Veränderungen am Login bei mittwald

Für ein sicheres Login-Verfahren bei mittwald nutzen wir verschiedene Sicherheitsmaßnahmen: die Zwei-Faktor-Authentifizierung oder den E-Mail Code. In den folgenden FAQs beantworten wir die häufigsten Fragen zu den Sicherheitsmaßnahmen.

  1. Fragen zur Zwei-Faktor-Authentifizierung
    1. Was ist Zwei-Faktor-Authentifizierung?
    2. Wie richte ich die Zwei-Faktor-Authentifizierung ein?
    3. Welche Apps kann ich für die Zwei-Faktor-Authentifizierung nutzen?
    4. Wie oft muss ich den Code eingeben?
    5. Warum aktiviert ihr nicht einfach Zwei-Faktor-Authentifizierung für alle?
  2. Fragen zum E-Mail-Code
    1. Was unterscheidet den E-Mail-Code von der Zwei-Faktor-Authentifizierung?
    2. Ich habe eine E-Mail erhalten und weiß nicht, wer sich einloggen wollte. Was kann ich tun?
    3. Kann ich von der Code-Eingabe befreit werden? Ich möchte keinen Code eingeben.
    4. Was ist ein neues Gerät? Ich habe meinen Laptop schon sehr lange!
    5. Warum erhalte ich beim Login keine E-Mail?
    6. Wo kann man sich mit den mittwald Kundencenter-Zugangsdaten anmelden?
    7. Was sind Cookies?
    8. Wie kann ich erkennen, ob eine E-Mail wirklich von mittwald kommt?
    9. Warum erhalte ich beim Login jetzt einen Code per E-Mail?
    10. Welche Logins/Benutzernamen müssen einen E-Mail-Code eingeben?
    11. Wie oft muss ich einen Code eingeben?
    12. Kann ich eine Liste aller meiner Geräte einsehen?
    13. Könnt ihr mir den Code auch per SMS zuschicken?
    14. An welche E-Mail-Adresse wird der Code geschickt?
    15. Ich bekomme bei jedem Login eine E-Mail. Warum?
    16. Mein Code funktioniert nicht. Was muss ich tun?
    17. Ich empfange keine E-Mails von euch, weil ich keinen Zugriff mehr auf meine E-Mail-Adresse habe. Wie kann ich mich einloggen?
    18. Ich habe ein Gerät verloren. Was muss ich tun?
    19. Ich benutze ein Gerät nicht mehr. Was muss ich tun?
    20. Gibt es Sicherheitsrisiken, wenn ich ein öffentliches oder geteiltes Gerät nutze?

Fragen zur Zwei-Faktor-Authentifizierung

Was ist Zwei-Faktor-Authentifizierung?

Bei einer Zwei-Faktor-Authentifizierung gibt es einen zusätzlichen Schritt beim Login: Man muss nicht nur nachweisen, dass man etwas weiß (Passwort), sondern auch etwas besitzt (Handy mit Code-Generator). 

Ein Login ist nur möglich, wenn beide Faktoren (Wissen + Besitz) vorhanden sind. 

Dadurch werden Logins mit nur einem Faktor verhindert. Es reicht nicht aus, ein Passwort zu erraten. Man muss außerdem das Handy mit Code-Generator besitzen. 

Dadurch werden bspw. Phishing-Angriffe deutlich erschwert. 

Wie richte ich die Zwei-Faktor-Authentifizierung ein?

Das liest du hier.

Welche Apps kann ich für die Zwei-Faktor-Authentifizierung nutzen?

Für die Generierung der Codes benötigst du eine App, die das TOTP-Verfahren unterstützt. Es gibt eine Vielzahl an Apps dafür – darunter befinden sich auch Open-Source-Apps. Beispielsweise kannst du folgende Apps nutzen:

Android

 

Apple

Systemübergreifend 

Viele Passwortmanager unterstützen die Generierung von TOTP-Codes. Wenn du deinen Passwortmanager sicher und selbst bei mittwald hosten möchtest, haben wir hier eine Anleitung für dich.  
Möchtest du das nicht, so haben wir bspw. mit Bitwarden gute Erfahrungen gemacht. 

Wie oft muss ich den Code eingeben?

Hast du die Zwei-Faktor-Authentifizierung aktiviert, ist die Code-Eingabe bei jedem Login notwendig. Das bietet die größte Sicherheit. 

Warum aktiviert ihr nicht einfach Zwei-Faktor-Authentifizierung für alle?

Zwei-Faktor-Authentifizierung per TOTP lässt sich nur durch Mitwirkung unserer Kund*innen einrichten. Das stellt sich für einige als Hürde dar, weshalb wir es nicht verpflichtend einsetzen. 

