Datenschutzgrundverordnung für Anbieter

Banner DSGVO für Anbieter

DSGVO-Konformität als Wettbewerbsvorteil: Chancen für Anbieter im Zeitalter des Datenschutzes

Die DSGVO - Was muss beachtet werden, um teure Strafen zu vermeiden?

Die Datenschutzgrundverordnung ändert nicht nur einiges für Nutzer von Onlinediensten und Plattformen, sondern bringt auch für Anbieter und Händler Veränderungen mit sich.
Deutschland ist bereits jetzt ein Land, indem die Datenschutzbestimmungen einen hohen Stellenwert besitzen. Händler die sich bisher schon um die Einhaltung des Datenschutzes ihrer Kunden bemüht haben, wird die Einführung der neuen DSGVO weniger betreffen, als Anbieter die das bisher vernachlässigt haben.

Was Sie als Händler und Anbieter von Online Diensten und Plattformen ab Mai 2018 unbedingt beachten müssen, haben wir hier für Sie zusammengefasst.

Datensicherheit nach dem Stand der Technik

Datensicherheit für Nutzerdaten sollte zwar eigentlich ein Standard sein, der in allen Verordnungen und Gesetzen verankert sein muss, die Praxis zeigt allerdings, dass dem nicht so ist. Viele Webseiten die beispielsweise ein Kontaktformular anbieten, und sogar Webshops die Zahlungen abwickeln haben im Jahr 2017!!! immer noch keine ausreichenden Maßnahmen zum Schutz Ihrer Webseiten getroffen. Fehlende SSL / TLS Verschlüsselung (http anstelle des sichereren https) und unzureichend gesicherte Datenbanken, machen Datendiebstähle und Missbrauch fast zu einem alltäglichen Medienereignis.

Die DSGVO schreibt Betreibern und Anbietern ab Mai vor, eine ausreichende Datensicherheit, durch Berücksichtigung des Stands der Technik, des Risikos und der Kosten zu gewährleisten.

Im Klartext bedeutet das für Sie als Anbieter:

  • SSL / TLS Verschlüsselung (Zertifikat), sobald Newsletter- oder Kontaktformular auf der Webseite eingesetzt werden.
  • Risikoeinschätzung Ihrer Kundengruppe (Sind Sie ein Arzt mit Online Terminkalender müssen Sie andere Maßnahmen ergreifen, als der Malerbetrieb mit Newsletteranmeldung)
  • Regelmäßige und dokumentierte Updates der Webseite, PlugIns, Shopsysteme und anderer eingesetzter Software
  • Dokumentation der Maßnahmen und Prozesse

Wichtig ist noch zu erwähnen, dass diese Anforderungen an Betreiber noch nicht erprobt sind. Es wird zu Problemen und Unstimmigkeiten bei der Einführung im Mai kommen, das ist sicher.
Die Zeit wird zeigen, was „Stand der Technik“, „angemessen“ und „dem Risiko entsprechend“ in der Praxis für Anbieter von Webseiten, Onlineshops und Plattformen heißen wird.

Datenübertragung und das Recht auf Datenportabilität

Meine Nutzerdaten einfach und unkompliziert mitnehmen

Als Betreiber einer „einfachen“ Unternehmenswebseite wird Sie diese Änderung wenig bis gar nicht betreffen – Für Anbieter von Onlineshops, Netzwerken und Plattformen wird es allerdings nicht ganz so einfach.

Ihre Kunden und Nutzer bekommen ab Mai 2018 die gesetzliche Möglichkeit, die Daten die Sie erhaben, zu einem anderen Anbieter / Betreiber umzuziehen.

Das bedeutet im Klartext:

Alle Daten und Informationen die Sie von Ihren Benutzern speichern, also personenbezogene Daten wie Adresse, Name, Zahlungsmittel, Bestell- und Chatverläufe und viele weitere, müssen auf Wunsch downloadbar sein. Facebook und Google bieten solch eine Exportfunktion für Daten bereits seit einiger Zeit an.

Natürlich ist es ein Unterschied, ob man Google ist und tausende von Ereignissen und Aktivitäten der Nutzer aufzeichnet und auswertet, oder eben „nur“ ein Onlineshop oder kleines Portal. Die Anbieter von CMS und Onlineshop Systemen werde sicherlich zeitnah Funktionen und Tools zur Verfügung stellen, um den Anforderungen an die DSGVO gerecht zu werden.

!!!VORSICHT!!!

Wenn Sie Webseiten Software oder Webshop System nutzen, die bereits ein wenig in die Jahre gekommen sind, sollten Sie sich sehr bald informieren. Einige Systeme und Versionen von Software werden die Voraussetzung an die DSGVO technisch nicht erfüllen können.

Fragen Sie am besten gleich bei Ihrer Webagentur / Webdesigner nach, welche Möglichkeiten es in Ihrem Fall gibt.

Auch wir beraten Sie gerne ausführlich über die Optionen und haben auch schon DSGVO-ready Webseiten und Webshops im Repertoire, falls das mit der alten Seite nicht klappt.

Dokumentation der Maßnahmen – Die Rechenschaftspflicht für Anbieter

Alles muss dokumentiert werden!

Schlüsselloch mit Menschen dahinter

Ab Mai 2018 reicht es nicht mehr aus, Schutzmaßnahmen zu treffen, Sie müssen sie als Betreiber auch nachweisen können. Das bedeutet im Klartext, alles was an Maßnahmen zum Schutz der Daten Ihrer Nutzer und Kunden durchgeführt wird, muss auf Verlangen in dokumentierter Form nachgewiesen werden können. Hierunter fallen Angaben zum Erhebungsprozess der Daten, der Lagerung und der Auswertung.

Das Auskunftsrechts erstreckt sich nicht nur auf Aufsichtsbehörden, sondern soll auch für Nutzer gelten.

Eine Standardisierung der Dokumentation im eigenen Unternehmen sollte daher in Betracht gezogen werden, wenn noch nicht geschehen.

Bevor Sie sich um die Dokumentation der Schutzmaßnahmen Gedanken machen, sollten Sie als erstes herausfinden, welche Daten Sie überhaupt von Ihren Kunden / Benutzern erheben. Danach sollte man sich mit einem Profi zusammensetzen und einen geeigneten „Schlachtplan“ entwickeln. Gerade bei Klein- und Mittelständischen Unternehmen fehlen derzeit noch die Erfahrungen mit der Umsetzung von solchen Dokumentationsprozessen.

!!!VORSICHT!!!

Bei der Dokumentation darf auch der Datenschutz des eigenen Unternehmens nicht zu kurz kommen. Gewisse Informationen zur Lagerung, Verarbeitung und Analyse der Daten können in den falschen Händen großen Schaden anrichten.

Der Grundsatz hier lautet: „So viel wie nötigt, aber so wenig wie möglich“

Lass Sie sich an dieser Stell unbedingt von Experten beraten, hier werden viele kleine Webdesigner wohl an Ihre Grenzen stoßen. Sicherheit im Internet ist ein heikles Thema, dass Sie auf keinen Fall auf die leichte Schulter nehmen sollten.

Als „Motivation“ dienen vielleicht die geplanten Bußgelder in diesem Bereich. Laut der DSGVO, sollen Aufsichtsbehörden Bußgelder in Höhe von bis zu 20 Millionen € verhängen dürfen. Bei Unternehmen und Konzernen können sogar Bußgelder in Höhe von bis zu 4% des Umsatzes zum Gegenstand eines Verstoßes werden.

Ihre wichtigsten Pflichten als Anbieter und Betreiber von Webdiensten im Überblick

Datenschutzgrundverordnung Checkliste kompakt

  • Datensicherheit nach aktuelle Stand der Technik (SSL/TLS Verschlüsselung, Datenbankensicherheit, Software immer UpToDate)
  • Möglichkeit zur Datenübertragung schaffen (Export aller benutzerbezogenen Daten)
  • Dokumentation der Datenschutzmaßnahmen anfertigen (Von Webagenturen einfordern

Sobald die DSGVO im Mai 2018 in Kraft getreten ist, werden wir Sie an dieser Stelle natürlich mit weiteren Informationen versorgen.

Sollten Fragen oder Probleme auftreten, kontaktieren Sie uns bitte rechtzeitig und bald. Viele Anbieter haben das Leuten noch nicht gehört, und wollen auf den letzten Drücker „noch schnell“ einen DSGVO konformen Umbau vor Ablauf der Frist.

Probleme mit der DSGVO?

Jetzt Termin Sichern

Was ist 2 Faktor Authentifizierung und welche Arten von 2FA gibt es?

Banner Monitor Passwort und Schloss

Account Security Tutorial

8 Geheimtipps von denen Sie sicher noch nicht gehört haben

Wir haben uns für Sie einmal die Sicherheit des beliebtesten Social Media Networks genauer angeschaut. Alle Sicherheitsfunktionen ausprobiert, analysiert und für Sie zusammengefasst.

Welche Möglichkeiten gibt es, sein Konto vor fremden Zugriffen zu schützen, welche zusätzlichen Sicherheitsmechanismen man verwenden kann und wie man alles am besten einstellt und konfiguriert.

In unserer Tutorial-Reihe zeigen wir Ihnen einfach, übersichtlich und portionsweise, wie man sein Konto sicher macht, ungeliebte Messenger-Viren beseitigt, Sichtbarkeiten verwaltet und vieles mehr.

Wie funktioniert 2 Faktor Authentifizierung?

Normalerweise benötigt man, um sich bei Online-Diensten oder dem eigenen PC anzumelden, ein Passwort. Also etwas, das nur der legitime Benutzer wissen sollte/wissen kann. 2-Faktor-Authentifizierung fügt dieser Konstellation noch einen weiteren Faktor hinzu, nämlich etwas, das man besitzt und auf das niemand anders Zugriff hat.

2-Faktor-Authentifizierung lässt sich mit einem 2-teiligen Schlüssel vergleichen. Um das Schloss zu öffnen, reicht es nicht aus, nur die eine Hälfte des Schlüssels zu besitzen. Man benötigt beide Teile, um das Schloss öffnen zu können. 2FA nutzt im Kern ein sehr ähnliches Verfahren, um die Sicherheit eines Online-Dienstes oder des Computers sicherzustellen.

Schlüssel

Warum ist der Einsatz von 2 Faktor Authentifizierung bei online Accounts so wichtig?

Wir nutzen jeden Tag verschiedenste Dienste, für die ein Login benötigt wird. Und es werden von Tag zu Tag mehr. Jeder dieser Dienste speichert in der Regel einen Login-Namen, meist die E-Mail-Adresse oder den Nickname, und ein vom Benutzer gewähltes Passwort in einer Datenbank ab.

Eigentlich sollte man für jeden Dienst im Internet ein separates Passwort wählen, doch die Praxis zeigt, dass das nicht der Fall ist. Wir verzichten aus Gründen der Bequemlichkeit oft darauf, uns verschiedene Passwörter auszudenken bzw. zu merken. Stattdessen nutzen wir gerne ein und dasselbe Passwort bei mehreren Diensten.

Wird nun einer dieser Dienste gehackt, gelangen die gespeicherten Passwörter sehr schnell in die falschen Hände. Viele Dienste im Netz haben bereits gute Schutzmechanismen, um die gespeicherten Passwörter zu schützen. Oftmals werden diese Daten mit Hashfunktionen so abstrahiert, dass ein Angreifer im ersten Moment nicht viel mit den geklauten Daten anfangen kann. Leider nutzen nicht alle Online-Dienste ausreichende Sicherheitsvorkehrungen bei der Speicherung von Nutzerpasswörtern oder verwenden Sicherungsmaßnahmen, die mittlerweile veraltet sind. Ein Beispiel hierfür ist das MD5-Hashverfahren.

Gelangt nun ein Angreifer an diese unzureichend gesicherten Passwörter der Nutzer, kann er diese bei den unterschiedlichsten Diensten im Netz verwenden bzw. ausprobieren. Verwendet der Nutzer nun dasselbe Passwort bei mehr als nur einem Dienst, ist die Wahrscheinlichkeit sehr groß, dass der Angreifer mit dem erbeuteten Passwort und der hinterlegten E-Mail-Adresse auch auf andere Dienste zugreifen kann.

