Zwei-Faktor-Authentifizierung: So schützen Sie Ihre Accounts

Immer wieder ist in den Medien von großangelegten Hackerangriffen zu lesen. Die Internetkriminellen erbeuten von großen Webplattformen, aus Foren oder Onlineshops tausende E-Mail-Adressen und Passwörter und verschaffen sich damit unbefugt Zugang zu den Accounts ihrer Opfer. Auch sogenannte Phishing-Angriffe spielen Kriminellen immer wieder sensible Account-Daten in die Hände. Einer der sichersten Wege, um die eigenen Accounts vor kriminellen Machenschaften zu schützen, ist das Verfahren der sogenannten Zwei-Faktor-Authentifizierung: Damit ist der Zugriff auf einen Account erst mit einem zweiten Identitätsnachweis möglich. In unserem Artikel klären wir, was eine zweistufige Authentifizierung genau ist, wie sie in der Praxis funktioniert und welche Vor- und Nachteile das Verfahren hat.

Die Zwei-Faktor-Authentifizierung kombiniert zwei unterschiedliche und voneinander unabhängige Komponenten zur Identifizierung eines berechtigten Anwenders. Ein simples Alltagsbeispiel für diese Zwei-Wege-Authentifizierung begegnet uns tagtäglich am Geldautomaten oder an manchen Supermarktkassen: Um Geld abzuheben oder im Supermarkt zu bezahlen, sind stets zwei Komponenten nötig: PIN (bzw. Unterschrift) und EC-Karte. Nur wenn beide korrekt kombiniert vorliegen, ist die Zwei-Faktor-Authentifizierung erfolgreich. Das gleiche Prinzip kann auch zur Absicherung von E-Mail-Accounts, Konten in Onlineshops oder auf anderen großen Webportalen zum Tragen kommen.

Doch leider wird im Web immer noch eine überwältigende Mehrheit der Accounts mit nur einer Komponente geschützt: Für den Log-in in einen E-Mail-Account, bei Cloud-Diensten oder Onlineshops reicht für gewöhnlich ein Passwort. Haben sie dieses erbeutet, bekommen Hacker schnell Zugriff auf sensible E-Mails, Kontodaten oder persönliche Dateien. Um das zu verhindern, führen immer mehr Anbieter wie Dropbox, Google oder Amazon die Zwei-Faktor-Authentifizierung für ihren jeweiligen Dienst als zusätzliche Sicherheitsmaßnahme ein. Dieses Verfahren kann ganz unterschiedlich ausfallen, da verschiedene Komponenten für eine solche zweistufige Authentifizierung kombiniert werden können.

Die für den Zugriff notwendigen Komponenten bzw. Faktoren können vielfältig sein. Die wichtigsten und am weitesten verbreiteten Faktoren für eine Zwei-Wege-Authentifizierung sind:

• Token oder Zugangskarten

• PINs (Persönliche Identifikationsnummern)

• TANs (Transaktionsnummern)

• Passwörter

• Biometrische Charakteristika (z. B. Fingerabdruck, Stimme oder Iris)

All diese Faktoren setzen für die Identifizierung einer berechtigten Person etwas voraus, das diese entweder weiß, besitzt oder das untrennbar mit ihr verbunden ist („Wissen“, „Haben“, „Sein“). Das Beispiel Bankautomat zeigt, dass im Alltag vorwiegend Tokens mit einem der anderen Faktoren kombiniert werden. Dieses Verfahren hat den entscheidenden Nachteil, dass auch berechtigte Personen das Token immer mit sich führen müssen – was in unachtsamen Momenten (also z. B. der Falscheingabe) dazu führen kann, dass sie trotzdem keinen Zugriff bekommen.

Aus diesem Grund werden für Zwei-Faktor-Authentifizierungen im WWW vermehrt Verfahren zur Identifizierung berechtigter Anwender verwendet, die ohne klassische Tokens auskommen oder zumindest das Verlustrisiko minimieren: In der Regel wird neben einem Passwort vom System ein automatischer Code generiert. Diesen bekommt der berechtigte Anwender auf sein Smartphone geschickt – entweder via SMS, Mail oder über eine spezielle Authenticator-App. So wird sichergestellt, dass nur die Person Zugang bekommt, die im Besitz dieses zusätzlichen Sicherheitscodes ist. Der Vorteil: Der Code ist nur einmal gültig und verliert nach einer bestimmten Zeit automatisch seine Gültigkeit.

