INHALTSVERZEICHNIS


1. Was ist die Zwei-Faktor-Authentifizierung?

Die Zwei-Faktor-Authentifizierung (2FA), auch Multi-Faktor-Authentifizierung (MFA) genannt, bietet einen zusätzlichen Schutz für Ihr Planik-Benutzerkonto. Der Anmeldeprozess erfolgt in zwei Schritten:

  • Anmeldung mit E-Mail-Adresse und Passwort. 
  • Eingabe eines 6-stelligen Codes aus einer Authenticator-App auf Ihrem Smartphone. 

Der Code wird:

  • lokal auf dem Gerät via diversen Authentifizierungsapps generiert (keine Internetverbindung erforderlich)
  • alle 30 Sekunden automatisch erneuert
  • nur einmal gültig sein


Vorteil:

Selbst wenn jemand Ihr Passwort kennt, ist ein Login ohne Zugriff auf Ihr Smartphone nicht möglich. Es werden somit zwei Faktoren benötigt: etwas, das Sie wissen (Passwort) und etwas das Sie besitzen (Smartphone).

Als Authenticator-App eignet sich zum Beispiel:

  • 2FAS (empfohlen, kostenlos)
  • Google Authenticator
  • Microsoft Authenticator
  • Authy 

2. Einrichtung auf Organisationsebene


2.1 MFA verpflichtend machen

Planik-Benutzende mit der Rolle "Administrator:in" können die Zwei-Faktor-Authentifizierung für die gesamte Organisation verpflichtend machen, in dem ein Stichtag definiert wird. 


Ab dem Stichtag gilt:

  • Benutzer:innen ohne aktivierte MFA, werden beim nächsten Login automatisch durch die Einrichtung geführt 
  • Ohne abgeschlossene Einrichtung ist kein Zugriff auf Planik möglich 
  • Benutzer:innen, die MFA bereits aktiviert haben, bemerken keine Änderung.
  • Eine Deaktivierung durch Benutzer:innen ist nicht mehr möglich 


Einrichtung:

Aktuell kann diese Einstellung nicht selbst vorgenommen werden.
Bitte wenden Sie sich per E-Mail an support@planik.ch und geben Sie den gewünschten Stichtag an. 


2.2 Übergangsphase vor dem Stichtag

Liegt der Stichtag in der Zukunft, werden Benutzer:innen ohne MFA regelmässig erinnert: 

Hinweis in den Kontoeinstellungen: In den Kontoeinstellungen unter "Sicherheit" der Benutzer erscheint ein Hinweis:

"Ab dem [Datum] wird die Zwei-Faktor-Authentifizierung für Ihre Organisation verpflichtend. Sie können sie bereits jetzt einrichten."

Hinweis nach dem Login (Zwischenseite): Zusätzlich sehen Benutzer:innen nach jedem Login eine Zwischenseite mit der Frage:

"Ab dem [Datum] wird die Zwei-Faktor-Authentifizierung für Ihre Organisation verpflichtend. Möchten Sie diese jetzt einrichten?"

Auf dieser Seite gibt es zwei Möglichkeiten:

  • "Jetzt einrichten" — Die Person wird direkt zur MFA-Einrichtung weitergeleitet. Nach erfolgreicher Einrichtung ist sie sofort eingeloggt, ohne den Code ein zweites Mal eingeben zu müssen.
  • "Später" — Die Person wird direkt eingeloggt und kann Planik normal nutzen. Beim nächsten Login erscheint die Zwischenseite erneut — so lange, bis MFA eingerichtet wurde oder der Stichtag erreicht ist.

So werden Benutzer:innen regelmässig erinnert, ohne blockiert zu werden.


2.3 MFA-Status in der Benutzerliste einsehen

In der Benutzerliste erkennen Administratoren den Status auf einen Blick: 

  • Aktivierte MFA wird durch ein grünes Badge mit Schloss-Symbol angezeigt.
  • So kann man leicht erkennen, welche Benutzer:innen die Einrichtung noch nicht vorgenommen haben.


2.4 MFA für Benutzer:innen zurücksetzen

Falls eine Person keinen Zugriff mehr auf ihre Authenticator-App hat (z.B. bei Handyverlust oder Gerätewechsel), kann ein Planik - Admin die Zwei-Faktor-Authentifizierung für diese Person zurücksetzen.