Einige Online-Dienste sind dagegen bereits sehr gut gerüstet. Spitzenreiter in diesem Bereich sind Anbieter von Krypto-Währungen und Börsen für digitale Währungen wie Bitcoins und Ethereum. Die Anbieter haben früh erkannt, dass der Schutz der Nutzerdaten und der im Konto verfügbaren Wertgegenstände besonders wichtig sind. Viele Krypto-Währungsbörsen und Marktplätze setzen bereits 2-Faktor-Authentifizierung bzw. teilweise sogar Multi-Faktor-Authentifizierung ein. Das bedeutet für einen erfolgreichen Login benötigt der Benutzer mehr als nur ein Passwort und einen Code aus seiner 2FA-App. Oft werden zusätzlich noch SMS oder E-Mails verschickt, die einen weiteren Code enthalten, den der Benutzer eingeben muss, um zu ‚beweisen‘, dass er der legitime Nutzer dieses Kontos ist.

Die 6 verschiedenen Arten von 2 Faktor Authentifizierungen im Überblick

Es gibt mittlerweile eine Vielzahl an Faktoren, die für eine Zweistufige Authentifizierung genutzt werden können. Einige davon möchten wir Ihnen an dieser Stelle kurz vorstellen:

Zwei Faktor Authentifizierungs Apps – Google Authenticator, Authy, LastPass Authenticator, Microsoft Authenticator und FreeOTP Authenticator

Verschiedene Authenticator Apps

Derzeit ist wohl der Google Authenticator der am meisten verwendete Authenticator am Markt. Doch es gibt noch viele weitere Apps, die mehr oder weniger dieselbe Funktionalität bieten.

Alle diese Apps haben im Grunde dieselben Funktionen und werden gleich bedient.

Die entsprechende App wird auf das eigene Smartphone geladen und geöffnet. Anschließend hat man die Möglichkeit, einen neuen Dienst zur App hinzuzufügen. Meist durch den Klick auf ein ‚+‘-Symbol. Anschließend öffnet sich in der Regel die Kamera des Mobiltelefons und man kann einen QR-Code abfotografieren. Dieser Code wird bei Einrichten der 2-Faktor-Sicherung im Online-Dienst erzeugt und am Computer angezeigt. Nachdem man den Code gescannt hat, ist man eigentlich schon startklar. Oft muss man nach der Einrichtung im Smartphone einen generierten Code beim Online-Dienst zur Synchronisierung eintragen, damit sichergestellt ist, dass alles so funktioniert wie es soll. Anschließend kann der Dienst mit der App genutzt werden. Die 2FA-Codes werden in der Regel alle 60 Sekunden neu generiert.

Smartcards

Smartcard mit Max Mustermann

Smartcards sind seit vielen Jahren im Enterprise-Bereich verbreitet. Es handelt sich dabei in der Regel um eine Plastikkarte von der Größe einer Kreditkarte. Sie besitzt ebenso wie eine Kreditkarte einen Security-Chip, der die Informationen des Nutzers schützen soll. Diese Smartcards können für den Login im Windows-Konto, einem Firmen-VPN oder auch für E-Mail-Signaturen oder einer Festplattenverschlüsselung genutzt werden. Meist geschützt durch einen PIN, bieten Smartcards einen guten Schutz vor Ausspähen von Passwörtern.

Um sich mit einer Smartcard an einem System oder dem Arbeitsrechner anzumelden, benötigt der Nutzer lediglich seine PIN, jedoch kein zusätzliches Passwort. Für viele Nutzer ist das praktisch, da sie sich nur eine numerische PIN, nicht jedoch ein komplexes Passwort merken müssen. Den Sicherheitszugewinn erreicht man bei Smartcards durch den physikalischen Faktor der Karte. Ohne die Smartcard an sich ist auch die sonst eher unsichere PIN nutzlos.

Der große Nachteil von Smartcards ist ihr Formfaktor. Smartcards können nur mit entsprechenden Lesegeräten, welche am Computer angesteckt werden müssen oder bereits in Tastaturen oder dem Laptop direkt verbaut sind, verwendet werden und erfordern in der Regel eine aufwendige und komplexe Public-Private-Key-Infrastruktur. Die Verwaltung von Zertifikaten, Schlüsseln und auch einer Backup-Lösung für vergessene PINs setzt eine EDV-Abteilung mit dem nötigen Know-How voraus.

Zweistufen Authentifizierung durch SMS oder Anruf

Handy mit SMS Bild

Das Smartphone wird immer mehr zum Mittelpunkt vieler Online-Dienste und Anwendungen. Die Verwendung als zweiter Faktor zur Sicherung von Online-Accounts ist daher immer gebräuchlicher geworden. Eine weitere Möglichkeit, seine Accounts zu schützen, ist daher die SMS bzw. der Anruf als Second Factor.

Um diese Art der Authentifizierung zu nutzen, muss man seine Handynummer beim zu sichernden Dienst hinterlegen. Möchte man sich nun anmelden, benötigt man zum gewählten Passwort noch einen Code, den der Anbieter per SMS oder Anruf versendet. Diese Möglichkeit ist besonders bei Benutzern, die viel unterwegs sind, besonders beliebt. Der zumeist 6-stellige Code, der verschickt wird, wird einfach beim Login eingegeben und soll sicherstellen, dass der Benutzer auch wirklich der ist, für den er sich ausgibt. Ein Angreifer kann zwar über geleakte Passwörter an das des Users gelangen, allerdings nur sehr schwer dessen Smartphone im gleichen Zug kontrollieren.

Aber auch hier ist Vorsicht geboten. Angreifer haben es mittlerweile geschafft, auch diese 2FA-Methode zu umgehen bzw. zu knacken. Angriffe mit Malware auf das besagte Smartphone sind gängige Mittel bei versierteren Angreifern. Auch das Beantragen einer Kopie der SIM-Karte des Users ist nicht so unmöglich, wie man denken möchte. Dabei kontaktieren die Angreifer den Telefonanbieter des Opfers und geben sich als der legitime Benutzer aus (Impersonation), um eine Kopie oder Ersatzkarte zu erlangen. Mit dieser Karte lässt sich anschließend die 2-Faktor-Authentifizierung mit Leichtigkeit umgehen, da die besagten SMS nicht nur an den legitimen Benutzer, sondern auch an den Angreifer gesendet werden.

E-Mail als Second Factor für den LogIn

Die wohl am weitesten verbreitete 2-Faktor-Authentifizierungsmethode ist die E-Mail. Hierbei wird Ihnen, nach korrekter Eingabe Ihres Benutzernamens und Passworts, ein mehrstelliger Code vom Online-Dienst zugesandt. Diese Methode ist bequem, einfach und erfordert keine zusätzliche Hard- oder Software.

Der Nachteil der 2FA-Methode per E-Mail liegt klar auf der Hand: Sie ist nicht besonders sicher. Gelingt es einem Angreifer, Zugriff auf Ihr E-Mail-Konto zu erhalten, kann er ohne weitere Anstrengungen den 2-Faktor-Code auslesen und verwenden. Da viele Nutzer ihre Mails sowohl am PC als auch am Smartphone empfangen, handelt es sich dabei eigentlich nicht mehr um einen echten Second Factor. Ist der Computer oder das Smartphone von Malware infiziert, kann der Angreifer in der Regel auch den ankommenden E-Mail-Verkehr mitlesen und so auch Zugriff auf den versendeten Code erlangen. Besonders ungünstig ist es, wenn der E-Mail-Anbieter keine 2-Faktor-Authentifizierung anbietet und Angreifer durch beispielsweise einen Datenleak über Ihr Passwort verfügen.

Die Sicherung von Online-Diensten mit der E-Mail-Adresse als zweitem Faktor ist die unsicherste Art, die hier vorgestellt wird. Es wird empfohlen, wenn möglich, einen anderen Faktor zu nutzen.

Backup-Codes in gedruckter Form

Ersatzcodes für Google Konto

Eine weitere Methode, Ihren Account vor unbefugten Zugriffen Dritter zu schützen, sind Backup-Codes. Diese meist sehr langen Buchstaben- und Zahlenkombinationen können bei vielen Online-Diensten erstellt und ausgedruckt werden. Die 10 Codes werden einmal erzeugt und sind dann für eine unbestimmte Zeit gültig. Sie können mit der klassischen TAN-Liste einer Bank verglichen werden. Diese Backup-Codes sind besonders dann sinnvoll, wenn die herkömmlichen 2-Faktor-Methoden von Faktoren wie separater Hardware oder dem Zugriff auf das Smartphone abhängen. Als physisches Medium lassen sie sich besonders gut in einem Safe oder einem guten Versteck lagern. Sie sind nicht für den täglichen Gebrauch gedacht, da jeder der 10 Codes nach einmaliger Verwendung verbraucht ist. Als Backup, wenn der eigentliche Second Factor nicht funktioniert oder greifbar ist, eignen sie sich aber besonders gut.

Sie im Geldbeutel mitzuführen, ist nur bedingt sinnvoll. Man kann den Geldbeutel verlieren oder er kann gestohlen werden. Die Wahrscheinlichkeit, dass ein Angreifer sowohl Zugriff auf die Backup-Codes im Geldbeutel als auch auf das Passwort für einen speziellen Account gleichzeitig erlangen kann, ist normalerweise eher gering. Der Aufwand, an beides heranzukommen, ist sehr groß und in der Regel nicht machbar für einen einfachen Angreifer.

YubiKey Security Key – Die Wunderwaffe im Kampf gegen Phishing und Datendiebstahl

Die YubiKeys von Yubico sind kleine Sicherheitstoken zur Multi-Faktor-Authentifizierung (MFA), die ein sicheres Einloggen in Computer, Smartphones, Onlinedienste und Server ermöglichen. Sie sind vergleichbar mit früher gebräuchlichen RSA-Tokens, gehen aber in ihrer Funktionalität weit über diese hinaus.

Wie funktionieren YubiKeys – Ein kurzer Überblick

YubiKeys ermöglichen Ihnen einfaches, sicheres Einloggen und verhindern gleichzeitig den unautorisierten Zugriff auf Computer, Server und Internetkonten. Sie schützen den Zugang zu Anwenderkonten für die größten Unternehmen der Welt ganz einfach per Knopfdruck. Sie unterstützen multiple Authentifizierungs- und Verschlüsselungsprotokolle auf allen Geräten und Plattformen. YubiKeys unterstützen verschiedenste Authentifizierungsprotokolle. Dabei kann ein einzelner YubiKey für VPN, Code-Signaturen, Festplattenverschlüsselung und die Authentifizierung bei hunderten Anbietern von Diensten und Software verwendet werden.

2FA Vergleichstabelle

Tabelle Arten von 2 Faktor Authentifizierung

Sie benötigen Hilfe?

Jetzt Termin Sichern

Welche Online Dienste und Plattformen unterstützen 2 Faktor Authentifizierung mit YubiKeys?

Banner YubiKey Software

Der YubiKey – Hardware Sicherheit bei der 2 Faktor Authentifizierung

Eine der derzeit sichersten Methoden seine Online Accounts und andere Dienste zu schützen ist der YubiKey der Firma Yubico. Hierbei handelt es sich um einen Hardware Security Stick der in Form eines sehr flachen USB-Sticks verfügbar ist. Um sich beispielsweise bei Google anzumelden, gibst du einfach wie gewohnt deinen Benutzernamen und dein starkes Passwort ein.

Anschließend fordert dich Google auf, deinen YubiKey an einem der USB Ports deines Computers oder deines Laptops anzuschließen und den Knopf auf deinem YubiKey zu drücken. Der Knopfdruck sorgt dafür, dass die sichere Hardware im Inneren des YubiKeys eine Art Einmalschlüssel erzeugt und diesen an Google übergibt. Danach bist du sicher bei Google eingeloggt. Natürlich muss der YubiKey zuvor in deinem Google Konto registriert und konfiguriert werden. Wie das genau geht, erklären wir in einem späteren Tutorial ausführlich. Nur so viel an dieser Stelle: es ist kinderleicht!

Sicherheit bei 2 Faktor Authentifizierung – Die uneinnehmbare Festung YubiKey

Der YubiKey ist deutlich sicherer als andere 2 Faktor Authentifizierungsmethoden, da es sich um ein separates physikalisches Gerät handelt. Die darauf gespeicherten Keys können nicht ausgelesen oder anderweitig durch Fremde benutzt werden. Natürlich ist es für viele Anwender bequem, dein Smartphone für die 2 Faktor Authentifizierung zu verwenden, da man es meistens eh bei sich trägt. Der Zugewinn an Sicherheit mit dem YubiKey ist aber ein sehr gutes Argument für die Verwendung dieser Security Sticks.

