Elektronische Siegel - Digitalisierung des Behördenstempels

Sicheres Login für die Gemeindeverwaltung per YubiKey

02.08.2022

Mit einem Hardware-Schlüssel von YubiKey melden sich alle Benutzer mit höchster Sicherheit bei admin.digital an.

Passwörter sind eine bekannte Schwachstelle und eines der grössten Probleme für die IT-Sicherheit überhaupt. Darum setzt die Plattform von admin.digital konsequent auf Zwei-Faktor-Authentisierung (2FA). Damit werden die Benutzerkonten zusätzlich zu einem Passwort (etwas was der Benutzer weiss) mit einem Schlüssel (etwas worauf der Benutzer physischen Zugriff hat) geschützt. So sind alle Accounts zusätzlich zum potentiell unsicheren Passwort durch einen weiteren Faktor geschützt.

YubiKey Schlüssel

YubiKey Schlüssel

Für die Schlüssel verwenden wir die Schlüssel YubiKey der Firma Yubico. Yubico ist die globale Marktführerin für Hardware-Schlüssel. Die YubiKeys Hardware-Schlüssel sehen tatsächlich aus wie Schlüssel und werden analog zu einem Schlüsselloch in den USB-Eingang gesteckt um Zugang zu erhalten. Ein YubiKey funktioniert wie eine externe Tastatur und kann einfach per USB an Ihr PC/Mac angeschlossen werden. Der YubiKey ist auf sämtlichen Betriebsystemen ohne zusätzliche Software/Treiber-Installation sofort einsetzbar.

Anmeldung mit YubiKey

Jedes Mal, wenn der Benutzer den Knopf drückt, wird ein neues OneTime Token erzeugt. Dies macht es bequem für den Benutzer, denn andere bekannte Zwei-Faktor-Authenfizierungen machen den Prozess für den Benutzer mühsamer. Der User muss z.B. das Token von seinem Handy ablesen und dieses in das entsprechende Formularfeld übertragen. Der YubiKey hingegen erspart dem Benutzer das Eintippen eines Codes und macht den Login-Prozess so benutzerfreundlicher.

Sichere Hardware-Schlüssel

Hardware-Schlüssel gelten als eines der sichersten Mittel für Zwei-Faktor-Authentisierung. Unternehmen mit sehr hohen Sicherheitsansprüchen setzen konsequent auf Hardware-Schlüssel wie den YubiKey. So schützt z.B. Google die Benutzerkonten seiner mehr als 85'000 Mitarbeiter mit Hardware-Schlüsseln und konnte seit der Einführung von Sicherheitsschlüsseln die feindliche Übernahme von Account offenbar komplett verhindern. Die Authentisierung per Hardware-Schlüssel gilt als deutlich sicherer als mTAN per SMS und – unter gewissen Voraussetzungen – sogar als sicherer als biometrische Verfahren wie z.B. Iris- oder Fingerabdruckscanner, da die kryptografischen Schlüssel unfälschbar auf dem Gerät hinterlegt sind.

YubiKey in der Gemeindeverwaltung

Um die Authentifizierung sicher zu machen, werden alle Mitarbeiter mit YubiKeys ausgerüstet. Der Prozess dazu sieht wie folgt aus:

  • Jedem Benutzeraccount wird ein persönlicher YubiKey zugeordnet
  • seantis schickt die YubiKeys per Post an alle Mitarbeitenden
  • Alle Mitarbeitenden können sich sofort mit ihrem persönlichen YubiKey sicher einloggen.

Sie können organisatorisch sicherstellen, dass alle Mitarbeiter ihre YubiKeys sicher in den Büroräumlichkeiten verwahren. So besteht eine erweiterte Kontrolle wer wo und wann Zugriff auf sensible Daten hat. Persönliche YubiKeys lassen sich mit sofortiger Wirkung entziehen.

Ein YubiKey kann bei einer personellen Mutation einfach dem austretenden Benutzer entzogen und einem anderen User zugeordnet werden. Geht ein Schlüssel verloren oder wird gestohlen, so ist es möglich diesen mit sofortiger Wirkung aus dem betroffenen Benutzerkonto zu entfernen, so dass kein Login mehr möglich ist. Ein weiterer Vorteil eines Hardware-Schlüssel gegenüber Passwörtern ist, dass ein Verlust oder gar Diebstahl – im Gegensatz zu Passwörtern – nicht unbemerkt bleibt.