Vorgehen:

  1. In der Benutzerliste neben dem grünen MFA-Badge das Zurücksetzen-Symbol (offenes Schloss) auswählen.
  2. Die Sicherheitsabfrage "Sind Sie sicher? [Name] muss die Zwei-Faktor-Authentifizierung danach neu einrichten." bestätigen.

Ergebnis:

  1. MFA wird für die betroffene Person deaktiviert
  2. Die betroffene Person erhält eine Benachrichtigungs-E-Mail

Danach:

  • Login wieder mit E-Mail und Passwort möglich 
  • Bei aktivem Obligatorium: erneute Einrichtung beim nächsten Login erforderlich 


2.5 Neue Benutzer:innen einladen (bei aktivem Obligatorium)

Der Prozess läuft wie folgt ab:

  1. Die Person erhält die Einladungs-E-Mail und öffnet den Link
  2. Sie setzt ihr Passwort.
  3. Anschliessend wird sie direkt zur MFA-Einrichtung weitergeleitet — noch bevor sie zum ersten Mal auf Planik zugreifen kann.

Erst nach abgeschlossener Einrichtung ist der Login möglich.

3. Perspektive: Benutzer:in (Web-App)

3.1 MFA freiwillig aktivieren

Auch ohne Obligatorium kann jede:r Benutzer:in die Zwei-Faktor-Authentifizierung freiwillig einrichten, um das eigene Konto besser zu schützen.


Schritt-für-Schritt-Anleitung:

  1. In Planik oben rechts auf den eigenen Namen klicken und "Konto" wählen.

  2. Tab "Sicherheit" wählen.

  3. "Zwei-Faktor-Authentifizierung aktivieren" klicken.

  4. Das aktuelle Passwort bestätigen


Einrichtung:

Schritt 1 — QR-Code scannen:

  • Die Authenticator-App auf dem Smartphone öffnen
  • In der App auf "Konto hinzufügen" oder das Plus-Symbol tippen
  • Den angezeigten QR-Code mit der App scannen oder den Schlüssel manuell eingeben


Schritt 2 — Code eingeben:

  • Die App zeigt nun einen 6-stelligen Code an, der sich alle 30 Sekunden ändert.
  • Diesen Code im Feld "Code" eingeben.
  • Optional: Eine Bezeichnung vergeben, z.B. "2FAS auf meinem Arbeitstelefon"
  • Auf "Verifizieren" klicken.

Geschafft! Die Zwei-Faktor-Authentifizierung ist jetzt aktiv.

Sie erhalten eine Bestätigungs-E-Mail nach erfolgreicher Einrichtung.


3.2 Login mit MFA

  1. E-Mail und Passwort eingeben.
  2. Planik zeigt eine zweite Seite: "Geben Sie den 6-stelligen Code aus Ihrer Authenticator-App ein."
    • Falls man eine Bezeichnung hinterlegt hat, steht dort zum Beispiel: "Geben Sie den Code aus 2FAS auf meinem Arbeitstelefon ein."
  3. Die Authenticator-App auf dem Smartphone öffnen, den aktuellen Code ablesen und eingeben.
  4. Login abgeschlossen.

Häufige Probleme:

  • "Ungültiger Code": Neuen Code abwarten
  • "Code bereits verwendet": Ebenfalls neuen Code verwenden


3.3 Erinnerung vor dem Stichtag

Während der Übergangsphase erscheint nach dem Login eine Erinnerung :

"Ab dem [Datum] wird die Zwei-Faktor-Authentifizierung für Ihre Organisation verpflichtend. Möchten Sie diese jetzt einrichten?"

Folgende Optionen sind möglich:

  • "Jetzt einrichten" — Die Person wird direkt zur MFA-Einrichtung weitergeleitet. Nach erfolgreicher Einrichtung ist sie sofort eingeloggt, ohne den Code ein zweites Mal eingeben zu müssen.
  • "Später" — Die Person wird direkt eingeloggt und kann Planik normal nutzen. Beim nächsten Login erscheint die Zwischenseite erneut — so lange, bis MFA eingerichtet wurde oder der Stichtag erreicht ist.

Diese Zwischenseite wird bei jedem Login angezeigt, bis MFA aktiviert ist oder der Stichtag erreicht wird.


