Hintergrundbild. Eine Reihe von Standrechnern.

IT-Sicherheit: Neues Anmeldeverfahren

Die Bedrohung von universitären Einrichtungen durch Cyber-Angriffe, z.B. durch Verschlüsselung der Speichersysteme (Ransomware-Attacken) ist in den letzten Jahren rasant gestiegen. Allein seit 2022 wurden rd. 30 deutsche Hochschulen nachhaltig kompromittiert. Lange Ausfallzeiten der IT-Systeme waren die Folge verbunden mit großen wirtschaftlichen Schäden und Reputationsverlust der betroffenen Einrichtungen.

Ein wichtiger Einfallsvektor für Cyberkriminelle sind gehackte User-Accounts. Mit Hilfe gestohlender Nutzerdaten dringen Kriminelle in die IT-Systeme ein und verschaffen sich Zutritt zu sensiblen Bereichen der IT-Infrastruktur, um Daten zu entwenden, unbrauchbar zu machen oder zu zerstören. Bislang wird an der Universität Vechta ausschließlich das Shibboleth-Verfahren zum Single-Sign-On eingesetzt. Das bedeutet, dass einmalig pro Rechnersitzung die Login-Daten eingegeben werden, um Zutritt zu allen anmeldegeschützten IT-Services der Universität Vechta (z.B. Exchange, Stud.IP, Academic Cloud) zu bekommen.

Zukünftig wird zur Erhöhung der IT-Sicherheit beim Login ein weiterer Authentisierungsfaktor (2FA) benötigt. Dieses mehrstufige Anmeldeverfahren ist im privaten Umfeld wie dem Online Banking schon seit vielen Jahren Alltag. Das bedeutet, dass die Authentifizierung für sämtliche Systeme weiter zentral über den Shibboleth IdP erfolgt, während eduMFA als zusätzliche Sicherheitsmaßnahme für die 2FA eingesetzt wird. Neben dem bislang verwendeten Passwort wird also ein weiterer, unabhängiger Faktor zur Identitätsprüfung benötigt.

Konkret bedeutet dies für die Mitglieder der Universität Vechta, dass ab dem 01.10.2025 zubnächst alle Abteilungen des Diensleistungsbereichs sukzessive auf das 2FA-Verfahren umgestellt werden. Danach ist eine Anmeldung an den IT-Systemen nur noch ausschließlich mit den bisherigen Login-Daten (Shibboleth-Anmeldung mit Benutzername & Webmail-Passwort) sowie zusätzlich einem zweiten Faktor möglich. Beschäftigte aus dem Wissenschaftsbereich können parallel zunächst auf optionaler Basis auf eduMFA umgestellt werden, um auch ihren Account durch das neue Sicherheitsverfahren zusätzlich abzusichern. Perspektivisch werden auch alle Studierenden-Accounts auf eduMFA umgestellt werden.

Die Zwei-Faktor-Authentisierung (2FA)

An der Universität Vechta wird der zweite Faktor über eine zufällige TAN realisiert, die Mitarbeitende und Studierende mithilfe einer App auf ihrem mobilen Endgerät generieren können. In Ausnahmefällen besteht auch die Möglichkeit, einen kostenpflichtigen Hardware-Token zu nutzen.

Per App erzeugte Software-Token haben den Vorteil, dass diese flexibel und benutzerfreundlich erzeugt werden können. Im Gegensatz zu Hardware-Token sind Software-Token kostenfrei und können direkt auf mobilen Geräten installiert werden. Das bedeutet, dass Mitarbeitende und Studierende ihre TANs zeit- und ortsunabhängig generieren können, solange sie ihr Endgerät bei sich haben. Zudem lassen sich Software-Tokens problemlos aktualisieren und verwalten, was die Wartung vereinfacht und die Kosten reduziert.

