Was ist die Zwei-Faktor-Authentisierung?

20. Mai 2020

E-Mail-Konto, Onlinehändler, digitale Bezahl­dienste – viele Online-Accounts stecken voller sensibler Daten. Die Zwei-Faktor-Authentisierung soll dafür sorgen, dass Hacker auch dann nicht in fremde Konten eindringen können, wenn sie bereits ein Passwort ausspioniert haben. Wie das Sicher­heits­instrument funktioniert und wie und wo man es einsetzen kann, erklärt Christoph Bayer, IT-Security-Experte von TÜViT.

#explore: Was ist die Zwei-Faktor-Authentisierung?
Christoph Bayer: Wie der Name schon sagt, erfolgt die Authentisierung dabei mit zwei verschiedenen und idealer­weise von­einander unabhängigen Faktoren: einerseits etwa über den Faktor Wissen – meine PIN oder mein Passwort – und anderer­seits über den Faktor Besitz – meine Bank­karte oder ein TAN-Generator. In den letzten Jahren sind verstärkt biometrische Charakteristika hinzu­gekommen, also Finger­abdruck, Iris und Gesicht. Die Kombination mehrerer Faktoren soll verhindern, dass jemand, der mein Passwort kennt, sich einfach an meiner Stelle bei der Bank oder einem anderen Service einloggen kann. Bestenfalls sind bei der Online­anmeldung auch die Über­tragungs­wege der Faktoren von­einander getrennt. Über den Browser auf dem Laptop gebe ich beispiels­weise mein Passwort ein, und über mein Smart­phone erhalte ich dann einen Sicherheits­code, der für die Anmeldung zusätzlich erforderlich ist. Die Idee dahinter ist, dass ein Angreifer, der etwa durch eine Schad­soft­ware bereits meinen Laptop kompromittiert hat, nicht zugleich auch auf mein Handy zugreifen kann. Aus Sicherheits­gründen sollte man daher immer zwei separate Geräte für die Anmeldung verwenden und nicht beide Vorgänge der Zwei-Faktor-Authentisierung auf einem Gerät abwickeln.

Was sind gängige Methoden für die Zwei-Faktor-Authentisierung?
Die zusätzliche Sicherheitsstufe besteht in der Regel aus der Abfrage eines zweiten Passworts, das exklusiv für diesen Log-in erzeugt wird. Je nach Anbieter wird der Code über eine spezielle App auf dem Smartphone generiert, oder man bekommt ihn per SMS oder E-Mail zugeschickt. Auch eine entsprechende Hardware wie ein sogenanntes Sicher­heits­token in Form eines bestimmten USB-Sticks kann als zweiter Faktor verwendet werden. Ebenso können der Fingerabdruck oder das Gesicht des Nutzers als zweiter Faktor dienen, die über das Smartphone gescannt und mit einer besonderen App des Anbieters verifiziert werden. Die Anmeldung zur digitalen Steuerer­klärung über den Online­dienst Elster kombiniert dagegen ein Passwort mit einem Soft­ware­zertifikat, das lokal auf dem Rechner des Nutzers gespeichert ist.

Bei welchen Anbietern kann ich bereits eine Zwei-Faktor-Authentisierung nutzen?
Bei einigen Internetdiensten wie etwa der Spiele­platt­form Steam muss man standard­mäßig bereits bei der Anmeldung auf einem neuen Gerät oder in einem anderen Browser zusätzlich zum Passwort einen Sicherheits­code eingeben, den der Anbieter automatisch an das Mail­konto schickt. Die meisten großen Dienste wie Google, Microsoft, Apple, Paypal, Amazon oder Dropbox und soziale Netz­werke wie Twitter oder Facebook bieten ihrerseits schon die Möglichkeit zur Zwei-Faktor-Authentisierung. Diese ist in den meisten Fällen deaktiviert, man muss sie also in den Sicherheits­einstellungen des jeweiligen Online­kontos aktivieren.

„Ein Schaden entsteht nicht nur, wenn Cyber­kriminelle in mein Online­banking oder den E-Mail-Account eindringen.“

Christoph Bayer, IT-Sicherheits­berater

Die Zwei-Faktor-Authentisierung macht den Anmelde­vorgang immer ein wenig unbequemer. Benötige ich denn tatsächlich bei jedem Online­dienst zur Sicherheit einen zweiten Faktor?
Natürlich ist eine Zwei-Faktor-Authentisierung erst einmal etwas aufwendiger, zumal man ja auch im Urlaub den zweiten Faktor dabei­haben muss, um etwa auf das E-Mail-Konto zugreifen zu können. Manche der genutzten Online­dienste mögen einem da weniger wichtig und schützens­wert erscheinen als andere. Als IT-Sicherheits­berater empfehle ich aber, den Zugang zu den eigenen Diensten immer so sicher wie möglich zu gestalten – also mit einem zweiten Faktor. Denn ein Schaden entsteht nicht nur, wenn Cyber­kriminelle in mein Online­banking oder den E-Mail-Account eindringen. Auch wenn Angreifer das Facebook-Konto kapern und darüber kompromittierende Bilder oder Nachrichten verbreiten, kann das für mich sehr unangenehme Konsequenzen haben.