Testen Sie LadVen OS mit unsDemo anfragen
Zum Hauptinhalt springen

Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung (2FA, MFA) fügt der Anmeldung neben dem Passwort einen zweiten Bestätigungsschritt hinzu. Selbst wenn Unbefugte das Passwort in Erfahrung bringen, gelingt ohne den zweiten Faktor keine Anmeldung am Konto. Für Unternehmen ist das der grundlegende Schutz der Arbeitsdaten: Aufgaben, Kunden, Dokumente und Korrespondenz.

In LadVen OS kann jede Mitarbeiterin und jeder Mitarbeiter 2FA selbst im eigenen Profil aktivieren, und die Administration legt eine Richtlinie für das gesamte Unternehmen und für externe Beteiligte (Extranet) fest.

So funktioniert es

Bei aktivierter 2FA besteht die Anmeldung aus zwei Schritten:

  1. Benutzername und Passwort wie gewohnt.
  2. Ein Einmalcode aus der Authenticator-App auf Ihrem Telefon.

Der Code ändert sich alle paar Dutzend Sekunden, daher lässt er sich weder wiederverwenden noch dauerhaft abfangen. Ist das Telefon nicht verfügbar, können Sie statt des Codes einen der Wiederherstellungscodes eingeben, die Sie beim Aktivieren der 2FA gespeichert haben.

So aktivieren Sie 2FA im Profil

Die Aktivierung dauert nur wenige Minuten. Installieren Sie vorab eine Authenticator-App auf Ihrem Telefon: Google Authenticator, Microsoft Authenticator, Authy oder eine vergleichbare App.

  1. Öffnen Sie Ihr Profil und suchen Sie den Sicherheitsbereich mit dem Block zur Zwei-Faktor-Authentifizierung.
  2. Wählen Sie die Aktivierung der 2FA. Zur Bestätigung Ihrer Identität fordert das System die Eingabe des aktuellen Passworts an.
  3. Es erscheint ein QR-Code. Öffnen Sie die Authenticator-App und scannen Sie ihn — in der App wird ein Eintrag mit Ihrem LadVen-OS-Konto und einem wechselnden Code hinzugefügt.
  4. Geben Sie den aktuellen Code aus der App ein, um zu bestätigen, dass sie korrekt eingerichtet ist.
  5. Das System zeigt die Wiederherstellungscodes an. Speichern Sie sie sofort — dies ist der einzige Moment, in dem sie vollständig sichtbar sind.

Nach der Aktivierung ist 2FA für die Anmeldung an Ihrem Konto verpflichtend.

Falls der QR-Code nicht gescannt werden kann, lässt sich das Konto in der App in der Regel manuell über den Textschlüssel hinzufügen, der neben dem Code angezeigt wird.

Wiederherstellungscodes

Wiederherstellungscodes sind einmalige Ersatzcodes für den Fall, dass die Authenticator-App nicht verfügbar ist: Das Telefon ist verloren, entladen, gewechselt oder neu eingerichtet.

  • Speichern Sie die Codes an einem sicheren Ort: Passwort-Manager, geschützte Notiz, Ausdruck im Safe. Bewahren Sie sie nicht zusammen mit dem Passwort auf und versenden Sie sie nicht in offenen Chats.
  • Jeder Code funktioniert genau einmal. Nach der Verwendung ist er ungültig.
  • Wenn die Codes zur Neige gehen oder Sie vermuten, dass Unbefugte sie gesehen haben, erzeugen Sie im Profil einen neuen Satz. Die alten Codes verlieren dabei ihre Gültigkeit.

Wiederherstellungscodes sind ein Zugang zu Ihrem Konto. Behandeln Sie sie wie ein Passwort.

Vertrauenswürdige Geräte

Damit Sie nicht bei jeder Anmeldung von Ihrem persönlichen Arbeitsrechner einen Code eingeben müssen, können Sie den Browser als vertrauenswürdig markieren. Auf einem vertrauenswürdigen Gerät wird der zweite Faktor eine Zeit lang nicht abgefragt.

  • Markieren Sie nur persönliche Arbeitsgeräte als vertrauenswürdig, keine gemeinsam genutzten oder fremden Rechner.
  • Wenn ein Gerät verloren geht oder Unbefugte darauf Zugriff erhalten haben könnten, entziehen Sie das Vertrauen — bei der nächsten Anmeldung wird der zweite Faktor erneut verlangt.
  • Das Vertrauen ist zeitlich begrenzt und wird im jeweiligen Browser gespeichert: Nach dem Löschen der Browserdaten oder nach Ablauf der Frist wird der Code erneut abgefragt.

Anmeldung mit zweitem Faktor

Wenn 2FA aktiviert ist, erscheint nach Benutzername und Passwort ein Feld für den Einmalcode:

  1. Öffnen Sie die Authenticator-App und sehen Sie den aktuellen Code für LadVen OS ein.
  2. Geben Sie den Code ein, bevor er wechselt. Falls Sie es nicht rechtzeitig schaffen, warten Sie den neuen Code ab und geben Sie diesen ein.
  3. Ist die App nicht verfügbar, wechseln Sie zur Eingabe eines Wiederherstellungscodes.

