Sicher anmelden
Wie moderne Authentifizierung funktioniert: Ein gutes Passwort reicht schon lange nicht mehr. Wer heute Systeme, Anwendungen oder Dienste absichern möchte, muss sich Gedanken darüber machen, wie sich Nutzer zuverlässig und sicher anmelden können – am besten so, dass weder Komfort noch Sicherheit auf der Strecke bleiben.
Die ISO 27001 fordert explizit technisch sichere Anmeldeverfahren in der Anforderung A.8.5 - aber auch organisatorisch in den Anforderungen A.5.15, A.5.16 und A.5.17.
Sicher anmelden: Der richtige Mix macht’s
Oft sieht man noch reine Passwortlösungen - doch für sensible Bereiche ist das nicht mehr zeitgemäß. Viele Unternehmen setzen mittlerweile auf:
- Passwort + Token (z.B. via App oder Hardware-Token);
- Biometrie wie Fingerabdruck oder Gesichtserkennung;
- Zertifikatsbasierte Anmeldung für automatisierte Systeme;
- Oder gleich auf passwortloses Login.
Je nach Schutzbedarf kann es sinnvoll sein, mehrere Faktoren zu kombinieren - also Wissen ("etwas, das ich weiß“), Besitz ("etwas, das ich habe") und Biometrie ("etwas, das ich bin").
Sicher anmelden - auch unter schwierigen Bedingungen
Einige Verfahren, z. B. biometrische Logins, funktionieren nicht immer zuverlässig - etwa bei Feuchtigkeit, Verletzungen oder auf älteren Geräten. Deshalb lohnt es sich, immer eine Alternative anzubieten. Häufig genutzt werden:
- Backup-Codes
- Temporäre SMS-TAN (mit Vorsicht)
- Authenticator-Apps mit Offline-Funktion
Benutzerführung: Weniger verraten ist mehr
Beim Login sollte man nicht zu viele Informationen preisgeben - vor allem nicht gegenüber potenziellen Angreifern. Gute Praxis:
- Keine Hinweise, ob der Benutzername oder das Passwort falsch war - die Information, dass etwas nicht stimmte, reicht völlig aus und erlaubt keinen Rückschluss.
- Keine Systeminfos anzeigen, bevor der Login abgeschlossen ist.
- Fehlermeldungen möglichst allgemein halten.
So bleibt der Loginprozess sicher - ohne versehentlich beim Angreifer mitzuspielen.
Sicher anmelden heißt auch: Fehler erkennen
Es hilft nicht, wenn der Login technisch sicher ist, aber niemand merkt, wenn etwas schiefläuft. Deswegen ist es sinnvoll:
- Alle Loginversuche zu protokollieren - erfolgreich und fehlgeschlagen;
- Bei auffälligen Mustern (z.B. 10 Fehlversuche) Alarm zu schlagen.
Nach erfolgreichem Login kurz zu zeigen:
- wann der letzte Login war;
- ob es fehlgeschlagene Versuche seitdem gab.
So können auch die Nutzer selbst mithelfen, unbefugte Zugriffe zu erkennen.
Komfort und Sicherheit ausbalancieren
Viele Systeme erlauben heute Sicherheitsfunktionen wie:
- Sitzungen nach Inaktivität automatisch beenden;
- Maximale Verbindungsdauer begrenzen (z. B. bei Hochrisiko-Anwendungen);
- Zeitfenster oder Orte prüfen (z. B. Login nur aus EU/IP-Range, sog. "Geofencing").
Tipp: Nicht alles auf einmal aktivieren, sondern gezielt dort, wo das Risiko es rechtfertigt. Niemand will sich bei jedem internen Tool mit fünf Faktoren authentifizieren müssen. Bei Admin-Zugängen sieht das aber anders aus.
Unser Tipp
Authentifizierung muss heute mehr können als nur "Passwort und los". Je nach Anwendung und Risiko gibt es unterschiedliche Wege, sich sicher anzumelden, ohne Nutzer unnötig zu nerven.
Gut umgesetzt lässt sich beides verbinden: hohe Sicherheit und eine gute User Experience.
Interesse geweckt?
Möchten Sie mehr zum Thema "Sichere Anmeldeverfahren" im Rahmen der ISO 27001 wissen? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!