Multi-Faktor-Authentifizierung (MFA)

Multi-Faktor-Authentifizierung (MFA) fügt eine zusätzliche Sicherheitsebene hinzu, indem zusätzlich zu Benutzername und Passwort ein zeitbasiertes Einmalpasswort (TOTP) erforderlich ist.

Funktionen

TOTP-basierte Authentifizierung (RFC 6238)
Kompatibel mit Google Authenticator, Microsoft Authenticator, Authy
10 Einmal-Backup-Codes
Administrator-konfigurierbare Richtlinien (Keine/Optional/Erforderlich)
QR-Code-Einrichtung für einfache Registrierung

Verfügbarkeit

Für Benutzer: MFA aktivieren

Zur MFA-Einrichtung navigieren
Abschnitt betitelt „Zur MFA-Einrichtung navigieren“
1. Bei RAMP anmelden
2. Auf das Profilsymbol klicken (oben rechts)
3. Einstellungen -> Sicherheit auswählen
4. Multi-Faktor-Authentifizierung aktivieren klicken
QR-Code scannen
Abschnitt betitelt „QR-Code scannen“

Authenticator-App öffnen:
- Google Authenticator (iOS/Android)
- Microsoft Authenticator (iOS/Android)
- Authy (iOS/Android/Desktop)
Den auf dem Bildschirm angezeigten QR-Code scannen. Ihre App generiert einen 6-stelligen Code.

QR-Code kann nicht gescannt werden? Klicken Sie auf “Manuelle Eingabe”, um den Geheimschlüssel zu sehen, und geben Sie ihn manuell in Ihre Authenticator-App ein.
Einrichtung verifizieren
Abschnitt betitelt „Einrichtung verifizieren“

Geben Sie den 6-stelligen Code aus Ihrer Authenticator-App ein und klicken Sie auf MFA verifizieren und aktivieren. Bei Erfolg werden 10 Backup-Codes angezeigt.
Backup-Codes speichern
Abschnitt betitelt „Backup-Codes speichern“

Wichtig: Speichern Sie Ihre Backup-Codes an einem sicheren Ort!
- Ausdrucken und an einem sicheren Ort aufbewahren
- In einem Passwort-Manager speichern
- In einer verschlüsselten Datei speichern
Backup-Codes sind Einmal-Codes – Jeder Code kann nur einmal verwendet werden.
MFA-Anmeldung testen
Abschnitt betitelt „MFA-Anmeldung testen“
1. Von RAMP abmelden
2. Mit Benutzername und Passwort anmelden
3. Den 6-stelligen Code aus der Authenticator-App eingeben
4. Verifizieren klicken

Für Benutzer: MFA verwenden

Normaler Anmeldeablauf

Benutzername und Passwort eingeben
Anmelden klicken
6-stelligen Code aus der Authenticator-App eingeben
Verifizieren klicken

Backup-Codes verwenden

Wenn Sie keinen Zugriff auf Ihre Authenticator-App haben:

Benutzername und Passwort eingeben
Statt TOTP auf Backup-Code verwenden klicken
Einen Ihrer Backup-Codes eingeben
Der Code wird verbraucht und funktioniert nicht mehr

Für Benutzer: MFA deaktivieren

Zu Einstellungen -> Sicherheit navigieren
Multi-Faktor-Authentifizierung deaktivieren klicken
Aktuellen 6-stelligen MFA-Code zur Bestätigung eingeben
Deaktivieren klicken

Für Administratoren: MFA-Richtlinien

Administratoren können MFA-Richtlinien für das gesamte System oder einzelne Benutzer konfigurieren.

MFA-Richtlinienebenen

Richtlinie	Beschreibung	Benutzererfahrung
Keine	MFA deaktiviert	Benutzer können MFA nicht aktivieren
Optional	Benutzer können wählen	MFA-Registrierung in den Einstellungen verfügbar
Erforderlich	Alle Benutzer müssen MFA verwenden	Erzwungene Registrierung bei der nächsten Anmeldung

Benutzer-spezifische MFA-Richtlinie festlegen

Zu Admin -> Benutzer navigieren
Auf einen Benutzer klicken
MFA-Richtlinie klicken
Richtlinie auswählen:
- Keine – Benutzer kann MFA nicht verwenden
- Optional – Benutzer kann MFA bei Bedarf aktivieren (Standard)
- Erforderlich – Benutzer muss MFA konfigurieren
Speichern klicken

