Passwörter und Zugriffsschutz

Lesezeit: 8 Minuten

Wenn es darum geht, personenbezogene Daten zu schützen, dann spielen Passwörter und andere Formen des Zugriffsschutzes eine besonders wichtige Rolle. Untersuchungen zeigen immer wieder, dass gerade dabei sehr viel falsch gemacht wird von Benutzern. In diesem Beitrag soll deshalb mit Blick auf Schule gezeigt werden, wo die Gefahren lauern und wie der Schutz für den Zugang zu Rechnern, Mobilgeräten, Software, Apps und Online-Plattformen verbessert werden kann.

Risiko – Ausspähen von Passwörtern

Gerade in der Schule, wo viele Menschen aufeinander treffen, ist es leicht möglich, andere bei der Eingabe von Passwörtern zu beobachten. Vor allem bei Passwörtern von geringer Komplexität ist es sehr einfach, diese Passwörter bei der Eingabe mit zu lesen und zu merken.

Maßnahme – alternative Authentifizierung

Vor allem Endgeräte wie Computer, Smartphones und Tablets bieten heute die Möglichkeit, alternative Anmeldeverfahren einzurichten. Windows-Rechner erlauben es, je nach Hardware zusätzlich eine Authentifizierung über Fingerabdruck, Security Key und ähnlich einzurichten. Moderne Apple Rechner bieten in der Regel eine Authentifizierung über Fingerabdruck. Gleiches ist auch bei vielen Mobilgeräten möglich. Lehrkräfte sollten diese Möglichkeiten nutzen, um den Zugang zum Gerät zu schützen, wenn sie dieses mit in den Unterricht nehmen. Von der Nutzung von PIN-Nummern und in Entsperrmustern sollte aus Sicherheitsgründen in diesen Umgebungen abgesehen werden.

Maßnahme – 2 Faktor Authentifizierung

Mit zwei Faktor Authentifizierung (2FA) ist die Absicherung eines Zugangs mit einem zweiten Geheimnis gemeint. D. h., es muss nicht nur ein Passwort eingegeben werden oder ein Fingerabdruck, sondern zusätzlich ein zweites Passwort, ein Code oder ein Security Key. Durch diese doppelte Sicherung haben Angreifer keine Möglichkeit, sich Zugang zum Gerät, zur Software oder Online-Plattform zu verschaffen, da ihnen die zweite Authentifizierung fehlt. Die Nutzung von 2FA ist immer dann zu empfehlen, wenn es keine andere Möglichkeit gibt, das Risiko des ausspähen von Passwörtern sicher zu reduzieren und vor allem wenn es um Zugänge zu Geräten oder Anwendungen geht deren Schutz besonders kritisch ist.

Risiko – Datendiebstahl

Werden Passwörter auf Zettel geschrieben, die irgendwo hinterlegt werden, so können diese gefunden und die Passwörter entwendet werden. Bei vielen Lehrkräften war zumindest in der Vergangenheit ein beliebter Ort zur Verwahrung von Passwörtern der Lehrerkalender. Immer wenn Passwörter irgendwo ungeschützt notiert werden, besteht das Risiko, dass andere in ihren Besitz gelangen.

Maßnahme – Passwort-Manager

Eine einfache Möglichkeit, Passwörter sicher zu verwahren, sind sogenannte Passwort Manager oder Passwort Safes. Das sind Programme, die durch ein besonderes Hauptkennwort gesichert sämtliche Passwörter eines Nutzers aufnehmen können. Gute Passwort Manager lassen sich durch alternative Authentifizierungsmethoden wie Fingerabdruck oder sogar durch zwei Faktor Authentifizierung zusätzlich absichern. Passwort Manager speichern nicht nur Passwörter und Benutzernamen, sondern auch die URL der zugehörigen Seite und können dadurch davor schützen, dass Zugangsdaten an gefälschten Seiten eingegeben werden. Darüber hinaus bieten diese Programme auch die Möglichkeit, sichere Passwörter zu erzeugen. Da man sie sich nicht mehr merken muss, können sie sehr komplex sein.

