MFA (Multifaktor-Authentifizierung)

  • Hallo,

    unsere Geschäftsführung will innerhalb von 1 Woche MFA (Multifaktor-Authentifizierung) einführen. Dazu soll man sein Privates Handy benutzen um auf Arbeit sicher einzuloggen.


    Ist das Rechtens? Darf der Arbeitgeber mich dazu "zwingen" mein Privates Handy zu benutzen, nur weil ich kann kein Anspruch auf ein Diensthandy habe?


    Ohne MFA kann man z.b. sich danach nicht mehr auf sein Email Account einloggen.


    Gruß
    Tobias B.

  • Hallo,

    wenn euer Arbeitgeber eine MFA einführen will mittels Handy, dann muss er auch jedem ein Diensthandy stellen.

    Das private Handy dafür zu nutzen geht nur auf freiwilliger Basis, wer das nicht möchte oder evtl. auch keines hat, der muss es nicht nutzen bzw. sich eines anschaffen.

    Man könnte allerdings, wenn die Bereitschaft in der Belegschaft zu Nutzung des privaten Handys vorhanden ist, sich diese "Freiwilligkeit" vergüten lassen und beim AG aushandeln, dass für die Nutzung ein Pauschalbetrag monatlich zu erstatten ist.


    Wenn ein Mitarbeiter nicht mehr arbeiten kann ohne MFA und ohne Diensthandy, dann ist dass das Problem des AG und nicht des AN, da dieser ja seine Arbeitskraft anbietet.

  • Nenya: Danke, so sehe ich dass auch. War mir aber nicht ganz sichergewesen.


    rtjum: Ja, aber wir sind komplett neu. Keiner von uns hatte bisher Erfahrung im Betriebsrat und der Betriesbrat am Hauptstandort scheint das nicht zu interessieren.

  • okay, dann verweist den AG mal auf das BetrVG und dabei den §87 (1) 6.


    es handelt sich um eine technische einrichtung.


    Und wenn ihr neu seid, dann holt euch schnellstens Beistand denn das ist nicht mal soeben eingeführt, dazu muss eine BV abgeschlossen werden und privates Handy ist, wie Nenya schon sagt, privat da hat der AG gar nix zu kamellen.

    Nicht die Dinge sind positiv oder negativ, sondern unsere Einstellung macht sie so. (Epiktet, gr. Philosoph)

  • Hallo Tobias,


    ich denke hier ist der ortsansässige Betriebsrat zuständig. Also ihr. Der Arbeitgeber kann das ohne eure Zustimmung nicht einführen. Also sprecht mit dem AG und macht ihn dies deutlich. Hierzu kann man wunderbar eine BV aushandeln.

  • Hallo Tobias,


    unabhängig davon dass der AG kein Anspruch darauf hat dass der AN sein privates Gerät für betriebliche Belange nutzt, stellt sich die Frage dürfen bei euch private Geräte ins Firmennetz? bzw. sind private Geräte bei euch generell erlaubt?

    Denn für die MFA ist nach meinem Kenntnisstand eine Datenverbindung notwendig.


    Viele Grüße

    Bernd

  • Denn für die MFA ist nach meinem Kenntnisstand eine Datenverbindung notwendig.

    Nein, ist sie tatsächlich nicht. (erkläre ich gleich noch * )


    Das Problem bleibt aber das hier

    Dazu soll man sein Privates Handy benutzen um auf Arbeit sicher einzuloggen.

    Leider bin ich ein wenig schlampig im Umgang mit meinen eigenen Sachen. Sprich, ständig ist mein Akku leer, habe ich es Zuhause vergessen, die letzte Rechnung nicht bezahlt und es deshalb nicht am Mann, oder, oder, oder...


    Auch wenn ich verstehe, dass der AG nicht jedem AN ein eigenes Handy zur Verfügung stellen will, so ändert es nichts daran, dass seine Verfügungsgewalt über mein Privateigentum (und zwar völlig losgelöst ob Betriebsrat vorhanden oder nicht) exakt Null ist.
    Ich entscheide welche App auf mein Handy kommt. Punkt!<

    Und wenn mein AG etwas anderes von mir will, darf er sich gerne an den Kosten für mein Handy beteiligen. Ich finde 5 Euro pro Monat angemessen. Als steuer- und sozialversicherungsfreie "Ersatzleistung" (wie das funktioniert soll der AG mit seinem Steuerberater klären, wichtig ist nur, dass die 5 Euro netto ankommen.).