Fragen zum E-Mail-Code

Was unterscheidet den E-Mail-Code von der Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung ist grundsätzlich als sicherer einzustufen. 

Grund: Der E-Mail-Code wird unverschlüsselt per E-Mail übertragen. Die E-Mails lassen sich leider nicht verschlüsseln, da dies vom Empfänger unterstützt werden muss. Das können wir nicht voraussetzen. 

Der E-Mail-Code muss nur einmalig eingegeben werden. Das Gerät wird damit eindeutig per Cookie markiert. Der Zwei-Faktor-Code hingegen muss bei jedem Login eingegeben werden. 

Ich habe eine E-Mail erhalten und weiß nicht, wer sich einloggen wollte. Was kann ich tun?

Wir empfehlen dir dringend, dein Passwort zu ändern. 

In diesem Fall liegen einem Unbekannten deine Zugangsdaten vor. Möglicherweise bist du Opfer eines Phishing-Angriffs geworden oder ein*e ehemalige*r Mitarbeiter*in kennt deine Zugangsdaten. 

Zusätzliche Sicherheit gewinnst du, wenn du die Zwei-Faktor-Authentifizierung einrichtest. Wie das geht, liest du hier.

Kann ich von der Code-Eingabe befreit werden? Ich möchte keinen Code eingeben.

Eine komplette Befreiung von der Code-Eingabe ist nicht vorgesehen. Du kannst dich entscheiden: 

  • E-Mail-Code (einmalig pro Gerät) oder 
  • Zwei-Faktor-Authentifizierung (bei jedem Login). 

Wenn keine der Alternativen für dich funktioniert, melde dich gerne beim Kundenservice. Dann schaffen wir gemeinsam einen sicheren Login für dich.

Was ist ein neues Gerät? Ich habe meinen Laptop schon sehr lange!

Wenn du einen Code per E-Mail erhältst, ist die Eingabe nur beim ersten Login von einem neuen Gerät notwendig. Alle weiteren Logins sind ohne E-Mail-Code möglich. Löschst du die Cookies auf deinem Gerät, ist es erneut notwendig, den E-Mail-Code einzugeben. 

Als neues Gerät bezeichnen wir alle Geräte, die sich in letzter Zeit nicht im Kundencenter eingeloggt haben. 

Das erkennen wir, indem wir im Browser einen eindeutigen Cookie speichern (technisch notwendig). Wenn du deine Cookies löschst oder einen anderen Browser nutzt, musst du den E-Mail-Code beim Login erneut eingeben. 

Warum erhalte ich beim Login keine E-Mail?

Das kann verschiedene Gründe haben: 

  1. Du hast bereits die Zwei-Faktor-Authentifizierung aktiviert. Dann wirst du beim Login nach einem Code gefragt, den du per App selbst generieren kannst. 
  2. Du hast dich mit dem Gerät schon einmal eingeloggt. Der E-Mail-Code muss nur einmal pro Gerät eingegeben werden. 
  3. Es gibt ein Problem bei der E-Mail-Zustellung. Bitte wende dich in diesem Fall an unseren Kundenservice. Wir finden gemeinsam eine Lösung. 

Wo kann man sich mit den mittwald Kundencenter-Zugangsdaten anmelden?

Der Login ins mStudio ist von dieser Änderung nicht betroffen. Es handelt sich dabei um ein vollständig getrenntes System. 

Was sind Cookies?

In einem Cookie können wir eine winzige Datenmenge auf deinem Gerät ablegen. Darüber können wir später dein Gerät eindeutig identifizieren. Diese Cookies sind technisch notwendig, um sich in unserem Kundencenter einloggen zu können. 

Du kannst die Cookies in deinem Browser jederzeit löschen. Dann ist eine erneute Eingabe des E-Mail-Codes erforderlich. 

Wie kann ich erkennen, ob eine E-Mail wirklich von mittwald kommt?

Allgemeine Informationen zur Erkennung von Phishing-E-Mails erhältst du auf den Seiten vom BSI zum Thema Phishing

Achte bei den E-Mails darauf, dass sie deine korrekten persönlichen Daten enthalten (z. B. Anrede, Kundennummer). Weiterhin versenden wir unsere E-Mails immer mit einer @mittwald.de-E-Mail-Adresse (korrekte Schreibweise beachten). 

Mit Ausnahme des Newsletters sollten in der Nachricht enthaltene Links immer mit https://(www.)mittwald.de/ beginnen. Prüfe das, bevor du die Links anklickst. Im Zweifel melde dich jederzeit bei uns, dann unterstützen wir dich. 

Warum erhalte ich beim Login jetzt einen Code per E-Mail?

In den letzten Jahren gab es immer wieder erfolgreiche Phishing-Angriffe auf unsere Kund*innen, teilweise auch mit erheblichem Schaden. Dabei haben Kund*innen versehentlich ihre Zugangsdaten an Angreifer*innen weitergegeben. 