Risiko – Keylogger

Unter einem Keylogger versteht man eine Hardware oder Software, welche in der Lage ist, sämtliche Tastatureingaben aufzuzeichnen und gegebenenfalls an Dritte zu übermitteln. Hardware Keylogger sind kleine USB Stecker mit einem Speicher und teilweise mit einer Funkverbindung, welche zwischen die Tastatur und den Rechner gesteckt werden. Aufgrund der geringen Größe fallen sie nicht ins Auge. Im Unterschied zu Keylogger Software müssen die USB Stecker ausgebaut und ausgelesen werden, wenn sie nicht über Funk auslesbar sind. Für die Personen, welche sie installieren, besteht außerdem ein gewisses Risiko der Entdeckung beim Ein- und Ausbau. Diese Probleme bestehen bei Keyloggern in Form von Software nicht. In der Regel gelangen sie über Schadsoftware auf den Rechner und es gibt sie auch für mobile Endgeräte. Die aufgezeichneten Eingaben können sie über das Internet an ihre Auftraggeber weiterleiten. In der Schule sind an stationären Rechnern mit einer kabelgebundenen Tastatur Keylogger in Form eines USB Stecker das größte Risiko. Sie sind klein, leicht zu beschaffen und kosten nicht viel. Im schulischen Alltag ist es für Schüler vielfach ein Leichtes, einen solchen Stecker am Lehrer PC im Computerraum oder am Pult im Klassen- oder Kursraum anzubringen. Potenziell lassen sich so sämtliche Zugänge der Lehrkräfte abgreifen, die sich an diesen Rechnern einloggen, sofern die genutzten Zugänge nur durch Benutzername und Passwort gesichert sind.

Maßnahme – Kontrolle

Eine einfache Maßnahme besteht in der Sensibilisierung der Lehrkräfte und der regelmäßigen Kontrolle der USB Stecker. Man sollte jedoch bedenken, im Alltag einer Schule wird eine solche Kontrolle jedoch vielfach nicht möglich sein oder schlichtweg vergessen werden. 

Maßnahme – 2FA

Durch eine Zwei Faktor Authentifizierung lässt sich verhindern, dass unbefugte Personen selbst mit einem ausgelesenen Benutzernamen und Passwort keinen Zugang erhalten. Für Windows und MacOS Systeme gibt es die Möglichkeit, die Anmeldung am Gerät selbst zusätzlich mit einem Security Key abzusichern. Auf den Systemen muss dazu eine zusätzliche Software installiert werden, die nach der Eingabe des ersten Passworts den Security Key anfordert. Alternativ kann an einigen Systemen auch mit einem Sicherheitscode gearbeitet werden, der über ein Authenticator App oder ein OTP Generator erzeugt wird.

Risiko – Wiederverwendung

Da es nicht einfach ist, sich Passwörter zu merken, verwenden viele Nutzer ihre Passwörter gerne an verschiedenen Stellen. Mitunter nutzen sie leichte Abänderungen in Form von angehängten Zahlen, etwa Jahreszahlen. Das Problem hierbei ist, sobald die Zugangsdaten zu einer Online-Plattform in fremde Hände gelangt sind, geraten auch Zugänge zu anderen Plattformen, Anwendungen oder Systemen in Gefahr. Gerade in der Schule ist die Gefahr groß, dass die Zugangsdaten von Lehrkräften, wenn sie in falsche Hände gelangt sind, an anderen Anwendungen und Plattformen, welche Lehrkräfte der Schule ebenfalls benutzen, getestet werden. Selbiges gilt auch, wenn Zugangsdaten durch einen Angriff auf eine Online-Plattform in fremde Hände gelangen. Sie werden dann systematisch an anderen Plattformen getestet.

