Immer wieder ist in den Medien von großangelegten Hackerangriffen zu lesen. Die Internetkriminellen erbeuten von großen Webplattformen, aus Foren oder Onlineshops tausende E-Mail-Adressen und Passwörter und verschaffen sich damit unbefugt Zugang zu den Accounts ihrer Opfer. Auch sogenannte Phishing-Angriffe spielen Kriminellen immer wieder sensible Account-Daten in die Hände. Einer der sichersten Wege, um die eigenen Accounts vor kriminellen Machenschaften zu schützen, ist das Verfahren der sogenannten Zwei-Faktor-Authentifizierung: Damit ist der Zugriff auf einen Account erst mit einem zweiten Identitätsnachweis möglich. In unserem Artikel klären wir, was eine zweistufige Authentifizierung genau ist, wie sie in der Praxis funktioniert und welche Vor- und Nachteile das Verfahren hat.
Die Zwei-Faktor-Authentifizierung kombiniert zwei unterschiedliche und voneinander unabhängige Komponenten zur Identifizierung eines berechtigten Anwenders. Ein simples Alltagsbeispiel für diese Zwei-Wege-Authentifizierung begegnet uns tagtäglich am Geldautomaten oder an manchen Supermarktkassen: Um Geld abzuheben oder im Supermarkt zu bezahlen, sind stets zwei Komponenten nötig: PIN (bzw. Unterschrift) und EC-Karte. Nur wenn beide korrekt kombiniert vorliegen, ist die Zwei-Faktor-Authentifizierung erfolgreich. Das gleiche Prinzip kann auch zur Absicherung von E-Mail-Accounts, Konten in Onlineshops oder auf anderen großen Webportalen zum Tragen kommen.
Doch leider wird im Web immer noch eine überwältigende Mehrheit der Accounts mit nur einer Komponente geschützt: Für den Log-in in einen E-Mail-Account, bei Cloud-Diensten oder Onlineshops reicht für gewöhnlich ein Passwort. Haben sie dieses erbeutet, bekommen Hacker schnell Zugriff auf sensible E-Mails, Kontodaten oder persönliche Dateien. Um das zu verhindern, führen immer mehr Anbieter wie Dropbox, Google oder Amazon die Zwei-Faktor-Authentifizierung für ihren jeweiligen Dienst als zusätzliche Sicherheitsmaßnahme ein. Dieses Verfahren kann ganz unterschiedlich ausfallen, da verschiedene Komponenten für eine solche zweistufige Authentifizierung kombiniert werden können.
Die für den Zugriff notwendigen Komponenten bzw. Faktoren können vielfältig sein. Die wichtigsten und am weitesten verbreiteten Faktoren für eine Zwei-Wege-Authentifizierung sind:
All diese Faktoren setzen für die Identifizierung einer berechtigten Person etwas voraus, das diese entweder weiß, besitzt oder das untrennbar mit ihr verbunden ist („Wissen“, „Haben“, „Sein“). Das Beispiel Bankautomat zeigt, dass im Alltag vorwiegend Tokens mit einem der anderen Faktoren kombiniert werden. Dieses Verfahren hat den entscheidenden Nachteil, dass auch berechtigte Personen das Token immer mit sich führen müssen – was in unachtsamen Momenten (also z. B. der Falscheingabe) dazu führen kann, dass sie trotzdem keinen Zugriff bekommen.
Aus diesem Grund werden für Zwei-Faktor-Authentifizierungen im WWW vermehrt Verfahren zur Identifizierung berechtigter Anwender verwendet, die ohne klassische Tokens auskommen oder zumindest das Verlustrisiko minimieren: In der Regel wird neben einem Passwort vom System ein automatischer Code generiert. Diesen bekommt der berechtigte Anwender auf sein Smartphone geschickt – entweder via SMS, Mail oder über eine spezielle Authenticator-App. So wird sichergestellt, dass nur die Person Zugang bekommt, die im Besitz dieses zusätzlichen Sicherheitscodes ist. Der Vorteil: Der Code ist nur einmal gültig und verliert nach einer bestimmten Zeit automatisch seine Gültigkeit.
