Wechsel von OTP zu FIDO2 bei GrammarlyWie die Umstellung zur FIDO2-Autentifizierung gelingt
Ein Gastbeitrag von
Vika Basarab und Igor Maxuk
5 min Lesedauer
Die Arbeitswelt ist im Wandel, hin zu einer dezentralen Arbeitsumgebung. Nach dem Ausbruch der Pandemie hat das Unternehmen Grammarly ein Remote-First-Hybridmodell eingeführt. Infolgedessen sucht das Team für Sicherheit ständig nach neuen Möglichkeiten, den Schutz der Multi-Faktor-Authentifizierung (MFA) für Teammitglieder zu stärken. Kürzlich fand deshalb der Wechsel von OTP zu FIDO2 statt.
Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es?
(Bild: greenbutterfly - stock.adobe.com)
Um den Authentifizierungsprozess im Unternehmen zu verbessern, müssen dem Sicherheitsteam erst die Schwachstellen bestehender Systeme klar werden. Daher arbeitete das Grammarly-Team mit einem White-Hat-Partner zusammen, um einen raffinierten Cyberangriff auf das bestehende OTP-System zu simulieren. Mithilfe einer erstellten Website, die die SSO-Anmeldeseite und -Adresse des Unternehmens täuschend echt imitierte, wurden E-Mails verschickt. Darin wurden die Empfänger aufgefordert, einem Link zu folgen. Das taten auch einige Empfängerinnen und Empfänger und gaben ihre Benutzernamen und Kennwörter ein. Genau hier kommt die Multi-Faktor-Authentifizierung (MFA) zum Einsatz, die eine Push-Benachrichtigung sendet und eine weitere Überprüfung des Benutzers verlangt, bevor der Zugriff auf die SSO-Sitzung gewährt wird. Jetzt sollte der Hack auffallen, doch einige akzeptierten die MFA-Push-Benachrichtigung dennoch. Warum hat die MFA-Push nicht den Tag gerettet? Erstens war die Phishing-Nachricht raffiniert und schien legitim zu sein. Zweitens hatten die Teammitglieder durch den täglichen Gebrauch einen schnellen Reflex entwickelt, auf eine mobile Authentifizierungsanfrage mit "Ja" zu antworten.
OTP vs Zwei-Faktor-Autentifizierung: Das sind die Vorteile
Nachdem das Team mittels Pentest die Schwachstellen ausfindig machte und erkannte, wie anfällig OTP für Phishing-Angriffe ist, musste eine bessere Lösung gefunden werden. Deshalb wurde beschlossen, den FIDO2-Standard mit einer Kombination aus Yubico-Sicherheitsschlüsseln (YubiKeys) und biometrischen Lösungen wie Windows Hello und macOS TouchID zu implementieren. FIDO2 ist ein relativ neuer Standard – die Unterstützung für ihn ist bei einigen Apps und Diensten noch in Arbeit. Außerdem ist es keine leichte Aufgabe, alle Teammitglieder weltweit dazu zu bringen, eine neue Art der Anmeldung zu übernehmen. Daher folgt eine Schritt für Schritt Berichterstattung, wie die Umsetzung erfolgt, welche Schlüsselerfahrungen hierbei gemacht wurden und wie Prozesse optimiert werden könnten:
Der erste Schritt: Scoping
Zunächst musste festgestellt werden, welche Systemänderungen notwendig sind, um die bestmögliche Unterstützung zu bieten. Außerdem muss weiterhin sichergestellt werden, dass die Benutzererfahrung reibungslos, bequem und konsistent über verschiedene Plattformen und Anwendungen hinweg bleibt.
Hier stößt man unter Umständen schnell auf ein Hindernis, das "eingebettete" Browser betrifft. Ein eingebetteter Browser ist beteiligt, wenn sich eine native Anwendung mit SSO auf macOS authentifiziert, indem ein Safari-Fenster geöffnet wird, um Sitzungsinformationen zu erhalten. Dies funktioniert mit Login, Passwort und OTP, aber der eingebettete Safari-Browser unterstützt FIDO2 nicht. Wir konnten keine direkte Lösung finden, und da wir in erster Linie Apple-Laptops im Unternehmen nutzen, mussten wir Workarounds einbauen: Beispielsweise haben wir den Authentifizierungsprozess für unseren F5BigIP VPN-Client komplett überarbeitet.
Die wichtigsten Erkenntnisse des ersten Schritts: Erst müssen die Voraussetzungen geprüft werden, ob alle kritischen Systeme (VPN, SSO, SaaS, Cloud-Anbieter, On-Premise, Desktop-Anwendungen und Kombinationen davon) den FIDO2-Standard unterstützen. FIDO2 kann das Passwort in SSO-Systemen noch nicht vollständig ersetzen. Es gibt immer noch Systeme, in denen Sicherheitsschlüssel nicht gut funktionieren, meist aufgrund mangelnder Unterstützung für die Web-Authentifizierung. Daher muss bedacht werden, wie Legacy-Dienste und -Anwendungen authentifiziert werden, die FIDO2 nicht unterstützen. Viele Unternehmen entwickeln Lösungen für diese Probleme: Okta hat zum Beispiel FastPass entwickelt, das wir für native Anwendungen nutzen wollen.