    Alternativ, und das wäre aus meiner Sicht der bessere Weg, erkundigt er sich mal nach sogenannten "MFA Dongles" (aus nachvollziehbaren Gründen verlinke ich hier keine Anbieter).


    Ich gebe gerne zu, dass diese MFA Dongles heute nicht mehr "State of the Art" sind, aber es gibt sie auch heute noch! Was tun diese Dongles? Sie generieren, abhängig von der Uhrzeit, einen Code (üblicherweise 6 Stellen), der als zusätzliche Authentifizierung eingegeben werden muss. * Und während es früher dafür extra Hardware geben musste, kann man heute auch eine solche App so absichern, dass sie a) gültige Codes generiert und b) nicht hackbar ist. Und sie kosten (soweit mir bekannt) nicht die Welt (lass sie 20 Euro kosten, das ist auf Dauer günstiger als jeden Monat Summe x.) Und die kann man als Schlüsselanhänger immer dabei haben.


    Fazit: Wenn der Benutzer ohnehin ein Handy hat, macht die Benutzung einer App in diesem Zusammenhang durchaus Sinn und ist heute üblich. (Und hier würde ich als BR auch das Thema Mitbestimmung tatsächlich nicht zu hoch hängen, hier passiert nicht viel nachvollziehbares.) Da ich als AG aber keinen Zugriff auf das Privateigentum meiner AN habe, ist das schlicht kein gangbarer Weg. (Im Übrigen wirft es sofort rechtliche Fragen auf: selbstverständlich kennt meine Frau meine PIN und kann jederzeit auf mein Handy zugreifen. (Konnte meine Tochter auch.) Das war innerhalb unserer Familie nie ein Thema. Aber wenn da plötzlich eine App drauf ist, über die ich dann plötzlich Zugriff auf Firmendaten hätte, dürfte ich das noch? Bzw. dürfte der AG mir das verbieten? (ist ja schließlich MEIN Handy).)


    Als Betriebsrat würde ich mich hier hinstellen und sagen: lieber AG, wenn dir die rechtlichen Probleme durch evtl. gemeinsamen Zugriff auf das Privat(!)Handy deiner AN egal ist, mach den Kollegen ein Angebot: jeden Monat Summe x oder eine Einmalzahlung in Höhe... und frage, wer bereit ist, sich die App zu installieren (und es kann(!!!) nur freiwillig passieren). Allen anderen wirst du ein entsprechendes Dongle zur Verfügung stellen müssen.




    * MFA - Multi Factor Authentication (Identitätsnachweis über mehrere Medien)

    Eine PIN (Persönliche IdentifikationsNummer) oder auch ein Passwort sind prinzipiell deutlich sicherer als eine Unterschrift, da eine Unterschrift jedesmal deutlich sichtbar zu sehen und damit u.U. zu kopieren/fälschen ist. Eine PIN oder ein Passwort wird einmal eingegeben und ist (so jedenfalls die Idee) nur im Kopf des Menschen vorhanden. Dennoch kann sie natürlich (meist durch sorglosen Umgang bei der Eingabe) ausgespäht oder (meist weil irgendwo aufgeschrieben) ergattert werden. Deswegen entstand irgendwann die Idee, die Sicherheit durch ein zweites, unabhängiges Medium, zu erhöhen. Erste Ansätze waren Fingerabdruckscanner (die aber teure Hardware voraussetzten), später Dongles. Das waren im Prinzip einfache USB-Sticks, die aber immer irgendeine Besonderheit hatten, die dann vom Rechner geprüft werden konnte. Im Rahmen der Mobilisierung hatte aber nicht mehr jeder einen eigenen Rechner (oder man wollte aus Gründen der Sicherheit die Nutzung des USB-Ports nicht zulassen (Einfallstor für Viren jeglicher Art)), so dass man sich etwas neues ausgedacht hat: ein Gerät, dass einen einmal gültigen Code generiert, der auch noch zeitlich beschränkt ist. Dazu braucht es aber eine "Vereinbarung" zwischen den beiden beteiligten Endgeräten, wie genau der Code generiert werden soll. Denn während das eine Gerät den Code generiert, muss das andere Gerät ja wissen: ja, ist ok, passt so. (Oder eben nicht) Aufgrund der Vereinbarung zwischen den Geräten braucht es aber tatsächlich keinerlei Verbindung zwischen den Geräten zum Zeitpunkt der Prüfung. (Wohl aber bei der Einrichtung des Verfahrens!)