MFA-Registrierung erzwingen

Wenn die Richtlinie eines Benutzers auf Erforderlich gesetzt ist:

Benutzer meldet sich mit Benutzername/Passwort an
Benutzer wird zur MFA-Einrichtungsseite weitergeleitet
Benutzer muss die MFA-Einrichtung abschließen, bevor er auf RAMP zugreifen kann
Benutzer kann die Einrichtung nicht überspringen oder abbrechen

Für Administratoren: Benutzer-MFA verwalten

Benutzer-MFA zurücksetzen

Wenn ein Benutzer den Zugriff auf seine Authenticator-App verliert:

Zu Admin -> Benutzer navigieren
Auf den Benutzer klicken
MFA zurücksetzen klicken
Die Aktion bestätigen
Die MFA des Benutzers ist deaktiviert und er kann sich erneut registrieren

Backup-Codes neu generieren

Wenn ein Benutzer alle Backup-Codes aufgebraucht hat:

Zu Admin -> Benutzer navigieren
Auf den Benutzer klicken
Backup-Codes neu generieren klicken
10 neue Backup-Codes werden generiert
Codes sicher an den Benutzer weitergeben (E-Mail, persönlich)

API-Endpunkte (Für Entwickler)

Benutzer-MFA-Endpunkte

Endpunkt	Methode	Beschreibung
`/_api/auth/mfa/setup`	POST	MFA-Geheimnis und QR-Code generieren
`/_api/auth/mfa/setup/verify`	POST	MFA verifizieren und aktivieren
`/_api/auth/mfa/disable`	DELETE	MFA deaktivieren (erfordert OTP)
`/_api/auth/mfa/verify`	POST	MFA-Code bei der Anmeldung verifizieren

Administrator-MFA-Endpunkte

Endpunkt	Methode	Beschreibung
`/_api/users/{id}/mfa-policy`	POST	Benutzer-MFA-Richtlinie festlegen
`/_api/users/{id}/mfa`	DELETE	Benutzer-MFA zurücksetzen
`/_api/users/{id}/mfa/backup-codes/regenerate`	POST	Backup-Codes neu generieren

Fehlerbehebung

MFA-Codes funktionieren nicht

Prüfung 1: Zeitsynchronisation überprüfen

Authenticator-Apps sind auf genaue Gerätezeit angewiesen
Sicherstellen, dass die Gerätezeit auf automatisch eingestellt ist
Kleine Zeitunterschiede können zu Code-Nichtübereinstimmungen führen

Prüfung 2: Auf den nächsten Code warten

Codes werden alle 30 Sekunden erneuert
Wenn Sie sich am Ende eines 30-Sekunden-Fensters befinden, warten Sie auf den nächsten Code

Prüfung 3: Backup-Code verwenden

Wenn Sie Backup-Codes haben, verwenden Sie einen zur Anmeldung
Danach können Sie MFA deaktivieren und mit einem neuen QR-Code erneut registrieren

Zugriff auf Authenticator-App verloren

Option 1: Backup-Code verwenden

Jeder Backup-Code kann einmal verwendet werden
Nach der Anmeldung können Sie MFA deaktivieren und erneut registrieren

Option 2: Administrator kontaktieren

Administrator kann Ihre MFA zurücksetzen
Sie müssen sich mit einem neuen QR-Code erneut registrieren

QR-Code kann nicht gescannt werden

Manuelle Eingabe versuchen:

Auf der MFA-Einrichtungsseite auf “Manuelle Eingabe” klicken
Den Geheimschlüssel kopieren
In der Authenticator-App “Manuelle Eingabe” wählen
Eingeben:
- Kontoname: RAMP - ihre@email.com
- Geheimschlüssel: (aus RAMP einfügen)
- Typ: Zeitbasiert
In der Authenticator-App speichern

Backup-Codes funktionieren nicht

Prüfung 1: Prüfen, ob der Code unbenutzt ist – Jeder Backup-Code funktioniert nur einmal

Prüfung 2: Auf Tippfehler prüfen – Backup-Codes unterscheiden zwischen Groß-/Kleinschreibung, keine zusätzlichen Leerzeichen

Prüfung 3: Administrator kontaktieren – Administrator kann neue Backup-Codes generieren (alte Codes werden ungültig)