SMS und Apps als Second Factor sind nicht so schwer zu umgehen, wie man vielleicht meinen möchte. Solche Art von Angriffen sind beim YubiKey schlicht nicht möglich. Ist er nicht in Benutzung kann auch niemand auf Ihn zugreifen. Und selbst wenn man ihn verliert oder ein Dritter Zugriff zum YubiKey erhält sind deine Daten und Zugänge trotzdem geschützt, da der Angreifer ja immer noch dein Passwort kennen muss. 

YubiKey Vergleichstabelle

Tabelle Online Dienste die 2 Faktor Authentifizierung anbieten mit YubiKey

Sie benötigen Hilfe?

Jetzt Termin Sichern

YubiKey Versionen im Überblick – Welcher YubiKey kann was?

Banner YubiKey

Welcher YubiKey kann was?

Es gibt mittlerweile eine Vielzahl an unterschiedlichen YubiKey-Modellen und -Versionen, daher ist es hilfreich zu wissen, welcher Key welche Funktionen bietet. Der erste Schritt sollte sein, herauszufinden, welches YubiKey-Modell Sie selbst besitzen. Gerade bei den unterschiedlichen Versionen der Keys kann es manchmal schwierig werden. Die einzelnen Versionen (V4 / V5) unterscheiden sich nicht nur in ihrer Funktionalität, sondern auch in ihrer Bauform. Yubico hat folgende Aufteilung:

USB-A Anschluss:

  • YubiKey 4/5
  • YubiKey 4/5 NFC
  • YubiKey NEO
  • YubiKey 4/5 Nano (besonders kleiner Formfaktor, nur die Länge der USB Kontakte)

USB-C Anschluss:

  • YubiKey 4/5 C
  • YubiKey 4/5 Nano (besonders kleiner Formfaktor, nur die Länge der USB Kontakte)

Welchen YubiKey hab ich?

Um ganz einfach und schnell herausfinden zu können, welchen YubiKey Sie besitzen, gibt es einen Trick.

Laden Sie sich einfach den YubiKey Manager herunter und lassen Sie sich anzeigen, welches Modell Sie haben.

Download YubiKey Manager

YubiKey Vergleichstabelle

Vergleichstabelle YubiKey

Sie benötigen Hilfe?

Jetzt Termin Sichern

YubiKeys im Unternehmen – Der effektivste Schutz gegen Phishing und Man-in-the-middle Angriffe

Banner YubiKey Guide

Die Wunderwaffe im Kampf gegen Cyberangriffe in Unternehmen

Laut Aussage vom Cyber Spezialisten Trend Micro gehen rund 40% aller Cyberangriffe auf Unternehmen auf das Konto von Phishing. Das ist eine gehörige Anzahl und zeig einmal wieder, dass der Mensch, so gut er auch geschützt sein mag, der Angriffspunkt Nummer 1 ist.

Es gibt leider nur wenig Maßnahmen die Unternehmen hiergegen unternehmen können. Software die bösartige Zugriffe erkennt wird oftmals durch den gutgläubigen Mitarbeiter gezielt umgangen, wenn ein Angreifer „nur nett danach frägt“. Social Engineering, als das gezielte Ausnutzen der Schwachstelle Mensch, ist immer mehr auf dem Vormarsch.

Um sich als Unternehmen vor solchen Arten von Angriffen wirkungsvoll zu schützen gibt es den YubiKey.

Was sind YubiKeys genau und wie können Sie ein Unternehmen vor Phishing und Man-in-the-middle Angriffen schützen?

Die YubiKeys von Yubico sind kleine Sicherheitstoken zur Multi-Faktor-Authentifizierung (MFA), die ein sicheres Einloggen in Computer, Smartphones, Onlinedienste und Server ermöglichen. Sie sind vergleichbar mit früher gebräuchlichen RSA Tokens gehen aber in Ihrer Funktionalität weit über diese hinaus.

Wie funktionieren YubiKeys – Ein kurzer Überblick

  • YubiKeys ermöglichen einfaches, sicheres Einloggen und verhindern gleichzeitig den unautorisierten Zugriff auf Computer, Server und Internetkonten.
  • Sie schützen den Zugang zu Anwenderkonten für die größten Unternehmen der Welt ganz einfach per Knopfdruck.
  • Sie unterstützen multiple Authentifizierungs- und Verschlüsselungsprotokolle auf allen Geräten und Plattformen.
  • YubiKeys unterstützen verschiedenste Authentifizierungsprotokolle. Dabei kann ein einzelner YubiKey für VPN, Code-Signaturen, Festplattenverschlüsselung und die Authentifizierung bei hunderten Anbietern von Diensten und Software verwendet werden.

Wo können YubiKeys im Unternehmen sinnvoll eingesetzt werden?

Die Security Tokens können eigentlich an allen Orten eingesetzt werden, die ein gesteigertes Maß an Sicherheit benötigen. Als 2 Faktor Authentifizierung sichern sie neben Passwort und Benutzernamen Online- sowie Offline Zugänge ab.

Einsatzbereich für den Securitytoken im Unternehmen

  • Workstation und Laptops
  • Microsoft Sharepoint Lösungen
  • VPN Software
  • SAP
  • Online Dienste (Amazon, Shopify, Facebook, Twitter …)
  • Cloud Dienste
  • Passwortmanager
  • uvw.

Die 5 wichtigsten Vorteile von YubiKeys für dein Unternehmen

Schutz vor Phising Angriffen auf die Mitarbeiter

Durch den Einsatz von YubiKeys im Unternehmen, lassen sich Phishing Angriff nahezu komplett reduzieren. Der Second Faktor sorgt dafür, dass selbst bei einem erfolgreichen Ausspähen von Benutzername und Passwort, beispielsweise durch gezieltes Social Engineering am Telefon oder per Mail, der Angreifer ohne den passenden YubiKey keinen Zugriff auf die entsprechenden Dienste und Services erhält. Nur wer physikalisch im Besitz des Security Tokens ist, kann sich anmelden. Die Weitergabe der Information, welche auf dem YubiKey gespeichert sind ist nicht möglich.

Auch bei Diebstahl oder Verlust des Keys ist es für Angreifer nicht ohne großes Know-How möglich, auf die damit gesicherten Services und Dienste zuzugreifen.

FUNFACT

Der Weltkonzern Google konnte durch den Einsatz von YubiKeys in den letzten 5 Jahren die Anzahl der erfolgreichen Phishing Angriffe auf seine Mitarbeiter auf 0 reduzieren.

Security Awareness im Unternehmen sorgt für mehr Sicherheit im Heimnetz

Je besser die Mitarbeiter in der Arbeit mit diesen Sicherheitsprozeduren und Mechanismen vertraut gemacht werden, desto höher ist die Wahrscheinlichkeit, dass sie diese Verfahren und Vorgehensweisen auch in ihren privaten Alltag integrieren. Das mag im ersten Moment nicht unbedingt das vorrangige Ziel von Unternehmen sein, birgt aber großes Potenzial in sich.

Ein gut geschulter Mitarbeiter der vielleicht auch mal Homeoffice betreibt, ist weniger in der Gefahr Ziel eines Angriffs zu werden. Mittlerweile ist es auch keine Seltenheit mehr, dass Mitarbeiter zuhause angegriffen und infiziert werden.

Die Angreifer eines Unternehmens suchen sich gerne den Weg des geringsten Widerstandes aus. Wenn der Mitarbeiter zuhause infiziert wurde, ist es oftmals deutlich leichter für die Angreifer, über diesen Weg ins Firmennetzwerk zu gelangen, als hochgesicherte Firewalls und IDS / IPS Systeme zu überwinden.

Einfache, kostengünstige und sichere Compliance mit der DSGVO, FIPS oder GDPR

Der Einsatz von YubiKeys im Unternehmen garantiert eine einfache und kostengünstige Umsetzung der in der DSGVO vorgeschriebenen Regelungen zum Schutz von Personenbezogenen Daten. Die Integration in bestehende Systeme und DSGVO Lösungen ist kinderleicht und besonders Kosten- und Ressourcen-sparend. Die Sicherheitslösungen von Yubico erfüllen unter anderem folgende Zertifizierung:

  • FIPS 140-2 und AAL3 der NIST SP800-63B Regularien
  • DFARS Voraussetzungen für starke Authentifizierung
  • DoD Contractor Security Requirements
  • Sicherer Zugriff und Verwaltung von Personenbezogenen Daten nach DSGVO und GDPR

Je weniger Passwörter desto besser!

YubiKeys erlauben es, nahezu völlig auf Passwörter verzichten zu können. Natürlich ist eine 2 Faktor Authentifizierung durch Passwort UND YubiKey wünschenswert, wird aber nicht immer dringend benötigt. Viele Systeme und Dienste wären bereits ausreichend geschützt, würden Mitarbeiter sichere Passwörter verwenden und diese regelmäßig ändern. Mit dem YubiKey entfallen diese Bürden und Unannehmlichkeiten für die Mitarbeiter auf Wunsch komplett. Richtig konfiguriert ist der YubiKey ein sicherer Ersatz für den Einsatz von Passwörtern.

Passwörter sind entweder so einfach gestaltet, dass man sie sich leicht merken kann –> Geringe Sicherheit

ODER

So komplex und lang, dass sie gerne vergessen werden bzw. die Eingabe nicht mehr viel mit Benutzerkomfort zu tun hat –> Mitarbeiter verlieren wertvolle Arbeitszeit oder finden Workarounds (Passwörter unter der Tastatur oder auf dem Desktop im Textdokument gespeichert)

Mit dem YubiKey können Unternehmen nicht nur die Sicherheit Ihrer Mitarbeiter erhöhen, sondern auch die Kosten und Ressourcen für EDV Personal reduzieren. Weniger Passwort Resets, weniger Einrichtungsaufwand = geringere Kosten.

Sicherheit ganz in den eigenen Händen – Unternehmensinterne Lösungen mit dem YubiKey nutzen

YubiKey bietet nicht nur Sicherheit auf höchstem Niveau out-of-the-box, sondern ermöglicht es Unternehmen auch, ihre eigenen Sicherheitslösungen direkt auf dem YubiKey zu nutzen.

Sollte dein Unternehmen im Bereich Critical Infrastruktur, HighSecurity oder Government angesiedelt sein, besteht die Möglichkeit komplett eigene Sicherheitskonzepte auf dem YubiKey zu verwirklichen.

Eines der wohl nützlichsten Features des Securitytokens der Firma Yubico ist die Verwendung von eigenen Secrets für die Schlüsselerzeugung.
Sollte dein Unternehmen großen Wert auf Sicherheit legen oder in einem Umfeld arbeiten, in dem Angriffe durch andere Länder oder Regierungsorganisationen im Cyber Risk Plan eine Rolle spielen, hat man mit dem YubiKey alle Möglichkeiten kosten effizient reagieren zu können. Die Keys werden dann ohne Secret vom Hersteller ausgeliefert und erst im Unternehmen durch die eigene IT-Abteilung mit selbigen bespielt. Das beugt Angriffsvektoren in beispielsweise der Supply Chain effektiv vor und gewährleistet Datensicherheit auf höchstem Niveau. 

YubiKey Kosten

Die Kosten für die Anschaffung einer Sicherheitslösung die auf YubiKey basiert halten sich stark in Grenzen. Derzeit gibt es wohl kaum eine günstigere Alternative sein Unternehmen auf dieses Level an Sicherheit zu bringen.

Die günstigsten YubiKey Modelle fangen bereits bei 20$ für den Security Key by Yubico an und gehen bis ca. 60$ für die HighEnd Varianten. Abhängig von der Abnahmemenge gibt es aber auch sehr großzügige Rabatte für Unternehmen und KMUs. Die geringen Kosten bei der Anschaffung von YubiKeys, in Verbindung mit der einfachen und effizienten Implementierung im Unternehmen, machen die Security Tokens besonders attraktiv für klein- und mittelständische Unternehmen. Anders als bei schwerfälligen Sicherheitslösungen ist der Kosten-Nutzeneffekt hier deutlich höher und selbst für StartUps finanzierbar.

Nachfolgenden finden Sie eine Übersicht mit den derzeitigen Preisen und Rabatten.

