Sicherheit stärken: Passwortrichtlinie und 2FA einrichten
In diesem Artikel erfahren Sie, wie Sie die Passwortrichtlinie festlegen und die Zwei-Faktor-Authentifizierung aktivieren können, die für die in Ihrer Prozessplattform verwalteten Benutzerkonten gilt.
Inhaltsverzeichnis
Zweck
Starke Passwörter für Benutzerkonten in IT-Systemen sind ein wesentlicher Bestandteil der Informationssicherheit. Viele Organisationen definieren dafür verbindliche Vorgaben, sogenannte Passwortrichtlinien. Diese legen in der Regel auch Mindestanforderungen an die Passwortkomplexität fest.
Ergänzend dazu erhöht die Zwei-Faktor-Authentifizierung (2FA) die Sicherheit, indem sie den Anmeldeprozess um einen zusätzlichen Faktor erweitert. Neben dem Passwort wird ein einmaliger Code abgefragt. Dadurch können unbefugte Zugriffe auch dann wirksam erschwert werden, wenn ein Passwort kompromittiert wurde.
In der Prozessplattform können Sie als Fachadministrator/-in sowohl Passwort-Richtlinien als auch die Zwei-Faktor-Authentifizierung konfigurieren. Wir empfehlen, diese Vorgaben bereits vor dem Anlegen der ersten Benutzerkonten einzurichten, damit sie von Anwender/-innen bei der Anmeldung und bei der Passwortvergabe berücksichtigt werden.
Schritt-für-Schritt-Anleitung: Passwortrichtlinien
Gehen Sie wie folgt vor, um in Ihrer Prozessplattform eine Passwort-Richtlinie einzurichten.
Einstellungen “Verwaltung → Rechtliches & Datenschutz” öffnen
Die Passwortrichtlinien werden im Verwaltungsmodul im Bereich Rechtliches & Datenschutz gepflegt. Klicken Sie im Hauptmenü auf Verwaltung und wählen Sie im linken Untermenü Rechtliches & Datenschutz, um Änderungen vorzunehmen.
Anforderungen an die Passwörter einstellen
Nehmen Sie im Abschnitt “Passwortrichtlinien“ die Einstellungen gemäß der in Ihrer Organisation geltenden Vorgaben vor. Falls Ihnen die Vorgaben nicht bekannt sind, nehmen Sie ggf. mit der/dem IT-Sicherheitsbeauftragten Ihrer Organisation Kontakt auf.
Für den Fall, dass keine konkreten Vorgaben existieren oder Sie diese (noch) nicht in Erfahrung bringen konnten, empfehlen wir Ihnen die im folgenden Screenshot abgebildeten Einstellungen, die sich an den geltenden Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik orientieren.
Schritt-für-Schritt-Anleitung: Zwei-Faktor-Authentifizierung
Die Einführung der Zwei-Faktor-Authentifizierung erfolgt in zwei wesentlichen Schritten. Zunächst muss die Funktion durch einen Fachadministrator auf Mandantenebene grundlegend freigeschaltet werden. In diesem zentralen Konfigurationsschritt wird festgelegt, welche Sicherheitsverfahren generell zur Verfügung stehen und welcher Grad an Verbindlichkeit für die Organisation gelten soll. Erst nachdem diese systemweite Aktivierung erfolgt ist, können die einzelnen Endanwender in einem zweiten Schritt aktiv werden. Sie können (bzw. müssen, je nach eingestellter Verbindlichkeitsstufe für die Verwendung der Zwei-Faktor-Authentifizierung) in ihrem persönlichen Benutzerkonto ein individuelles 2FA-Verfahren ihrer Wahl einzurichten, um den eigenen Zugang zusätzlich abzusichern.
Hinweis: Wenn Sie das Erweiterungsmodul “SSO mit SAML 2.0” nutzen, dann sind die Zwei-Faktor-Authentifizierungsoptionen der Prozessplattform i.d.R. nicht relevant, da die Authentifizierung (und damit auch die Frage, ob dazu ein zweiter Faktor genutzt wird) an das per SAML angebundene Identitätsmanagementsystem delegiert wird. Eine Ausnahme stellen lediglich die “Fallback-Benutzerkonten” dar, mittels derer sich z.B. Administratoren auch bei ausgefallener Verbindung zum Identitätsmanagement-System weiterhin direkt in die Prozessplattform einloggen können.
