Immer wieder ist in den Medien von großangelegten Hackerangriffen zu lesen. Die Internetkriminellen erbeuten von großen Webplattformen, aus Foren oder Onlineshops tausende E-Mail-Adressen und Passwörter und verschaffen sich damit unbefugt Zugang zu den Accounts ihrer Opfer. Auch sogenannte Phishing-Angriffe spielen Kriminellen immer wieder sensible Account-Daten in die Hände. Einer der sichersten Wege, um die eigenen Accounts vor kriminellen Machenschaften zu schützen, ist das Verfahren der sogenannten Zwei-Faktor-Authentifizierung: Damit ist der Zugriff auf einen Account erst mit einem zweiten Identitätsnachweis möglich. In unserem Artikel klären wir, was eine zweistufige Authentifizierung genau ist, wie sie in der Praxis funktioniert und welche Vor- und Nachteile das Verfahren hat.
Die Zwei-Faktor-Authentifizierung kombiniert zwei unterschiedliche und voneinander unabhängige Komponenten zur Identifizierung eines berechtigten Anwenders. Ein simples Alltagsbeispiel für diese Zwei-Wege-Authentifizierung begegnet uns tagtäglich am Geldautomaten oder an manchen Supermarktkassen: Um Geld abzuheben oder im Supermarkt zu bezahlen, sind stets zwei Komponenten nötig: PIN (bzw. Unterschrift) und EC-Karte. Nur wenn beide korrekt kombiniert vorliegen, ist die Zwei-Faktor-Authentifizierung erfolgreich. Das gleiche Prinzip kann auch zur Absicherung von E-Mail-Accounts, Konten in Onlineshops oder auf anderen großen Webportalen zum Tragen kommen.
Doch leider wird im Web immer noch eine überwältigende Mehrheit der Accounts mit nur einer Komponente geschützt: Für den Log-in in einen E-Mail-Account, bei Cloud-Diensten oder Onlineshops reicht für gewöhnlich ein Passwort. Haben sie dieses erbeutet, bekommen Hacker schnell Zugriff auf sensible E-Mails, Kontodaten oder persönliche Dateien. Um das zu verhindern, führen immer mehr Anbieter wie Dropbox, Google oder Amazon die Zwei-Faktor-Authentifizierung für ihren jeweiligen Dienst als zusätzliche Sicherheitsmaßnahme ein. Dieses Verfahren kann ganz unterschiedlich ausfallen, da verschiedene Komponenten für eine solche zweistufige Authentifizierung kombiniert werden können.
Die für den Zugriff notwendigen Komponenten bzw. Faktoren können vielfältig sein. Die wichtigsten und am weitesten verbreiteten Faktoren für eine Zwei-Wege-Authentifizierung sind:
All diese Faktoren setzen für die Identifizierung einer berechtigten Person etwas voraus, das diese entweder weiß, besitzt oder das untrennbar mit ihr verbunden ist („Wissen“, „Haben“, „Sein“). Das Beispiel Bankautomat zeigt, dass im Alltag vorwiegend Tokens mit einem der anderen Faktoren kombiniert werden. Dieses Verfahren hat den entscheidenden Nachteil, dass auch berechtigte Personen das Token immer mit sich führen müssen – was in unachtsamen Momenten (also z. B. der Falscheingabe) dazu führen kann, dass sie trotzdem keinen Zugriff bekommen.
Aus diesem Grund werden für Zwei-Faktor-Authentifizierungen im WWW vermehrt Verfahren zur Identifizierung berechtigter Anwender verwendet, die ohne klassische Tokens auskommen oder zumindest das Verlustrisiko minimieren: In der Regel wird neben einem Passwort vom System ein automatischer Code generiert. Diesen bekommt der berechtigte Anwender auf sein Smartphone geschickt – entweder via SMS, Mail oder über eine spezielle Authenticator-App. So wird sichergestellt, dass nur die Person Zugang bekommt, die im Besitz dieses zusätzlichen Sicherheitscodes ist. Der Vorteil: Der Code ist nur einmal gültig und verliert nach einer bestimmten Zeit automatisch seine Gültigkeit.
Die Zwei-Faktor-Authentifizierung ohne Token oder Zugangskarte hat darüber hinaus den Vorteil, dass auch sekundäre Empfangsmethoden für den Sicherheitscode festgelegt werden können: Ist z. B. kein Zugriff auf die App möglich, lässt sich festlegen, dass alternativ eine SMS verschickt wird oder der berechtigte Anwender einen Anruf mit automatischer Durchsage des Codes bekommt.