Vergleichstabelle YubiKeys

Sie benötigen Hilfe?

Jetzt Termin Sichern

Secure Static Passwords – Der YubiKey Guide – Teil 1

Banner Secure Static Passwords

Funktionen und Möglichkeiten mit dem YubiKey – Das Do-It-Yourself Tutorial

YubiKeys sind weit mehr als nur reine Hardware Token die für den LogIn bei unterschiedlichen Online Diensten genutzt werden können. Diese Security Sticks können noch viel mehr, als weitläufig bekannt ist.
Nachfolgenden stellen wir Ihnen die wichtigsten Features und Funktionen des YubiKeys vor und erklären, wie die einzelnen Authentifizierungs- und Sicherheitsfeatures funktionieren.

Secure Static Passwords mit dem YubiKey

Das Secure Static Password oder auch Static Password ist die einfachste und wohl am besten verständlichste Funktion des YubiKeys. Hierbei wird ein „einfaches“ Passwort auf dem YubiKey gespeichert, welches bei Betätigen des Knopfes auf der Oberseite des Keys als Eingabe am Computer geschrieben wird.

Der YubiKey wird vom Computer standardmäßig als Tastatur erkannt und kann auch so verwendet werden. Das bedeutet sobald der Knopf gedruckt wird, schreibt der Stick wie von Zauberhand das zuvor eingespeicherte, bis zu 38 Zeichen langes Passwort automatisch auf dem Computer. Der YubiKey erkennt dabei nicht, ob es sich um ein Passwort Feld bei einem Online Dienst handelt, oder ob du gerade in einem simplen Word-Dokument bist.

Ein Passwort auf diese Art und Weise zu speichern und zu verwenden ist nicht besonders sicher, da jeder der Zugang zu deinem YubiKey hat diese Funktion ebenso benutzen kann.

Wie funktioniert OTP im Detail?

Schritt 1

Sie überlegen sich ein gut zu-merkendes-Passwort. Dieses muss nicht besonders lang sein. Das ist das Passwort, das Sie sich selbst merken müssen

Eigenes Passwort (12 Zeichen): MeinPasswort

Schritt 2

Lassen Sie sich auf unserer Webseite ein starkes und langes Passwort generieren. Zählen Sie die Zeichen in Ihrem zu-merkenden-Passwort und errechne die Differenz zu 38. Diese Anzahl an Zeichen stellen Sie im Passwort Generator ein und lassen sich das Passwort generieren.

In unserem Beispiel ist das zu-merkende-Passwort genau 12 Zeichen lang. Das bedeutet für das zu generierende Passwort stehen noch 26 Zeichen zur Verfügung (38-12 = 26).

Passwort Generator

Schritt 3

Nachdem Sie die Anzahl der Zeichen mit dem grünen Regler eingestellt haben, klicken Sie auf generieren.

Schritt 4

Öffnen Sie Ihr YubiKey Personalization Tool und navigieren Sie zum Menüpunkt „Static Password“

Yubikey Personalization Tool Static Password - Screenshot Software

Schritt 5

Hier wählen Sie den Button „Scan Code“ aus.

Schritt 6

Als nächstes müssen Sie den Slot, der YubiKey hat zwei davon, bestimmen indem Sie das statische Passwort speichern und benutzen möchten.

Schritt 7

Um nun Ihr zuvor generiertes Passwort speichern zu können, müssen Sie im Bereich „Password“ das Keyboard Layout auswählen, das der YubiKey bei der Eingabe verwenden soll.

Yubikey Personalization Tool Static Password - Screenshot Software

Schritt 8

Anschließend tragen Sie das generierte Passwort in das entsprechende Feld ein. Nicht das eigene Passwort, diese behalten Sie ausschließlich im Kopf.

Yubikey Personalization Tool Static Password - Screenshot Software

Schritt 9

Zuletzt müssen Sie das Ganze noch auf den YubiKey Slot speichern indem Sie auf „Write Configuration“ klicken.

Yubikey Personalization Tool Static Password - Screenshot Software

Schritt 10

YubiKey möchte normalerweise die Konfiguration samt Passwort als Datei auf dem Computer abspeichern.

Davon raten wir aber dringlichst ab!

Um zu verhindern, dass das Passwort abgespeichert wird, müssen Sie lediglich im Menüpunkt „Settings“ den Haken bei „Log configuration output“ entfernen.

Yubikey Personalization Tool Static Password - Screenshot Software

Schritt 11

Sie sollten Ihr gesamtes 38-Zeichen Passwort aber irgendwo ablegen, damit Sie im Falle eines Verlustes des YubiKeys noch auf Ihre Online Dienste zugreifen können.

Wir empfehlen das gesamte Passwort auf einen Zettel zu schreiben und diesen im Tresor oder einem anderen sicheren Ort aufzubewahren.

!!!HINWEIS - UNBEDINGT BEACHTEN!!!

Dieses Vorgehen ist zwar nicht direkt von YubiKey empfohlen, ermöglicht aber einen kleinen Zugewinn an Sicherheit im Alltag. In Kombination mit dem bis zu 38 Zeichen langen statischen Passwort auf dem YubiKey werden Ihre Passwörter deutlich sicherer, ohne dass Sie sich lange Zeichenketten oder Sätze für Ihre Online Zugänge merken müssen.

Vorteile des YubiKey One-Time Passwords gegenüber anderen OTP Generatoren

Um nun Ihr statisches Passwort bei einem Online Dienst zu verwenden müssen Sie nur folgendes machen:

  1. Klicken Sie in das Passwort Feld des Online Dienstes
  2. Geben Sie als erstes Ihr zu-merkendes-Passwort von Hand ein. (MeinPasswort)
  3. Anschließend stecken Sie Ihren YubiKey am USB Anschluss an und drücken den Knopf auf der Oberseite des Sticks. Dieser ergänzt dann automatisch das zuvor hinterlegte, lange und sichere Passwort, welches auf ihm gespeichert ist.
Yubikey Personalization Tool Static Password - Login bei LinkedIn

Sie benötigen Hilfe?

Jetzt Termin Sichern

Yubico OTP (One-Time Password) – Der YubiKey Guide – Teil 2

Banner Yubico One-Time-Password

Was sind One-Time Passwords?

OTP steht für One-Time Password zu Deutsch Einmalpasswort und genau das ist OTP auch. One-Time Passwords werden gerne für 2 Faktor Authentifizierung verwendet, weil sie ein hohes Maß an Sicherheit gewährleisten und dabei einfach zu verwenden sind.
Man unterscheidet im Allgemeinen zwischen zwei Arten von OTP Passwörtern:

HOTP – HMAC-based One-Time Password
TOTP – Time-based One-Time Password

Eigentlich unterscheiden sich diese beiden Methoden nicht großartig voneinander. Sie haben meist dasselbe Ziel, nämlich einen starken zweiten Faktor für Logins bereitzustellen. Allerdings setzen die beiden OTP Varianten sich aus unterschiedlichen Informationen zusammen, hierzu aber später mehr.

RSA Token

One-Time Passwords werden wie der Name vermuten lässt, genau ein einziges Mal verwendet. Sie werden direkt in dem Moment generiert, in dem der Nutzer sie benötigt und sind meist nur für eine gewisse Zeit lang gültig.

OTP Lösungen können als Soft- und Hardware vorkommen und genutzt werden. Früher waren sogenannte Dongles oder Tokens, die man am Schlüsselbund getragen hat, gerade bei Unternehmen besonders weit verbreitet.
Heutzutage setzen viele Anwender auf eine etwas bequemere Software Lösung wie beispielsweise den Google Authenticator. Diese Software wird auf dem Smartphone installiert und kann beliebig viele „Token“ verwalten.

Google Authenticator

Beide Konzepte funktionieren nach dem gleichen Prinzip. Der Benutzer bekommt, meist alle 60 Sekunden ein neues OTP angezeigt, dass er beim Login als Second Factor eingeben muss. Dieser meist 6 oder 8-stellige Code ist immer nur genau 60 Sekunden gültig. In diesen 60 Sekunden muss der Benutzer ihn von seinem Hardware Token oder dem Smartphone ablesen und im Login Bildschirm des Online Dienstes oder des Computers eingeben. Nachdem die 60 Sekunden abgelaufen sind, wird automatisch ein neuer Code generiert und nur dieser ist dann noch gültig.

Um sicherzustellen, dass der Benutzer auch den richtigen bzw. den legitimen Code verwendet, vergleicht der Dienst den eingegebene Code mit seinem eigenen Code-Generator. Denn auch auf dem Server oder dem lokalen Computer läuft dieselbe Software zur Generierung dieser One-Time Passwörter. Die beiden Generatoren, also der am Server und der beim Benutzer (Soft- oder Hardware) müssen natürlich synchron laufen, damit dieses Verfahren funktionieren kann.

Wie funktioniert OTP im Detail?

Diagramm OTP

Vereinfacht kann man die Erzeugung eines One-Time Passwords wie folgt erklären:
Im ersten Schritt nimmt der OTP Generator (Hardware Token oder App auf dem Smartphone) einen einmal gespeicherten geheimen Schlüssel und verrechnet diesen mit einem weiteren Faktor, wir nennen diesen jetzt einfach mal Zahl, denn nichts anderes ist er eigentlich. Anschließend spukt der OTP Generator eine 6 oder 8-stellige Zahl aus.

TOTP – Time-based One-Time Password

Beim TOTP Verfahren wird der geheime Schlüssel zusammen mit der aktuellen Systemzeit verarbeitet und daraus ein OTP generiert. Beim Time-based OTP Verfahren wird meist ein kürzerer Timer verwendet, als bei HOTP. Dieser verkürzte Timer umfasst in der Regel nur 30 Sekunden, nicht wie bei HOTP 60 Sekunden.

HOTP – HMAC-based One-Time Password

Beim HOTP Verfahren wird ein geheimer Schlüssel zusammen mit einem Counter verarbeitet und daraus das OTP erzeugt. Dieser Zähler wird alle 60 Sekunden um 1 angehoben und ist dadurch für jedes neue OTP individuell.

Sie haben Fragen zum Thema YubiKey?

Jetzt Termin Sichern

Vorteile des YubiKey One-Time Passwords gegenüber anderen OTP Generatoren

Der wohl gravierendste Unterschied zwischen dem YubiKey OTP Modus und herkömmlichen Lösungen wie beispielsweise dem Google Authenticator ist die Tatsache, dass der Nutzer das One-Time Passwort mit einem YubiKey nicht mehr selbst von Hand eintragen muss. Wird der YubiKey beim Login Prozess angesteckt und der Button auf der Oberseite gedrückt, fügt er selbstständig das generierte One-Time Passwort in das entsprechende Feld ein.
Das hat neben dem Usability Aspekt zudem den Vorteil, dass deutlich längere OTPs generiert werden können, als das bei einer Eingabe von Hand praktikabel wäre. Die OTPs des YubiKeys sind 32 Zeichen lang und nicht wie bei den bereits vorgestellten Lösungen 6 bzw. 8 Zeichen. Das erhöht die Sicherheit des Verfahrens nochmals erheblich.

Ein weiterer entscheidender Vorteil des YubiKeys ist der verwendete geheime Schlüssel. Bei den meisten gebräuchlichen Lösungen am Markt ist dieser Schlüssel vom Hersteller auf dem Hardware Token bereits von Werk aus „eingebrannt“. Das bedeutet er kann nicht verändert oder verifiziert werden. Gerne wird ein und derselbe geheime Schlüssel auf verschiedenen Geräten verwendet, was sich negativ auf die Sicherheit auswirken kann. Bei YubiKeys ist dieser Prozess anders. Als Unternehmen oder auch als versierter Privatanwender ist es möglich, den geheimen Schlüssel selbst zu erzeugen und auf dem YubiKey zu hinterlegen. Dadurch behält der Anwender zu jeder Zeit die volle Kontrolle über diesen und kann ihn nach Bedarf ändern.

In 10 Schritten One-Time Passwords auf deinem YubiKey einrichten – einfach und unkompliziert

Damit Sie Ihren YubiKey sicher für die 2 Faktor Authentifizierung bei Online Diensten nutzen können, müssen Sie eigentlich gar nichts machen. Der YubiKey kommt fertig konfiguriert zu Ihnen nach Hause.