Maßnahme – verschiedene Passwörter

Es gibt nur einen einzigen Weg, dieses Risiko zu vermeiden. Die Zugänge zu verschiedenen Anwendungen, Systemen, Geräten und Online-Plattformen müssen durch verschiedene Passwörter geschützt werden. Diese Passwörter dürfen nicht voneinander ableitbar sein. Am besten verwendet man hier einen Passwortmanager, welcher starke Passwörter erzeugt und speichert.

Risiko – Erraten

Es ist leichter, sich Passwörter zu merken, wenn sie mit bekannten Personen, Ereignissen, Tieren und ähnlichem verknüpft sind. Deshalb verwenden Nutzer gerne Namen, Geburtsdaten und ähnlich. Dadurch entsteht für die mit diesen Passwörtern geschützten Zugänge jedoch ein enormes Risiko, da sich diese Passwörter entweder erraten lassen oder durch ein wenig Recherche zu ermitteln sind. Das gilt selbst, wenn diese Passwörter durch zusätzliche Zahlen, Sonderzeichen oder ähnlich verlängert werden. Auch wenn einzelne Buchstaben durch Ziffern oder Sonderzeichen ersetzt werden, etwa ein o durch 0 oder ein S durch $, da diese “Tricks” von vielen Menschen genutzt werden.

Vor allem bei Online-Plattformen gibt es Funktionen, die Nutzern helfen sollen, den Zugang bei einem verlorenen Passwort wieder zu erlangen. Dafür gibt es Sicherheitsfragen. Sehr oft sind diese vorgegeben und fragen nach biografischen Informationen. Da die möglichen Antworten so recht begrenzt sind, können Dritte sich das zunutze machen, um sich Zugang zu einem Konto zu verschaffen.

Maßnahme – sichere Passwörter

Hier hilft nur die Verwendung von sicheren Passwörtern. Wie solche aussehen können, wird beispielsweise auf Seiten des Bundesamtes für Sicherheit und Informationstechnik beschrieben. Noch einfacher ist es allerdings, wenn man einen Passwort-Manager verwendet, da dieser komplexe Passwörter nicht nur erstellt, sondern auch noch sicher verwahrt.

Maßnahme – Lügen

Bei Sicherheitsfragen zur Wiederherstellung eines Kontos bzw. zum Wiedererlangen des Zugriffs auf ein Konto sollten nie echte Antworten mit biografischen Informationen gegeben werden. Hier sollte man immer eine erfundene Antwort geben. Damit man sich diese merken kann, sollte sie in einem Passwort-Manager hinterlegt werden.

Risiko – Wörterbuch Attacken

Um sich Zugang zu mit dem Internet verbundenen Rechnern und Online-Plattformen zu verschaffen, nutzen Hacker oft sogenannte Wörterbuch Attacken. Dabei werden sämtliche Wörter aus bekannten Wörterbüchern als Zugangsdaten ausprobiert. Bekannt sind auch die sogenannten Rainbow Tables, riesigen Sammlungen von erbeuteten Passwörtern, die dann ebenfalls systematisch ausgetestet werden, um Zugriff zu erhalten.

Maßnahme – komplexe Passwörter

Auch hier hilft nur eines, Passwörter müssen komplex sein. Wenn sie aus Wörtern aus dem Wörterbuch bestehen, dann müssen es mehrere sein und diese eventuell durch Sonderzeichen verbunden. Noch sicherer ist jedoch die Nutzung eines Passwort-Managers zur Generierung von komplexen Passwörtern mit ausreichend großer Anzahl von Zeichen.

Risiko – Phishing

Die Technik ist alt, jedoch noch immer erfolgreich. Durch E-Mails, gefälschte Websites oder sogar Telefonanrufe werden Nutzer dazu gebracht, ihre Zugangsdaten an Dritte zu verraten.