Die Zwei-Faktor-Authentifizierung ohne Token oder Zugangskarte hat darüber hinaus den Vorteil, dass auch sekundäre Empfangsmethoden für den Sicherheitscode festgelegt werden können: Ist z. B. kein Zugriff auf die App möglich, lässt sich festlegen, dass alternativ eine SMS verschickt wird oder der berechtigte Anwender einen Anruf mit automatischer Durchsage des Codes bekommt.

Hier können Sie die Infografik zur Internetkriminalität in Deutschland herunterladen.

Ein Beispiel für Phishing ist der Angriff auf John Podesta, den Wahlkampfmanager von Hillary Clinton: Medienberichten zufolge erhielt Podesta im März 2016 – wie auch zahlreiche andere US-Politiker – gefälschte Mails. Diese stammten angeblich von Google und besagten, eine fremde IP-Adresse aus der Ukraine hätte Zugriff auf den Gmail-Account des prominenten Opfers. Daher müsse das Passwort umgehend geändert werden. Per Klick auf den in der Mail enthaltenen Link wurde man auf eine gefälschte Seite weitergeleitet. Die URL dieser Website wurde abgekürzt und somit verschleiert, das Layout der Seite dem von Google nachempfunden.

Betrügerische Maschen wie diese sind immer noch enorm erfolgreich: Von 108 Mitgliedern der Clinton-Kampagne klickten 20 auf den Link und im Nationalkomitee der Demokratischen Partei waren es 4 von 16. Wären die anvisierten Google-Accounts mit einer Zwei-Faktor-Authentifizierung abgesichert gewesen, hätten die Hacker mit den erbeuteten Passwörtern nichts anfangen können. Für einen erfolgreichen Hack hätte ihnen nämlich der zweite Faktor gefehlt: ein einmaliger Sicherheitscode, der ausschließlich an das Mobiltelefon der berechtigten Person gesendet wird.

Warum aber ist dieses Verfahren nicht längst weiter verbreitet? Die Einrichtung der Zwei-Wege-Authentifizierung bei Google ist weder besonders aufwendig noch ist sie kompliziert oder langwierig. Man muss den automatisch generierten Sicherheitscode noch nicht einmal bei jedem Log-in erneut abrufen, da man ein Endgerät dauerhaft als vertrauenswürdig einstufen kann. Das folgende Video von Google veranschaulicht, wie die Einrichtung funktioniert:

Auch bei anderen Diensten ist die Einrichtung einer zweistufigen Authentifizierung bei Weitem kein Hexenwerk: Amazon, Microsoft, Apple – nahezu alle großen Unternehmen bieten ihren Kunden inzwischen ähnliche Optionen an. Die geringe Verbreitung der Zwei-Faktor-Authentifizierung wirft die Frage auf, ob es neben dem Mehr an Sicherheit auch Nachteile gibt.

Der höhere Sicherheitsstandard durch eine Zwei-Faktor-Authentifizierung bringt überwiegend Vorteile mit sich. Dementsprechend rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem solchen Mechanismus im IT-Grundschutz-Kompendium. Für Anwender besteht bei Unachtsamkeit oder Systemausfällen allerdings das Risiko, selbst ausgesperrt zu werden, denn die zweistufige Authentifizierung bringt nicht nur für potenzielle Hacker, sondern auch für den berechtigten User selbst eine weitere Hürde ins Spiel. Da die Zwei-Wege-Authentifizierung zur Absicherung von Accounts im Web im Regelfall über eine Kombination der Bereiche „Wissen“ (Passwort etc.) und „Haben“ (Mobiltelefon, zu dem der Sicherheitscode geschickt wird) geschieht, führt beispielsweise ein Verlust des Smartphones zum (zeitweisen) Ausschluss des berechtigten Anwenders. Auch technische Probleme mit den Authentifizierungs-Apps lassen sich nicht vollständig ausschließen.

Glücklicherweise gibt es für solche Fälle bei den meisten Diensten einen „doppelten Boden“ bzw. die Möglichkeit, eine Wiederherstellungsoption anzugeben, z. B. eine Ersatznummer, an die der Authentifizierungscode alternativ geschickt werden kann. Auch ein Notfallcode zum Notieren oder Ausdrucken oder Ersatz-E-Mail-Adressen werden mitunter erfragt, um den Zugriff auf das Konto im Fall der Fälle wiederherzustellen. Dementsprechend relativiert sich dieser scheinbare Nachteil weitgehend. Man sollte bei der Einrichtung nur darauf achten, die Absicherungsmaßnahmen auch in Anspruch zu nehmen – sofern Sie optional und nicht ohnehin verbindlich sind – und die Informationen für den Notfallzugang sorgfältig zu dokumentieren. Das mindert das Risiko immens, sich selbst auszusperren.