Nutzung der Zwei-Faktor-Authentifizierung im BIS

Aus BIS Wiki

Auch ein sehr sicheres Passwort kann prinzipiell abhanden kommen und von Unbefugten verwendet werden. Für BIS Mitarbeiterlogins bieten wir daher eine sogenannte Zwei-Faktor-Authentifizierung an, die den Schutz des eigenen BIS Zugangs deutlich verbessern kann. Die Zwei-Faktor-Authentifizierung wurde im BIS dabei so realisiert, dass sie die tägliche Nutzung der BIS Anwendungen weder besonders erschwert noch verkompliziert. Sie brauchen dazu nichts weiter als Ihr Smartphone.

  • Falls Sie zu den BIS Benutzern gehören, die ein 'Security Token' erhalten haben, dann finden Sie spezielle Hinweise in dieser Seite.

Was ist eine Zwei-Faktor-Authentifizierung?

Wie der Name schon sagt, bezieht die Zwei-Faktor-Authentifizierung eine zusätzliche zweite Komponente in die Anmeldung am System ein. Diese zweite Komponente muss ein "Geheimnis" (ein Code) sein, das nur der berechtigte Nutzer kennt, bzw. nur sie/er erzeugen kann. Aus dem Alltag ist dies von Bankkarten bekannt: Nur wer die Bankkarte UND die PIN besitzt, kann auf das Konto zugreifen, wer eines dieser Elemente allein verwendet, scheitert.

Wer die Zwei-Faktor-Authentifizierung nutzt, muss zusätzlich zu seinem normalen Passwort das zweite Element angeben, um seine Identität dem System gegenüber zweifelsfrei nachzuweisen. Sollte dann das Passwort gestohlen worden sein, bleibt der Zugang trotzdem durch den zweiten Faktor geschützt, da der Angreifer diesen nicht kennt.

Im BIS wird als zweiter Faktor ein Code eingesetzt, der mit Hilfe eines Smartphones jederzeit neu erzeugt werden kann. Ein etwaiger Angreifer müsste also das BIS-Passwort UND das Smartphone stehlen (und auf letzteres zugreifen können).

Wie kann ich die Zwei-Faktor-Authentifizierung aktivieren

Über diese Seite im Personenverzeichnis können Sie als Mitarbeiterin oder Mitarbeiter Ihren BIS Zugang um die Zwei-Faktor-Authentifizierung ergänzen:

Zwei-Faktor-Authentifizierung für Mitarbeiterinnen und Mitarbeiter

So lange Sie die Zwei-Faktor-Authentifizierung noch nicht aktiviert haben finden Sie dort einen Schalter, der die Aktivierung startet. Die Seite zeigt Ihnen dann einen sogn. QR-Code wie diesen an:

Beispiel für einen QR-Code

Der in der Aktivierungsseite angezeigte QR-Code enthält den Schlüssel, der in Zukunft ihren zweiten Faktor bei der BIS Anmeldung erzeugt. Er ist also ganz individuell auf Sie zugeschnitten. Diesen QR-Code müssen Sie nun mit einer geeigneten Authenticator App auf Ihrem Smartphone einscannen. Eine Liste von geeigneten Apps finden Sie hier.

Sobald Sie die App auf Ihrem Smartphone installiert haben verwenden Sie sie um den QR-Code einzuscannen. In der Google Authenticator App tippen Sie dazu oben rechts auf die drei Punkte und im dann folgenden Menü auf 'Konto einrichten'. Mit der Option 'Barcode scannen' wird die Handykamera gestartet und Sie müssen das Handy jetzt so halten, dass die BIS Seite mit dem QR-Code im Bild ist. Meist geht das Scannen sehr schnell und das Handy vibriert dabei kurz. Wenn es nicht sofort klappt versuchen Sie einmal unterschiedliche Entfernungen zum Bildschirm. Andere Apps verhalten sich ähnlich.