Die Zwei-Faktor-Authentifizierung ohne Token oder Zugangskarte hat darüber hinaus den Vorteil, dass auch sekundäre Empfangsmethoden für den Sicherheitscode festgelegt werden können: Ist z. B. kein Zugriff auf die App möglich, lässt sich festlegen, dass alternativ eine SMS verschickt wird oder der berechtigte Anwender einen Anruf mit automatischer Durchsage des Codes bekommt.
Eine hundertprozentige Sicherheit für einen Account ist bekanntlich niemals gewährleistet – warum also die Mühe machen und eine Zwei-Faktor-Authentifizierung überhaupt einrichten? Die Antwort liegt auf der Hand: Die Zwei-Wege-Authentifizierung fügt dem Identifikationsprozess eine zusätzliche Stufe hinzu – gewissermaßen eine zweite Hürde, die Unbefugte erst einmal überwinden müssen. Mehr noch: Nahezu alle gängigen Phishing-Attacken scheitern an einer solchen Zwei-Faktor-Authentifizierung.
Beim Phishing versuchen Internetkriminelle über gefälschte Mails mit Links zu vorab präparierten Websites in den Besitz von Passwörtern, PINs oder TANs zu gelangen. Die Mails geben vor, von authentischen Maildienstleistern, Banken oder Onlineshops zu kommen und rufen in der Regel zum Ändern eines Identifikationsfaktors auf – vermeintlich aus Sicherheitsgründen. In Wirklichkeit werden die eingegebenen Passwörter, PINs oder TANs ausgespäht. Durch diese und andere betrügerische Methoden im Internet enstand in Deutschland allein im Jahr 2015 ein Schaden von über 40 Millionen Euro.
Hier können Sie die Infografik zur Internetkriminalität in Deutschland herunterladen.
Ein Beispiel für Phishing ist der Angriff auf John Podesta, den Wahlkampfmanager von Hillary Clinton: Medienberichten zufolge erhielt Podesta im März 2016 – wie auch zahlreiche andere US-Politiker – gefälschte Mails. Diese stammten angeblich von Google und besagten, eine fremde IP-Adresse aus der Ukraine hätte Zugriff auf den Gmail-Account des prominenten Opfers. Daher müsse das Passwort umgehend geändert werden. Per Klick auf den in der Mail enthaltenen Link wurde man auf eine gefälschte Seite weitergeleitet. Die URL dieser Website wurde abgekürzt und somit verschleiert, das Layout der Seite dem von Google nachempfunden.
Betrügerische Maschen wie diese sind immer noch enorm erfolgreich: Von 108 Mitgliedern der Clinton-Kampagne klickten 20 auf den Link und im Nationalkomitee der Demokratischen Partei waren es 4 von 16. Wären die anvisierten Google-Accounts mit einer Zwei-Faktor-Authentifizierung abgesichert gewesen, hätten die Hacker mit den erbeuteten Passwörtern nichts anfangen können. Für einen erfolgreichen Hack hätte ihnen nämlich der zweite Faktor gefehlt: ein einmaliger Sicherheitscode, der ausschließlich an das Mobiltelefon der berechtigten Person gesendet wird.
Warum aber ist dieses Verfahren nicht längst weiter verbreitet? Die Einrichtung der Zwei-Wege-Authentifizierung bei Google ist weder besonders aufwendig noch ist sie kompliziert oder langwierig. Man muss den automatisch generierten Sicherheitscode noch nicht einmal bei jedem Log-in erneut abrufen, da man ein Endgerät dauerhaft als vertrauenswürdig einstufen kann. Das folgende Video von Google veranschaulicht, wie die Einrichtung funktioniert:
Auch bei anderen Diensten ist die Einrichtung einer zweistufigen Authentifizierung bei Weitem kein Hexenwerk: Amazon, Microsoft, Apple – nahezu alle großen Unternehmen bieten ihren Kunden inzwischen ähnliche Optionen an. Die geringe Verbreitung der Zwei-Faktor-Authentifizierung wirft die Frage auf, ob es neben dem Mehr an Sicherheit auch Nachteile gibt.