Maßnahme – Vorsicht

Auch wenn es um Zugänge zu von Lehrkräften genutzten Plattformen geht, ist nicht ausgeschlossen, dass Dritte versuchen, durch Tricks an die Zugangsdaten zu gelangen. Hier hilft nur eine vernünftige Portion Skepsis, wenn in ungewöhnlichen Aktivitäten auf einem schulischen Rechner Zugangsdaten abgefragt werden oder man auf eine schulische E-Mail-Adresse eine entsprechend ungewöhnliche Abfrage erhält. Aus privaten Endgeräten kann man sich zusätzlich durch Software schützen, meist in Form von Internet Security Paketen, welche Websites und E-Mails auf verdächtige Links und Absender untersuchen.

Risiko – Server Hack

Vor allem schlecht gewartete Server werden leicht Beute von Hackern. Werden dann die Zugangsdaten von Nutzern nicht entsprechend gesichert verwahrt, erhalten die Hacker unter Umständen Zugriff auf große Mengen von Benutzernamen und Passwörtern. Diese können sie dann nutzen, um an auf dem Server gespeicherten Konto-Inhalten der Benutzer zu gelangen wie auch um sie an anderen Online-Plattformen zu testen.

Maßnahme – Passwort-Manager

Im Internet gibt es verschiedene Datenbanken, in welchen gestohlene Zugangsdaten hinterlegt werden, sobald sie an irgendeiner Stelle im Internet auftauchen und verfügbar werden. Gute Passwort-Manager gleichen heute diese Datenbanken im Internet mit den vom Nutzer gespeicherten Zugangsdaten ab. Sobald sie dort Zugangsdaten des Benutzers finden, alarmieren sie diesen und fordern zu einer Änderung der Zugangsdaten auf. Handelt es sich bei den kompromittieren Zugangsdaten um solche, die auch an anderer Stelle verwendet wurden, sollte man dringend dort die Zugangsdaten ändern.

Risiko – Abfangen von Passwörtern

Besonders groß sind die Risiken, dass Zugangsdaten abgefangen werden, wenn der Login an Online-Plattformen von ungesicherten WLAN und Computern aus erfolgt. Dritte können dann leicht versuchen, sich in die Kommunikation zwischen zu schalten, um dabei Zugangsdaten zu erbeuten, mit denen sie sich dann selbst Zugang verschaffen.

Maßnahme – nur sichere Zugänge nutzen

Derartige Risiken lassen sich nur vermeiden, indem Logins an schulischen Plattformen weder von ungesicherten WLAN aus noch von öffentlich zugänglichen, ungesicherten Computern aus erfolgt. Als Alternative zum Login aus einem WLAN heraus kann beispielsweise ein Zugang über mobiles Internet genutzt werden. Wer sich etwas besser auskennt, nutzt als Notbehelf ein VPN zur Absicherung der Kommunikation.

Zusammenfassung

Der Schutz von Zugängen zu Systemen, Programmen, Apps und Online-Plattformen, in welchen personenbezogene Daten aus der Schule verarbeitet werden ist für die Sicherheit der dort verarbeiteten Daten besonders wichtig. Aus diesem Grund ist es erforderlich, Zugänge vor allem dann zusätzlich zu schützen, im Idealfall durch eine Zwei Faktor Authentifizierung, wenn darauf von Geräten aus zugegriffen werden soll, welche außerhalb geschützter Räume wie der schulischen Verwaltung genutzt werden. Aber selbst dort ist eine Schule deutlich besser aufgestellt, wenn der Zugang zu Anwendungen und Online-Plattformen verstärkt geschützt wird, wenn dort große Mengen von personenbezogenen Daten, besonders sensible oder kritische Daten verarbeitet werden. Selbiges gilt auch für die Zugänge zu administrativen Konten.

Innerhalb des gesamten Sicherheitskonzeptes der schulischen Verarbeitung von personenbezogenen Daten stellt der Schutz von Zugängen nur einen Bestandteil dar, wie hoffentlich gezeigt werden konnte, jedoch einen wesentlichen.

Download Flyer

Der Flyer fasst die Risiken für den Zugriffsschutz mittels Passwörtern kurz und knapp mit möglichen Maßnahmen dar. Sie können ihn im Lehrerzimmer aufhängen, digital verteilen oder als Grundlage zur Sensibilisierung für das Thema nutzen.