Die App wird Ihnen nach erfolgreichem Einscannen eine 6-stellige Zahl zeigen, die von da an alle 30 Sekunden wechselt. Das folgende Bild zeigt einen typischen Anblick:

width=200px

Dies ist Ihr Sicherheitscode. Damit ist die Einrichtung auf dem Smartphone abgeschlossen. Diesen Code brauchen Sie jetzt zum ersten Mal um die Einrichtung der Zwei-Faktor-Authentifizierung abzuschließen: Tragen Sie den aktuell angezeigten Wert in das Eingabefeld unterhalb des QR-Codes ein und schicken Sie das Formular ab.

Das Formular prüft nun, ob der Code passt und wenn dies der Fall ist sind Sie fertig! Ab sofort verwenden Sie die sichere Zwei-Faktor-Authentifizierung im BIS. Sie können die Einrichtung natürlich auch abbrechen, wenn Sie jetzt noch nicht auf das sichere BIS Login umstellen wollen. Falls Probleme bei der Eingabe des ersten Sicherheitscodes auftreten, so sehen Sie sich einmal die Hinweise unten unter dem Punkt 'Mein Sicherheitscode wird nicht akzeptiert' an.

Manuelle Eingabe des Schlüssels

Falls Sie Probleme beim Einscannen des QR-Codes haben, oder falls Sie ein Gerät verwenden, welches nicht über eine Kamera verfügt, können Sie den grundlegenden Schlüssel für die Einrichtung der App auch manuell eingeben. Dazu wird Ihnen der Schlüssel unterhalb des QR-Codes angezeigt. Die Eingabe dieses langen Textes ist fehlerträchtig und wird daher nur im Ausnahmefall empfohlen.

Die meisten Apps bieten eine entsprechende Option zur manuellen Eingabe zusätzlich zum Scannen des QR-Codes an. Dabei müssen Sie selbst einen Namen für das Konto vergeben ("BIS Login" bietet sich hier an) und meist auch einstellen welches Generierungsverfahren ('zeitbasiert') verwendet wird.

Danach funktioniert Ihre App aber genauso, also ob Sie den QR-Code eingescannt hätten.

Nach der Aktivierung: Ausdrucken der Ersatzcodes

Wenn Sie die Aktivierung der Zwei-Faktor-Authentifizierung erfolgreich abgeschlossen haben erhalten Sie eine entsprechende Meldung, zusätzlich werden Ihnen Ihre Ersatzcodes angezeigt. Diese kurze Liste von 8-stelligen Codes sollten sie sofort ausdrucken und dann sicher verwahren, z. B. in Ihrem Portemonnaie. Sie können dazu den Ausdruck so zurechtschneiden, dass nur noch der kleine, umrandete Bereich übrig bleibt.

Die Ersatzcodes ermöglichen es Ihnen sich auch dann am System anzumelden, wenn Sie einmal Ihr Smartphone nicht dabei haben oder gerade der Akku leer ist. An allen Stellen, an denen im Folgenden von Sicherheitscode die Rede ist, können Sie statt dessen auch die Ersatzcodes verwenden.

Weiter unten finden Sie eine genauere Beschreibung der Ersatzcodes und wie Sie sich neue Codes erzeugen können. Da ein Ersatzcode nach der Verwendung 'verbraucht' ist kann es vorkommen, dass Sie gelegentlich neue Codes erzeugen müssen.

Was verändert sich am BIS Login nach der Aktivierung

Nach der Aktivierung der Zwei-Faktor-Authentifizierung brauchen Sie beim nächsten BIS Login zusätzlich zur Eingabe Ihres BIS Benutzernamens und Passworts auch Ihren zweiten Faktor, den Sicherheitscode. Diesen Code finden Sie auf Ihrem Smartphone in der Authenticator App, die Sie bei der Aktivierung der Zwei-Faktor-Authentifizierung gewählt haben. Öffnen Sie also Ihre App, schauen Sie nach, welcher 6-stellige Code dort gerade angezeigt wird, und geben Sie ihn im Loginformular ein. Stimmt der Code haben Sie sich erfolgreich angemeldet.

Wenn hingegen ein Angreifer Ihr Passwort gestohlen hat, so kommt er an dieser Stelle nicht weiter, da er Ihren aktuellen Sicherheitscode nicht kennt. Selbst wenn es einem Angreifer gelingen sollte neben Ihrem Passwort auch einen Sicherheitscode zu stehlen nützt ihm dies nichts, da der Sicherheitscode ja nur für kurze Zeit gültig ist.

