📖 Artikel in der Hilfe anzeigen

Add-On: Zwei-Faktor-Authentifizierung Backend

Verfügbar ab Version 8.28.0

Die Zwei-Faktor-Authentifizierung für das Backend ist ein Modul und erhöht die Sicherheit der Kontos, indem beim Login neben dem Passwort ein zusätzlicher Sicherheitscode abgefragt wird. Dadurch wird das Konto des Benutzers auch dann geschützt, wenn das Passwort in falsche Hände geraten sollte.

Was ist die Zwei-Faktor-Authentifizierung?

Bei aktivierter Zwei-Faktor-Authentifizierung benötigen Sie zur Anmeldung:

  • Ihr Passwort

  • einen Einmal-Code aus einer Authenticator-App
    (z. B. Google Authenticator, Microsoft Authenticator oder Authy)

Alternativ kann ein Wiederherstellungscode verwendet werden, falls das Smartphone nicht verfügbar ist.

Der Admin-Login lässt sich pro Mandant zusätzlich mit einer Zwei-Faktor-Authentifizierung absichern. Beim Login geben Benutzer dann nicht nur Benutzername und Passwort ein, sondern zusätzlich einen zeitbasierten 6-stelligen Code aus einer Authenticator-App.

Die Zwei-Faktor-Authentifizierung Backend konfigurieren

  1. Im Adminbereich unter Einstellungen → Allgemein anmelden.

  2. Die Option „Zwei-Faktor-Authentifizierung aktivieren" auf Ja stellen.
    Dies ist der Master-Schalter — solange diese Option auf Nein steht, ist das Feature für den Mandanten komplett deaktiviert (auch wenn das Modul aktiviert ist).

  3. Optional: Die Option „Zwei-Faktor-Authentifizierung verpflichtend für alle Backend-Benutzer" auf Ja stellen, wenn alle Benutzer 2FA einrichten müssen. Andernfalls ist 2FA freiwillig — Benutzer können selbst entscheiden, ob sie es einrichten.

  4. Speichern.

Enabled

Required

Verhalten

Nein

(egal)

2FA komplett deaktiviert. Kein Setup, kein Login-Check.

Ja

Nein

2FA optional. Benutzer können sich freiwillig einrichten.

Ja

Ja

2FA verpflichtend. Alle Benutzer werden beim nächsten Login zur Einrichtung gezwungen.

Hinweis: Wenn das Modul für einen Mandanten erstmals freigeschaltet wird, ist die Funktion standardmäßig deaktiviert. Der Kunde muss sie aktiv einschalten.


2FA im Backend als Benutzer einrichten

Bei der ersten Anmeldung nach Aktivierung wird der Benutzer automatisch auf die Einrichtungsseite (Meine Daten) umgeleitet. Eine Nutzung anderer Sitemanager-Funktionen ist erst nach abgeschlossener Einrichtung möglich.

Schritt für Schritt

  1. Authenticator-App installieren (falls noch nicht vorhanden), z. B.:

    • Google Authenticator (Android/iOS)

    • Microsoft Authenticator (Android/iOS)

    • Authy (alle Plattformen)

    • 1Password / Bitwarden (mit TOTP-Funktion)

  2. QR-Code scannen: Die Einrichtungsseite zeigt einen QR-Code an. Diesen mit der Authenticator-App scannen.

    • Alternativ kann das daneben angezeigte Secret manuell in die App eingetippt werden.

  3. Bestätigungs-Code eingeben: Den aktuell in der App angezeigten 6-stelligen Code in das Bestätigungsfeld eintragen und absenden. Der Code wechselt alle 30 Sekunden.

  4. Wiederherstellungs-Codes sichern: Nach erfolgreicher Bestätigung werden einmalig Wiederherstellungs-Codes angezeigt. Diese

    • ausdrucken oder in einem Passwort-Manager speichern,

    • nicht im selben Gerät ablegen, auf dem die Authenticator-App läuft,

    • werden nicht erneut angezeigt.

Wichtig: Ohne Authenticator-App und ohne Wiederherstellungs-Codes ist eine Anmeldung nicht mehr möglich. In diesem Fall muss ein Administrator den Account zurücksetzen.

Anmeldung mit 2FA im Backend

  1. Wie gewohnt Benutzername und Passwort eingeben.

  2. Nach erfolgreicher Passwortprüfung erscheint eine zweite Seite, die nach dem 6-stelligen Code aus der Authenticator-App fragt.

  3. Code eingeben und bestätigen.

Die Sitzung gilt erst nach erfolgreicher 2FA-Verifizierung als angemeldet.

Anmeldung mit Wiederherstellungs-Code

Wenn die Authenticator-App nicht verfügbar ist (z. B. Smartphone verloren):

  1. Auf der 2FA-Eingabeseite einen der Wiederherstellungs-Codes anstelle des 6-stelligen Codes eingeben.

  2. Jeder Wiederherstellungs-Code ist nur einmal gültig und wird nach Verwendung verbraucht.

  3. Nach dem Login sollte das 2FA umgehend zurückgesetzt und neu eingerichtet werden, damit wieder ausreichend Wiederherstellungs-Codes vorhanden sind.

2FA im Backend zurücksetzen / neu einrichten

Selbst (eigener Account)

Über Meine Daten kann das 2FA neu eingerichtet werden (z. B. nach Wechsel des Smartphones). Dabei wird ein neues Secret erzeugt und neue Wiederherstellungs-Codes ausgegeben.

Durch einen anderen Administrator

Wenn ein Benutzer ausgesperrt ist (kein Zugriff auf App und keine Wiederherstellungs-Codes mehr):

  1. Ein anderer Administrator mit dem Recht 141 (Benutzerverwaltung) öffnet clients.user.do.php.

  2. Den betroffenen Benutzer auswählen und das 2FA zurücksetzen.

  3. Der Benutzer muss sich anschließend bei der nächsten Anmeldung neu einrichten.

FAQ

Mein Code wird abgelehnt, obwohl ich ihn richtig eingegeben habe.
Die TOTP-Codes hängen von der korrekten Uhrzeit ab. Stellen Sie sicher, dass die Systemzeit auf dem Smartphone automatisch synchronisiert wird. Eine Abweichung von mehr als ca. 30 Sekunden kann dazu führen, dass der Code als ungültig erkannt wird.

Kann ich 2FA freiwillig deaktivieren?
Nein — solange für den Mandanten „Zwei-Faktor-Authentifizierung verpflichtend" aktiv ist, ist 2FA für alle Backend-Benutzer verpflichtend. Wenn nur „Zwei-Faktor-Authentifizierung aktivieren" gesetzt ist (ohne „verpflichtend"), kann jeder Benutzer selbst entscheiden, ob er 2FA einrichtet.

Gilt 2FA auch für API-/AJAX-Aufrufe?
Der Force-Setup-Redirect greift bei normalen Seitenaufrufen, nicht bei AJAX. Eine Anmeldung selbst (also das Erzeugen einer neuen Session) ist jedoch in jedem Fall nur mit erfolgreicher 2FA-Prüfung möglich.

Was passiert, wenn ich mein Smartphone und meine Wiederherstellungs-Codes verloren habe?
Wenden Sie sich an einen anderen Administrator Ihres Mandanten — dieser kann das 2FA über die Benutzerverwaltung zurücksetzen.