Im Folgendem finden Sie eine Anleitung zur Einrichtung von 2FA auf Ihrem Endgerät:

Öffnen Sie auf ihrem Smartphone den Apple Store (iOS) oder den Google Playstore (Android) und installieren Sie folgende kostenlose (!) empfohlene Apps zur Authentifizierung:

1) App-Download

Google Authenticator

Download Android: Klick hier!

Download iOS: Klick hier!

Microsoft Authenticator

Download Android: Klick hier!

Download iOS: Klick hier!

Der Aegis Authenticator ist geeignete Open Source-Alternative für 2FA.

Wie bei allen Open Source-Lösungen ist bei dieser App zu beachten, dass eine langfristige Unterstützung durch den Entwickler nicht gewährleistet werden kann.

Download Android: Klick hier!

Wichtig!

In den Stores werden teilweise Varianten der Authenticator Apps angeboten. Bitte achten Sie darauf, dass Sie die kostenlose Variante von Google oder Microsoft herunterladen und verwenden oder alternativ die Aegis App!

Im folgenen Beispiel verwenden wir die Authenticator App von Google:

2) Ersteinrichtung

Wir aktivieren Abteilunsgweise die Zwei-Faktor-Authentisierung. Deshalb werden wir uns bei Ihnen melden, wenn wir dies für Sie aktivieren. Sobald es aktiviert ist, werden Sie bei der nächsten Anmeldung aufgefordert einen TOTP Token einzurichten.

3) Mit Smartphone-App verknüpfen

Ihnen wird nun ein QR-Code angezeigt. Öffnen Sie jetzt Ihre 2FA App (hier: Google Authenticator) auf dem Smartphone. Klicken Sie auf das Plus und wählen Sie "QR-Code scannen" aus. Ihnen sollte danach in der App ein Zahlencode angezeigt werden.

4) Verifizieren

Jetzt müssen Sie den erzeugten Token noch verifizieren. Geben Sie dazu den in der App generierten Code auf der MFA-Website ein und Suchen sich sich einen Gerätenamen aus. Zum Beispiel Smartphone, IPhone etc. Zum Schluss wählen Sie "Absenden".

5) Abschluss

Fertig! Die Verifizierung ist abgeschlossen.

Sie können zukünftig zur Anmeldung den in der App auf Ihrem Smartphone erzeugten Code zusätzlich zur Nutzerkennung (Benutzername, Passwort) in die Shibboleth-Anmeldemaske der Universität eingeben. Dieser Code ist nur einige Sekunden gültig und wird ständig erneuert.

Q&A

Ja, jeder Account wird in den kommenden Wochen auf 2FA umgestellt. Wenn keine MFA aktiviert hat, kann man sich nicht mehr über Shibboleth an den IT-Diensten (z.B. ebmail, StudIP, Mattermost, Personalportal) der Universität anmelden.

Der Umstieg erfolgt abteilungsweise. Der IT-Support wird den Umstieg begleiten und steht zusätzlich zu diesen Informationsseiten bei Fragen und zur Hilfestellung bereit.

Ein VPN-Anschluss (Virtual Private Network) baut einen sicheren, verschlüsselten Tunnel durch das Internet auf, der Ihre Daten privat hält und Ihre echte IP-Adresse verbirgt. Nur so sind bestimmte Dienste der Uni Vechta, wie der Zugriff auf die gewohnten Netzlaufwerke, auch im Home Office nutzbar. Ihre Arbeitsumgebung ist so also identisch zu der an Ihrem üblichen Arbeitsplatz an der Universität. Durch diese Maßnahme sind allerdings keine Dienste abgesichert, die auch ohne ein VPN von außen erreichbar sind, wie etwa Webmail oder Stud.IP. Sobald ein Angreifer das Kennwort für ihren Account kennt, kann dieser sich also in diese Dienste unter Ihrem Namen einloggen und Missbrauch betreiben.