Lehrer- und Funktionskonten immer mit #2FA sichern

Lesezeit: 7 Minuten

Lehrkräfte haben in Schule immer auch Zugriff auf die personenbezogenen Daten von Schülerinnen und Schülern und deren Erziehungsberechtigten. Für die Arbeit im Verwaltungsbereich und im Unterricht sollten sie zwei verschiedene Konten haben, und diese sollten vor unberechtigtem Zugriff geschützt sein. Oftmals entsprechen aus praktischen Gründen die Anmeldenamen der E-Mail Adresse eines Nutzers, auch wenn aus Datenschutzgründen ein Anmeldename zu empfehlen wäre, welcher sich nicht einfach erraten bzw. ableiten lässt. Die Zugriffssicherheit eines Nutzerkontos ist an vielen Schulen damit bereits an einer Stelle beeinträchtigt. Umso wichtiger ist der Schutz durch ein Geheimnis, das Passwort. Dieses sollte definitiv nicht einfach zu erraten sein. Was aber, wenn der Nutzer das Passwort auf der Umschlagseite im Lehrerkalender notiert, um es immer parat zu haben? Das kommt öfter vor, als man denkt. Schüler können so sehr einfach Passwörter ihrer Lehrkräfte ausspähen. Vor allem bei Plattformen, welche über das Internet erreichbar sind, kann solches Verhalten schnell zum Sicherheitsrisiko werden, wenn der Zugangs ausschließlich durch ein Passwort gesichert wird.

Ein Fall Passwort Diebstahl von November 2018 (im August 2019 in der Presse) zeigt einmal mehr, wie wichtig es ist, sich zum Schutz von Nutzerkonten nicht auf ein Passwort alleine zu verlassen. Im angesprochenen Fall waren an einem Darmstädter Gymnasium Lehrer Passwörter für Office 365 über ein fingiertes E-Mail gestohlen worden. Durch diesen Phishing Angriff waren die Zugangspasswörter von etwa 20 – 30 Lehrkräften in falsche Hände geraten und den Dieben stand der Zugriff auf die Konten und die darin verarbeiteten personenbezogenen Daten offen.

Wie kann eine Schule den Schutz von Lehrer- und Funktionskonten verbessern?

Sichere Passwörter

Zunächst einmal sollten Passwörter selbst sicher sein. Im Fall des Gymnasiums von Darmstadt hätte dieses alleine zwar nicht geholfen, doch trotzdem soll hier kurz darauf eingegangen werden, wie man an der Schule für sichere Passwörter sorgen kann.

Vorgabe von Passwortrichtlinien

Passwörter sollten eine durch das System bzw. die Plattform oder das Programm vorgegebene Komplexität haben. Sie müssen deshalb trotzdem nicht schwierig zu merken sein. Über eine Vorgabe zum Aufbau von Passwörtern in Form einer Passwortrichtlinie lässt sich verbindlich regeln, wie lang ein Passwort mindest sein muss und welche Art von Zeichen enthalten sein müssen. In größeren Plattformen lassen sich diese Vorgaben als Passwortrichtlinien definieren. Die Plattform vergleicht vom Nutzer angelegte Passwörter anhand dieser Richtlinie und weist Passwörter, welche der Richtlinie nicht entsprechen, zurück.1Siehe hierzu auch die Empfehlungen des BSI zum Thema Passwörter. Eine Passwortrichtlinie sollte auch vorgeben, dass ein Passwort nie für mehr als eine Anwendung oder Plattform genutzt werden darf.

Kontrolle der Passwortkomplexität

Einige Plattformen erlauben es, die Komplexität von Passwörtern durch einen Administrator überprüfen zu lassen. Hierzu werden vom System Passwörter hervorgehoben, welche zwar der Richtlinie entsprechen, dabei aber nur eine geringe Komplexität haben. Die eigentlichen Passwörter werden dabei, um den Schutz der personenbezogenen Daten des Nutzers zu wahren, nicht angezeigt, sondern nur das Ergebnis aus der Bewertung mittels eines Algorithmus. Ermittelt der Administrator ein schwaches Passwort, kann er über das System den Nutzer zum Erstellen eines neuen Passwortes beim nächsten Anmelden auffordern.

