GitLab.com-Sicherheit stärken: Verpflichtende Multi-Faktor-Authentifizierung

Um die Sicherheit aller Nutzerkonten auf GitLab.com zu stärken, führt GitLab verpflichtende Multi-Faktor-Authentifizierung (MFA) für alle Nutzer und API-Endpunkte ein, die sich mit Nutzername und Passwort anmelden.

Warum diese Änderung erfolgt

Dieser Schritt ist ein wesentlicher Bestandteil unseres Secure-by-Design-Commitments. MFA bietet einen entscheidenden Schutz gegen Credential-Stuffing- und Account-Takeover-Angriffe, die in der Softwareentwicklungsbranche nach wie vor anhaltende Bedrohungen darstellen.

Wichtige Informationen

Was ändert sich?

GitLab macht MFA für Anmeldungen verpflichtend, die sich mit Nutzername und Passwort authentifizieren. Dies führt eine entscheidende zweite Sicherheitsebene ein, die über ein reines Passwort hinausgeht.

Betrifft mich das?

1. Ja, es betrifft dich, wenn: Du dich bei GitLab.com mit Nutzername und Passwort anmeldest oder ein Passwort zur Authentifizierung an der API verwendest.
2. Nein, es betrifft dich nicht, wenn: Du ausschließlich Social Sign-on (wie Google) oder Single Sign-on (SSO) für den Zugriff nutzt. (Hinweis: Wenn du SSO verwendest, aber auch ein Passwort für direkten Login hast, benötigst du MFA weiterhin für jede Nicht-SSO-, passwortbasierte Anmeldung.)

Wann erfolgt die Einführung?

1. Die Implementierung erfolgt über die kommenden Monate in mehreren Phasen. Ziel ist es, unerwartete Unterbrechungen und Produktivitätsverluste für Nutzer zu minimieren und Account-Sperrungen zu vermeiden. Nutzergruppen werden schrittweise aufgefordert, MFA zu aktivieren. Jede Gruppe wird anhand der durchgeführten Aktionen oder des beigetragenen Codes ausgewählt. Die Benachrichtigung erfolgt auf folgende Weise:
   • ✉️ E-Mail-Benachrichtigung – vor der Phase, in der du betroffen bist
   • 🔔 Regelmäßige In-Produkt-Erinnerungen – 14 Tage im Voraus
   • ⏱️ Nach einem bestimmten Zeitraum (dieser wird per E-Mail mitgeteilt) – Zugriff auf GitLab wird blockiert, bis MFA aktiviert ist

Welche Maßnahmen muss ich ergreifen?

1. Wenn du dich bei GitLab.com mit Nutzername und Passwort anmeldest:
   • Wir empfehlen nachdrücklich, proaktiv eine der verfügbaren MFA-Methoden einzurichten, etwa Passkeys, eine Authenticator-App, ein WebAuthn-Gerät oder E-Mail-Verifizierung. Dies gewährleistet den sichersten und nahtlosesten Übergang:
   • Gehe zu deinen GitLab.com-Benutzereinstellungen.
   • Wähle den Bereich Konto aus.
   • Aktiviere Zwei-Faktor-Authentifizierung und konfiguriere deine bevorzugte Methode (z. B. Authenticator-App oder WebAuthn-Gerät).
   • Sichere deine Wiederherstellungscodes, um zu garantieren, dass du bei Bedarf wieder Zugriff erhältst.
2. Wenn du ein Passwort zur Authentifizierung an der API verwendest:
   • Wir empfehlen nachdrücklich, proaktiv auf einen Personal Access Token (PAT) umzusteigen. Lies unsere Dokumentation, um mehr zu erfahren.

FAQ

Was passiert, wenn ich MFA nicht bis zur Deadline aktiviere?

• Du wirst aufgefordert, MFA einzurichten, bevor du dich anmelden kannst.

Betrifft dies CI/CD-Pipelines oder Automatisierung?

• Ja, es sei denn, du verwendest PATs oder Deploy Tokens anstelle von Passwörtern.

Ich nutze SSO, melde mich aber manchmal direkt an. Benötige ich MFA?

• Ja, MFA ist für jede passwortbasierte Authentifizierung erforderlich, einschließlich Fallback-Szenarien.

Spezifische Zeitpläne und weitere Ressourcen werden geteilt, sobald die Rollout-Termine näher rücken. Vielen Dank für die Aufmerksamkeit zu dieser wichtigen Änderung.

Für deutsche Unternehmen könnte dies folgende Themen betreffen:

Teams, die Multi-Faktor-Authentifizierung implementieren, adressieren möglicherweise auch regulatorische Anforderungen – beispielsweise in Bereichen wie Zugriffskontrolle und Authentifizierungssicherheit.

Regulatorische Frameworks wie NIS2 (Artikel 21.2j), ISO 27001 und BSI IT-Grundschutz behandeln ähnliche MFA-Themen. Für konkrete Compliance-Anforderungen empfiehlt sich Rücksprache mit entsprechender Fachberatung.