Mein Sicherheitscode wird nicht akzeptiert

Wenn die Eingabe des Sicherheitscodes beim Login scheitert, so kann dies folgende Gründe haben:

  • Der Code enthält Tippfehler. Prüfen Sie noch einmal, ob Sie den Code wirklich richtig eingetragen haben
  • Der Code ist nicht der aktuelle Code. Sie müssen den Code verwenden, der im Moment des Logins in Ihrer App angezeigt wird. Ein Code, den Sie früher einmal verwendet haben, kann bei zukünftigen Logins nicht mehr genutzt werden. Sie können in den meisten Authenticator Apps übrigens sehen, wie viel Zeit noch bleibt bis der nächste Code an der Reihe ist: In der Google Authenticator App wird dazu neben dem Zahlencode ein kleiner Kreis gezeigt, dessen Füllgrad symbolisiert, wie viel Zeit bereits verstrichen ist. Falls hier die Zeit bereits fast abgelaufen ist könnten Sie kurz warten bis der neue Code angezeigt wird.
  • Falls Sie in Ihrer Authenticator App mehrere Dienste mit Zwei-Faktor-Authentifizierung verwalten achten Sie darauf, dass Sie wirklich den Code für die BIS Anmeldung verwenden.
  • Die Uhrzeit auf Ihrem Smartphone ist falsch eingestellt. Die Erzeugung der Sicherheitscodes erfolgt abhängig von der Uhrzeit. Es ist daher wichtig, dass die App auf Ihrem Smartphone die gleiche Zeit verwendet wie die BIS Server. Normalerweise erhalten Smartphones heute ihre Zeiteinstellungen direkt aus dem Mobilfunknetz und sollten damit (fast) immer richtig eingestellt sein. In der Seite zur Eingabe des Sicherheitscodes - und auch in der Seite zur Aktivierung der Zwei-Faktor-Authentifizierung - finden Sie die Uhrzeit, die auf den BIS Servern beim Aufruf der Seite galt. Die Zeit auf Ihrem Smartphone sollte hier nur einige Sekunden abweichen.

Falls sich das Problem nicht beheben lässt, so wenden Sie sich bitte an das BIS Team. In der Zwischenzeit können Sie einen Ihrer Ersatzcodes nutzen.

Was sind vertrauenswürdige Rechner

Auch wenn das Herausholen des Smartphones und das Ablesen des Sicherheitscodes keinen großen Umstand macht, möchten Sie diesen Schritt vielleicht nicht bei jedem Anmeldevorgang wiederholen müssen. Daher gibt es einen Weg, diesen Schritt auf den Rechnern, die Sie täglich verwenden und die Sie für vertrauenswürdig halten, abzukürzen. Dazu dient die Option, die Ihnen bei der Eingabe des Sicherheitscodes angeboten wird und die per Voreinstellung nicht ausgewählt ist. Wählen Sie diese Option, so werden Sie erst nach 30 Tagen (Stand 01/2015) auf diesem Rechner - genauer gesagt: in diesem Webbrowser - wieder nach Ihrem Sicherheitscode gefragt. Ihr Passwort müssen Sie natürlich bei jedem Login weiterhin eingeben. Ein etwaiger Angreifer könnte dann von einem anderen Rechner aus nicht auf Ihren Zugang zugreifen, weil er dort weiterhin nach dem Sicherheitscode gefragt würde, wohingegen Sie sich an Ihrem vertrauten und als zuverlässig definierten (Arbeits-)Rechner auch ohne zweiten Faktor anmelden könnten.


Durch diese Option bleibt das BIS Login trotz aktivierter Zwei-Faktor-Authentifizierung fast genauso einfach, wie Sie es gewohnt sind.

Bitte denken Sie daran, dass auch an Ihrem als vertrauenswürdig definierten Rechner nach einer gewissen Zeitspanne (s.oben) der zweite Faktor bei der Anmeldung erneut abgefragt wird!

