2-Faktor-Authentifizierung & Sicherheit

Q: Was passiert, wenn ich meinen Authenticator verliere?

Recovery Codes werden bei der 2FA-Einrichtung generiert. Mit einem Recovery Code kann der Zugang wiederhergestellt werden.

Warum ist Sicherheit bei Personalverwaltung so wichtig?

Urlaubsanträge, Krankmeldungen, Arbeitszeiten – das sind sensible Personaldaten, die besonderen Schutz verdienen. Die DSGVO verlangt „geeignete technische und organisatorische Maßnahmen“. SL-UP setzt dies mit mehreren Sicherheitsebenen um.

Sicherheitsmaßnahmen im Überblick

🔐

TOTP 2-Faktor-Auth

Zeitbasierte Einmalpasswörter via Google Authenticator, Authy oder jeder TOTP-kompatiblen App.

🔑

Recovery Codes

10 Einmal-Wiederherstellungscodes beim Aktivieren von 2FA – für den Notfall ohne Smartphone.

🔒

SSL/TLS

Alle Verbindungen laufen über HTTPS mit TLS 1.3. Keine unverschlüsselten Datenübertragungen.

🛡

CSRF-Schutz

Jede POST-Operation erfordert ein gültiges CSRF-Token. Schützt vor Cross-Site Request Forgery.

⏱

Rate-Limiting

Automatische Sperre nach mehreren fehlgeschlagenen Login-Versuchen. Schützt vor Brute-Force-Angriffen.

📑

Audit-Log

Alle sicherheitsrelevanten Aktionen werden protokolliert: Logins, Änderungen, Admin-Zugriffe.

2-Faktor-Authentifizierung einrichten

2FA in den Profileinstellungen aktivieren

Unter „Mein Profil → Sicherheit“ klicken Sie auf „2FA aktivieren“. Das System generiert einen QR-Code und einen manuellen Schlüssel.

QR-Code scannen

Scannen Sie den QR-Code mit Ihrer TOTP-App (Google Authenticator, Authy, Microsoft Authenticator). Alternativ geben Sie den Schlüssel manuell ein.

Verifizierungscode eingeben

Geben Sie den aktuellen 6-stelligen Code aus Ihrer App ein, um die Einrichtung zu bestätigen. Erst nach erfolgreicher Verifizierung wird 2FA aktiviert.

Recovery Codes sichern

Das System zeigt 10 Einmal-Wiederherstellungscodes an. Speichern Sie diese an einem sicheren Ort – sie sind Ihr Notfallzugang, falls Sie Ihr Smartphone verlieren.

Wichtig: Recovery Codes aufbewahren

Die Recovery Codes werden nur einmal angezeigt. Drucken Sie sie aus oder speichern Sie sie in einem Passwort-Manager. Jeder Code kann nur einmal verwendet werden. Wenn alle Codes verbraucht sind, können Sie neue generieren.

CSRF-Schutz im Detail

Jedes Formular in SL-UP enthält ein verstecktes CSRF-Token. Bei der Verarbeitung wird geprüft:

Token vorhanden: Ohne gültiges Token wird die Anfrage abgelehnt
Token gültig: Das Token muss zur aktuellen Session gehören
Einmalige Verwendung: Tokens werden nach Nutzung regeneriert
Alle POST-Operationen: Erstellen, Bearbeiten, Löschen – alles geschützt

Rate-Limiting und Brute-Force-Schutz

Das Login-System implementiert mehrstufigen Schutz:

5 Fehlversuche: Temporäre Sperre für 15 Minuten
10 Fehlversuche: Sperre für 1 Stunde + E-Mail-Warnung an den Admin
IP-basiert: Sperre gilt pro IP-Adresse, nicht pro Benutzerkonto
Logging: Alle fehlgeschlagenen Versuche werden im Audit-Log protokolliert

Mandantentrennung (Tenant Isolation)

Jede Organisation arbeitet in einer vollständig isolierten Umgebung:

Jede Datenbankabfrage enthält einen WHERE tenant_id = ? Filter
Session-Daten enthalten die tenant_id zur ständigen Validierung
Kein mandantenübergreifender Datenzugriff möglich – auch nicht über die API

Session-Sicherheit

Neben Authentifizierung und Verschlüsselung schützt SL-UP auch die aktive Sitzung selbst. Session-IDs werden beim Login neu generiert (Session-Fixation-Schutz) — eine alte Session-ID aus einer fremden Umgebung hat nach dem Login keine Gültigkeit mehr. Nach 8 Stunden Inaktivität wird die Session automatisch beendet und der Benutzer muss sich neu anmelden. Das verhindert, dass unbeaufsichtigte Geräte als dauerhaftes Einfaltstor genutzt werden können.

Benutzer können ihre eigenen Sessions in den Profileinstellungen einsehen und bei Bedarf alle anderen Sitzungen auf anderen Geräten invalidieren. Diese Funktion ist besonders nützlich, wenn ein Gerät verloren geht oder gestohlen wird: Mit einem Klick werden alle aktiven Sitzungen beendet, ohne das Passwort ändern zu müssen.

Sicherheits-Checkliste für Admins

2FA für alle Admin-Konten aktivieren — Konten mit erhöhten Rechten sind besonders gefährdet
Regelmäßige Passwortänderung empfehlen — in den Instanzeinstellungen kann ein Intervall vorgegeben werden
Audit-Log monatlich prüfen — unübliche Loginzeiten oder viele fehlgeschlagene Versuche können auf Angriffsversuche hinweisen
Nicht mehr benötigte Benutzerkonten deaktivieren oder löschen — ausgeschiedene Mitarbeiter haben keinen Zugang mehr
API-Keys regelmäßig rotieren — insbesondere wenn Entwickler das Unternehmen verlassen oder ein Key in fremde Hände geraten könnte

Häufige Fragen

Ist die 2-Faktor-Authentifizierung verpflichtend?

Nein, aber empfohlen. Admins können 2FA für alle Benutzer der Instanz verpflichtend machen.

Welche Authenticator-Apps werden unterstützt?

Alle TOTP-kompatiblen Apps: Google Authenticator, Authy, Microsoft Authenticator und andere.

Was passiert, wenn ich meinen Authenticator verliere?

Recovery Codes verwenden — diese werden bei der 2FA-Einrichtung generiert. Falls alle Recovery Codes verbraucht sind, kann der Administrator 2FA für das betroffene Konto zurücksetzen.

Kann der Admin 2FA für alle Benutzer verpflichtend machen?

Ja, in den Instanzeinstellungen kann 2FA als Pflicht gesetzt werden. Beim nächsten Login werden Benutzer, die 2FA noch nicht eingerichtet haben, automatisch zur Einrichtung aufgefordert und können sich nicht ohne 2FA anmelden.

Was passiert, wenn ich mein 2FA-Gerät verliere?

Recovery Codes verwenden. Falls alle Recovery Codes verbraucht sind, kann der Administrator 2FA für das betroffene Konto zurücksetzen. Danach muss 2FA neu eingerichtet werden.

2-Faktor-Authentifizierung & Sicherheit: Maximaler Schutz für Personaldaten