Für alle diejenige die aber selbst einen sicheren geheimen Schlüssel auf Ihrem YubiKey hinterlegen wollen, ist der nachfolgende Teil gedacht.

Schritt 1

Um Ihren YubiKey online verwenden zu können, müssen Sie als erstes Ihr YubiKey Personalization Tool auf dem Computer starten. Der YubiKey sollte jetzt bereits an einem freien USB Port Ihres Computers angesteckt sein.

Schritt 2

Jetzt wählen Sie oben im Menü den Menüpunkt „Yubico OTP“ aus.

Yubikey Personalization Tool OTP - Software Screenshot

Schritt 3

Anschließend klicken Sie auf „Quick“. Der Menüpunkt „Advanced“ ist hauptsächlich für Unternehmensanwendung gedacht und ermöglicht der EDV Abteilung eines Unternehmens die Programmierung mehrerer YubiKeys hintereinander.

Schritt 4

Als nächstes wählen Sie oben unter „Configuration Slot“ den Slot aus, auf dem Sie das Yubico One-Time Passwort nutzen möchten. Welcher Ihrer Slots bereits belegt ist, können Sie rechts im Seitenmenü unter „Programming status“ sehen. In unserem Fall ist der Slot 1 bereits konfiguriert / belegt, daher wählen wir den Slot 2 für das OTP aus.

Yubikey Personalization Tool OTP - Software Screenshot

Schritt 5

Wenn Sie absolut auf Nummer sichere gehen möchten, können Sie jetzt noch einige Male auf den „Regenerate“ Button unten im Menüabschnitt „Actions“ klicken. Sobald Sie den Haken bei „Hide values“ entfernt haben, sehen Sie auch wie sich Ihre „Public Identity“, „Private Identity“ und der „Secret Key“ verändern.

Die hier aufgeführten Werte sind für Sie als Anwender nur Nebensache. Sie können nicht damit interagieren oder sie anderweitig verändern. Sie werden automatisch mit Hilfe Ihres YubiKeys und Ihres Computers zufällig erzeugt.

Schritt 6

Um Ihren erzeugten geheimen Schlüssel jetzt auf Ihrem YubiKey zu speichern, klicken Sie einfach im Menüabschnitt „Actions“ auf den Button „Write Configuration“. Während des Vorgangs leuchtet das Licht Ihres YubiKeys eine Weile durchgehend auf.

Yubikey Personalization Tool OTP - Software Screenshot

Schritt 7

Anschließend sollten Sie am oberen Rand des Menüs die Mitteilung sehen, dass Ihr YubiKey erfolgreich konfiguriert wurde. Im rechten Seitenmenü wird jetzt auch angezeigt, dass der Slot 2 ebenfalls konfiguriert ist.

Schritt 8

Der letzte Schritt ist jetzt Ihren erzeugten Schlüssel bei Yubico zu hinterlegen. Hierzu klicken Sie nach erfolgreicher Konfiguration auf den Button „Upload to Yubico“ im Menüabschnitt „Actions“.

Sie werden anschließend auf die Webseite https://upload.yubico.com/ in Ihrem Browser weitergeleitet.

!!!UNBEDINGT BEACHTEN - ADRESSE PRÜFEN!!!

Bitte überprüfen Sie unbedingt die URL die sich in Ihrem Browser öffnet. Es muss genau die hier genannte Adresse erscheinen. Anderenfalls ist es sehr wahrscheinlich, dass etwas nicht stimmt. Sie sollten dann den Vorgang abbrechen und die Einrichtung auf einem anderen Computer durchführen. Zudem sollten Sie Ihren Computer mit einem Anti-Viren Scanner untersuchen, um eventuelle Malware zu beseitigen.

Wenn bei Ihnen alles so angezeigt wird, wie beschrieben können Sie guten Gewissens Ihre E-Mail-Adresse eintragen.
Anschließend müssen Sie in das Feld „OTP from YubiKey“ klicken und auf den Knopf auf Ihrem YubiKey drücken. Sie werden sehen, dass wie von Zauberhand eine Zeichenfolge in das Feld eingefügt wird.

Das ist Ihr One-Time Passwort, welches Ihr YubiKey in diesem Moment generiert hat. Zu guter Letzt müssen Sie noch bestätigen, dass Sie kein Roboter sind und zum Abschluss des Vorgangs auf „Upload AES key“ klicken.

Yubikey Personalization Tool OTP - Screenshot Homepage

Schritt 9

Wenn alles erfolgreich war, bekommen Sie die Nachricht angezeigt „Success! Key upload successful“
Sollte bei Ihnen ein Fehler aufgetreten sein, prüfen Sie ob Sie den richtigen Slot Ihres YubiKeys bei der Eingabe ins Feld „OTP from YubiKey“ verwendet haben. Wenn Sie wie hier in diesem Beispiel den Slot 2 verwendet haben, müssen Sie lange auf den Knopf an Ihrem YubiKey drücken, um den richtigen Slot zu aktivieren.

Schritt 10

Als finalen Schritt können Sie nun noch Ihren hinterlegten Schlüssel testen lassen.
Dazu navigierst Sie entweder über den Link unterhalb der Tabelle, oder direkt mit diesem Link auf die entsprechende Seite:

https://demo.yubico.com/otp/verify

Klicken Sie jetzt mit Ihrer Maus in das entsprechende Feld und drücken den Knopf auf Ihrem YubiKey. Anschließend klicken Sie auf „VALIDATE“ um Ihr One-Time Passwort abzugleichen. Wenn alles in Ordnung ist, bekommen Sie im Feld „Previously validated OTPs“ einen grünen Haken vor dem generierten OTP.
Sollten Sie keinen grünen Haken angezeigt bekommen, müssen Sie den Prozess von Schritt 1 an nochmal wiederholen.

Tipp für erfahrene Anwender:

Sollten Sie beim Einrichten Ihres YubiKeys noch mehr Sicherheit haben wollen, empfehlen wir die Einrichtung in einer Virtuellen Maschine durchzuführen. Zusätzlich könne Sie noch einen VPN oder das TOR Netzwerk für die Verbindung zu den Yubico Servern nutzen. Das stellt sicher, dass keinerlei Malware auf Ihrem Rechner die Schlüssel bei der Erzeugung oder beim Übertragen an die Yubico Server auslesen kann.

Sie benötigen Hilfe?

Jetzt Termin Sichern

Die Webstandards U2F & WebAuthn der FIDO mit dem YubiKey genutzt – YubiKey Guide – Teil 3

Banner Was sind U2F | FIDO2 | WebAuthn

Verfahren die User vor Datenleaks und Angriffen schützen

Viele Online Dienste und Services bieten mittlerweile die Möglichkeit, seinen eigenen Zugang mit einer 2 Faktor Authentifizierung abzusichern. Ein weiterer Faktor der neben dem Passwort und dem Nutzernamen eingegeben werden muss, um den User erfolgreich anzumelden.

Leider setzen immer noch sehr viele Dienste dabei auf sehr schwache Mechanismen wie beispielsweise den Versand einer SMS mit einem 6-stelligen Einmalcode, dem sogenannten One-Time Passwort.

Diese Verfahren schützen den User zwar im Falle eines Datenbank Leaks, ein Angriff bei dem eine Datenbank mit vielen unterschiedlichen Passwörtern von verschiedenen Nutzern oftmals von leicht-angreifbaren Diensten im Netz gestohlen wird, jedoch nicht vor Phishing.

Die bei einem Datenbank Klau gestohlenen Passwörter und E-Mail Adressen werden nach dem Diebstahl von den Angreifern bei den verschiedensten Diensten ausprobiert und mit hoher Wahrscheinlichkeit eine Vielzahl an erfolgreichen Logins ergeben. Da der Mensch die Bequemlichkeit schätzt, verwenden immer noch sehr viele dasselbe Passwort bei den unterschiedlichsten Online Diensten.
Wie beschrieben schützen einfachere 2 Faktor Authentifizierungsmethoden den User zwar vor dieser Art von Angriffen, da dem Angreifer selbst mit dem richtigen Passwort der 2. Faktor fehlt, jedoch schützen sie nicht vor gezielten Phishingangriffen wie wir gleich sehen werden.

Schaubild – Was ist FIDO Authentication und wie läuft sie ab

Ablaufdiagramm für Authentifizierung via FIDO

Was ist CTAP (Client to Authenticator Protocol)?

CTAP (Client to Authenticator Protocol) ist ein Protokoll, also eine Art Sprache die zwischen dem Browser und einem Authenticator, in unserem Fall einem YubiKey gesprochen wird. Diese spezielle „Sprache“ verstehen beide Parteien sehr gut und können darüber sicher kommunizieren.

Wie CTAP genau aufgebaut ist und wie es funktioniert, wollen wir an dieser Stelle nicht näher erläutern, da es den Rahmen sprengen würde. CTAP macht im Prinzip nichts anderes, als man es vom SSL / „HTTPS“ Protokoll in seinem Browser bereits kennt, nur eben nicht für die Kommunikation zwischen einem Server und deinem Browser, sondern für die Kommunikation zwischen deinem Browser und einem externen Hardwaregerät.

An dieser Stelle ist es nur wichtig zu verstehen, dass CTAP und sein Nachfolger CTAP2 sowohl USB Schnittstellen, als auch Bluetooth und NFC unterstützen. Das bedeutet im Klartext, dass ein externes Hardware Gerät via USB, Bluetooth und NFC mit dem Computer bzw. deinem Browser verbunden werden kann.

Für Interessierte haben wir aber hier den Link zur FIDO Alliance Webseite. Die FIDO Alliance ist federführend für die Einführung und Weiterentwicklung dieser Standards verantwortlich.

Was ist WebAuthn?

WebAuthn (W3C Web Authentication API) Ist ebenfalls ein Standard im Web. Er wurde vom W3C, dem World Wide Web Consortium verabschiedet. Das W3C ist eine Standardisierungsorganisation, sie „pflegt“ und „organisiert“ das Internet und seine Protokolle. Einige Beispiele hierfür sind HTML, XML und die Stylsheet Sprache CSS.

WebAuthn ist ein Standard, ein Übereinkommen wie Schnittstellen zwischen Server und Browser auszusehen haben, damit sie viele Dienste einfach nutzen können. WebAuthn beschreibt eine API (Application Programming Interface) mit dem es einfach und sicher möglich ist, mit Hilfe eines Browsers dich bei einem Online Dienst oder Service unter Verwendung eines Hardware Gerätes zu Authentifizieren. Alle dafür benötigten Schritte und Informationen sind in der WebAuthn Spezifikation niedergeschrieben. An sie sollten sich alle Entwickler von Online Diensten die dieses Feature nutzen wollen halten. Auch ist es die Grundlage für Browserentwickler von Firefox, Chrome, Edge und Safari, auf der sie ihre Entwicklung aufbauen sollten.

Wie läuft die Registrierung eines YubiKey im FIDO (2) Modus genau ab?

Schritt 1

Sie verbinden sich mit Hilfe Ihres Browsers mit dem YubiKey Server.

Schritt 2

Der YubiKey Server generiert eine Art Rätsel, das individuell und nur für diesen einen Benutzer bestimmt ist – die sogenannte Challenge. (Es werden noch weitere Informationen ausgetauscht, die aber für das Verständnis nicht weiter relevant sind und diesen Prozess nur unnötig kompliziert machen würden)

Schritt 3

Sie verifizieren die Quelle bzw. die Herkunft dieses Rätsels, um sicherzustellen, dass es sich wirklich um den YubiKey Server handelt und nicht um einen bösen Angreifer.

Schritt 4

Ihr Browser leitet alle Informationen über das sichere CTAP Protokoll an den angesteckten YubiKey weiter.

Schritt 5

Durch das Betätigen des nun blinkenden YubiKeys wird sichergestellt, dass wirklich ein menschlicher Benutzer diesen Vorgang durchführt und nicht etwa ein Schadprogramm.

Schritt 6

Durch das Drücken des Buttons am YubiKey löst dieser das individuelle Rätsel und erzeugt daraufhin ein Schlüsselpaar. Dieses Schlüsselpaar besteht aus einem privaten Schlüssel und einem öffentlichen Schlüssel. Der private Schlüssel verlässt den sicheren Speicher des YubiKeys zu keiner Zeit und ist somit sehr gut geschützt.