Sicherheits-Best-Practices

Für Benutzer

Backup-Codes sicher aufbewahren – In Passwort-Manager speichern, verschlüsselte Kopie aufbewahren, nicht über unsichere Kanäle teilen
Vertrauenswürdige Authenticator-Apps verwenden – Google Authenticator, Microsoft Authenticator, Authy (mit Cloud-Backup)
Gerätesperre aktivieren – Telefon/Tablet mit PIN/Biometrie schützen
MFA-Codes nicht teilen – NIEMALS 6-stellige Codes mit jemandem teilen; Administratoren werden NIEMALS nach MFA-Codes fragen

Für Administratoren

MFA für Admins vorschreiben – Richtlinie für Administrator-Rollen auf “Erforderlich” setzen, um das Risiko einer Kontokompromittierung zu reduzieren
MFA-Registrierung überwachen – Verfolgen, welche Benutzer MFA aktiviert haben, und Adoption fördern
MFA-Zurücksetzungen auditieren – Audit-Protokolle auf MFA-Zurücksetzungsaktionen prüfen und Legitimität der Zurücksetzungsanfragen verifizieren
Benutzer schulen – MFA-Registrierungsschulung anbieten und diese Anleitung mit Benutzern teilen

Erweiterte Themen

MFA-Implementierungsdetails

RAMP verwendet:

TOTP-Algorithmus: RFC 6238 (Time-Based One-Time Password)
Hash-Funktion: HMAC-SHA1
Code-Länge: 6 Stellen
Zeitschritt: 30 Sekunden
Geheimschlüssellänge: 160 Bit (32 Base32-Zeichen)
Backup-Codes: 10 Codes, je 8 Zeichen, SHA256-gehasht

Backup-Code-Sicherheit

Mit kryptografisch sicherem Zufallszahlengenerator generiert
Als SHA256-Hashes gespeichert (nicht umkehrbar)
Einmaliger Verwendung über Datenbank-Flag erzwungen
Neu generierte Codes machen alle vorherigen Codes ungültig

Geheimschlüssel-Speicherung

MFA-Geheimnisse mit ASP.NET Core Data Protection API verschlüsselt
Verschlüsselt in der Datenbank gespeichert
Nur während der Verifizierung entschlüsselt

Uhrzeittoleranzen

RAMP akzeptiert Codes aus:

Aktuellem Zeitfenster (30 Sekunden)
Vorherigem Zeitfenster (30 Sekunden)
Nächstem Zeitfenster (30 Sekunden)

Gesamttoleranz: plus oder minus 30 Sekunden

Integration mit Identitätsanbietern

Anbieter	MFA-Unterstützung
RAMP Native	Integriertes TOTP MFA
OIDC	IdP-MFA verwenden (Entra ID Conditional Access usw.)
LDAP	RAMP MFA verwenden oder LDAP-Server-MFA konfigurieren
Windows Auth	AD-Richtlinien oder Smartcard-Authentifizierung verwenden
ADFS	ADFS MFA-Anbieter verwenden (Azure MFA, Duo usw.)

Häufig gestellte Fragen

Kann ich mehrere Geräte verwenden?

Ja! Scannen Sie den QR-Code während der Ersteinrichtung mit mehreren Authenticator-Apps.

Was, wenn ich ein neues Telefon bekomme?

Backup-Code zum Anmelden verwenden
MFA deaktivieren
Mit neuem Gerät erneut registrieren

Oder, wenn Sie Authy mit Cloud-Backup verwenden:

Authy auf neuem Telefon installieren
Aus der Cloud wiederherstellen
Codes sind automatisch verfügbar

Können Administratoren meine MFA-Codes sehen?

Nein. MFA-Geheimnisse sind verschlüsselt und Administratoren können Ihre TOTP-Codes oder Backup-Codes nicht sehen (sie sind gehasht).

Funktioniert MFA offline?

Ja. TOTP-Codes werden lokal auf Ihrem Gerät mit einem zeitbasierten Algorithmus generiert. Keine Internetverbindung erforderlich.

Kann ich Hardware-Token (YubiKey) verwenden?

Derzeit nicht. RAMP unterstützt nur TOTP-basiertes MFA. Hardware-Token-Unterstützung ist für eine zukünftige Version geplant.

Nächste Schritte

E-Mail-Einrichtung – SMTP für MFA-Benachrichtigungen konfigurieren
Bootstrap-Administratoren – Initiale Administrator-Konten einrichten
RAMP Native Authentication – Benutzername/Passwort-Anmeldung konfigurieren