Welche Rechner kann ich als vertrauenswürdig kennzeichnen

Die Option sollte mit Vorsicht eingesetzt werden, da sie eine Umgehung des zweiten Faktors bedeutet, wenn auch eine zeitlich beschränkte. Diese Regeln sollten dabei beachtet werden:

  • Auf Rechnern, die man sich mit anderen Benutzern teilt, sollte die Option nicht verwendet werden. Dies gilt erst recht für öffentlich nutzbare Rechner.
  • Auf Rechnern, die man nur selten verwendet, lohnt die Nutzung der Option meist nicht und ein potentielles Sicherheitsrisiko wird vermieden.

Der typische Anwendungsfall ist daher der eigene Arbeitsplatzrechner, den man täglich verwendet, bei dem der Zugang durch ein persönliches Passwort geschützt ist und der professionell betreut wird.

Wie kann ich meine vertrauenswürdigen Rechner verwalten

Sie können jeden Rechner als vertrauenswürdig einrichten, nachdem Sie sich dort (unter Nutzung des zweiten Faktors) angemeldet haben.

In der Seite zur Aktivierung der Zwei-Faktor-Authentifizierung wird angezeigt, ob für Sie (bzw. für Ihren BIS-Zugang) vertrauenswürdige Rechner existieren. Gibt es solche Vertrauensstellungen, dann kann die Seite erkennen ob für den Rechner den Sie gerade verwenden eine solche Vertrauensstellung eingerichtet ist. Sie können dann die Vertrauensstellungen für diesen Rechner beenden (z. B. wenn Sie beim Login die Option versehentlich ausgewählt haben) oder für alle anderen Rechner (z. B. wenn Sie einen neuen Arbeitsplatzrechner erhalten haben und die Vertrauensstellung für den alten Rechner aufheben wollen).

Wichtig: Sie können Vertrauensstellungen nur auf dem zuvor beschriebenen Weg aufheben. Eine Abmeldung vom BIS ändert nichts an der Vertrauensstellung des gerade von Ihnen verwendeten Rechners.

Obwohl ich meinen Rechner als vertrauenswürdig gekennzeichnet habe werde ich weiterhin nach dem Sicherheitscode gefragt

Dies kann mehrere Gründe haben:

  • Die Einrichtung der Vertrauensstellung war bereits zu alt und musste erneuert werden
  • Sie haben zwar den gleichen Rechner verwendet, aber einen anderen Webbrowser. Die Vertrauensstellung bezieht sich letztlich auf einen bestimmten Webbrowser. Ein ähnlicher Effekt kann auftreten, wenn Sie in Ihrem Browser unterschiedliche Nutzerprofile verwenden oder einen Inkognito Modus
  • Sie haben in Ihrem Webbrowser die Cookies gelöscht, oder eine Browsereinstellung/-erweitung blockiert die Annahme der vom BIS Login gesetzten Cookies
  • Sie haben die Zwei-Faktor-Authentifizierung neu aufgesetzt, z. B. bei einem Gerätewechsel. Dabei werden alle eingerichteten Vertrauensstellungen aufgehoben. Das gleiche gilt, wenn die Zwei-Faktor-Authentifizierung von der Administration zurückgesetzt werden musste

Beim Zugriff auf bestimmte Funktionen - zum Beispiel bei der Änderung Ihres Passworts - müssen Sie unabhängig von eingerichteten Vertrauensstellungen erneut Ihren Sicherheitscode eingeben.

Die Option meinen Rechner als vertrauenswürdig zu kennzeichnen erscheint nicht

Wenn Sie auf eine der zuvor genannten sicherheitsrelevanten Funktionen wie die Seite zur Änderung Ihres Passworts zugreifen wollen, bei der Sie immer zur Eingabe Ihres zweiten Faktors aufgefordert werden, wird die Option zur Einrichtung einer Vertrauensstellung dann nicht angeboten, wenn es bereits eine gültige Vertrauensstellung auf dem verwendeten Rechner gibt.

