Zwei-Faktor-Authentifizierung (2FA) aktivieren

Zwei-Faktor-Authentifizierung (2FA) aktivieren

Was
Die Zwei-Faktor-Authentifizierung (2FA) schützt dein Konto zusätzlich, indem beim Login neben Passwort und Benutzername ein zweiter Faktor (z. B. ein Code aus einer App) abgefragt wird.

Wo
Admin: Benutzerverwaltung > Benutzer.
(Früher unter: Benutzer > Benutzer).


Einleitung

Die Zwei-Faktor-Authentifizierung (2FA) erhöht die Sicherheit deines Benutzerkontos. Neben Benutzername und Passwort wird beim Login ein zweiter Faktor abgefragt (z. B. ein Code aus einer Authenticator-App). Dadurch wird dein Zugang besser gegen unbefugte Nutzung geschützt.

Es gibt zwei Möglichkeiten, 2FA zu nutzen:
  1. Verpflichtend: Ein Administrator weist dir die Benutzergruppe "2FA" zu → dann musst du 2FA beim nächsten Login einrichten.
  2. Freiwillig: Du kannst 2FA in deinen Profileinstellungen selbst aktivieren oder deaktivieren (sofern sie nicht verpflichtend gesetzt ist) und auch neu einrichten, z. B. um neue Backup-Codes zu erzeugen.



Voraussetzungen

  1. Benutzerkonto (bei Verwaltung von Benutzern zusätzlich Administrator-Berechtigung)
  2. Um die Zwei-Faktor-Authentifizierung nutzen zu können, benötigst du eine Anwendung für Einmal-Codes (TOTP).
  3. Empfohlen: Eine Smartphone-App wie Google Authenticator, Microsoft Authenticator oder Authy.
  4. Alternativ: Ein Browser-Add-on mit TOTP (z. B. für Chrome oder Firefox). Praktisch, wenn du lieber direkt am PC arbeitest – jedoch weniger sicher.



2FA für Benutzer als verpflichtend konfigurieren (Adminstration)

  1. Melde dich im Administrationsbereich an.
  2. Wähle unter Benutzerverwaltung > Benutzer.
  3. Erstelle einen neuen Benutzer mit "Einzel-Benutzer hinzufügen" oder wähle einen bestehenden aus und klicke auf das Stift-Symbol "Bearbeiten" um das Benutzerkonto zu bearbeiten.
  4. Füge im Abschnitt "Benutzergruppe zuordnen" die Benutzergruppe "2FA" hinzu und klicke anschließend auf "Speichern"

Hinweis: Benutzer, die der 2FA-Gruppen angehören, werden bei der nächsten Anmeldung aufgefordert, 2FA einzurichten. Eine Anmeldung am System ist nicht möglich, bis die Einrichtung erfolgreich abgeschlossen wurde.

Wird ein Benutzer aus der 2FA-Benutzergruppe entfernt, bleibt die 2FA weiterhin aktiv, kann aber manuell durch den Benutzer deaktiviert werden.

Sollte ein Benutzer weder Zugriff auf seinen Authentifikator noch Backup-Codes haben, kann man in der Benutzerverwaltung die 2FA für diesen Benutzer zurücksetzen. Der Benutzer wird bei der nächsten Anmeldung aufgefordert, die 2FA neu einzurichten.





Freiwillige 2FA in den Profileinstellungen

Wenn du nicht in der Benutzergruppe "2FA" bist, kannst du 2FA in deinem Profil selbst verwalten:
  1. Gehe dazu in dein Profil > Logindaten.
  2. Setze die "Multi-Faktor-Authentifizierung" auf "Ja".



Diese Optionen stehen dir zur Verfügung:
  1. Aktivieren und einrichten.
  2. Deaktivieren, solange sie nicht verpflichtend durch den Administrator gesetzt ist.
  3. Erneut einrichten, wenn du z. B. ein neues Gerät nutzt oder neue Backup-Codes benötigst.





Einrichtung

  1. Je nach Konfiguration wirst du automatisch nach dem Login oder bei Aktivierung im Profil auf die 2FA-Einrichtungsseite geleitet.

    Aktivierung im Profi:



    Oder automatisch nach dem Login:



  2. Öffne deine Authenticator-App oder deine Browser-Erweiterung.
  3. Scanne den angezeigten QR-Code oder gib den Schlüssel manuell ein.
  4. Die App/Erweiterung erzeugt nun einen 6-stelligen Sicherheitscode.
  5. Gib diesen Sicherheitscode ein und klicke auf "Anmelden".

    Aktivierung im Profi:



    Oder automatisch nach dem Login:



  6. Notiere die Backup-Codes.
  7. Aktiviere die Checkbox "Ich habe die Backup-Codes notiert" und klicke auf "Weiter".



Hinweise zu Backup-Codes

Die Codes dienen als Notfall-Zugang, wenn du keinen Zugriff mehr auf deine Authenticator-App oder deine Browser-Erweiterung hast – z. B. wenn dein Smartphone verloren geht.
  1. Jeder Sicherungscode ist einmal gültig und funktioniert als Ersatz für den 6-stelligen Code aus deiner App/Erweiterung.
  2. Alle Sicherungscodes werden nur einmalig angezeigt – sie müssen also unbedingt sicher notiert oder in einem Passwort-Manager gespeichert werden.
  3. Sobald ein Code genutzt wurde, ist er ungültig.
  4. Nach Eingabe deines vorletzten Backup-Codes, bekommst du einen Hinweis angezeigt, die Einrichtung erneut durchzuführen, um neue Backup-Codes zu erhalten.
  5. Nach Eingabe des letzten Backup-Codes wirst du automatisch zur 2FA-Einrichtungsseite geleitet.



Einmal-Kennwort per E-Mail senden

Wenn ein Benutzer sein Passwort vergessen hat oder keinen Zugang mehr zum Konto hat, kannst du ein neues Einmal-Kennwort generieren und an die hinterlegte E-Mail-Adresse senden.
  1. Öffne das Administrationsportal Admin: Benutzerverwaltung > Benutzer.
  2. Wähle den Benutzer, dem du helfen möchtest.
  3. Aktiviere die Option "Neues Einmal-Kennwort generieren und per E-Mail senden".
  4. Speichere die Änderung.
Ergebnis:
  1. Der Benutzer erhält eine E-Mail mit einem Einmal-Kennwort.
  2. Nach dem Login mit diesem Kennwort wird er automatisch aufgefordert, ein neues, sicheres Passwort festzulegen.





Fehlerbehebung

  1. Der QR-Code funktioniert nicht → Nutze den angezeigten Schlüssel zur manuellen Eingabe in der App.
  2. Der Sicherheitscode wird nicht akzeptiert → Ursache kann sein, dass die Uhrzeit und Zeitzone des Geräts nicht mit der Systemzeit übereinstimmt. Hier kann es helfen, diese in den Einstellungen deines Telefons/Computer auf "Auto" zu stellen.
  3. Backup-Codes verloren → Erneute Einrichtung in den Profileinstellungen starten oder einen Administrator kontaktieren.