Wie Zwei-Faktor-Authentifizierungen IT-Zugänge in der Logistik sicher machen

So zahlreich, wie Cyberattacken selbst, sind auch die Möglichkeiten sich dagegen zu schützen. In unserem Beitrag “Cybersecurity: Erpressung in der Lieferkette” beschreiben wir verschiedene Wege, um die IT sicherer zu machen. Darüber hinaus lohnt es sich, die Zwei-Faktor-Authentifizierung (2FA) genauer zu betrachten, um einen hohen Sicherheitsstandard zu gewährleisten. Die Anzahl an Accounts in verschiedensten Portalen und Anwendungen sind sowohl beruflich als auch privat in den letzten Jahren drastisch gestiegen. Es ist aussichtslos jedes Mal ein individuelles und sicheres Passwort zu vergeben und sich dieses zu merken. Kein Wunder, dass “123456” oder “password” nach wie vor die Hitliste der Passwörter anführen. Ziel von Single-Sign-On und Passworttresoren ist es, die Komplexität der Passwörter zu erhöhen, weil Mitarbeiter sich lediglich eins merken müssen. Gelangt dieses jedoch in die falschen Hände, ist der Schaden groß, denn dem Angreifer stehen nun alle Türen offen. Vor allem Logistikportale, die sämtliche Informationen in der Lieferkette vereinen und zwischen den Beteiligten austauschen, sind betroffen. Wird hier der Zugang nur über Single-Sign-On, ohne einen zweiten Faktor geregelt, erhöht sich das Angriffsrisiko deutlich. Auch wenn nur einer der Beteiligten angegriffen wird, ist die komplette Lieferkette betroffen und Logistikprozesse werden gestört. Mit einem zweiten Faktor für die Authentifizierung kann die Komplexität der Passwörter deutlich verringert und die IT-Sicherheit enorm erhöht werden.

Über die 2FA muss der Anwender seine Identität neben dem Passwort über einen weiteren Faktor, der sich beispielsweise im physischen Besitz befindet, bestätigen. Dies kann beispielsweise ein Authenticator, wie ein Zugangstoken oder ein Bestätigungscode sein, der per SMS oder App auf ein anderes Gerät geschickt wird. Ist einer der beiden Komponenten nicht korrekt oder fehlt, wird der Zugang nicht gewährt. Die Zwei-Faktor-Authentifizierung ist Teil der Multi-Faktor-Authentifizierung (MFA), die mehr als zwei unabhängige Wege verlangt, um den User zu identifizieren. Mögliche Faktoren für beide Identifikations-Arten sind:

• Wissen (Passwort, Geburtsdatum, Sicherheitsfrage)
• Besitz (Mobiltelefon, Zugangstoken)
• Inhärenz (Fingerabdruck, Gesichtserkennung)
• Ort (Standort des Nutzers, beispielsweise internes Netzwerk)

Gelangt ein Angreifer also an einen der geforderten Faktoren, kann er damit nicht ins System eindringen, weil mindestens ein weiterer fehlt. Die Zwei-Faktor-Authentifizierung schützt also auch vor Phishing-Attacken und Malware, da diese lediglich an die Anmeldeinformationen, nicht aber an den zweiten Faktor kommen.

Nachdem besonders Logistikunternehmen in den Fokus von Hackerangriffen geraten, ist die 2FA ein schnelles Verfahren, um die IT-Sicherheit enorm zu erhöhen und sich gegenüber den Wettbewerbern hervorzuheben. Das Ausspähen von Passwörtern reicht nicht mehr aus, um an sensible Daten zu gelangen. Die Anforderungen an ein Single-Sign-On-Passwort sind meist sehr hoch, da diese den Zugang zu vielen angeschlossenen Systemen gewähren. Es muss meist aus mindestens 8 Zeichen mit Sonderzeichen, Ziffern sowie Groß- und Kleinbuchstaben bestehen. Vergisst ein Mitarbeiter sein Passwort, ist der Zugang erstmal gesperrt, bis die IT sich dem Problem annimmt. Mit dem Einsatz einer Zwei-Faktor-Authentifizierung reicht ein einfaches Passwort. Vergisst der Nutzer doch mal sein Passwort, kann er es über den zweiten Faktor selbst wiederherstellen. Vor allem in Logistikhallen kommt es häufig vor, dass Mitarbeiter die Geräte wechseln und sich neu anmelden. Mit 2FA erhalten sie bei der Anmeldung auf jedem neuen Gerät einen Hinweis per E-Mail oder Push-Benachrichtigung. Damit wird der Zugriff von Unbefugten noch schneller erkannt und entsprechende Schritte wie das sofortige Sperren oder die Änderung des Passworts können durchgeführt werden. In der Logistik werden teilweise noch mit Abteilungsaccounts gearbeitet, die die Nachvollziehbarkeit deutlich erschweren. Über 2FA kann nur noch mit personalisierten Accounts gearbeitet werden.

In immer mehr Logistikportalen wird eine Zwei-Faktor-Authentifizierung gefordert, um die Logistikkette besser abzusichern. Die Arbeitgeber stehen nun vor der Frage, wie Sie ihren Mitarbeitern den zweiten Weg am einfachsten und kostengünstigsten zur Verfügung stellen können.

Das einfachste Mittel ist die Verifizierung über SMS-TAN oder App-TAN. In beiden Fällen wird ein Mobiltelefon benötigt. Viele fragen sich nun, ob sie ihrem Disponenten oder Lkw-Fahrer ein Diensthandy zur Verfügung stellen müssen. Die Antwort lautet klassisch anwaltlich: "Es kommt darauf an!”. Sie können Ihrem Mitarbeiter vorschreiben einen zweiten Faktor für den Zugang oder Zugriff auf die IT-Systeme zu verwenden, da Sie die Verantwortung der IT-Sicherheit tragen. Gemäß der DSGVO sind Sie als Verantwortlicher verpflichtet technische Sicherheitsmechanismen zu implementieren. Was Sie jedoch nicht dürfen, ist die Nutzung des privaten Smartphones des Mitarbeiters dafür vorzuschreiben. Als Arbeitgeber haben Sie das sogenannte Direktionsrecht, was Ihnen erlaubt die Nutzung von 2FA/MFA anzuweisen. In manchen Betrieben muss gegebenenfalls auch der Betriebsrat beteiligt werden. ABER - Sie haben grundsätzlich die Pflicht alle Arbeitsmittel zur Verfügung zu stellen, die für die Arbeitsleistung benötigt werden. Das heißt also, wenn es keine Alternative zu der SMS-TAN oder PIN im Authenticator gibt, wie einen Zugangstoken oder RFID-Chip, dann müssen Sie ein Diensthandy stellen. Ist die 2FA/MFA mit einem Token möglich und hat der Mitarbeiter die Wahl was er nutzt, dann ist es seine Entscheidung. Aber trotzdem müssen Sie, egal welches Mittel zum Einsatz kommt, an die Umsetzung der datenschutzrechtlichen Pflichten denken. Wie beispielsweise die Informationspflicht gegenüber dem Beschäftigten, die Aufnahme des Verfahrens in das Verfahrensverzeichnis oder gegebenenfalls eine Datenschutzfolgeabschätzung durchführen.