Eine hundertprozentige Sicherheit für einen Account ist bekanntlich niemals gewährleistet – warum also die Mühe machen und eine Zwei-Faktor-Authentifizierung überhaupt einrichten? Die Antwort liegt auf der Hand: Die Zwei-Wege-Authentifizierung fügt dem Identifikationsprozess eine zusätzliche Stufe hinzu – gewissermaßen eine zweite Hürde, die Unbefugte erst einmal überwinden müssen. Mehr noch: Nahezu alle gängigen Phishing-Attacken scheitern an einer solchen Zwei-Faktor-Authentifizierung.
Beim Phishing versuchen Internetkriminelle über gefälschte Mails mit Links zu vorab präparierten Websites in den Besitz von Passwörtern, PINs oder TANs zu gelangen. Die Mails geben vor, von authentischen Maildienstleistern, Banken oder Onlineshops zu kommen und rufen in der Regel zum Ändern eines Identifikationsfaktors auf – vermeintlich aus Sicherheitsgründen. In Wirklichkeit werden die eingegebenen Passwörter, PINs oder TANs ausgespäht. Durch diese und andere betrügerische Methoden im Internet enstand in Deutschland allein im Jahr 2015 ein Schaden von über 40 Millionen Euro.
Hier können Sie die Infografik zur Internetkriminalität in Deutschland herunterladen.
Ein Beispiel für Phishing ist der Angriff auf John Podesta, den Wahlkampfmanager von Hillary Clinton: Medienberichten zufolge erhielt Podesta im März 2016 – wie auch zahlreiche andere US-Politiker – gefälschte Mails. Diese stammten angeblich von Google und besagten, eine fremde IP-Adresse aus der Ukraine hätte Zugriff auf den Gmail-Account des prominenten Opfers. Daher müsse das Passwort umgehend geändert werden. Per Klick auf den in der Mail enthaltenen Link wurde man auf eine gefälschte Seite weitergeleitet. Die URL dieser Website wurde abgekürzt und somit verschleiert, das Layout der Seite dem von Google nachempfunden.
Betrügerische Maschen wie diese sind immer noch enorm erfolgreich: Von 108 Mitgliedern der Clinton-Kampagne klickten 20 auf den Link und im Nationalkomitee der Demokratischen Partei waren es 4 von 16. Wären die anvisierten Google-Accounts mit einer Zwei-Faktor-Authentifizierung abgesichert gewesen, hätten die Hacker mit den erbeuteten Passwörtern nichts anfangen können. Für einen erfolgreichen Hack hätte ihnen nämlich der zweite Faktor gefehlt: ein einmaliger Sicherheitscode, der ausschließlich an das Mobiltelefon der berechtigten Person gesendet wird.
Warum aber ist dieses Verfahren nicht längst weiter verbreitet? Die Einrichtung der Zwei-Wege-Authentifizierung bei Google ist weder besonders aufwendig noch ist sie kompliziert oder langwierig. Man muss den automatisch generierten Sicherheitscode noch nicht einmal bei jedem Log-in erneut abrufen, da man ein Endgerät dauerhaft als vertrauenswürdig einstufen kann. Das folgende Video von Google veranschaulicht, wie die Einrichtung funktioniert:
Mit dem weiteren Klick laden Sie das Video von YouTube. In diesem Fall kann YouTube Cookies setzen, auf welche wir keinen Einfluss haben.
Auch bei anderen Diensten ist die Einrichtung einer zweistufigen Authentifizierung bei Weitem kein Hexenwerk: Amazon, Microsoft, Apple – nahezu alle großen Unternehmen bieten ihren Kunden inzwischen ähnliche Optionen an. Die geringe Verbreitung der Zwei-Faktor-Authentifizierung wirft die Frage auf, ob es neben dem Mehr an Sicherheit auch Nachteile gibt.