Der höhere Sicherheitsstandard durch eine Zwei-Faktor-Authentifizierung bringt überwiegend Vorteile mit sich. Dementsprechend rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem solchen Mechanismus im IT-Grundschutz-Katalog. Für Anwender besteht bei Unachtsamkeit oder Systemausfällen allerdings das Risiko, selbst ausgesperrt zu werden, denn die zweistufige Authentifizierung bringt nicht nur für potenzielle Hacker, sondern auch für den berechtigten User selbst eine weitere Hürde ins Spiel. Da die Zwei-Wege-Authentifizierung zur Absicherung von Accounts im Web im Regelfall über eine Kombination der Bereiche „Wissen“ (Passwort etc.) und „Haben“ (Mobiltelefon, zu dem der Sicherheitscode geschickt wird) geschieht, führt beispielsweise ein Verlust des Smartphones zum (zeitweisen) Ausschluss des berechtigten Anwenders. Auch technische Probleme mit den Authentifizierungs-Apps lassen sich nicht vollständig ausschließen.
Glücklicherweise gibt es für solche Fälle bei den meisten Diensten einen „doppelten Boden“ bzw. die Möglichkeit, eine Wiederherstellungsoption anzugeben, z. B. eine Ersatznummer, an die der Authentifizierungscode alternativ geschickt werden kann. Auch ein Notfallcode zum Notieren oder Ausdrucken oder Ersatz-E-Mail-Adressen werden mitunter erfragt, um den Zugriff auf das Konto im Fall der Fälle wiederherzustellen. Dementsprechend relativiert sich dieser scheinbare Nachteil weitgehend. Man sollte bei der Einrichtung nur darauf achten, die Absicherungsmaßnahmen auch in Anspruch zu nehmen – sofern Sie optional und nicht ohnehin verbindlich sind – und die Informationen für den Notfallzugang sorgfältig zu dokumentieren. Das mindert das Risiko immens, sich selbst auszusperren.
Versenden und empfangen Sie Ihre Mails verschlüsselt? Wenn nicht, ist es höchste Zeit, damit anzufangen. Nur wenn Sie die Übertragung Ihrer Emails verschlüsseln, ist deren Inhalt auf dem Transportweg auch sicher. Andernfalls lesen Unbefugte problemlos mit und gelangen am Ende vielleicht an sensible Daten wie Passwörter oder Bank- und Adressdaten. Die einfache Lösung ist das Übertragungsprotokoll...
Privatsphäre im Internet ist ein heikles Thema, das Experten und Laien gleichermaßen beschäftigt. Egal, ob Sie sich in sozialen Netzwerken bewegen, Ihre Bankgeschäfte abwickeln oder Einkäufe in einem Onlineshop tätigen: Ihre Daten sind nur selten ausreichend geschützt. Das gilt auch für die Inhalte elektronischer Post. Damit Unbefugte keine Chance zum Mitlesen erhalten, sollten Sie damit beginnen,...
E-Mail-Accounts sind eines unserer wichtigsten Kommunikationswerkzeuge: Sie dienen zur Anmeldung bei Webportalen, zum privaten und geschäftlichen Austausch, als Organizer und digitales Adressbuch. Umso wichtiger ist es, das Mailkonto gut zu schützen. Was aber tun, wenn der E-Mail-Account gehackt wurde? Unser Ratgeber erklärt, welche Methoden Internetkriminelle anwenden, um sich Zugang zu...
Immer wieder sorgen großangelegte Hackerangriffe auf Websites für mediales Aufsehen – und berechtigte Angst bei den Nutzern. Schließlich können die Hacker dabei E-Mail-Adressen und Passwörter erbeuten und diese für kriminelle Zwecke missbrauchen. Oft merken die Opfer nicht einmal, dass Ihre Daten entwendet wurden. Wir stellen vier Tools vor, mit denen Sie ganz leicht prüfen, ob Ihre E-Mail gehackt...
Seit jeher ist Sicherheit im Onlinebanking das A und O – TAN-Verfahren wie zum Beispiel chipTAN machen es möglich. Es gibt aber noch viele andere Varianten dieser Zwei-Faktor-Authentifizierung, mit denen man seine Bankgeschäfte schützen kann. Jedoch ist jede Kette nur so stark wie ihr schwächstes Glied – und in diesem Fall ist das der Nutzer. Erfahren Sie, welche TAN-Verfahren zu empfehlen sind...