Welche App kann ich verwenden

Die Zwei-Faktor-Authentifizierung kann heute über nahezu alle gängigen Smartphones genutzt werden. Dazu zählen alle Android Geräte, iOS Geräte wie iPhones und iPads, Blackberrys und Windows Phones. Auf dem Smartphone muss eine App installiert sein, die mit der BIS Zwei-Faktor-Authentifizierung zusammenarbeitet. Oft werden diese Apps als Authenticator Apps bezeichnet.

Die Apps, die für die Zwei-Faktor-Authentifizierung im BIS verwendet werden können, haben wir in einer separaten Seite aufgeführt:

Apps für die Zwei-Faktor-Authentifizierung im BIS

Was sind Ersatzcodes?

Der erste Satz der sogenannten Ersatzcodes wird - wie oben bereits beschrieben - bei der Aktivierung der Zwei-Faktor-Authentifizierung erzeugt. Sie haben also ohne weiteres Zutun sofort Ersatzcodes, wenn Sie die Zwei-Faktor-Authentifizierung verwenden. Die Ersatzcodes können an Stelle der von der Authenticator App erzeugten Sicherheitscodes verwendet werden. Sie verbrauchen sich dabei, sind also nur ein einziges Mal einsetzbar. Die Ersatzcodes sollen Ihnen eine Loginalternative bieten für den Fall, dass Sie Ihr Smartphone gerade nicht einsetzen können.

Wie schütze ich meine Ersatzcodes?

Da die Ersatzcodes einem Angreifer, der bereits Ihr Passwort kennt, den Zugriff auf Ihren BIS Zugang ermöglichen, müssen sie gut geschützt werden. Gleichzeitig müssen die Codes aber - wenn sie Ihre Funktion als Smartphoneersatz erfüllen sollen - auch für Sie verfügbar sein, wenn Sie sie brauchen.

Keine sichere Lösung ist es dabei die Ersatzcodes im Büro mit dem Arbeitsplatzrechner zu verwahren, da dies einem Angreifer die Möglichkeit gäbe an einer einzige Stelle - Ihrem Büro - ggf. Passwort und Ersatzcodes zu stehlen.

Besser ist es, wenn Sie die Ersatzcodes bei sich tragen, z. B. in Ihrem Portemonnaie. Auf diese Weise sind die Codes immer bei Ihnen und Sie haben Sie dann zur Verfügung, wenn Sie sie brauchen. Gleichzeitig sind die Ersatzcodes getrennt von den Rechnern, auf denen Sie sie vielleicht nutzen werden, und können daher nicht so einfach gestohlen werden.

Das Druckformat der Ersatzcodes wurde so gestaltet, dass es auf einen kleinen Zettel passt, der sich gut in einer Brieftasche unterbringen lässt. Selbstverständlich sollte es sein, dass Sie auf dem Zettel keine weiteren Informationen zu Ihrem BIS Zugang eintragen wie den Benutzernamen oder gar Ihr Passwort.

Sie können hingegen verbrauchte Ersatzcodes auf dem Zettel einfach streichen um so einen Überblick zu behalten, welche Codes Sie schon verwendet haben.

Wo kann ich sehen, welche Ersatzcodes bereits verbraucht sind?

In der Seite mit den Einstellungen zur Zwei-Faktor-Authentifizierung finden Sie am rechten Rand einen Link, der Sie in die Seite zur Verwaltung der Ersatzcodes bringt. Dort wird Ihnen die Liste Ihrer noch gültigen Ersatzcodes angezeigt. Sobald Sie einen Code verwenden verschwindet er von der Liste. Sobald Sie alle Codes verbraucht haben ist die Liste leer.

Wie generiere ich neue Ersatzcodes?

In der Seite, in der Sie sich ihre noch gültigen Ersatzcodes anzeigen lassen können, finden Sie auch eine Option zur Generierung eines neuen Blocks von Ersatzcodes. Der neue Satz von Codes ersetzt dabei alle früheren Codes. Abgesehen von dem Fall, dass Sie alle alten Codes verbraucht haben, kann dies auch dann sinnvoll sein, wenn Sie den Verdacht haben jemand habe vielleicht Einblick in Ihre Codes genommen. Wenn Sie sich neue Ersatzcodes generiert haben können Sie die Liste der alten Codes einfach wegwerfen, da diese nun funktionslos sind. Es ist daher auch nicht möglich sich mehr Codes 'auf Vorrat' zu erzeugen, als vom System vorgegeben.

