Informationen zur Nutzung der Multi-Faktor-Authentifizierung (MFA)
Zum Schutz Ihrer Benutzerkonten setzen wir eine datenschutzfreundliche Multi-Faktor-Authentifizierung (MFA) ein. Diese Maßnahme dient der Erhöhung der Sicherheit beim Zugriff auf unsere Systeme und Dienste.
Was ist MFA?
Bei der MFA handelt es sich um ein Sicherheitsverfahren, das den Zugang zu einem System oder Konto schützt, indem sie mehrere Authentifizierungsmethoden verlangt. Im Gegensatz zur herkömmlichen Authentifizierung, bei der nur Benutzername und Passwort erforderlich sind, fügt die MFA mindestens eine weitere Sicherheitsebene hinzu.
Diese Sicherheitsebene kann ein physisches Gerät sein, wie beispielsweise ein Smartphone oder ein Tablet. Nutzende müssen im Besitz dieses Geräts sein, um sich zu authentifizieren. Dafür muss in einer der folgenden Authentifizierungs-Varianten (z.B. App) die Anmeldung bestätigt oder ein Zifferncode eingegeben werden.
Indem mehrere Faktoren, in diesem Fall also das Passwort und der Code aus der gewählten Authentifizierungs-Variante, kombiniert werden, wird die Sicherheit innerhalb der UR erhöht, da ein potenzieller Angreifer nicht nur Zugang zu einem Faktor erlangen muss, sondern zu mehreren gleichzeitig. Daher trägt die Multifaktor-Authentifizierung dazu bei, die Sicherheit von Benutzer-Konten, Systemen und sensiblen Informationen zu verbessern und schützt vor unbefugtem Zugriff, selbst wenn ein Authentifizierungsfaktor kompromittiert wird.
Verwendete Technologie
Unsere MFA-Lösung basiert auf Microsoft Entra MFA in Kombination mit einer föderierten Anmeldung. Bei der Verwendung von Microsoft Entra MFA erfolgt eine Anmeldung an Ihrem persönlichen Microsoft-Account. Dabei erfolgt die Authentifizierung über unsere eigene Identitätsinfrastruktur. Passwörter und Passwort Hashes werden zu keinem Zeitpunkt an Microsoft übermittelt.
Informationen zum Microsoft-Account finden Sie unter Microsoft 365.
Auswahl und Verwaltung der Faktoren
Sie als Nutzerin oder Nutzer haben die Möglichkeit, selbst zu entscheiden, welche zusätzlichen Sicherheitsfaktoren Sie für die Anmeldung verwenden möchten. Die Verwaltung dieser Faktoren erfolgt über das Benutzerportal Entra ID (ehemals Azure AD).
Folgende Optionen stehen zur Verfügung:
- Telefon (SMS): Ein einmaliger Code wird per SMS an Ihre Mobilnummer gesendet.
- Telefon (Anruf): Sie erhalten einen automatisierten Anruf zur Bestätigung Ihrer Anmeldung. Es können dienstliche oder private Telefonnummern, Festnetz oder Mobilfunk hinterlegt werden.
- barrierearm, geeignet bei Beeinträchtigung des Sehvermögens
- Microsoft Authenticator App: Push-Benachrichtigung oder Code-Eingabe über die App.
(Empfohlene und voll supportete Lösung; auf gängigen iOS- und Android-Geräten möglich.) - FIDO2-Sicherheitsschlüssel: Hardwarebasierte Authentifizierung über z. B. USB- oder NFC-Geräte.
- barrierearm, geeignet bei Beeinträchtigung des Sehvermögens
- besonders datensparsam
- TOTP-Token: Zeitbasierte Einmalpasswörter (z. B. über Hardware-Token oder Apps).
- barrierearm, geeignet bei Beeinträchtigung des Sehvermögens
- besonders datensparsam, wenn mit separatem Hardware-Token eingesetzt
- auch über Authenticator-App möglich
- Windows Hello for Business: Steht für dienstliche Windows-PCs zur Verfügung.