Der zweite Schritt: Trials
Ungefähr einen Monat vor der großen Einführung sollten Alpha-Tests mit kleinen Gruppen von Teammitgliedern gestartet werden. Bevor wir mit den Tests begannen, hatten wir bereits eine erste Dokumentation erstellt, also die wichtigsten Fragen und Anworten erarbeitet und YubiKey-Einrichtungsanleitungen zur Verfügung gestellt. Testläufe helfen dabei, die Dokumentation zu erweitern und Engpässe sowie Unklarheiten zu identifizieren.
Während der Tests haben wir wichtige Fallstricke aufgedeckt: Zum Beispiel kombinieren YubiKeys mehrere Sicherheitsschnittstellen. Eine davon funktioniert als OTP unter Verwendung eines virtuellen Tastaturtreibers; sie liefert eine zeitbasiert generierte Zeichenfolge wie "ccccccril....", gefolgt von der Eingabetaste.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Wenn man jedoch beim Schreiben auf Slack versehentlich die Kontaktplatte der Taste berührt, kann es passieren, dass man diese zufällige Textzeichenfolge plötzlich an Hunderte von Mitarbeitenden sendet. Zum Glück haben wir herausgefunden, wie man dieses Verhalten abstellen kann.
Die wichtigsten Erkenntnisse des zweiten Schritts: Testläufe sind ein wichtiges Mittel, um Feedback zu erhalten und die Benutzerfreundlichkeit zu verbessern. Die Lösung und die Handbücher müssen getestet werden, um zu sehen, wie sie mit den Geschäftsprozessen der Mitarbeitenden funktionieren.
Der dritte Schritt: Rollout
Die Herausforderung beim Rollout von Sicherheitsschlüsseln besteht darin, dass dies nicht automatisch oder programmatisch erfolgen kann. Jedes Teammitglied muss die Schlüssel selbst einrichten. Bei Grammarly haben wir dieses Problem auf verschiedene Weise gelöst: FIDO2 wurde zu einem erforderlichen Authentifikator in Okta, so dass die Nutzenden ihre biometrische Authentifizierung (TouchID) einrichten mussten. Sobald ein Teammitglied eine Möglichkeit hatte, die YubiKeys zu erhalten, starteten wir einen vom IT-Team entwickelten Slack-Bot, um den Rollout zu überwachen. Wenn sie die YubiKeys nicht einrichteten, wurden sie einmal pro Woche direkt vom Bot erinnert. Simultan sammelten wir automatisch Statistiken über die Adoptionsrate und sendeten Benachrichtigungen über unseren Bot an die Führungskräfte von denjenigen, die die Schlüssel noch nicht eingerichtet hatten. Abschließend schaltete eine spezielle Automatisierung alle Faktoren außer FIDO2 aus, wenn ein Teammitglied mindestens einen Sicherheitsschlüssel registriert hatte.
Die wichtigsten Erkenntnisse des dritten Schritts: Um die Einführung zu beschleunigen, ohne die tägliche Arbeit zu beeinträchtigen, sollten die anderen Optionen so schnell wie möglich ausgeschaltet werden. Mithilfe von automatisierten Benachrichtigungen (Bot) wird die Zielgruppe an die Fristen der Implementierung erinnert. Dadurch muss das IT-Team nicht manuell Kolleg:innen anschreiben. Die Kommunikation ist einer der wichtigsten Bestandteile einer FIDO2-Einführung: Alle Mitarbeitenden müssen über die neuen Initiativen informiert werden und verstehen, warum bestehende Prozess geändert werden. Auch die Vorteile das für das Unternehmen müssen erläutert werden für die maximale Akzeptanz.
Der vierte Schritt: Logistik
Grammarly hat 2021 das hybride Remote-First-Arbeitsmodell eingeführt. Das kommt Mitarbeitenden in vielerlei Hinsicht zugute. Für das IT-Team bedeutet das jedoch eine logistische Herausforderung bei der Bereitstellung von YubiKeys in mehreren Ländern. Für neue Teammitglieder wird die Bulk-Upload-Funktion des Yubico-Unternehmensportals genutzt, um ihre YubiKeys zusammen mit ihren Laptops zu liefern. Für bestehende Teammitglieder wird ein Selbstbedienungsmodell verwendet, das es ihnen ermöglicht, Sicherheitsschlüssel bei regionalen Yubico-Händlern zu bestellen oder sie in einem der fünf Grammarly-Hubs abzuholen.
Die wichtigsten Erkenntnisse des finalen Schritts: Verantwortliche müssen sich auf die logistischen Herausforderungen einstellen und frühzeitig planen. Das bedeutet zu verstehen, wie mit verloren gegangenen Paketen umgangen werden soll. Außerdem muss ihnen bewusst sein, dass das regionale Händlernetz von Yubico die Schlüssel nicht überall vor Ort zur Verfügung stellen kann.
Vorausschauend geplant wäre die Optimierung der Logistik von Vorteil. Es müsste eine Selbstbedienungslösung angeboten werden, mit der Teammitglieder schnell neue Schlüssel erhalten und alte ungültig machen können, wenn diese verloren gegangen sind – am besten mit zwei Klicks.
Über die Autor:іnnen: Vika Basarab ist Technical Program Managerin bei Grammarly und Igor Maxuk ist Systemingenieur bei Grammarly.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/b2/1e/b21e33c5b5f2de90d33d49430cedcfe5/0126283121v2.jpeg "privacyIDEA ist eine flexible Open-Source-Plattform für Multi-Faktor-Authentifizierung, die verschiedenste Token-Typen unterstützt, zentral verwaltet wird und sich nahtlos in bestehende IT-Systeme integrieren lässt. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")