3.4 Verpflichtenden Einrichtung

Ab dem Stichtag ist die Einrichtung zwingend:

  1. E-Mail und Passwort eingeben.

  2. Statt dem normalen Login erscheint die Einrichtungsseite mit dem Hinweis:

    "Ihre Organisation schreibt die Zwei-Faktor-Authentifizierung vor. Bitte richten Sie diese jetzt ein, um sich anmelden zu können."

  3. Die Einrichtung funktioniert genau gleich wie unter "MFA freiwillig aktivieren" beschrieben (QR-Code scannen, Code eingeben).

  4. Erst nach erfolgreicher Einrichtung erhält man Zugang zu Planik.

HINWEIS: Die Einrichtung muss innerhalb von 15 Minuten abgeschlossen werden. Wird dieser Zeitraum überschritten, ist ein erneuter Login erforderlich, um den Prozess neu zu starten. 


3.5 Bezeichnung der Authenticator-App

Im Bereich "Sicherheit" in den Kontoeinstellungen kann die Bezeichnung der genutzten Authenticator-App jederzeit angepasst werden. 

Diese Bezeichnung dient als persönliche Notiz, beispielsweise "2FAS auf meinem Arbeitstelefon" oder "Google Authenticator auf dem iPhone". Sie wird beim Login angezeigt und hilft Ihnen dabei, die richtige Authenticator-App auf dem entsprechenden Gerät zu identifizieren. 



3.6 MFA deaktivieren

Benutzer:innen können die Zwei-Faktor-Authentifizierung unter bestimmten Voraussetzungen eigenständig deaktivieren.

Vorgehen:

  • Im Bereich "Sicherheit" (unter "Konto") auf "Zwei-Faktor-Authentifizierung deaktivieren" klicken.
  • Zur Sicherheit müssen das aktuelle Passwort und ein gültiger Code aus der Authenticator-App eingegeben werden.
  • Nach der Deaktivierung wird eine Bestätigungs-E-Mail verschickt.

HINWEIS: Bei obligatorischer Zwei-Faktor-Authentifizierung auf Organisationsebene ist eine Deaktivierung nicht möglich. Folgende Nachricht erscheint für diesen Fall:

"Die Zwei-Faktor-Authentifizierung kann nicht deaktiviert werden, da sie für Ihre Organisation verpflichtend ist."


3.7 Geräteverlust oder Wechsel

Ohne Zugriff auf die Authenticator-App ist kein Login möglich. 

Vorgehen:

  1. Kontaktieren Sie eine:n Administrator:in
  2. Die/der Administrator:in setzt das MFA für Sie zurück
  3. Bestätigungs-Email wird verschickt
  4. Danach erneute Einrichtung beim Login möglich (wird automatisch angefragt, sofern das MFA organisationsweit obligatorisch ist)

HINWEIS: Manche Authenticator-Apps (z.B. 2FAS) bieten ein eigenes Backup. Damit können die Einstellungen auf ein neues Gerät übertragen werden, ohne dass ein Admin eingreifen muss.

4. Planik Mobile App

Die Planik Mobile App ist von der Zwei-Faktor-Authentifizierung nicht direkt betroffen:

  • Bereits eingeloggte Nutzer:innen bleiben angemeldet
  • Einrichtung und Verwaltung erfolgen ausschliesslich in der Web-App
  • Bei einer erneuten Anmeldung via Planik Mobile App, wird ein Code angefragt, den Sie auf eine einfache Art und Weise aus der Authenticator-App kopieren können

5. E-Mail-Benachrichtigungen

Planik versendet automatische E-Mails an die betroffenen Personen in folgenden Fällen:


1. Nach erfolgreicher Einrichtung:

"Die Zwei-Faktor-Authentifizierung wurde soeben für Ihr Planik-Konto ([E-Mail-Adresse]) aktiviert."

Diese E-Mail dient als Bestätigung und als Warnung, falls jemand Unbefugtes MFA für das Konto eingerichtet haben sollte.


2. Nach dem Zurücksetzen (durch Admin oder durch die Person selbst):

"Die Zwei-Faktor-Authentifizierung für Ihr Planik-Konto ([E-Mail-Adresse]) wurde durch [Name und E-Mail des Admins] zurückgesetzt. Beim nächsten Login können Sie die Zwei-Faktor-Authentifizierung neu einrichten."

Diese E-Mail dient zur Information, dass Ihr Konto vorübergehend weniger geschützt ist, und die Zwei-Faktor-Authentifizierung zeitnah neu einrichten kann.