• Zwei-Faktor-Authentifizierung am KIT

  • Verschiedene Dienste am KIT haben erhöhte Anforderungen an die IT-Sicherheit, die über eine einfache Anmeldung mit Nutzername und Passwort hinausgehen. Dazu gehören insbesondere das SAP-System und verschiedene VPN-Zugänge.

Zwei-Faktor-Authentifizierung am KIT

Was ist eine Zwei-Faktor-Authentifizierung?

Vor dem Hintergrund erfolgreicher Phishing-Vorfälle sollen Anwendungen mit besonderem Schutzbedarf durch die Zwei-Faktor-Authentifizierung (2FA) vor Missbrauch durch Dritte gesichert werden. Dazu wird bei der Anmeldung, üblicherweise mit  Benutzername und Passwort, noch ein zweiter Faktor abgefragt. Dieser zweite Faktor wird möglichst auf einem separaten Gerät dynamsich erzeugt, ist vor fremdem Zugriff geschützt und nicht kopierbar.

Damit kann eine solche Zwei-Faktor-Authentifizierung vor verschiedenen Angriffsszenarien wie z.B. Phising schützen.

Bekannst sind z. B. TAN-Listen, per SMS verschickte Einmal-Passwörter oder TAN-Generator für das Online-Banking. Sinnvollerweise wird dieser zweite Faktor auf einem separaten Gerät erzeugt, ist vor fremdem Zugriff geschützt und nicht kopierbar.

Umsetzung am KIT

Bereits Ende 2017 wurde auf Beschluss des Präsidiums des KIT eine zentrale Zwei-Faktor-Authentifizierung für die SAP-Webportale eingeführt. Durch die Integration in den zentralen Single-Sign-On-Dienst (Shibboleth) kann eine sichere Anmeldung mit zweitem Faktor aber grundsätzlich für alle daran angeschlossenen Umgebungen bereitgestellt werden. Neben den SAP-Webportalen wird die zentrale Zwei-Faktor-Authentifizierung insbesondere für CAS Campus und einzelne VPN-Verbindungen eingesetzt.

Die eingesetzten Einmal-Codes können am einfachsten über eine spezielle App auf den üblichen Mobilgeräten erzeugt werden. Es wurden aber auch für die Mitarbeiter Hardware-Token beschafft, die nach dem selben Verfahren arbeiten. Außerdem wurden USB-Token angeschafft, die insbesondere auch den sehgeschädigten Mitarbeitern am KIT die Nutzung ermöglichen.