Sicherere Anmeldungen mit TOTP-Zwei-Faktor-Authentifizierung

Warum ein Passwort allein nicht mehr ausreicht
Gestohlene Zugangsdaten sind einer der zuverlässigsten Wege, über den Angreifer in Unternehmenssysteme eindringen. Phishing-Kampagnen, Datenpannen bei Drittanbietern und einfaches Passwort-Wiederverwenden bedeuten, dass eine gültige Kombination aus Benutzername und Passwort erschreckend leicht zu beschaffen ist. Steht ein Angreifer erst einmal vor einem herkömmlichen Anmeldefenster und besitzt diese beiden Informationen, gibt es keine weitere Hürde. Ein zweiter Faktor - ein Code, der sich alle 30 Sekunden ändert und nur auf einem Gerät existiert, das der Angreifer nicht kontrolliert - schließt diese Lücke zuverlässig.
empowsec unterstützt Zwei-Faktor-Authentifizierung auf Basis von zeitbasierten Einmalpasswörtern, kurz TOTP - derselbe offene Standard, den Authentifizierungs-Apps weltweit verwenden. Ist 2FA für ein Konto aktiviert, erfordert eine erfolgreiche Anmeldung sowohl das Passwort als auch einen sechsstelligen Code, den die Authenticator-App des Nutzers in diesem Moment generiert. Selbst wenn ein Angreifer das Passwort kennt - aus einer echten Phishing-Attacke, einer kompromittierten Datenbank oder durch Schulter-Surfen - kommt er ohne physischen Zugriff auf das Gerät des Nutzers nicht weiter.
So funktioniert die TOTP-Einrichtung in empowsec
Die Aktivierung der Zwei-Faktor-Authentifizierung ist ein Self-Service-Vorgang, der weniger als zwei Minuten dauert. Nach dem Aufruf der Sicherheitseinstellungen des Kontos wird dem Nutzer ein QR-Code angezeigt. Dieser wird mit einer beliebigen Standard-Authenticator-App gescannt - Google Authenticator, Microsoft Authenticator, Authy und ähnliche Tools funktionieren alle, weil TOTP ein offener Standard ist. Die App zeigt daraufhin einen sechsstelligen rotierenden Code an, den der Nutzer eingibt, um die Kopplung zu bestätigen.
Nach der Bestätigung markiert empowsec das Konto als 2FA-geschützt und generiert einen Satz Wiederherstellungscodes. Diese einmalig verwendbaren Backup-Zugangsdaten ermöglichen es dem Nutzer, wieder Zugang zu erhalten, wenn er sein Smartphone verliert oder die Authenticator-App deinstalliert. Wird bei der Anmeldung einer dieser Codes eingegeben, überbrückt er den TOTP-Schritt für diese eine Sitzung und wird anschließend als verbraucht markiert. Nutzer sollten die Wiederherstellungscodes unbedingt in einem Passwort-Manager speichern oder ausdrucken und sicher aufbewahren, da sie nur einmal angezeigt werden.
Wiederherstellungscodes: Ihr Sicherheitsnetz
Wiederherstellungscodes verdienen besondere Aufmerksamkeit, denn sie verhindern, dass 2FA zum Risiko einer Kontosperrung wird. Ohne sie wäre ein Mitarbeiter, der sein Smartphone ersetzt oder die Authenticator-App löscht, dauerhaft ausgesperrt - es sei denn, ein Administrator greift ein. empowsec generiert diese Codes automatisch während der Einrichtung und zeigt sie unmittelbar nach der TOTP-Kopplung an. Jeder Code ist einmalig verwendbar, und der gesamte Satz sollte mit der gleichen Sorgfalt behandelt werden wie ein Master-Passwort.
Für Organisationen, die Security-Awareness-Training durchführen, ist dies auch ein Lehrmoment. Administratoren können auf Wiederherstellungscodes als konkretes Beispiel für eine Sicherheitskontrolle hinweisen, die von Nutzern eine Entscheidung erfordert - nämlich wo eine sensible Zugangsinformation aufzubewahren ist. Das für den Schutz eines Wiederherstellungscodes erforderliche Verhalten ist genau das Verhalten, das empowsec-Training vermittelt: Nachdenken vor dem Klicken, sensibles Material durchdacht aufbewahren und Zugangsdaten so behandeln, als seien sie bereits kompromittiert.
