Beim Wettlauf zwischen Hacker*innen und IT-Security gibt es keine Verschnaufpause. Ständig werden User-IDs und Passwörter illegal über das Netz abgefangen, um sich Zugang zu IT-Systemen zu verschaffen, über diese Spam zu versenden oder gar eine Ransomware-Attacke zu starten. Für eine Universität ist das ein beträchtliches Risiko, das sie mit verschiedenen Maßnahmen einzudämmen versucht.
Ein neues Element in diesem Netzwerk von Sicherheitsmaßnahmen ist die sogenannte Multi-Faktor-Authentifizierung (MFA), die der Zentrale Informatikdienst (ZID) nun einführt – vorerst für VPN, weitere Services wie Microsoft 365 und Azure folgten. „Der Schutz der IT-Infrastruktur ist für das Funktionieren der Universität essenziell“, sagt Ulf Busch, ZID-Leiter und CIO der Universität Wien. „Wir haben etwa 100.000 Nutzer*innen und eine sehr vielfältige, inhomogene Service-Landschaft. MFA wird einen wesentlichen Beitrag dazu leisten, dieses riesige System und damit die Daten der Universitätsangehörigen zu schützen.“
MFA schützt das ganze System
Dabei verhindert MFA nicht den Diebstahl von Passwörtern, sondern erschwert den Zugriff auf die Systeme, wenn doch einmal Zugangsdaten gestohlen worden sind. MFA ist, vereinfacht gesagt, eine Erweiterung des Login: Bei der Anmeldung muss nicht nur ein Passwort, sondern auch ein zweiter, davon technisch und physisch getrennter Faktor eingegeben werden, um sich zu identifizieren. Das kann beispielsweise ein Einmalpasswort von einer App sein, ein biometrisches Merkmal oder ein Zugangscode von einem ausschließlich dafür entwickelten Gerät, einem sogenannten Security Token. Auch SMS oder sogar ein Telefonanruf sind als 2. Faktor möglich.
Um unterschiedlichen Anforderungen entgegen zu kommen, akzeptiert die Universität Wien in ihrem neuen MFA-Service zwei mögliche 2. Faktoren: entweder ein Einmalpasswort, dass mit einer App wie etwa dem Authenticator von Google oder Microsoft erstellt wurde, oder ein Passwort via YubiKey, einem Security Token. Christoph Campregher, Leiter der Stabsstelle IT-Security des ZID, erklärt: „Wir verwenden Verfahren von anerkannten Herstellern, die es uns ermöglichen, MFA für eine große Anzahl von Nutzer*innen auszurollen.“
Richtigen 2. Faktor wählen
Und für welchen Faktor soll man sich entscheiden? Das hängt von der konkreten Nutzungssituation, aber auch von persönlichen Vorlieben ab: Das Handy hat man üblicherweise immer bei sich. Der YubiKey ist eine gute Lösung, wenn man die App nicht installieren oder das Handy oder Tablet selbst für VPN nutzen will. In Hinblick auf die Sicherheit sind jedenfalls beide Methoden gleichwertig.
Nutzer*innen sollten sich im Vorfeld also ein paar Dinge überlegen. Trotzdem rechnen die ZID-Expert*innen nicht mit gröberen Schwierigkeiten beim Start von MFA an der Uni Wien – zumal die Verwendung vorerst freiwillig ist. Christoph Campregher, IT-Security des ZID: „Erfahrungen anderer Universitäten zeigen, dass Multi-Faktor-Authentifizierung keine Probleme verursacht. Viele kennen sie schon aus dem Privatbereich, zum Beispiel vom Online-Banking. Wichtigste Aufgabe der Nutzer*innen ist eigentlich nur, den 2. Faktor nicht zu verlieren.“ Aber auch für diesen Fall hat der ZID vorsorglich einen Prozess definiert, mit dem der 2. Faktor neu vergeben werden kann, wenn Handy oder YubiKey plötzlich nicht mehr auffindbar sind.
Wie geht es weiter?
Bereits jetzt läuft eine umfangreiche Machbarkeitsstudie, um festzulegen, welche weiteren IT-Services als nächstes mit MFA gesichert werden können. Klar ist, dass jene Systeme ganz oben auf der Liste stehen, bei denen ein unerlaubter Zugriff besonders großen Schaden anrichten kann, sagt Projektleiter August Szabo: „Personal- und Studierendendaten sowie die Daten von Finanzverantwortlichen und Entscheidungsträger*innen der Universität müssen speziell geschützt werden.“
In Zukunft wird es also möglicherweise IT-Services geben, für die man sich im Homeoffice zweimal per MFA anmelden muss: einmal für den Zugang zum VPN, einmal für das Service selbst. Sollte man dafür jeweils einen anderen zweiten Faktor wählen? Also etwa ins VPN mit YubiKey einsteigen, das konkrete Service aber per App-Authentifizierung aufrufen? Christoph Campregher hält das nicht für notwendig. „Auch die Verfügbarkeit von Services ist ein wichtiges Ziel der IT-Security", sagt er. „Wenn das Login zu komplex wird, kann das dieses Ziel beeinträchtigen.“ Er rät daher, sich durchgängig für eine der beiden Methoden zu entscheiden. Denn MFA macht es Angreifer*innen erheblich schwerer, und die IT-Systeme der Universität Wien sind damit wieder deutlich fitter für den Wettlauf im Namen der IT-Security.