Falls der Code nicht passt, prüfen Sie, ob die Uhrzeit auf dem Telefon korrekt ist (Authenticator-Apps sind auf eine genaue Uhrzeit angewiesen) und ob Sie den Code tatsächlich für das LadVen-OS-Konto eingeben und nicht für einen anderen Dienst.

So deaktivieren Sie 2FA

Sie können 2FA im selben Profilbereich deaktivieren. Das System fordert eine Bestätigung der Identität per Passwort und zweitem Faktor an — das schützt vor einer Deaktivierung durch Unbefugte, die Zugriff auf einen nicht gesperrten Bildschirm erlangt haben.

Deaktivieren Sie 2FA nur bewusst: Das Konto ist dann wieder nur durch das Passwort geschützt. Wenn 2FA laut Unternehmensrichtlinie verpflichtend ist, lässt sie sich nicht selbst deaktivieren — wenden Sie sich an die Administration.

Für die Administration: 2FA-Richtlinie des Unternehmens

Die Administration legt fest, für wen der zweite Faktor verpflichtend ist. Die Richtlinie wird getrennt für Mitarbeitende des Portals und für externe Beteiligte des Extranets konfiguriert, mit mehreren Stufen:

StufeBedeutung
Deaktiviert2FA ist nicht verfügbar oder wird nicht verwendet.
Auf WunschJede Person aktiviert 2FA selbst; es besteht keine Pflicht.
Pflicht für AdministratorenMitarbeitende mit administrativen Rechten müssen 2FA verwenden.
Pflicht für alleAlle Mitarbeitenden (oder alle externen Beteiligten) müssen 2FA aktivieren.

Wählen Sie die Stufe nach der Sensibilität der Daten und der Reife des Teams. Ein praktischer Einführungsweg: zuerst „auf Wunsch" mit der Bitte zu aktivieren, dann „Pflicht für Administratoren", dann „Pflicht für alle", sobald sich das Team an den Ablauf gewöhnt hat und die Wiederherstellungscodes kennt.

Wenn eine verpflichtende Richtlinie gilt, muss eine Mitarbeiterin oder ein Mitarbeiter ohne eingerichtete 2FA die Einrichtung durchlaufen, um weiterarbeiten zu können.

Für die Administration: 2FA einer Mitarbeiterin oder eines Mitarbeiters zurücksetzen

Wenn eine Person den Zugriff auf den zweiten Faktor verliert (Telefon und Wiederherstellungscodes verloren, ausgeschieden und Konto übergeben, Kompromittierung), führt die Administration in der Mitarbeiterliste ein erzwungenes Zurücksetzen der 2FA durch. Dies ist eine sensible Aktion und erfordert daher eine Bestätigung.

Nach dem Zurücksetzen:

  • wird die aktuelle 2FA-Einrichtung der Person entfernt;
  • durchläuft sie bei der nächsten Anmeldung die Einrichtung erneut, wenn eine verpflichtende Richtlinie gilt;
  • verlieren die bisherigen Wiederherstellungscodes und vertrauenswürdigen Geräte ihre Gültigkeit.

Prüfen Sie die Identität der Person vor dem Zurücksetzen über einen unabhängigen Kanal: Das Zurücksetzen der 2FA hebt den Schutz des Kontos auf und darf daher nicht auf eine ungeprüfte Bitte hin erfolgen.

Gute Praktiken

  • Aktivieren Sie 2FA für alle, die Zugriff auf Kunden, Dokumente, Finanzen oder administrative Einstellungen haben.
  • Speichern Sie die Wiederherstellungscodes sofort bei der Aktivierung und bewahren Sie sie getrennt vom Passwort auf.
  • Markieren Sie keine gemeinsam genutzten oder fremden Geräte als vertrauenswürdig.
  • Führen Sie eine verpflichtende Richtlinie schrittweise ein und informieren Sie das Team vorab über die Wiederherstellungscodes, damit niemand den Zugriff verliert.
  • Setzen Sie die 2FA einer Mitarbeiterin oder eines Mitarbeiters nur nach einer Identitätsprüfung über einen zuverlässigen Kanal zurück.

Häufige Fehler

  • 2FA aktiviert und die Wiederherstellungscodes nicht gespeichert — bei Verlust des Telefons lässt sich der Zugriff nur über die Administration wiederherstellen.
  • Wiederherstellungscodes werden zusammen mit dem Passwort oder in einem gemeinsamen Chat aufbewahrt — das macht den Schutz zunichte.
  • Ein gemeinsam genutzter Rechner wird als vertrauenswürdig markiert — der zweite Faktor schützt die Anmeldung dann nicht mehr.
  • Eine verpflichtende Richtlinie wird abrupt und ohne Vorwarnung eingeführt — ein Teil des Teams verliert den Zugriff und überlastet die Administration mit Anfragen zum Zurücksetzen.
  • Falsche Uhrzeit auf dem Telefon — die Authenticator-Codes passen nicht, obwohl alles korrekt eingerichtet ist.

Verwandte Abschnitte