Eigentlich sollte die Zwei-Faktor-Authentifizierung (2FA) mittlerweile zum Standard gehören, um Accounts von Webseiten und Plattformen vor unberechtigtem Zugriff zu schützen. Denn in Zeiten zunehmender Cyber-Attacken reichen Passwörter dafür nicht mehr aus. Doch die Praxis zeigt, dass selbst große Anbieter nur sehr zögerlich 2FA in ihre Portale implementieren. So schaltete die Telekom erst diesen Spätsommer die zusätzliche Token-Abfrage per SMS oder Authenticator-App für alle Kunden frei. Auch die Uni Hamburg hat sich nach Cyberattacken auf mehrere Hochschulen kürzlich dafür entschieden, 2FA für alle Mitglieder der Bildungsstätte einzuführen.
Dabei kann die Zwei-Faktor-Authentifizierung vieles: Klar, in erster Linie soll das Verfahren nur denjenigen Nutzern Zugriff auf eine Plattform erlauben, die sich bei einem Login über ein zweites Merkmal identifizieren können. Zum Beispiel per Fingerabdruck am Smartphone, per SMS versendetem Code oder mit Hilfe einer Authenticator-App. Doch 2FA eignet sich auch, um die Echtheit von Usern zu verifizieren. Beispielsweise müssen Nutzer bei einem Login per Passwort und SMS ihre Rufnummer angeben. Der erfolgreiche Anmeldevorgang bestätigt direkt, dass User und Mobilfunknummer zusammengehören. Shopsysteme und Betreiber von Onlineplattformen können sich auf ähnliche Weise (etwa über Opt-In per SMS) die Echtheit ihrer Kunden und deren Daten bestätigen lassen. Einmal erfolgreich geprüft, sind die Portalbetreiber anschließend in der Lage, Nachrichten an die User zu versenden. Zum Beispiel Erinnerungen oder Statusmeldungen. Darüber hinaus erleichtert 2FA den Aufbau einer Kundenbeziehung im Rahmen des Permission-Marketings.
Programmieraufwand und DSGVO bei 2FA
Wenn die Zwei-Faktor-Authentifizierung so viele Vorteile bietet, warum führen selbst große Anbieter das Anmeldeverfahren dann so zögerlich ein? Der Nachteil liegt ganz klar im hohen Aufwand bei Programmierung und Implementierung. Zwar gibt es bereits einige Tools wie den Google Authenticator, die einen Großteil der Arbeit abnehmen. Aber ganz ohne Hilfe seitens der IT geht es dann doch nicht. Und die Erfahrung zeigt, dass in vielen kleinen und mittelständigen Unternehmen schlichtweg Zeit oder Know How für Programmierung und Konfiguration fehlen.
Zudem spielt auch das Thema Datensicherheit eine Rolle: Wo befinden sich die Server der Tool-Anbieter? Und geht die Verwendung einer bestimmten App konform mit der DSGVO? Diese Fragen stehen besonders dann im Raum, wenn eine Kontaktaufnahme mit den Usern erfolgen soll. Eine Vielzahl der Anbieter hat ihren Sitz jedoch außerhalb Deutschlands oder der EU.
Am besten suchen Sie sich Dienstleister aus Deutschland, die 2FA als fertiges Plugin bereitstellen – für WordPress können wir Ihnen hierfür bereits eine Lösung anbieten. So entfällt der Programmieraufwand und Sie können darauf vertrauen, dass die Bestimmungen der DSGVO eingehalten werden. Zudem empfehlen wir Ihnen Anbieter, bei denen Softwarelösung, SMS-Gateway und Support Hand in Hand gehen. So können Sie mit dem geringsten Aufwand von allen Vorteilen der Zwei-Faktor-Authentifizierung profitieren.