Biometrische Anmeldung (z. B. Gesichtserkennung oder Fingerabdruck) oder PIN, die lokal auf dem Gerät gespeichert wird. Die Anmeldung erfolgt passwortfrei und erfüllt hohe Sicherheits- und Datenschutzstandards.- barrierearm, geeignet bei Beeinträchtigung des Sehvermögens
- besonders datensparsam (insb. PIN)
- Authentifizierungs-Apps anderer Anbieter: z. B. Google Authenticator, Authy oder ähnliche.
- kein support durch Servicedesk möglich
Die Nutzung dieser Faktoren ist freiwillig, jedoch ist mindestens ein zweiter Faktor erforderlich, um den Zugriff auf geschützte Dienste zu ermöglichen.
Übersicht Datenverarbeitung
Die MFA-Methoden werden in Ihrem Microsoft-Account abgelegt, wodurch sich ein Personenbezug ergibt. Neben der Datenverarbeitung bei der Anmeldung an Ihrem Microsoft-Account (vgl. Microsoft 365), wird bei der MFA der jeweils verwendete Faktor gespeichert.
Des Weiteren werden folgende Daten abhängig von der verwendeten MFA-Methode verarbeitet.
| Methode | Datenverarbeitung / Weitergabe |
|---|---|
| FIDO2 | ✅ Minimal – keine personenbezogenen Daten. Übertragung des öffentlichen Schlüssels sowie von Metadaten (z.B. Hersteller, Modell, Seriennummer) des verwendeten Authentifikators. |
| Windows Hello for Business | ✅ Lokal gespeicherte biometrische Daten oder PIN, keine Übertragung an Microsoft |
| TOTP (z. B. Authenticator App) | ✅ Austausch eines geheimen Schlüssels bei Einrichtung von TOTP. Keine weitere Datenübertragung bei der Nutzung, nur lokale Codes |
| Microsoft Authenticator (Push) | ⚠️ IP-Adresse und Geräteinformationen werden an Microsoft übermittelt |
| Telefon (SMS/Anruf) | ❌ Telefonnummer wird verarbeitet und an Telekommunikationsanbieter übermittelt |
| Drittanbieter-Apps (z. B. Google Authenticator) | ✅ Lokal, aber abhängig vom Anbieter – Datenschutzrichtlinien beachten |
Datenschutz und Datenspeicherung
Wir legen großen Wert auf den Schutz Ihrer personenbezogenen Daten. Die MFA-Daten (z. B. Telefonnummern oder registrierte Geräte) werden ausschließlich zur Durchführung der Authentifizierung verwendet und in Übereinstimmung mit den geltenden Datenschutzgesetzen verarbeitet.
- Keine Übermittlung von Passwörtern an Dritte
- Keine Profilbildung oder Nutzung zu anderen Zwecken
- Speicherung der Daten erfolgt ausschließlich in der EU oder gemäß den Anforderungen der DSGVO
Rechtsgrundlage
Die UR ist als staatliche Einrichtung gesetzlich verpflichtet die IT-Sicherheit zu gewährleisten. Der Zugang zu Informationssystemen soll neben einer Abfrage der Zugangsdaten (RZ-Account und Kennwort) durch weitere Faktoren geschützt werden. Die Einführung einer MFA erfolgt daher auf Grundlage von Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 43 Abs. 1 BayDiG. Konkretisiert wird diese Pflicht in Art. 42 Abs. 1 Nr. 3 BayDiG i.V.m. dem Leitfaden des Landesamts für Sicherheit der Informationstechnik (LSI), abrufbar unter leitfaden_phishing-resistente-mfa_v1-1.pdf (externer Link, öffnet neues Fenster).
Ihre Rechte
Sie haben jederzeit das Recht auf:
- Auskunft über die zu Ihrer Person gespeicherten Daten
- Berichtigung unrichtiger Daten
- Löschung oder Einschränkung der Verarbeitung, sofern keine gesetzlichen Aufbewahrungspflichten bestehen
- Widerspruch gegen die Verarbeitung Ihrer Daten im Rahmen der MFA
Weitere Informationen finden Sie in unserer Datenschutzerklärung.