zurück

Gemeinsam sicher: Einführung verpflichtender Einsatz von Zwei-Faktor-Authentisierung (2FA) an der TU Darmstadt

Aktivieren Sie jetzt 2FA für Ihre TU-ID bis zum Jahreswechsel 2025/2026

15.09.2025

Die TU Darmstadt schützt Ihre Daten und unsere digitale Infrastruktur: Bis Ende 2025 ist 2FA für alle von außen erreichbaren Systeme verpflichtend. Erfahren Sie, wie einfach Sie Ihre TU-ID absichern und warum der zusätzliche Faktor Ihre Sicherheit deutlich erhöht.

Die TU Darmstadt setzt sich für den Schutz Ihrer persönlichen Daten und unserer digitalen Infrastruktur ein. Daher wird die Einführung von 2FA bis Ende 2025 verpflichtend an der TU Darmstadt für alle aus dem Internet erreichbaren Systeme. Diese Maßnahme ist eine den Sicherheitsanforderungen entsprechende Vorgabe der zentralen Informationssicherheit der TU Darmstadt (InfoSec) und entspricht den Forderungen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) sowie des Hochschulrates. Das Hochschulrechenzentrum (HRZ) führt die Maßnahme gemeinsam mit InfoSec durch.

Das Ziel ist, alle Dienste der TU Darmstadt, die aus dem Internet erreichbar sind, künftig mit 2FA zu schützen – anfänglich wird es noch einige wenige begründete Ausnahmen, wie bspw. den Zugang zu den E-Mail-Systemen, geben. Grundsätzlich werden Dienste ohne direkte 2FA-Unterstützung durch VPN-Zugänge oder gesonderte Sicherheitsmaßnahmen abgesichert.

Ab sofort sind alle Mitglieder der TU Darmstadt dazu aufgefordert, die Zwei-Faktor-Authentisierung für ihre zentralen Universitätsaccounts (TU-ID) einzurichten. Die Implementierung ist einfach und trägt maßgeblich dazu bei, Ihre Daten sowie die digitale Infrastruktur der Universität vor Angriffen zu schützen.

Die Zwei-Faktor-Authentisierung (auch Multi-Faktor-Authentisierung, MFA, genannt) bedeutet, dass beim Zugriff auf ein System oder einen Dienst zwei unterschiedliche und voneinander unabhängige Komponenten („Faktoren“) zur Verifizierung Ihrer Identität verwendet werden.

Beispiele für Faktoren:

  • Wissen: Passwort oder PIN
  • Besitz: Sicherheitstoken, Smartphone-App oder Chipkarte
  • Sein: Biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung
  • Ort: Aktueller Aufenthaltsort (z.B. anhand von IP-Adressen)

Typische Szenarien sind z.B. Bankkarten mit PIN am Geldautomaten oder der Passphrase und die Transaktionsnummer (TAN) beim bei Online-Banking.

Der Schutz der zentralen Dienste der TU Darmstadt erfolgt mittels Aktivierung von 2FA für die TU-ID. Damit sind alle Dienste, die über den zentralen Single Sing-on (SSO) der TU Darmstadt angebunden sind, geschützt.

Passwörter allein bieten bei der heutigen Bedrohungslage keinen ausreichenden Schutz mehr. Selbst das stärkste Passwort kann durch Phishing, Datenlecks oder Brute-Force-Angriffe kompromittiert werden. Durch die Ergänzung eines zweiten Faktors wird die Sicherheit deutlich erhöht: Selbst, wenn jemand Ihr Passwort kennt, benötigt er noch den zweiten Nachweis – etwa Ihr Smartphone oder Ihren Fingerabdruck.

Auf unseren Webseiten finden Sie Anleitungen und Empfehlungen zur Einrichtung und Nutzung der 2FA. Hier geht’s zu den Anleitungen

Wir bitten alle Beschäftigten und Studierenden, sich zeitnah mit der Einrichtung von 2FA vertraut zu machen und nicht erst kurzfristig vor dem Ende der Übergangszeit zum Jahreswechsel. Wenn Sie Fragen haben oder Hilfe benötigen, steht Ihnen der HRZ Service gerne zur Verfügung.

Hinweise

Für dezentrale IT-Administratoren

Dezentral betriebene Dienste sind in der Regel durch eine Anbindung an den zentralen SSO geschützt. Betreiben Sie eigene Authentisierungsmechanismen, liegt es in Ihrer Verantwortung, 2FA an dem jeweiligen Authentisierungsmechanismus zu aktivieren. Grundsätzlich ist die Anbindung an den zentralen SSO der empfohlene Weg.

Zugriff auf nicht mit 2FA abgesicherte Systeme darf nur mittels VPN-Zugang erfolgen – für VPN-Zugänge ist 2FA ab Jahresende ebenfalls vorgeschrieben.

Für HRZ-gemanagte Rechner

Für Beschäftigte mit gemanagten Rechnern ist ein zweiter vom Rechner unabhängiger Token zwingend erforderlich, um sich weiterhin über „VPN before Log-in“ anmelden zu können und auch im Falle eines Geräteverlusts oder Wechsels weiterhin Zugriff zu behalten. Empfehlungen zu den zur Verfügung stehenden Token finden Sie ebenfalls auf der Anleitungswebseite.