Die Zwei-Faktor-Authentifizierung (2FA) bietet hier zusätzlichen Schutz: Neben dem Passwort wird noch ein zweiter Nachweis benötigt, zum Beispiel eine TAN aus einer App oder ein Hardwaretoken. Dadurch bleibt der Zugang auch dann sicher, wenn die Zugangsdaten (Nutzername, Passwort) gestohlen wurden.

Ein VPN schützt die Verbindung durch Verschlüsselung, 2FA schützt den Zugang selbst durch mehrere Authentifizierungsmerkmale.

Sie melden sich zunächst mit Ihrer Uni-ID und Ihrem Passwort an. Im nächsten Schritt werden Sie aufgefordert eine TAN einzugeben. In das Feld geben Sie jetzt die aktuelle TAN an, welche in Ihrer TOTP-APP (z.B. Google Authenticator) auf dem Smartphone angezeigt wird.

MFA (Multi-Factor Authentication): Sicherheitsverfahren, das mindestens zwei unterschiedliche Faktoren zur Identitätsprüfung verwendet (z. B. Passwort + Code).

TOTP (Time-based One-Time Password): Einmalpasswort, das zeitbasiert generiert wird und meist als zweiter Faktor bei MFA dient.

Der Timeout des Software-Tokens ist so eingestellt, dass Sie in der Regel nur einmal am Tag zum Dienstbeginn und Hochfahren des Rechners einen TOTP-Code eingeben müssen. Nach Abmeldung oder Herunterfahren des Rechners ist grundsätzlich eine neue Authentifizierung notwendig.

Bitte melden Sie sich beim IT-Support. Sie können das Passwort vor Ort im E036a abholen oder an die hinterlegte E-Mailadresse geschickt bekommen. Bitte halten Sie ein Ausweisdokument bereit, um sich verifizieren zu können.

Bitte melden Sie sich beim IT-Support. Dieser kann Ihnen einen neuen Initial-Token erstellen, mit dem Sie einmalig auf mfa.uni-vechta.de eine neue Verknüpfung auf einem alternativen Endgerät zur Erzeugung von Anmelde-Token einrichten können. Bitte halten Sie ein Ausweisdokument bereit, um sich verifizieren zu können.

Melden Sie sich beim IT-Support, dort wird Ihnen weitergeholfen.

Bitte melden Sie sich beim IT-Support. Dieser kann Sie bei der Einrichtung eines alternativen Tokens unterstützen.

Alle Personen die ein privates und dienstliches Smartphone besitzen können die Token bei den empfohlenen Apps mit Hilfe des Google oder Apple Accounts synchronisieren. Dadurch müssen keine separaten Token erstellt werden.

Normalerweise werden Funktionspostfächer über die Funktion "Shared Mailbox" geöffnet. Dabei hat der persönliche Account die Berechtigung auf den Funktionsaccount zuzugreifen und E-Mails über die Funktions-E-Mail-Adresse zu versenden. Falls Sie Berechtigungen für ein bestimmtest Konto benötigen, weil Sie bisher immer die Zugangsdaten verwendet haben, schreiben Sie bitte eine kurze E-Mail an den IT-Support.

Neue Beschäftigte und Studierende der Universität bekommen die Anmeldedaten (Benutzername, Passwort) an die bei der Einstellung oder Immatrikulation angegebene private E-Mail-Adresse zugeschickt.

Bei der ersten Anmeldung wird direkt der Prozess für die TOTP Einrichtung gestartet.

Anbieter:	WACON Internet GmbH, Nollenweg 2, 65510 Idstein
Cookiename:	waconcookiemanagement

Anbieter:	Userlike UG, Probsteigasse 44-46, 50670 Köln
Cookiename:	uslk_umm

Anbieter:	Google Ireland Limited, Google Building Gordon House, Barrow St, Dublin 4, Irland
Cookiename:	Es werden unterschiedlich benannte Cookies gesetzt mit der Domain .google.com

Anbieter:	Google Ireland Limited, Google Building Gordon House, Barrow St, Dublin 4, Irland
Cookiename:	Es wird kein Cookie gesetzt