Plädoyer für Multi-Faktor-Authentifizierung


Die Zeiten als viele noch bei Zwei-Faktor-Authentisierung (2FA oder bzw. MFA für Multi Faktor Authentisierung) an User + Passwort als die zwei Faktoren gedacht haben, sind zum Glück nahezu vorüber. Zumindest bei den Verantwortlichen für die IT sollte dieser Irrglaube nicht mehr vorkommen.

Im Zeitalter von Mobiltelefonen fällt ebenso die Hürde teuer Hardwaretoken in den allermeisten Fällen weg. Woran liegt es also, dass wie jüngst durch Microsoft bekanntgegeben nur 22% der Firmen für ihrem Zugang zu Microsoft Azure auf MFA setzen?

Einige Unternehmen gehen mittlerweile den Weg, die Anwender zu belohnen, wenn MFA im Profil aktiviert wird. Aber nicht alle Branchen haben hierzu die gleichen Voraussetzungen.

Gameification ist für manche Branchen das Zauberwort – wie der Name schon vermuten lässt – funktioniert das, in der mittlerweile milliardenschweren Industrie der Computer- und Videospiele, sehr gut.
„Kaufe den Nachfolger deines Lieblingsspiels und erhalte folgende „in game“ Items.“ Oder „Teile den Kauf in Social Media mit deinen Freunden und erhalte „100 virtuelle Schlumpfbeeren*“ (*nur um ein oft zitiertes Beispiel zu nennen).
Die Liste der Möglichkeiten scheint unbegrenzt. Aber die Belohnung ist in der Regel immateriell. Ein kleiner Stern neben dem eigenen Avatar welcher den Spieler als Vorbesteller auszeichnet, kostet dem Unternehmen erstmal nichts, stellt aber dem Spieler u.U. ein einmaliges und nur für kurze Zeit erreichbares Gut dar. Für MFA Aktivierung könnte man hier z.B. den Titel „Schlüsselmeister“ in Aussicht stellen. 😉

Die Finanzindustrie, aber auch andere Branchen, haben hier gleich mehrere Hürden zu meistern. Die meisten Kunden behalten ihre finanzielle Situation verständlicherweise ehr für sich.
Kaum einer wird in Social Media posten „Schaut mal habe einen neuen Sparvertrag abgeschlossen“, oder „Geht wie ich zu Dienstleister x, die Kredit-Zinsen sind aktuell der Wahnsinn“. Auch gibt es in diesen Branchen meist wenig Spielraum in der Kalkulation bzw. kaum immaterielle Güter, die dem Kunden in Aussicht gestellt werden könnten.
Nicht zuletzt könnte selbst das Klientel solch ein Vorgehen als unseriös empfinden.

Was also tun?

Die ersten Services lassen, selbst ohne regulatorische Vorgabe, dem Nutzer mittlerweile keine Wahl mehr. Ich sage gut so! Eine Belohnung gibt es aber trotzdem bei allen:

Der Schutz der eigenen Daten

Dadurch habe ich persönlich, ein viel größeres Vertrauen in meinen Geschäftspartner, denn der Schutz meiner, aber auch seiner Daten ist ein wichtiger Baustein auf der, jede gute Geschäftsbeziehung beruhen sollte… nein muss.

Wenn dieser Schutz erst genommen wird, bin ich auch gerne bereit, einen weiteren Schritt beim Login oder bei der Freigabe von Aufträgen durchzuführen. Das ist der „richtige“ Weg.