Zwei-Faktor-Authentifizierung in der mobilen App
empowsec verfügt über eine mobile Begleit-App, in der Mitarbeiter Schulungen absolvieren, Debriefs einsehen und ihren Fortschritt verfolgen. 2FA gilt dort ebenso. Wenn sich ein Nutzer in der mobilen App anmeldet, wird er genauso wie im Web zur Eingabe seines TOTP-Codes aufgefordert. Diese Konsistenz ist wichtig, weil sie die Gewohnheit der Multi-Faktor-Authentifizierung auf jeder Oberfläche der Plattform verankert - nicht nur in der Administrationskonsole.
Für Sicherheitsteams, die Phishing-Simulationen durchführen, lohnt es sich, dies in Awareness-Materialien hervorzuheben. Wenn Mitarbeiter es gewohnt sind, bei jeder Anmeldung - ob im Browser oder auf dem Smartphone - nach einem zweiten Faktor gefragt zu werden, entwickeln sie eine gesunde Erwartungshaltung: Legitime Dienste fordern diesen Schritt. Ein Dienst, der nie nach einem zweiten Faktor fragt oder plötzlich aufhört zu fragen, wird zur Frage statt zur Selbstverständlichkeit. Genau diesen Instinkt zu fördern ist der Kern eines Security-Awareness-Programms.
2FA als Teil einer mehrschichtigen Sicherheitsstrategie
Zwei-Faktor-Authentifizierung wirkt nicht isoliert. Sie ist eine Schicht in einem Sicherheits-Stack, der auch Phishing-Simulationen, Security-Awareness-Training, Risikobewertung und E-Mail-Meldetools umfasst. Ein Mitarbeiter, der ein Phishing-Awareness-Training absolviert hat, versteht, wie Credential-Diebstahl funktioniert; 2FA auf seinem empowsec-Konto stellt sicher, dass ein Angreifer selbst dann, wenn er das Passwort durch eine echte Phishing-Attacke erbeutet, keinen Zugang zu sensiblen Daten innerhalb der Plattform erhält.
Aus Compliance-Sicht fordern oder empfehlen viele Rahmenwerke - darunter NIS2, ISO 27001 und verschiedene nationale Datenschutzvorschriften - Multi-Faktor-Authentifizierung für den Zugang zu Systemen, die personenbezogene oder sensible Daten verarbeiten. Die Aktivierung von TOTP auf empowsec-Konten ist ein unkomplizierter Weg, diese Anforderung für die Plattform selbst zu erfüllen. Sicherheitsteams, die Zugriffskontrollen gegenüber Prüfern nachweisen müssen, können auf die kontenbasierte 2FA-Aktivierung als konkreten Nachweis verweisen.
MSPs und Reseller, die mehrere Kundenunternehmen verwalten, werden außerdem schätzen, dass 2FA-Einstellungen kontenbasiert gelten. Jedes Unternehmen verwaltet die 2FA-Registrierung seiner Administratoren und Endnutzer unabhängig. Diese Granularität bedeutet, dass Reseller 2FA jedem Kunden empfehlen können, ohne es zentral konfigurieren zu müssen, und dennoch über Audit-Logs und Kontoeinstellungen prüfen können, ob der Schutz aktiv ist.
Wichtige Erkenntnisse
- empowsec unterstützt TOTP-basierte Zwei-Faktor-Authentifizierung, kompatibel mit jeder Standard-Authenticator-App.
- Die Einrichtung erfolgt per QR-Code und dauert unter zwei Minuten; Wiederherstellungscodes bieten einen sicheren Backup-Zugang.
- 2FA gilt sowohl für das Web-Portal als auch für die mobile App und sorgt so für konsistenten Schutz.
- Ein zweiter Faktor blockiert Kontoübernahmen auch dann, wenn ein Passwort abgephisht oder geleakt wurde.
- Die Aktivierung von 2FA unterstützt Compliance-Anforderungen für Multi-Faktor-Zugriffskontrollen gemäß NIS2, ISO 27001 und ähnlichen Rahmenwerken.