Schritt 7

Alle Informationen werden nun vom YubiKey mit dem privaten Schlüssel unterschrieben. Das zugrundeliegende Public-Private-Key-Verfahren sorgt jetzt dafür, dass der YubiKey Server mit Hilfe des öffentlichen Schlüssels, welcher „unverschlüsselt“ mitgeschickt wird, alle gesendeten Informationen verifizieren kann. Die Daten sind dabei nicht wirklich verschlüsselt, da sonst ja auch der YubiKey Server diese nicht entschlüsseln könnte.

Dieser Prozess des Signierens sorgt lediglich dafür, dass der YubiKey Server mit Sicherheit sagen kann, dass es sich um Sie handelt und nicht um jemanden anderes. Die Verschlüsselung, also den Schutz der Daten während der Übertragung, regelt die sichere HTTPS-Verbindung (SSL/TLS) zwischen Ihrem Browser und dem Server, so wie Sie es von Webseiten kennen.

Schritt 8

Nachdem der YubiKey Server die Echtheit und somit Sie als legitimen Nutzer bestätigt hat, speichert er diese Informationen und noch einiges mehr in einer Datenbank ab.

Was mit diesen Informationen genau passiert, wird Ihnen gleich noch gezeigt.

Für alle diejenigen von euch, denen das zu oberflächlich war, haben wir hier noch das entsprechende Schaubild des gesamten Prozesses:

Sie haben Fragen zum Thema YubiKey?

Jetzt Termin Sichern

Wie läuft die Authentifizierung mit einem YubiKey im FIDO (2) Modus ab?

Nachdem Sie nun Ihren YubiKey erfolgreich am YubiKey Server registriert haben, läuft der Prozess der Authentifizierung absolut genauso ab. Der einzige Unterschied zur Registrierung ist Schritt 7. Da der YubiKey Server den im Schritt 6 erzeugten öffentlichen Schlüssel nun bereits kennt und gespeichert hat, kann er mit Hilfe von ihm die jetzt erzeugte Nachricht, welche mit Ihrem privaten Schlüssel unterschrieben bzw. „verschlüsselt“ wurde, lesen und Ihnen zuordnen. Auch hier kommt das bewährte Signaturenverfahren zum Einsatz. Der YubiKey Server weiß jetzt mit 100% Sicherheit, dass es sich um Sie handelt und niemanden anders.

Ablaufdiagramm für Authentifizierung via Authenticator

Das Schaubild hier verdeutlicht den Prozess ausführlich.

Dieser gesamte Prozess läuft für Sie als User unsichtbar im Hintergrund ab. Das einzige, was Sie aktiv machen müssen, ist das Bestätigen des Buttons auf dem YubiKey. Auch sieht man ganz deutlich, dass, sobald der YubiKey einmal registriert ist, alle weiteren Schritte sehr schnell und bequem für den Benutzer sind.

Aktueller Stand von FIDO2, CTAP 1 + 2, WebAuthn und der meist-genutzten Browser

Der neueste Standard ist derzeit FIDO2 mit CTAP2 und WebAuthn. Leider unterstützen derzeit noch nicht alle Browser diese Technologie und die zugrundeliegenden Protokolle. Auch sind nicht alle YubiKey Modelle für das neuere CTAP2 Protokoll bereit. Beispielsweise ermöglichen es die YubiKey 4 Serie, FIDO U2F Security Key und der YubiKey Neo noch nicht, die Weiterentwicklung CTAP2 zu nutzen. Das ist erst ab der Version 5 von YubiKey möglich.

Durch den Aufbau von FIDO2 ist es aber dennoch möglich, diese Modelle zu nutzen. Denn FIDO2 ist abwärtskompatibel und unterstützt sowohl CTAP2 als auch das etwas ältere CTAP1 Protokoll.

Leider unterstützen auch einige Browser noch nicht das neuere CTAP2 Protokoll. Derzeit unterstützen Chrome und Firefox CTAP2 in den neuesten Versionen auf Windows 10. Auch der Edge Browser von Microsoft unterstützt mittlerweile FIDO2 mit CTAP2. Lediglich Safari unter macOS hat erst vor kurzem begonnen, eine Unterstützung von CTAP1 in sein Produkt zu integrieren.

Vorteile des FIDO2 WebAuthn Standards

Um die Vorteile und den Komfort von WebAuthn und dem FIDO2 Standard in vollem Umfang nutzen zu können, bietet es sich an wie folgt vorzugehen.

Ihr YubiKey kann nicht nur als aktiver Authenticator dienen, sondern er kann für mehr Komfort auch als reines Backup-Gerät genutzt werden. In diesem Fall richten Sie den Zugang beispielsweise für Ihren Microsoft Online-Zugang einmalig mit dem YubiKey ein. Anschließend „übertragen“ Sie den sogenannten Trust auf einen, im Computer oder Laptop befindlichen Authenticator. Anschließend benötigen Sie den YubiKey nur noch, wenn der Laptop oder PC gestohlen wird oder kaputt geht. Nicht jedes Gerät verfügt über einen solchen internen Authenticator, jedoch mittlerweile schon sehr viele. Im Falle eines Verlustes lässt sich mit Ihrem YubiKey dann sehr schnell ein neues Gerät einrichten und der Trust kann erneut auf das Gerät übertragen werden (bootstrapping).

Der so auf dem Gerät gespeicherte Trust kann durch verschiedene Arten zusätzlich geschützt werden. Das wohl am meisten verbreitete Verfahren ist der Fingerabdruck. Gesichert durch diesen, kann der Trust ohne weiteres auf dem Gerät genutzt werden und nur als Backup ein YubiKey eingesetzt werden. Der YubiKey wird jedoch für die erstmalige Einrichtung benötigt.

Die Einrichtung für die unterschiedlichen Dienste läuft sehr einfach und intuitiv ab. Als Benutzer müssen Sie einfach nur den Anweisungen auf Ihrem Bildschirm folgen, alles weitere passiert automatisch im Hintergrund.

  1. Online-Dienst aufrufen und normal einloggen
  2. In die Einstellungen navigieren und den Menüpunkt 2-Faktor-Authentifizierung finden
  3. Anweisungen befolgen und YubiKey anstecken und den Button drücken

Wir werden für einige der wichtigsten Dienste und Anbieter zu einem späteren Zeitpunkt nochmal individuellere Tutorials bereitstellen, in denen wir auch genau erklären, wie Sie den Trust auf Ihre eigenen Geräte übertragen können.

Sie benötigen Hilfe?

Jetzt Termin Sichern

YubiKey als Smartcard verwenden – Der YubiKey Guide – Teil 4

Banner Yubikey als Smart Card verwenden

Was sind Smartcards und wie funktionieren sie?

Jeder von uns nutzt Smartcards mehrmals täglich, doch kaum einer weiß, was genau sie machen oder wie sie funktionieren. Sicherlich haben einige von Ihnen Smartcards im Unternehmensumfeld bereits aktiv kennengelernt. Sie werden oftmals vom Unternehmen ausgegeben, um interne Systeme oder den Zugriff auf den Rechner zu schützen. Doch die wenigsten werden wissen, dass Smartcards auch im privaten Umfeld einen zentralen Platz haben.

Der wohl häufigste Verwendungszweck von Smartcards ist das Smartphone. Jede SIM-Karte ist eine Smartcard. Auch kommen Smartcards in Streaming-Receivern oftmals zum Einsatz. Und auch Kredit- und Debitkarten, sowie Krankenkassenkarten sind im Grunde Smartcards.

Smartcards haben den Zweck, den Besitzer auszuweisen und Informationen an einen Dienst oder einen Service zu übergeben. Die auf ihnen gespeicherten Informationen sind durch mehr oder weniger starke Kryptografie vor Auslesen und Manipulation geschützt. Die goldfarbenen Chips auf den Karten sind die eigentlichen Smartcards, der Rest außen herum dient oftmals lediglich der einfacheren Handhabung.

Neuere Karten besitzen zusätzlich noch eine Art „Funkverbindung“, die es ermöglicht, die Informationen ohne physikalischen Kontakt zum Chip auszulesen. Die Antenne hierfür ist entweder direkt im Chip integriert oder befindet sich im Kunststoff-Teil der Karte eingelassen.

Smartcards lassen sich in der Regel nicht durch den normalen Benutzer beschreiben, das bedeutet die Informationen darauf können lediglich ausgelesen, nicht jedoch verändert werden. Aber auch beim Lesen gibt es starke Einschränkungen.

Die Informationen, die auf einer Smartcard gespeichert sind, werden in der Regel durch einen PIN geschützt. Erst wenn Sie diesen PIN korrekt an einem Terminal (Geldautomaten, Bezahlterminal) oder Ihrem Rechner (Login) eingegeben haben, kann das System auf die Informationen auf der Karte zugreifen. Diese Art von 2-Faktor-Authentifizierung hat sich in vielen Bereichen bewährt. Es gibt Ausnahmen wie beispielsweise die Krankenkassenkarte, auf deren Informationen beispielsweise ein Arzt auch ohne PIN zugreifen kann.

Smartcard mit Max Mustermann

Aufbau einer Smartcard – Einfach erklärt

Eine Smartcard (Chip) besteht in der Regel aus vier Hauptkomponenten:

  1. Gesicherter Speicher für den PIN des Benutzers. (Bei vielen Modellen gibt es zusätzlich zum Nutzer PIN noch einen sogenannten SO-PIN (Security Operator PIN). Dieser Admin PIN wird meist vom Systemadministrator der Firma verwendet und verwaltet und ermöglich bei Vergessen des Nutzer PIN einen PIN Reset.)
  2. Sicherer Prozessor – Dieser führt alle sicherheitsrelevanten Operationen auf dem Chip aus und ist speziell gegen Angriffe gesichert.
  3. Verschlüsselter Speicher für Zertifikate. Dieser Speicher wird durch die Eingabe des Benutzer PIN entsperrt und gibt anschließend das entsprechende Zertifikat für die Authentifizierung bei einem Dienst oder Service frei. Auch dieser Speicher ist speziell gegen Auslesen und andere Arten von Angriffen gesichert.
  4. Optional enthalten viele Smartcards mittlerweile eine Antenne oder ein Modul, dass das kontaktlose Bedienen ermöglich.

YubiKey als Smartcard unter Windows 10 nutzen

Wir zeigen Ihnen hier ein Anwendungsszenario der SmartCard-Funktion des YubiKeys. Es gibt natürlich noch deutlich mehr, aber zum Anfangen ist das genau das Richtige.

Wir werden Ihnen hier zeigen, wie Sie Ihren YubiKey mit einem eigenen Zertifikat ausstatten, diese bei Windows einbinden und anschließend Dateien damit verschlüsseln können.

Schritt 1

Zu Beginn müssen Sie sich von der Yubico Seite den YubiKey Manager (!Nicht das Personalization Tool) herunterladen.

YubiKey Manager für 64Bit Windows: HIER
YubiKey Manager für 32Bit Windows: HIER

Schritt 2

Nachdem Sie den YubiKey Manager installiert haben, öffnen Sie ihn durch einen Doppelklick

YubiKey Manager Tool - Screenshot Software

Schritt 3

Anschließend stecken Sie Ihren YubiKey an den USB-Slot Ihres Computers an. Der Infobereich des YubiKey Managers signalisiert Ihnen anschließend, wie viele Zertifikate Sie bereits auf Ihrem YubiKey gespeichert haben und welche Version Sie verwenden:

YubiKey Manager Tool - Screenshot Software

Schritt 4

Wenn Sie Ihren YubiKey das erste mal mit dem PIV YubiKey Manager öffnenen erscheint das „Device Initialization“ Fenster.

YubiKey Manager Tool - Screenshot Software

Schritt 5

Hier tragen Sie Ihre persönliche PIN ein.

Sollten Sie Ihn verlieren, können Sie nicht mehr auf Ihre Zertifikate auf dem YubiKey zugreifen. Geben Sie Ihren PIN später bei der Entschlüsselung 3-mal falsch ein, wird er ebenfalls unwiederbringlich gelöscht und Ihre Zertifikate sind für immer weg.

Schritt 6

Im nächsten Schritt legen Sie im Bereich „Management Key“ einen neuen Hauptschlüssel an. Diesen benötigen Sie, wenn Sie Änderungen an den Zertifikaten vornehmen möchten oder alte löschen wollen.

Um einen neuen Management Key zu erzeugen, wählen Sie zuerst wie auf dem Bild zu sehen, den Punkt „Use separate key“ aus, wenn nicht bereits geschehen.

