Doppelte App-Absicherung gegen ungewollte Zugriffe, Teil 2Implementierung der Zwei-Faktor-Authentifizierung
Ein Gastbeitrag von
Dr. Veikko Krypczyk
4 min Lesedauer
Die 2FA verursacht bei der Umsetzung, der Implementierung, einen größeren Aufwand als eine einfache Berechtigungsprüfung. Doch aus Sicherheits- und Compliance-Gründen lohnt sich der Mehraufwand.
Die vollständige Eigen-Implementierung eines Fingerabdruck-Scans ist sehr aufwändig.
Wer eine Zwei-Faktor-Authentifizierung (2FA) umsetzen möchte, muss für beide Faktoren eine entsprechende Logik programmieren und konfigurieren. Auch im laufenden Betrieb ergeben sich für die IT-Administration neue Herausforderungen und Aufgaben.
2FA mit Benutzername/Passwort und Fingerabdruck.
(Bild: Krypczyk)
Beide Zugangsfaktoren müssen für die Nutzer eingerichtet und administriert werden. Der Workflow der 2FA ist am Beispiel der Nutzung von Benutzername/ Passwort (Faktor 1) und der Nutzung des Fingerabdrucksensors auf dem Smartphone (Faktor 2) in der Abbildung vorne dargestellt.
Eine vollständige manuelle Implementierung einer 2FA ist aufwändig. Dabei müssen mehrere Probleme gelöst werden:
Verwaltung der Benutzerkonten
Implementierung des Workflows, zur Abfrage und Weiterleitung der Daten für die Authentifizierung
Verifikation der Daten und Abgleich der Berechtigung
Kommunikation mit der Hardware bei Verwendung von biometrischen Sensoren, wie den Fingerabdrucksensor.
Durch die Nutzung von Komponenten und Services kann dieser Aufwand erheblich verringert werden. Für die Nutzung biometrischer Sensordaten werden sehr häufig mobile Geräte verwendet.
Um diesen Service in der eigenen App zu einzusetzen, muss man auf den Prozess und die Daten zugreifen, welche der Benutzer auf dem mobilen Device für die biometrische Authentifizierung eingerichtet hat. Mit anderen Worten: in der App greift man auf den Service zu, welcher unter iOS bzw. Android konfiguriert wurde. Android und iOS implementieren dazu eigene, unterschiedliche APIs (Programmierschnittstellen).
Im Falle einer Entwicklung der mobilen App mit der integrierten Entwicklungsumgebung RAD Studio (Delphi) und dem plattformübergreifenden Grafikframework FireMonkey gibt es für diese Aufgabe eine Komponente, welche den gesamten Zugriff auf die Hardwareinterfaces (API) unabhängig vom Zielsystem erledigt.
Hinweis
RAD Studio ist eine integrierte Entwicklungsumgebung, die es ermöglicht, mit Hilfe des plattformübergreifenden Grafik-Frameworks FireMonkey Apps für die Zielsysteme Windows, macOS, Linux (Desktop) bzw. Android und iOS (Mobile) zu erstellen. Eine Besonderheit ist die Nutzung des grafischen Designers, mit dessen Hilfe das User Interface gestaltet werden kann. Durch den Compiler werden native Apps für die Zielplattform erstellt, welche direkt auf den Devices ausgeführt werden. Programmiert wird mit der Sprache Delphi, einer modernen Variante von Object Pascal.
In diesem Fall reduziert sich der Aufwand für den Entwickler auf folgende Aufgaben:
Komponente TBiometricAuth in RAD Studio zum aktiven Projekt ergänzt.
(Bild: Embarcadero)
1. Hinzufügen der Komponente zur Anwendung: Das kann in der Delphi IDE sehr einfach im grafischen Designer erledigt werden, indem die Komponente TBiometricAuth auf ein aktives Formular gezogen wird. Es handelt sich um eine nicht visuelle Komponente, deren Eigenschaften zur Entwurfszeit definiert werden. Zur Laufzeit kann auf die Eigenschaften und die Methoden zugegriffen werden (siehe vorne).
2. Schreiben von Quellcode: Es ist zu definieren, welche Aktionen ausgelöst werden soll, wenn die Authentifizierung erfolgreich vorgenommen werden kann bzw. wenn diese fehlschlägt. Dazu werden von der Komponente TBiometricAuth die beiden Ereignisse AuthenticateFail und AuthenticateSuccess bereitgestellt. Im folgenden Beispiel wird sowohl im positiven als auch im negativen Fall eine Message angezeigt. In der Praxis können diese beiden Ereignisse dann zur Auslösung weiterer Vorgänge führen.
