Meine persönliche Meinung (als Techniker und Nicht-Jurist) ist, dass E-Mail kein verlässlicher zweiter Faktor ist.
Der Grund ist banal: wenn das Passwort für LC via E-Mail zurückgesetzt werden kann, und Mail auch als 2FA genutzt wird, dann ist das eben nur ein Faktor.
Wir planen einen "NIS2-Enforcement-Modus", und der umfasst noch ein wenig mehr - u.a. dass Logging via Syslog (an einen Remote-Host) erfolgt.
Was DNS-Änderungen betrifft kann ich mir ein "Opt-In" vorstellen, so dass Privatpersonen die das nicht betrifft, ihre paar DNS-Einstellungen oder Dynamic DNS auch weiterhin ohne 2FA nutzen können (wenngleich 2FA grundsätzlich sinnvoll und empfehlenswert ist).
Meine persönliche Meinung (als Techniker und Nicht-Jurist) ist, dass E-Mail kein verlässlicher zweiter Faktor ist.
Der Grund ist banal: wenn das Passwort für LC via E-Mail zurückgesetzt werden kann, und Mail auch als 2FA genutzt wird, dann ist das eben nur ein Faktor.
Sehe ich auch so. Aber leider sind die Juristen keine Techniker...
Liest sich aber so, als ob es schon einen groben Plan für das Thema gibt.
Dann mache ich in meiner Checkliste mal einen Haken bei "In Planung".
Logging via Syslog - mit einem LC eigenen Dienst oder sowas wie z.B. GrayLog?
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