Nutzung eines Passwortmanagers

Eine einfache Möglichkeit, sehr komplexe Passwörter zu erstellen, die man sich nicht merken muss, sind sogenannte Passwortmanager. Darunter versteht man Anwendungen, welche die Login Informationen geschützt aufbewahren. Viele dieser Anwendungen nehmen weitere wichtige Informationen auf, die vor fremdem Zugriff geschützt werden sollen. Funktionsreiche Passwortmanager erlauben eine Nutzung von verschiedenen Endgeräten aus. Der Passwortsafe der Anwendung liegt dazu entweder in einer Cloud des Anbieters oder einem anderen über das Internet zugänglichen Speicher. Geschützt wird der Passwortsafe durch ein Masterpasswort. An Geräten mit Fingerabdrucksensor kann der Zugriff auf den Passwortsafe auch damit zusätzlich geschützt werden. Neben dem Erstellen von sicheren Passwörtern erlauben viele Passwortmanager auch das automatische Ausfüllen von Login Informationen beim Besuch von Webseiten oder Öffnen von Apps, die einen Login bzw. Entsperren erfordern. Auch Browser enthalten (einfache) Passwortmanager und bieten so beim Erstellen neuer Logins eine Speicherung zum bequemen Login an. Von der Nutzung der in Browser integrierten Passwortmanager wird generell abgeraten, zumindest wenn es um die Speicherung der Zugangsdaten von Websiten mit persönlichen Daten geht.

So gut und nützlich Passwortmanager auch sind, sie haben einen Schwachpunkt, das Masterpasswort. Dieses muss deshalb sehr komplex sein und besonders gut geschützt werden.2Bei Programmen, welche eine Sicherung des Passwortsafes über ein biometrisches Datum wie einen Fingerabdruck zulassen, kann das Masterpasswort so komplex gestaltet werden, dass es nur schwierig auswendig zu lernen ist. Man kann es dann in einem Safe auf Papier hinterlegen. Achtung! Viele Passwortmanager fordern das Masterpasswort nach einem Neustart des Programms oder Endgerätes an, bevor die Nutzung etwa des Fingerabdrucks wieder aktiviert wird. Das kann im Unterricht dann zum Problem werden, wenn man dann das Masterpasswort nicht zur Hand hat.

Zwei-Faktor-Authentifizierung (2FA)

Das beste Passwort schützt in dem Moment nicht mehr, wo es in fremde Hände fällt. Eine weitere Möglichkeit, den Zugriff auf sensible Daten zu schützen, ist die Absicherung mit einem zweiten Geheimnis. Man spricht hier von einer Authentifizierung mit zwei Faktoren, wobei der erste Faktor das eigentliche Passwort ist, man zum Login erstellt hat. Teilweise wird diese Art der Absicherung eines Logins auch als two-step verification (2-Schritt Verifizierung) bezeichnet. Der zusätzliche Schutz der 2FA besteht nicht alleine im zweiten Faktor bzw. Schritt, sondern auch darin, dass keine Notwendigkeit besteht, sich ein weiteres Passwort zu merken. Es gibt auch kein Passwort, welches Fremde ausspähen können.3Im Prinzip ist es durchaus möglich, bei einigen Verfahren  der Erzeugung bzw. Übermittlung des zweiten Schlüssels, diesen abzufangen und zu missbrauchen. Dieses ist jedoch technisch aufwändig und im Bereich Schule eher unwahrscheinlich. TAN Listen würden ebenfalls in die Kategorie der 2FA fallen und diese könnten ausgespäht werden. Sie sind mittlerweile aber kaum noch zu finden und kommen in schulischen Anwendungen nicht zum Einsatz. Ein weit verbreitetes Verfahren für 2FA ist die Erzeugung eines Passwortes bzw. Schlüssels für jeden neuen Login als ein Einmal-Passwort (engl. one-time password, OTP). Da das Thema 2FA sehr komplex ist und verschiedene Verfahren kennt, sollen hier nur die gängigsten für den schulischen Einsatz relevanten Verfahren kurz beschrieben werden.