YubiKey Manager Tool - Screenshot Software

Anschließend klicken Sie auf den darunterliegenden Button „Randomize“. Der YubiKey Manager generiert dir nun einen individuellen Management Schlüssel.

YubiKey Manager Tool - Screenshot Software

Notieren Sie sich auch diesen Schlüssel sorgfältig auf einem Zettel oder in Ihrem Passwortmanager und bewahren Sie ihn ebenso sicher auf, wie Ihre PIN. Im optimalen Fall lagern Sie PIN und Management Key an zwei unterschiedlichen Orten.

Schritt 7

Jetzt vergeben Sie im untersten Feld noch eine PUK (Personal Unlock Key). Mit dem PUK können Sie eine weitere Schicht an Sicherheit für sich einbauen. Dieser kann eingesetzt werden, um nach 3-maliger Falscheingabe Ihrer PIN eine neue PIN zu vergeben, ohne dass der gesamte YubiKey resettet werden muss.

Das Prinzip ist vergleichbar mit deiner SIM Karte im Smartphone, bei der auch der PUK als „Backup“ für deine PIN genutzt wird.

Wählen Sie einen PUK, der nicht gleich Ihrer PIN ist, und notieren Sie auch diesen auf einem Zettel oder in Ihrem Passwortmanager und verwahren Sie ihn sicher.

Schritt 8

Nachdem Sie nun PIN, Management Key und PUK eingetragen haben, klicken Sie auf „OK“ und Ihr YubiKey ist soweit als SmartCard konfiguriert.

Schritt 9

Stecken Sie nun Ihren YubiKey aus und wieder neu an. –> Jetzt sind Sie Ready to go.

Zertifikate unter Windows 10 mit dem YubiKey selbst generieren

Im nächsten Schritt generieren wir Ihr Zertifikat, welches Sie benötigen, um Dateien auf Ihrem Windows-System zu verschlüsseln.

Schritt 1

Um ein neues Zertifikat für Ihre Dateiverschlüsselung zu generieren, klicken Sie nun auf den Button „Certificates“ im Startmenü des YubiKey PIV Managers.

YubiKey Manager Tool - Screenshot Software

Schritt 2

Navigieren Sie jetzt in den Menütab „Key Management“

YubiKey Manager Tool - Screenshot Software

Schritt 3

Hier klicken Sie auf den Button „Generate new key…“

Schritt 4

Jetzt wählen Sie im Bereich „Algorithm“ den von Ihnen gewünschten Verschlüsselungsalgorithmus aus. Wir empfehlen an dieser Stelle den RSA (2048 bits) zu verwenden.

Die Alternativen ECC P-256 und ECC P-384 sind zwar an und für sich etwas sicherer, allerdings funktionieren sie derzeit nicht besonders gut in Kombination mit Windows. RSA (1024 bits) empfehlen wir nur, wenn Ihr Computer etwas älter ist und Probleme mit der Erstellung des RSA-Schlüssels mit 2048 bits Länge hat.

Schritt 5

Anschließend wählen Sie bei „Output“ den Punkt „Create a self-signed certificate“ aus und vergeben im Feld „Subject“ einen Namen.

!!!WICHTIG - UNBEDINGT BEACHTEN!!!

Achte hier darauf, dass du nur das ersetzt, was nach dem = geschrieben steht. Es kann sonst zu Problemen kommen.
YubiKey Manager Tool - Screenshot Software

Schritt 6

Nachdem Sie einen Namen vergeben haben, müssen Sie noch ein Ablaufdatum für Ihr Zertifikat einstellen. Wir empfehlen in diesem Fall ein Datum zu nehmen, das weit in der Zukunft liegt. Das erleichtert die Handhabung und ist für die meisten Anwender vollkommen ausreichend.

In unserem Beispiel haben wir den 28.06.2030 als Ablaufdatum gewählt.

Schritt 7

Sie brauchen jetzt nur noch auf „OK“ zu klicken. Ihr YubiKey verlangt jetzt die zuvor von Ihnen erstellte PIN zur Bestätigung und Erzeugung des Zertifikates.

YubiKey Manager Tool - Screenshot Software

Dieser Vorgang kann, abhängig von Ihrem Computer und seiner Geschwindigkeit eine Weile dauern.

Sobald der Vorgang abgeschlossen ist erscheint ein Hinweis mit der Nachricht „New key generated“.

YubiKey Manager Tool - Screenshot Software

Sie werden nun wieder zurückgeleitet und das eben erstellte Zertifikat wird angezeigt:

YubiKey Manager Tool - Screenshot Software

Schritt 8

Damit Sie jetzt mit diesem Zertifikat weiterarbeiten können, müssen Sie Ihren YubiKey abermals vom Computer trennen und wieder neu anstecken.

Jetzt ist Ihr YubiKey bereit für die Windows 10 Dateienverschlüsselung

Sie haben Fragen zum Thema YubiKey?

Jetzt Termin Sichern

Windows 10 Dateienverschlüsselung mit Zertifikat und YubiKey einrichten

Nachdem Sie jetzt Ihren YubiKey eingerichtet und ein passendes Zertifikat erstellt haben, können wir mit der Einrichtung unter Windows loslegen.

Als kleiner Tipp vorweg:

Probieren Sie das folgende Tutorial zunächst mit einer Dummy-Datei aus, um sicherzustellen, dass alles so funktioniert wie es soll. Legen Sie sich dazu am besten einfach ein Testdokument auf Ihrem Desktop an und probieren Sie die folgenden Schritte damit aus. Wenn alles so funktioniert wie hier beschrieben, dann können Sie mit Ihren richtigen Daten loslegen.

Schritt 1

Öffnen Sie die Windows Systemsteuerung. Am einfachsten finden Sie den Systemsteuerungsordner, indem Sie die WINDOWS-Taste auf Ihrer Tastatur drücken und „Systemsteuerung“ eingeben.

Windows Systemsteuerung

Schritt 2

Sobald Sie im Systemsteuerungsmenü sind, klicken Sie auf den kleinen Pfeil oben in der Adressleiste neben dem Wort „Systemsteuerung“. Anschließend wählen Sie den Menüpunkt „Alle Systemsteuerungselemente“ aus. Ihnen sollten jetzt alle verfügbaren Icons und Features angezeigt werden.

Sollte bei Ihnen der Pfeil nicht sofort sichtbar sein, klicken Sie einfach auf das Wort „Systemsteuerung“ in der Adressleiste, dann sollten auch Sie den kleinen Pfeil sehen können.

Windows Datenverschlüsselung mit YubiKey - Systemsteuerung

Schritt 3

Jetzt klicken Sie auf den Menüpunkt „Benutzerkonten“ (Das Icon mit den beiden Personen).

Windows Datenverschlüsselung mit YubiKey - Benutzerkonten Steuerung

Schritt 4

In der linken Spalte finden Sie jetzt den Menüpunkt „Dateiverschlüsselungszertifikate verwalten“. Diesen klicken Sie an.

Windows Datenverschlüsselung mit YubiKey - Systemsteuerung Windows

Schritt 5

Nachdem Sie das Hinweis PopUp „Verwalten Sie die Zertifikate zur Dateiverschlüsselung“ mit „Weiter“ übersprungen haben, öffnet sich folgendes Fenster:

Windows Datenverschlüsselung mit YubiKey - Zertifikat Auswahl

Schritt 6

Hier sollten bei Ihnen in der Regel noch keine Zertifikate gelistet sein. Wenn doch, ist das auch kein Problem, Sie müssen dann nur das richtige auswählen.

Schritt 7

Um nun das Zertifikat auszuwählen, welches Sie im vorangegangenen Schritt auf Ihrem YubiKey erstellt haben, wählen Sie bitte den Button „Zertifikat auswählen“ rechts neben dem weißen Kasten aus.

Schritt 8

Es öffnet sich ein graues Pop-Up-Fenster mit dem Titel „Windows-Sicherheit“. Ihr YubiKey muss natürlich zu diesem Zeitpunkt bereits am USB-Port Ihres Computers angesteckt sein, sonst funktioniert dieser Vorgang nicht.

Lassen Sie sich an dieser Stelle nicht von unserem Bild verunsichern. Wir haben bereits einige Zertifikate installiert und im Gebrauch, darum werden bei uns deutlich mehr angezeigt, als das bei Ihnen der Fall sein wird.

Windows Datenverschlüsselung mit YubiKey - Smartcard Login

Sollte bei Ihnen noch nicht das richtige Zertifikat ausgewählt sein, klicken Sie bitte auf den Schriftzug „Weitere Optionen“. Nun werden Ihnen alle Zertifikate angezeigt, die Ihnen zur Verfügung stehen.

Schritt 9

Wählen Sie nun das Zertifikat aus, welches Sie im vorigen Tutorial erstellt haben und bestätigen Sie Ihre Auswahl mit „OK“.

Schritt 10

Nachdem Sie Ihre Auswahl mit „OK“ bestätigt haben, fragt Ihr YubiKey (Smartcard) nach Ihrer vorher definierten PIN. Geben Sie diese jetzt in das Feld ein und bestätigen Sie wieder mit einem Klick auf „OK“.

Windows Datenverschlüsselung mit YubiKey - Smartcard LogIn

Schritt 11

Sie sehen jetzt in dem zuvor noch weißen Kasten Ihr ausgewähltes Zertifikat und wann es abläuft. In unserem Fall am 28.06.2030. Anschließend bestätigen Sie mit einem Klick auf den „Weiter“-Button die Richtigkeit des Zertifikates.

Windows Datenverschlüsselung mit YubiKey - Dateisystem Menü

Schritt 12

Im nächsten Bildschirm wird Ihnen von Windows vorgeschlagen, bereits bestehende Verschlüsselungen zu aktualisieren, auch wenn Sie bisher keine eingerichtet haben.

!!!VORSICHT - UNBEDINGT BEACHTEN!!!

Klicken Sie hier unbedingt auf „Verschlüsselte Dateien später aktualisieren Rekey Treeview“. Damit verhindern Sie, dass Windows beispielsweise Ihre Bitlocker-Verschlüsselung der Festplatte neu generiert und Ihre Daten damit verschlüsselt. Wir wollen an dieser Stelle lediglich einzelne Dateien und Ordner verschlüsseln, nicht das gesamte System.
Windows Datenverschlüsselung mit YubiKey - Menü Windows

Schritt 13

Anschließend werden Sie nochmals nach der PIN Ihres YubiKeys gefragt. Geben Sie diese ein und bestätigen Sie alles wieder mit einem Klick auf „OK“.

Schritt 14

Ihr Zertifikat ist jetzt eingerichtet und Sie sind startklar. Das zeigt Ihnen das Fenster mit dem Satz „Zertifikat und der Schlüssel wurden eingerichtet“ an.

Sollte hier etwas schiefgehen, setzen Sie das Zertifikat auf Ihrem YubiKey einfach nochmal zurück. Da Sie ja nur einen Test gemacht haben, ist das nicht weiter schlimm.

Dateien unter Windows 10 mit dem YubiKey und der Smartcard Funktion einfach verschlüsseln

Nachdem Sie jetzt Ihren YubiKey eingerichtet, ein Zertifikat erstellt und dieses bei Windows hinterlegt haben, können Sie mit dem Schützen Ihrer Dateien beginnen.

Das vorher angelegte Dummy-Dokument auf Ihrem Desktop wird uns jetzt als Beispiel dafür dienen.

Windows Datenverschlüsselung mit YubiKey - Unverschlüsseltes Dokument

Schritt 1

Um Ihr Dokument nun zu verschlüsseln, machen Sie einen Rechtsklick auf das Dokument und wählen anschließend den Menüpunkt „Eigenschaften“ ganz unten aus.

Schritt 2

Im Eigenschaften-Menü klicken Sie nun auf den Button „Erweitert…“ ganz unten bei „Attribute“.

Windows Datenverschlüsselung mit YubiKey - Menü Windows

Schritt 3

Sie setzen einen Haken im untersten Feld „Inhalt verschlüsseln, um Daten zu schützen“ und bestätigen das Ganze mit „OK“

Windows Datenverschlüsselung mit YubiKey - Menü Windows

Schritt 4

Danach müssen Sie auf „Übernehmen“ klicken, um das Ganze zu speichern.