Zwei-Faktor-Authentifizierung in Ihrer Prozessplattform freischalten (durch Admin)
Gehen Sie wie folgt vor, um in Ihrer Prozessplattform die Zwei-Faktor-Authentifizierung einzurichten.
Menüpunkt “Verwaltung → Rechtliches & Datenschutz” öffnen
Wählen Sie im Hauptmenü den Eintrag Verwaltung aus und öffnen Sie im linken Untermenü den Eintrag Rechtliches & Datenschutz.
Kontaktdaten der Anwendungsbetreuung hinterlegen
Die Zwei-Faktor-Authentifizierung steht in Ihrem Mandanten erst zur Verfügung, wenn die Kontaktdaten der Anwendungsbetreuung Ihres Mandanten hinterlegt wurden (Verwaltung → Rechtliches & Datenschutz → Kontaktdaten). Tragen Sie diese zunächst ein.
Zwei-Faktor-Authentifizierung aktivieren
Öffnen Sie zunächst im Abschnitt „Anmeldung & Sicherheit“ den Dialog zur Konfiguration der Zwei-Faktor-Authentifizierung (2FA). Da im Auslieferungsstandard noch keine Verfahren aktiviert sind, empfehlen wir Ihnen, die Einführung vorab mit Ihrem oder Ihrer IT-Sicherheitsbeauftragten abzustimmen. So können Sie gemeinsam festlegen, welche Verfahren für Ihren Mandanten geeignet sind und in welchem Umfang deren Nutzung verpflichtend sein soll.
Sobald Sie mindestens ein Verfahren aktivieren, setzt das System die Verbindlichkeitsstufe automatisch auf „Empfohlen“. In diesem Status erhalten die Nutzerinnen und Nutzer im Cockpit zwar einen Hinweis auf die empfohlene Einrichtung, das System erzwingt die Aktivierung jedoch noch nicht. Die Anwender können somit vorerst selbst entscheiden, wann sie das Verfahren tatsächlich in Betrieb nehmen.
Verfügbare Verfahren (Übertragungskanäle) festlegen
Legen Sie fest, welche Kanäle zur Übermittlung des Zahlencodes an die Nutzenden in Ihrer Prozessplattform angeboten werden sollen:
Verfahren | Beschreibung |
|---|---|
Einmalcode per Authenticator-App (TOTP)* | Der Einmalcode wird in einer Authenticator-App auf dem Smartphone oder Computer erzeugt und ist zeitlich begrenzt gültig. |
Einmalcode per SMS | Der Einmalcode wird per SMS an die hinterlegte Mobilfunknummer gesendet. Ein SMS-Einmalcode läuft nach 5 Minuten ab und kann dann erneut angefordert werden. |
Einmalcode per E-Mail | Der Einmalcode wird an die im Benutzerkonto hinterlegte E-Mail-Adresse versendet. Ein E-Mail-Einmalcode läuft nach 15 Minuten ab und kann dann erneut angefordert werden. |
Verbindlichkeitsstufe für 2FA festlegen
Sobald die Verfahren angeklickt wurde, können Sie die Verpflichtung auswählen. Hierbei stehen Ihnen folgende Optionen zur Verfügung. Diese Optionen bauen aufeinander auf.
Verbindlichkeitsstufe | Beschreibung |
Einrichtung erlauben | Nutzer/-innen können eines der aktivierten 2FA-Verfahren freiwillig für ihr Benutzerkonto einrichten. |
Empfehlung zur Einrichtung anzeigen | Nutzer/-innen können eines der aktivierten 2FA-Verfahren freiwillig einrichten und erhalten zusätzlich auf dem Cockpit eine Empfehlung angezeigt, falls sie dies bisher nicht vorgenommen haben. |
Administratoren zur Einrichtung verpflichten* | Nutzer/-innen (d.h. Modellierer und Betrachter) können eines der aktivierten 2FA-Verfahren freiwillig einrichten und erhalten zusätzlich auf dem Cockpit eine Empfehlung angezeigt, falls sie dies bisher nicht vorgenommen haben. Zusätzlich werden alle Fachadministrator/-innen bei der nächsten Anmeldung verpflichtet, 2FA für ihr Benutzerkonto einzurichten. |
Alle zur Einrichtung verpflichten | Es werden alle Nutzer/-innen bei der nächsten Anmeldung verpflichtet, ein 2FA für ihr Benutzerkonto einzurichten. |
Wir empfehlen, für Fachadministratorinnen und Fachadministratoren die Zwei-Faktor-Authentifizierung (2FA) verpflichtend zu aktivieren und hierfür einen Einmalcode über eine Authentifizierungs-App (TOTP) zu verwenden.