Meine Ersatzcodes funktionieren nicht

Wenn Sie bei der Anmeldung mit einem Esatzcode vom System abgewiesen werden, so kann dies abgesehen von einem Tippfehler nur den Grund haben, dass der Code bereits verbraucht wurde. Sie sollten dann einen anderen Code auf Ihrer Liste verwenden. Stellen Sie dabei sicher, dass Sie eine aktuelle Liste von Ersatzcodes verwenden.

Wenn Sie sich sicher sind, dass Sie einen Ersatzcode nicht selbst verwendet haben, dann sollten Sie unbedingt diese Schritte ausführen:

  1. Generieren Sie sich neue Ersatzcodes (siehe den vorherigen Abschnitt)
  2. Entfernen Sie alle eingerichteten Vertrauensstellungen von anderen Rechnern (siehe oben)
  3. Überprüfen Sie in der Seite 'Meine Aktivitäten' ob dort unerklärliche Logins zu sehen sind
  4. Nehmen Sie Kontakt mit uns auf!

Wie kann ich die Zwei-Faktor-Authentifizierung wieder abschalten?

In der gleichen Seite, in der Sie die Zwei-Faktor-Authentifizierung aktiviert haben, finden Sie auch einen Weg um sie wieder abzuschalten. Dazu müssen Sie allerdings Ihren zweiten Faktor im Zugriff haben, eine Abschaltung allein mit ihrem BIS Passwort ist nicht möglich, selbst wenn es sich um einen vertrauenswürdigen Rechner handelt.

Sie sollten nach einer Abschaltung der Zwei-Faktor-Authentifizierung auch den entsprechenden Eintrag in Ihrer Authenticator App löschen. Es stellt zwar kein Sicherheitsrisiko dar, wenn Sie den Eintrag bestehen lassen. Allerdings könnte dies ein Stolperstein sein bei einer erneuten Einrichtung der Zwei-Faktor-Authentifizierung. Umgekehrt reicht es nicht die App zu löschen bzw. den BIS Code in der App um die Zwei-Faktor-Authentifizierung im BIS abzuschalten.

Ich kann die Zwei-Faktor-Authentifizierung nicht abschalten

Wenn Sie eine der Personen sind, die von uns ein Security Token - also ein spezielles Gerät für die Generierung der Sicherheitscodes - erhalten haben, dann können Sie die Zwei-Faktor-Authentifizierung nicht selbst wieder deaktivieren, da hier noch spezielle Konfigurationen auf Systemseite notwendig sind und das Token wieder zurückgegeben werden muss. Bitte wenden Sie sich in diesem Fall an uns.

Ich habe ein neues Handy. Wie kann ich die Zwei-Faktor-Authentifizierung umziehen

Sie sollten hier - während Sie ihr bisheriges Handy noch nutzen können - die Zwei-Faktor-Authentifizierung einmal abschalten und dann mit dem neuen Handy wieder aktivieren. Dazwischen sollte natürlich nicht zu viel Zeit vergehen. Da bei einer Abschaltung der Zwei-Faktor-Authentifizierung auch alle Vertrauensstellungen von Rechnern aufgehoben werden müssen Sie sich nach der Umstellung zunächst wieder an allen Rechnern mit dem zweiten Faktor anmelden. Dabei können Sie die gewünschten Vertrauensstellungen wieder aufbauen. Auch Ihre Ersatzcodes werden neu erstellt.

Falls Sie Ihr altes Handy schon nicht mehr nutzen können und auch keine Ersatzcodes haben, so wenden Sie sich bitte an das BIS Team.

Ich habe mein Handy bzw. meinen zweiten Faktor verloren und kann mich nicht mehr anmelden

In diesem Fall - oder auch, wenn Sie Ihr Handy gerade nicht dabei haben, aber dringend auf die BIS Anwendungen zugreifen müssen und keine Ersatzcodes zur Verfügung haben - wenden Sie sich bitte an das BIS Team.