Schritt 5

Es erscheint eine „Verschlüsselungswarnung“, bei der Sie „Nur Datei verschlüsseln“ auswählen und mit „OK“ bestätigen.

Wenn Sie keine Datei, sondern einen ganzen Ordner verschlüsseln möchten, müssen Sie an dieser Stelle natürlich den oberen Punkt „Datei und übergeordnete Ordner verschlüsseln“ auswählen.

Windows Datenverschlüsselung mit YubiKey - Info Meldung

Schritt 6

Die Datei auf Ihrem Desktop hat nun ein kleines Schloss Symbol angeheftet. Das zeigt Ihnen an, dass der Vorgang erfolgreich war.

Windows Datenverschlüsselung mit YubiKey - Super geheimes Dokument

Schritt 7

Wundern Sie sich nicht, wenn Sie die Datei jetzt gerade noch ohne weitere Eingabe oder Abfrage einer PIN bzw. ohne Ihren angesteckten YubiKey öffnen können.

Das liegt daran, dass das Zertifikat noch im Speicher liegt. Wenn Sie Ihre Verschlüsselung jetzt testen möchten, müssen Sie Ihren Computer einmal neustarten.

Schritt 8

Nach dem Neustart Ihres Computers erscheint bei dem Versuch die Datei zu öffnen folgendes Fenster:

Windows Datenverschlüsselung mit YubiKey - Smarcard login

Schritt 9

Wenn Sie Ihren YubiKey angesteckt und die PIN richtig eingegeben haben, öffnet sich Ihre verschlüsseltes Dokument.

Windows Datenverschlüsselung mit YubiKey - Datei

Sie benötigen Hilfe?

Jetzt Termin Sichern

YubiKey für den Login am Windows Rechner einrichten – Der YubiKey Guide – Teil 5

Banner Login am Windows Rechner mit dem YUbiKey

Sicherung des eigenen Devices mit YubiKeys

Nicht nur bei Online-Diensten sollten Sie eine starke Sicherung verwenden, um Fremden den Zugriff so schwer wie möglich zu machen. Auch bei Ihrem lokalen Computer oder Laptop ist es wichtig, auf einen guten Schutz Ihrer Daten und Informationen zu achten.

YubiKey bietet mittlerweile eine sehr komfortable und einfache Möglichkeit, Ihren Rechner mit 2-Faktor-Authentifizierung zu schützen. Bisher war es nur möglich, den Windows-Login durch einen YubiKey bequemer zu machen. Dabei wurde der YubiKey als Smartcard eingerichtet und fungierte ab diesem Zeitpunkt als „einziger“ Faktor für den Login bei Windows. Natürlich ist die YubiKey-Smartcard durch die PIN geschützt gewesen, jedoch war das kein echtes 2-Faktor-Konzept im eigentlichen Sinne.

Hier geht es zum Artikel über den YubiKey als SmartCard.

Wie Sie Ihren YubiKey als vollwertigen zweiten Faktor für den Login an einem Windows-Rechner einrichten, erklären wir Ihnen jetzt.

YubiKey als Second Faktor bei Windows verwenden

Um Ihren YubiKey als zweiten Faktor für den Login bei Windows verwenden zu können gehen Sie wie folgt vor:

YubiKey Bild

Schritt 1

Öffnen Sie mit Ihrem Browser die Webseite https://www.yubico.com/secure-windows-login/.

Auf dieser Webseite von Yubico finden Sie das Programm, das Sie für den sicheren Login an einem Windows-Rechner benötigen. Wählen Sie hier die Version aus, die zu Ihrem System passt. Je nachdem, ob Ihr Computer ein 32- oder 64-Bit-System verwendet, wählen Sie hier die entsprechende Datei aus.

Welche Windows Version habe ich – 32bit oder 64bit?

Sollten Sie nicht genau wissen, ob Ihr Computer ein 32- oder 64-Bit-System verwendet, schauen Sie einfach kurz nach. Dazu drücken Sie die Windows-Taste auf Ihrer Tastatur, oder klicken Sie auf das kleine Windows-Icon im linken unteren Bereich Ihres Desktops.

Anschließend geben Sie folgendes ein: „Systeminformationen“. Den jetzt ausgewählten Menüpunkt öffnen Sie durch einen Klick oder durch Drücken der ENTER-Taste. Hier finden Sie eine lange Liste mit Informationen zu Ihrem System. Neben dem Eintrag „Systemtyp“ finden Sie die Bit-Version Ihres Computers:

x64-basierter PC = 64-Bit-Version
x86-basierter PC = 32-Bit-Version

Schritt 2

Bevor Sie jetzt mit der Installation beginnen, sollten Sie noch eine sehr wichtige Sache erledigen.

!!!WICHTIG - UNBEDINGT BEACHTEN!!!

Notieren Sie sich Ihren Benutzernamen in Windows wenn Sie ihn nicht auswendig kennen. Sie benötigen diesen nach dem Neustart. Ohne ihn können Sie sich anschließend nicht mehr an Ihrem Computer anmelden.

Schritt 2a

Öffnen Sie die Windows Systemsteuerung.

Am einfachsten finden Sie den Systemsteuerungsordner indem Sie die WINDOWS Taste auf Ihrer Tastatur drücken und „Systemsteuerung“ eingeben.

Windows Datenverschlüsselung mit YubiKey - Systemsteuerung

Schritt 2b

Sobald Sie im Systemsteuerungsmenü sind, klicken Sie auf den kleinen Pfeil oben in der Adressleiste neben dem Wort „Systemsteuerung“. Anschließend wählen Sie den Menüpunkt „Alle Systemsteuerungselemente“ aus. Ihnen sollten jetzt alle verfügbaren Icons und Features angezeigt werden.

Sollte bei Ihnen der Pfeil nicht sofort sichtbar sein, klicken Sie einfach auf das Wort „Systemsteuerung“ in der Adressleiste, dann sollten auch Sie den kleinen Pfeil sehen können.

Windows Datenverschlüsselung mit YubiKey - Systemsteuerung

Schritt 2c

Jetzt klicken Sie auf den Menüpunkt „Benutzerkonten“ (Das Icon mit den beiden Personen).

Windows Datenverschlüsselung mit YubiKey - Benutzerkonten Steuerung

Schritt 2d

Ihren Benutzernamen sehen Sie nun auf der rechten Seite des Fensters, direkt neben Ihrem Kontobild. Er steht direkt über „lokales Konto“.

Schritt 2e

!!! Notieren Sie sich diesen nun auf einem Zettel. Diesen Zettel behalten Sie erstmal.

Schritt 2f

Alternativ können Sie, um Ihren Benutzernamen zu erfahren, auch auf das Windows-Icon in der linken unteren Ecke Ihres Desktops klicken und anschließend mit der Maus über das oberste Bild am ganz linken Rand fahren. Der Benutzername wird Ihnen dann in einem kleinen Pop-Up angezeigt.

Windows Benutzername

Schritt 3

Nachdem Sie nun Ihren Benutzernamen kennen und die korrekte Version des YubiKey-Login-Programms für Windows heruntergeladen haben, öffnen Sie den Installer mit einem Doppelklick.

Schritt 4

Der Installationsprozess ist relativ einfach und selbsterklärend. Sie müssen dabei auf nichts achten. Zuerst müssen Sie die AGB bestätigen, anschließend wählen Sie den Ort aus, an dem das Programm installiert werden soll (Wir empfehlen, diesen einfach so zu lassen, wie er vom Programm vorgegeben wird).

Zum Ende werden Sie aufgefordert, Ihren Computer neu zu starten.

Schritt 5

Nachdem Ihr Computer neu gestartet ist, zeigt er Ihnen folgenden Bildschirm zum Login an:

YubiKey für Windows - Login

Sie haben Fragen zum Thema YubiKey?

Jetzt Termin Sichern

Sie werden sich jetzt denken: „Was zum Teufel, ich habe doch noch gar nichts eingerichtet, wie komme ich jetzt in mein Windows rein???“.

Aber keine Panik.

Schritt 6

Jetzt klicken Sie auf „Lost your YubiKey?“

Schritt 7

Anschließend erscheint folgende Eingabemaske:

YubiKey für Windows - Login

Hier geben Sie nun den zuvor aufgeschriebenen Benutzernamen und Ihr ganz normales Passwort, das Sie sonst auch zum Anmelden am Rechner verwenden, ein.

Schritt 8

Nachdem Sie jetzt wieder angemeldet sind, können Sie mit der Einrichtung Ihres YubiKeys fortfahren.

Schritt 9

Um nun Ihren YubiKey und Windows für die 2-Faktor-Authentifizierung bei der Anmeldung einzurichten, müssen Sie das zuvor heruntergeladene und installierte Programm öffnen.

Hierzu drücken Sie am besten die Windows-Taste auf Ihrer Tastatur oder klicken auf das Windows-Icon am linken unteren Desktoprand. Anschließend tippen Sie „Login Configuration“ ein. Das Programm, welches nun in der Suche erscheint, öffnen Sie mit einem Klick oder durch Drücken der ENTER-Taste.

YubiKey für Windows - Login Konfiguration

Schritt 10

Nachdem Sie den Willkommensbildschirm des YubiKey Programms mit „NEXT“ übersprungen haben, erscheint das eigentlich Konfigurationsmenü.

YubiKey für Windows - Login Konfiguration

Schritt 11

Hier wählen Sie folgende Dinge aus:

  • Unter „Slots:“ wählen Sie, wie auf dem Bild zu sehen, den „Slot 2“ aus.
  • Im Abschnitt „Challenge/Response Secret“ gibt es verschiedene Möglichkeiten. Wenn Sie noch keine weiteren Funktionen mit Ihrem YubiKey nutzen, sollten Sie hier einfach den Punkt „Use existing secret if configured – generate if not configured“ auswählen.
  • Setzen Sie einen Haken bei „Generate recovery code“.
  • Sollten Sie einen weiteren YubiKey als Backup für den primären YubiKey nutzen wollen, setzen Sie auch einen Haken bei „Create backup device for each user“. Andernfalls lassen Sie, wie im Bild, diesen Punkt frei.
  • Bestätigen Sie Ihre Auswahl mit einem Klick auf „NEXT“.

Schritt 12

Im nächsten Schritt müssen Sie den Benutzer auswählen, für den der YubiKey als zweiter Faktor verwendet werden soll. In der Regel wird Ihnen hier nur ein Benutzer angezeigt.

Sollten auf Ihrem Computer mehrere Benutzer angelegt sein, wählen Sie Ihren eigenen aus, indem Sie ihn anklicken.

YubiKey für Windows - Login Konfiguration

Anschließend bestätigen Sie Ihre Auswahl mit „NEXT“.

Schritt 14

Sie werden jetzt aufgefordert, Ihren YubiKey anzustecken.

Schritt 15

Sobald Ihr YubiKey vom System erkannt wird, erscheint folgendes Fenster, welches Sie mit „NEXT“ bestätigen.

YubiKey für Windows - Login Konfiguration

Schritt 16

Ihr YubiKey generiert nun alle benötigten Schlüssel und erzeugt den „Recovery Code“.

Speichern Sie diesen UNBEDINGT in Ihrem Passwortmanager UND schreiben Sie ihn auf einen Zettel.

Diesen Zettel verwahren Sie an einem sicheren Ort, wie beispielsweise Ihrem Tresor. Mit ihm können Sie bei Verlust Ihres YubiKeys wieder Zugriff auf Ihren Computer erhalten. Sollten Sie diesen Code und Ihren YubiKey verlieren, ist Ihr Computer unwiederbringlich gesperrt.

YubiKey für Windows - Login Konfiguration

Schritt 17

Nachdem Sie sich Ihren Recovery Code abgespeichert bzw. notiert haben, bestätigen Sie mit „NEXT“.

Schritt 18

Volla, Ihr Windows-Computer ist nun mit 2-Faktor-Authentifizierung vor fremden Zugriffen geschützt. Um sich nun nach einem Neustart oder nach dem Hochfahren bei Windows anzumelden, müssen Sie nun Ihren Benutzernamen und Ihr Passwort eingeben UND Ihr YubiKey muss im USB-Slot Ihres Computers stecken.

Sie müssen während der Anmeldung nicht, wie sonst üblich, auf den Button auf der Oberseite Ihres YubiKeys drücken, alles passiert automatisch.

Sie benötigen Hilfe?

Jetzt Termin Sichern