OTP Token

OTP Token gibt es von verschiedenen Herstellern. Sie kosten etwa ab 12 € aufwärts, wenn sie in größeren Stückzahlen abgenommen werden. Die Token haben eine Schlüsselnummer, welche bei der Anwendung oder Plattform zunächst im Konto des Benutzers registriert werden muss. Ab dem Zeitpunkt, wo 2FA aktiviert ist, wird beim Login nach korrekter Eingabe des Passwortes ein OTP abgefragt. Dieses wird auf Knopfdruck vom Token erzeugt und muss händisch eingegeben werden, um den Login abzuschließen.

Bildquelle: Wikipedia, Mateusz Adamowski, CC BY 1.0
Authenticator App

Die Erzeugung eines Einmal-Passwortes für 2FA ist auch über sogenannte Authenticator Apps möglich. Ein Beispiel dafür ist die App Google Authenticator. Auch wenn diese App von Google zur Verfügung gestellt wird, kann sie einmalige Passwörter für verschiedene Anwendungen und Plattformen liefern. Wie ein OTP Token muss die Authenticator App dazu zunächst mit dem Nutzerkonto gekoppelt werden. Im Zuge der Registrierung erhält die App von der Plattform einen geheimen Schlüssel, den sie sicher speichert. Die Übermittlung kann z.B. per SMS erfolgen oder über einen QR Code. Nach erfolgreicher Registrierung der App an der Plattform, ist der Zugang durch 2FA gesichert. Nach dem Login mit dem Passwort, wird das OTP abgefragt. Das App wird am Smartphone gestartet und ein Passwort erzeugt, welches dann händisch eingegeben wird, z.B. am Computer. Die Eingabe muss innerhalb eines vorgegebenen Zeitfensters erfolgen, da die erzeugten Passwörter  zur Sicherheit einen Zeitcode mitbekommen und nur begrenzte Gültigkeit haben.

Security Key

Die sogenannten Security Keys, im Bild von französischen Hersteller Yubico und von Google4Der Google Security Key ist Stand 03/2020 auch in Deutschland erhältlich – https://store.google.com/product/titan_security_key , müssen ebenfalls an der Plattform im Nutzerkonto registriert werden. Die Nutzung setzt hier eine physikalische Verbindung zwischen dem Key und dem Endgerät voraus, über USB, Bluetooth oder NFC. Je nach Verfahren werden die Kopfdruck oder bei Berühren des Keys erzeugt und direkt an die  Plattform übertragen. Auch bei diesen Verfahren ist die Gültigkeit der einmalig erzeugten Passwörter in der Regel zeitlich begrenzt.

Flickr, Tony Webster, CC-BY 2.0.

 

SMS und andere

Auch SMS  werden für 2FA Verfahren genutzt. Im schulischen Bereich dürfte dieses Verfahren jedoch eher nicht zu finden sein. Bei diesem Verfahren muss zunächst die Mobilnummer im Nutzerkonto der Plattform registriert werden. Gleiches dürfte für Verfahren gelten, die mittels App und von der Plattform angezeigtem QR Code arbeiten oder mit Kartenlesern und Scheckkarten. Möglich sind außerdem Verfahren, die NFC nutzen, die mittels Security Keys oder Smartphones angewandt werden. Modernere Android Smartphones können selbst als Security Keys eingesetzt werden.

2FA in Abhängigkeit von Plattform & Endgerät!