Diese Vorgehensweise entspricht den Empfehlungen von Sicherheitsbehörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI), insbesondere für privilegierte Benutzerkonten. Durch den Einsatz eines zweiten Faktors wird das Risiko unbefugter Zugriffe deutlich reduziert und das Sicherheitsniveau des Mandanten insgesamt erhöht.
Wird die Zwei-Faktor-Authentifizierung für Fachadministratorinnen und Fachadministratoren verpflichtend aktiviert, erhalten alle weiteren Nutzerinnen und Nutzer (z. B. Modelliererinnen und Modellierer sowie Betrachterinnen und Betrachter) automatisch einen entsprechenden Hinweis im Cockpit mit der Empfehlung, ebenfalls eine Zwei-Faktor-Authentifizierung einzurichten.
Zwei-Faktor-Authentifizierung einrichten (individuell für jeden Benutzerkonto)
Nach erfolgter Aktivierung von 2FA für den Mandanten können nun die einzelnen Benutzer jeweils das 2FA-Verfahren für ihr Benutzerkonto einrichten.
Sie können die 2FA-Einrichtung über das Profilmenü (Eintrag „Zwei-Faktor-Authentifizierung einrichten“) starten oder in Ihrem Profil auf das Feld „Zwei-Faktor-Authentifizierung“ klicken. Sollten diese Einträge nicht sichtbar sein, wurde in Ihrem Mandanten noch kein Verfahren aktiviert.
Verfahren auswählen und Einrichtung abschließen
Wählen Sie eines der im Mandanten aktivierten Verfahren aus und schließen Sie die Einrichtung ab, indem Sie einen Einmalcode anfordern und zur Bestätigung eingeben.
Sehen Sie hier beispielhaft die Einrichtung des Verfahrens “Einmalcode per Authentication-App (TOTP)”:
Scannen Sie den QR-Code wenn Sie die Authentication-App auf Ihrem Smartphone nutzen. Sollten Sie ein Passwort-Manager nutzen, den Sie auf Ihrem Computer nutzen, können Sie den Schlüssel kopieren und auch dort einfügen. Der Einmalcode wird automatisch alle 30 Sekunden neu generiert.
Klicken Sie auf „Zur Überprüfung des Einmalcodes“ und geben Sie den Einmalcode zur Bestätigung der Einrichtung ein. Nach erfolgreicher Prüfung ist die Einrichtung abgeschlossen.
Hinweis: Möchten Sie das für Ihr Benutzerkonto eingerichtete Verfahren zur Zwei-Faktor-Authentifizierung nachträglich ändern, muss das bisher verwendete Verfahren zunächst entfernt werden.
Bitte beachten Sie, dass zur Bestätigung der Entfernung letztmalig ein Bestätigungscode über das aktuell eingerichtete Verfahren erforderlich ist.
Verwandte Artikel
Rechtliches und Datenschutz : Finden Sie in diesem Artikel aus dem Online-Informationsportal ausführliche Informationen über alle Einstellungsmöglichkeiten im Bereich “Rechtliches und Datenschutz” des Verwaltungsmoduls.
Profil vervollständigen: Eigene Nutzerdaten eintragen: In dieser Handreichung erfahren Sie u.a., wie Sie das Passwort Ihres Benutzerkontos ändern können. Bei der Festlegung des neuen Passworts kommt die hier definierte Passwortrichtlinie zur Anwendung.
Mein Profil : Möchten Sie die Zwei-Faktor-Authentifizierung für Ihr Benutzerkonto einrichten? Dies können Sie über Ihr Profil tun.
Single-Sign-On mit SAML 2.0: Sie möchten für die Prozessplattform keine separaten Benutzerkonten mit eigenen Passwort-Einstellungen verwalten, sondern stattdessen Ihre Prozessplattform per Single-Sign-On an das zentrale Identitätsmanagement-System Ihrer Organisation anschließen? Dies ist mit dem kostenpflichtigen Erweiterungsmodul “Single-Sign-On mit SAML 2.0” möglich. Erfahren Sie mehr über diese Möglichkeit in diesem Artikel.