    Es gibt aber tatsächlich auch die Verfahren, die zwar im Prinzip genauso funktionieren, aber doch eine Verbindung benötigen. Bei vielen Banken z.B. wird der so generierte Code anschließend per SMS an das bei der Bank hinterlegte Handy geschickt. Die Authentifizierung ob das wirklich ich bin, erfolgt dann über das Handy (Fingerabdruck, PIN).

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!

    Einmal editiert, zuletzt von Moritz ()

  • Hallo Moritz,


    Nein, ist sie tatsächlich nicht. (erkläre ich gleich noch * )

    du hast natürlich Recht dass es Verfahren gibt, die anhand eines festgelegten Algorithmus und eines vereinbarten gemeinsamen Referenzwertes entsprechende Einmalcodes erstellen, es gibt aber auch die Möglichkeit dass die Bestätigung über eine App erfolgt, in welcher der Login bestätigt werden muss, diese verfahren wird bei uns verwendet, daher verbinde ich dieses Verfahren als erstes mit MFA.


    Es gäbe aber die Möglichkeit über ein Kartenlesegeräte den Betriebsausweis als zweite Authentifizierung zu benutzen, vorausgesetzt der Ausweis unterstützt dies.


    Viele Grüße

    Bernd

  • diese verfahren wird bei uns verwendet, daher verbinde ich dieses Verfahren als erstes mit MFA.

    Moin Bernd,


    völlig nachvollziehbar und verständlich. Es ist ja auch ein(!) MFA-Verfahren. Es würde nur das Problem hier nicht lösen. (Wäre aber u.U. der Grund, warum der AG hier die (ja ehrlicherweise ohnehin meist vorhandenen) Smartphones nutzen will.) Dewegen war es mir wichtig eine Lösung aufzuzeigen, die auch ohne funktioniert.


    Und ja, Du hast natürlich Recht, wenn es denn einen Betriebsausweis gibt (hat ja auch nicht jeder Betrieb) wäre er eine Möglichkeit. Moderne Laptops können meist auch RFID Chips lesen, (was anderes ist in den Ausweisen üblicherweise auch nicht drin...) könnte man also auch darüber etwas machen.


    Technische Möglichkeiten gibt es viele. Mir war nur erst einmal wichtig, dass Tobias hier gute Gründe an der Hand hat, um den AG zu überzeugen, dass er das selber nicht will (Sicherheitslücke auf dem Privathandy) und auch nicht braucht.


    Vielleicht stattet er ja auch jeden Rechner mit einer Webcam aus und macht das ganze über Gesichtserkennung ;)


    Da können wir jetzt viel philosophieren, dazu müsste man die genaue Struktur der IT kennen, kennen wir aber nicht.


    Aber das ist wieder genau so einer der Punkte, wo ich meine Energie versuche nicht darauf zu lenken, wie ich den AG von seinem Vorhaben abbringen kann (Druck erzeugt Gegendruck), sondern lieber hingehe und sage: tolle Idee. Hast du aber auch daran gedacht, dass... Und dann kommt der AG selber zu dem Ergebnis, dass nicht alles, was auf den ersten Blick toll klingt auch toll ist. Ich nenne das "Betriebsrats-Jiu-Jitsu" - nicht gegenarbeiten, den AG bestärken, mitmachen, aber leicht lenken (Probleme aufzeigen), und schon macht der AG eine Bauchlandung. Und fühlt sich auch noch gut beraten, weil der BR ja nicht gleich dagegen gemoppert hat, sondern ihm geholfen hat Schwachstellen zu entdecken.


    In diesem Sinne, viel Erfolg, Tobias!

    Wer fragt ist ein Narr - für fünf Minuten. Wer nicht fragt bleibt ein Narr - sein Leben lang!