Will man die Zugänge von Lehrkräften durch 2FA besser sichern, sollte man vorher genau recherchieren, welches Verfahren die Plattform, um die es geht, unterstützt. Neben OTP gibt es beispielsweise auch noch U2F (Universal 2 Factor Authentication). Nicht jeder Anbieter hat die Nutzung von allen Formen von 2FA implementiert. Je nach Anbieter kann sich auch das Verfahren der Registrierung des Mediums unterscheiden, welches den 2. Schlüssel erzeugt. Setzt dieses etwa das Einlesen eines QR Codes voraus, scheiden Geräte ohne Kamera aus. Und nicht jede der oben vorgestellten Möglichkeiten unterstützt jedes 2FA Verfahren. So sind einige Security Keys in der Lage OTP zu erstellen, andere nicht. Die meisten Anbieter empfehlen bestimmte Hardware oder Apps für eine 2FA an ihrer Plattform. Daran sollte man sich orientieren. Zu berücksichtigen ist unter Umständen auch die Hardware der eingesetzten Endgeräte, also PC, Laptops, Tablets usw.. Welche Schnittstellen sind vorhanden? Gibt es USB oder USB-C Anschlüsse? Sind diese Anschlüsse aktiviert oder gesperrt?

Die Nutzung von Security Keys für 2FA wird von Windows, Mac OS, Linux, Chrome OS und seit iOS 13.35Das Update auf iOS 13.3 ist seit Mitte Dezember 2019 verfügbar. auch von neueren iOS Geräten unterstützt. Für iOS Geräte mit Lightning Port hat Yubico einen speziellen Security Key herausgebracht. Dieser unterstützt auch USB C.

Sicherheit geht vor Bequemlichkeit

Auch wenn die Nutzung von 2FA Verfahren zusätzlichen Aufwand für den Nutzer bedeutet, so sollte die Sicherheit eindeutig vorgehen. Wie Fälle aus der Vergangenheit und der Fall des Darmstädter Gymnasiums zeigen, sind auch sichere Passwörter keine Garantie für einen verlässlichen Schutz von Zugängen. Gelangen Passwörter durch die Unachtsamkeit oder Diebstahl in fremde Hände, können Dritte personenbezogene Daten auslesen, löschen, manipulieren oder gar veröffentlichen. Immer wenn es um Zugänge geht, bei denen sensiblere personenbezogene Daten verarbeitet werden, sollten die Konten von Lehrkräften und Funktionsträgern durch 2FA zusätzlich geschützt werden. Bei einem LMS, einem Schulserver oder einer Plattform wie Office 365 oder G Suite for Education muss ein solcher Schutz für Lehrerkonten nicht unbedingt erforderlich sein. Sobald auf der Plattform jedoch auch Leistungsbewertungen verarbeitet werden, sollten die Zugänge der Lehrkräfte zusätzlich abgesichert werden. Auch Plattformen mit Klassenbuchfunktion und der Verwaltung von Fehlstunden brauchen einen zusätzlichen Schutz. Dieser Schutz ist vor allem dann wichtig, wenn über einen Browser zugegriffen werden kann. Apps auf Mobilgeräten müssen meist zusätzlich im Nutzerkonto der Plattform autorisiert werden, so dass hier der Schutz über den Zugangschutz zum Endgerät selbst und ein einfaches Passwort gewährleistet werden muss. Lehrkräfte mit Administrationsrechten sollte für diese Funktion immer ein separates Konto haben und der Zugang dazu sollte zusätzlich über 2FA gesichert werden.

Empfehlung:
Nutzerzugänge von Lehrkräften zu Plattformen, in welchen sensiblere personenbezogene Daten verarbeitet werden, sollten immer mit 2FA gesichert werden.

Maßnahmen zum Schutz von Zugängen sollten im Sicherheitskonzept der Schule dokumentiert sein. Siehe dazu auch Sicherheitskonzept.

Welche Maßnahmen man außerdem ergreifen kann, um den Zugriff auf Systeme und Plattformen zu schützen, erläutert umfangreich der Beitrag Passwörter und Zugriffsschutz.

Stand 03/2020