Hunderte Meldungen über Cyber­vorfälle ein, in Spitzenzeiten über 2'000 pro Woche. Besonders gefährdet sind KMU. Welche Gefahren lauern auf kleine und mittlere Unternehmen?
Mehr erfahren
Zwei Mitarbeitende im Serverraum

IT-Notfallplan: So schützen sich KMU

Einen längeren IT-Systemausfall kann sich heutzutage kein Unternehmen mehr leisten. Im besten Fall kostet der Ausfall «nur» Geld, im schlimmsten Fall die Existenz. Deshalb braucht jedes Unternehmen einen IT-Notfallplan.
Mehr erfahren
Männer bei einer heiteren Diskussion

Die Geschichte unseres Cyberversicherungskunden Planted

Das Start-up Planted sorgt mit innovativen Lebensmitteln aus Pflanzen für Furore.
Mehr erfahren
Junger Mann

Kaisin: Neugründer mit Erfolgsrezept

Mit köstlichen Poké Bowls zum Erfolg – Mitgründer Delano Fischer spricht über das innovative Zürcher Start-up.
Mehr erfahren