Der höhere Sicherheitsstandard durch eine Zwei-Faktor-Authentifizierung bringt überwiegend Vorteile mit sich. Dementsprechend rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem solchen Mechanismus im IT-Grundschutz-Katalog. Für Anwender besteht bei Unachtsamkeit oder Systemausfällen allerdings das Risiko, selbst ausgesperrt zu werden, denn die zweistufige Authentifizierung bringt nicht nur für potenzielle Hacker, sondern auch für den berechtigten User selbst eine weitere Hürde ins Spiel. Da die Zwei-Wege-Authentifizierung zur Absicherung von Accounts im Web im Regelfall über eine Kombination der Bereiche „Wissen“ (Passwort etc.) und „Haben“ (Mobiltelefon, zu dem der Sicherheitscode geschickt wird) geschieht, führt beispielsweise ein Verlust des Smartphones zum (zeitweisen) Ausschluss des berechtigten Anwenders. Auch technische Probleme mit den Authentifizierungs-Apps lassen sich nicht vollständig ausschließen.
Glücklicherweise gibt es für solche Fälle bei den meisten Diensten einen „doppelten Boden“ bzw. die Möglichkeit, eine Wiederherstellungsoption anzugeben, z. B. eine Ersatznummer, an die der Authentifizierungscode alternativ geschickt werden kann. Auch ein Notfallcode zum Notieren oder Ausdrucken oder Ersatz-E-Mail-Adressen werden mitunter erfragt, um den Zugriff auf das Konto im Fall der Fälle wiederherzustellen. Dementsprechend relativiert sich dieser scheinbare Nachteil weitgehend. Man sollte bei der Einrichtung nur darauf achten, die Absicherungsmaßnahmen auch in Anspruch zu nehmen – sofern Sie optional und nicht ohnehin verbindlich sind – und die Informationen für den Notfallzugang sorgfältig zu dokumentieren. Das mindert das Risiko immens, sich selbst auszusperren.
SSL-Zertifikate von IONOS!
Wahren Sie dank SSL-Zertifikaten die Geheimhaltung Ihres Online-Verkehrs und stärken Sie das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Webseite.
Geprüfte SicherheitBis zu 256-bit VerschlüsselungEinfache Aktivierung
Versenden und empfangen Sie Ihre Mails verschlüsselt? Wenn nicht, ist es höchste Zeit, damit anzufangen. Denn nur, wenn Sie Übertragung und Inhalt von E-Mails verschlüsseln, sind Ihre Daten auf dem Transportweg sicher. Andernfalls können Unbefugte mit nur wenig Aufwand Ihren E-Mail-Verkehr lesen und möglicherweise an sensible Daten wie Passwörter und Bankdaten gelangen. Wir zeigen Ihnen die besten...
Privatsphäre im Internet ist ein heikles Thema, das Experten und Laien gleichermaßen beschäftigt. Egal, ob Sie sich in sozialen Netzwerken bewegen, Ihre Bankgeschäfte abwickeln oder Einkäufe in einem Onlineshop tätigen: Ihre Daten sind nur selten ausreichend geschützt. Das gilt auch für die Inhalte elektronischer Post. Damit Unbefugte keine Chance zum Mitlesen erhalten, sollten Sie damit beginnen,...
E-Mail-Accounts sind eines unserer wichtigsten Kommunikationswerkzeuge: Sie dienen zur Anmeldung bei Webportalen, zum privaten und geschäftlichen Austausch, als Organizer und digitales Adressbuch. Umso wichtiger ist es, das Mailkonto gut zu schützen. Was aber tun, wenn der E-Mail-Account gehackt wurde? Unser Ratgeber erklärt, welche Methoden Internetkriminelle anwenden, um sich Zugang zu...
Kriminelle versuchen immer wieder, Sicherheitslücken im Internet auszunutzen und Usern zu schaden. Eine häufige Art des Cyber-Angriffs bildet beispielsweise die Cross-Site-Forgery-Attacke – kurz: CSRF. Ohne dass der Anwender es merkt, können durch diese Attacke in seinem Namen Einkäufe getätigt und Überweisungen durchgeführt werden. Was kann man gegen solch einen Angriff tun?
Eine Welt, in der man keine Passwörter auswendig lernen muss? Dank FIDO2 könnte das bald Realität sein. Die Authentifizierung in Webshops oder für das Onlinebanking kann dann per Fingerabdruck oder Hardware-Token erfolgen. Letztere können per USB, NFC oder Bluetooth mit Laptops oder PCs kommunizieren. Um das Gespräch zwischen beiden Geräten zu ermöglichen, nutzt FIDO2 das Client to Authenticator...