procedure TForm1.BiometricAuth1AuthenticateFail(Sender: TObject; const FailReason: TBiometricFailReason; const ResultMessage: string); begin showmessage('Die Authentifizierung ist fehlgeschlagen.'); end;procedure TForm1.BiometricAuth1AuthenticateSuccess(Sender: TObject); begin showmessage('Die Authentifizierung war erfolgreich'); // weitere Methoden auslösen end;
3. Authentifizierung auslösen: Um den Vorgang der Authentifikation auszulösen, verwendet die Komponente das jeweilige API von Android bzw. iOS und nutzt die durch den Anwender eingerichtete Konfiguration. Die aktive Konfiguration entscheidet auch, welcher biometrischer Sensor, d.h. Fingerabdruck oder Gesichtserkennung, verwendet wird. Beispielsweise kann die Authentifikation durch einen Klick auf einen Button ausgelöst werden. Dazu wird lediglich die Methode Authenticate der Komponente aufgerufen:
procedure TForm1.Button1Click(Sender: TObject); begin BiometricAuth1.Authenticate; end;
4. Weitere Services der Komponente (Konfiguration): Mit Hilfe der Komponente kann ebenfalls festgestellt werden, ob auf dem Device ein Authentifikation-Service zur Verfügung steht. Dazu kann die Eigenschaft IsSupported ausgewertet werden. Ist der Service verfügbar, dann ist der Wert true, im anderen Fall ist er false. Ebenso kann die Empfindlichkeit/ Genauigkeit des verwendeten biometrischen Sensors über die Komponente mit Hilfe der Eigenschaft BiometricStrenght eingestellt werden. Wir haben hier die Wahl zwischen den aktiven Einstellungen des Gerätes, einer strengen oder einer weniger strengen Prüfung (siehe dazu obige Anmerkungen zur Fehlerrate).
Mit Hilfe der Komponente können eigene Apps für Android und iOS die Authentifikation mittels biometrischer Sensoren, d.h. Fingerabdruck oder Gesichtserkennung, einfach integrieren. Die aktive Nutzung von biometrischen Sensordaten kann beispielsweise Bestandteil einer 2FA sein und damit die Zugangssicherheit zu Daten uns Services wesentlich erhöhen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Insgesamt ist die Authentifizierung ein wesentlicher Bestandteil der Informationssicherheit und ein unverzichtbares Element, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Ressourcen in einer Softwareumgebung zu gewährleisten. Heutzutage wird die Zwei-Faktor-Authentifizierung sehr häufig angewendet.
Man hat dabei die Wahl zwischen verschiedenen biometrischen Faktoren, wie beispielsweise das Fingerabdruckverfahren. Die Ansteuerung des Sensors, die Datenauswertung und die Verifikation komplett eigenständig zu implementieren ist sehr aufwändig. Nützlich ist der Einsatz von fertigen Komponenten, welche diesen Prozess bei der Implementierung von Apps deutlich vereinfachen und beschleunigen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/96/c3/96c3f0eef0140714a3397057a1ac1bb4/0129321130v2.jpeg "Die Werkstatt Bremen betreut als Dienstleister die Computertechnik der Beweisstückstelle der Polizei. Glücklicherweise hat der Ransomware-Angriff keine Auswirkungen auf die reguläre Arbeit der Polizei. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/bb/c8bbb90768f2d69adb08e0d58bb90645/0128934085v1.jpeg "Beim DNS-Tunneling wird legitimer Namensauflösungsverkehr genutzt, um Daten verdeckt durch bestehende Netzwerkverbindungen zu übertragen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7c/51/7c51f12b88847cbe6b67250785911120/0129310016v2.jpeg "Cybersecurity zog sich als roter Faden durch Debatten über KI, Robotik, den Schutz verteilter IoT-Endpunkte und kritischer Infrastrukturen – sowohl auf den Bühnen des WebSummit 2025 in Lissabon, als auch hinter den Kulissen. (Bild: Web Summit)")
:quality(80)/p7i.vogel.de/wcms/4f/74/4f74da1ef2b573b35e8193c1279bfa5e/0129308675v1.jpeg "Tool-Silos und Schatten-KI machen Unternehmen 2026 haftbar – NIS-2, DORA und CRA fordern Konsolidierung, Identitätsmanagement und Enterprise-Browser für Compliance. (Bild: © DAYA-DAKSH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/0b/330b92560794343f3b2e72a6c0201cfe/0129212056v2.jpeg "Ivanti Endpoint Manager Mobile ist erneut unter Beschuss: Zwei Zero-Day-Sicherheitslücken sollten sofort gepatcht werden. (Bild: Ar_TH - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/fd/64fd8544c5bdcae13f66e439f609d03f/0128874380v1.jpeg "Anwendungen, die auf asymmetrischer Kryptografie basieren, müssen auf Post-Quanten-Kryptografie-Verfahren umgestellt werden. (Bild: Achelos GmbH/ Canva)")
:quality(80)/p7i.vogel.de/wcms/d8/3f/d83fb3f1382c7a4597fac1bfcfc5087b/0129166059v2.jpeg "Nach diversen Spionage-Aktivitäten gegen WhatsApp-Nutzer führt der Anbieter mit den „strengen Kontoeinstellungen“ neue Sicherheitsfunktionen ein. (Bild: © ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/d8/46/d8461a6f3d03070ca78af2eeb81aa7a0/0129133031v2.jpeg "Bei einem Cyberangriff auf die Stadt Schorndorf wurden mutmaßlich Anmeldedaten der „Forscherfabrik Schorndorf“ gestohlen. (Bild: StockUp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/7f/d4/7fd474d367ac3323af07a7d316314348/0125924474v1.jpeg "Mit der Nextcloud-App „Passwords“ lassen sich Kennwörter sicher speichern, verschlüsseln und mit anderen Nutzern teilen – inklusive 2FA, QR-Code-Freigabe und Versionsverlauf. (Bild: © vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/fc/4bfc13816183f34114fbc6d8edaf5fa7/0124821309v2.jpeg "Trotz ihrer Vorteile wirft die Verwendung biometrischer Daten erhebliche Datenschutzbedenken auf. Da biometrische Daten unveränderlich sind, können Verstöße dauerhafte Folgen haben. (Bild: © metamorworks - stock.adobe.com)")