Zum Schutz davor haben wir die Zwei-Faktor-Authentifizierung eingeführt. Dabei wird der zum Login benötigte Code in der Regel per App generiert. Das wird bereits gut angenommen. Aktuell wird dieses Feature vor allem von sicherheitsbewussten Kund*innen genutzt. Diese sind vermutlich seltener Opfer von Phishing-Attacken. 

Um auch alle anderen Kund*innen vor solchen Angriffen zu schützen, gibt es ebenso die Eingabe des E-Mail-Codes.

Welche Logins/Benutzernamen müssen einen E-Mail-Code eingeben?

Einen E-Mail-Code musst du beim Login mit deiner Kundennummer (6 Ziffern, z. B. 123456), deiner Server-Nummer (erkennbar am “r” am Anfang, z. B. r12345) oder deinem Webhosting-Paket (p123456) eingeben. 

Der E-Mail-Code muss nur beim ersten Login von einem neuen Gerät eingegeben werden. 

Logins mit einem Projekt auf deinem Server (z. B. p123456 auf r12345), Datenbank-User (z. B. p123456d1), FTP-User (p123456f1) oder E-Mail-Adressen sind nicht von dieser Änderung betroffen. Diese können sich wie gewohnt einloggen. Auch beim Webmailer ist kein Code notwendig.

Wie oft muss ich einen Code eingeben?

Die Eingabe ist nur beim ersten Login von einem neuen Gerät notwendig. Löschst du die Cookies auf deinem Gerät, ist es erneut notwendig, den Code einzugeben. 

Hast du die Zwei-Faktor-Authentifizierung aktiviert, ist die Code-Eingabe bei jedem Login notwendig. Das ist die sicherste Variante. Wir empfehlen, diese Einstellung zu aktivieren. Wie das geht, liest du hier. 

Kann ich eine Liste aller meiner Geräte einsehen?

Nein, das ist leider nicht möglich. Gerne löschen wir bei Bedarf alle Geräte einer Kundennummer. Melde dich dafür beim Kundenservice.

Könnt ihr mir den Code auch per SMS zuschicken?

Nein, SMS ist kein sicheres Kommunikationsmittel und ist darum nicht zum Versand sicherheitsrelevanter Informationen geeignet.

An welche E-Mail-Adresse wird der Code geschickt?

Wir schicken den E-Mail-Code an die E-Mail-Adresse unseres Vertragspartners. Diese E-Mail-Adresse kannst du im Kundencenter im Menü unter Vertragsdaten > Meine Vertragsdaten > Vertragspartner einsehen und ändern.

Ich bekomme bei jedem Login eine E-Mail. Warum?

Vermutlich löscht dein Browser regelmäßig deine Cookies (z. B. beim Schließen des Browsers). Bitte prüfe deine Einstellungen.

Mein Code funktioniert nicht. Was muss ich tun?

Die E-Mail-Codes sind nur für 30 Minuten gültig. Starte einen neuen Login, dann schicken wir dir einen neuen E-Mail-Code zu.

Ich empfange keine E-Mails von euch, weil ich keinen Zugriff mehr auf meine E-Mail-Adresse habe. Wie kann ich mich einloggen?

Bitte melde dich in diesem Fall bei unserem Kundenservice. Wir finden eine individuelle Lösung. 
Bitte halte deine 6-stellige Kundennummer bereit. Du findest sie auf unseren Rechnungen. 

Ich habe ein Gerät verloren. Was muss ich tun?

Eine akute Gefahr besteht, wenn dein Gerät nicht mit einer Display-Sperre/einem Passwort geschützt ist und der Angreifer auf deine Zugangsdaten zugreifen kann (z.B., weil sie im Browser gespeichert sind). 

Bitte melde dich in diesem Fall bei unserem Kundenservice. Wir können deine Geräte dann löschen.

Ich benutze ein Gerät nicht mehr. Was muss ich tun?

Wir vergessen dein Gerät spätestens nach einem Jahr. Wenn du schon früher sicherstellen möchtest, dass das Gerät sich nicht mehr einloggen kann, lösche die Cookies für die Domain login.mittwald.de.

Gibt es Sicherheitsrisiken, wenn ich ein öffentliches oder geteiltes Gerät nutze?

Beachte, dass es bei der Nutzung von geteilten oder öffentlichen Geräten generell große Sicherheitsrisiken gibt (z. B. durch Keylogger o.ä.). 

Bitte logge dich nach der Nutzung aus und lösche immer die Cookies auf dem Gerät. So profitierst du vom Schutz durch den E-Mail-Code. 

Besser ist, wenn du die Zwei-Faktor-Authentifizierung aktivierst. Wie das geht, liest du hier.