81 Prozent aller Kontokompromittierungen ließen sich durch einen einzigen Mechanismus verhindern: Zwei-Faktor-Authentifizierung. Das behauptet nicht irgendein Security-Anbieter mit Eigeninteresse – das ist die Schlussfolgerung aus Microsoft-Daten, die über Milliarden von Accounts ausgewertet wurden. Und trotzdem nutzt ein Großteil der Internetnutzenden diese Funktion nicht. Weil sie fünf Sekunden kostet. Weil sie „nervig“ ist. Weil man ja nichts zu verbergen hat.
Stellen Sie sich vor: Sie öffnen Dienstagabend Ihre E-Mails und finden eine Benachrichtigung Ihrer Bank. Jemand hat sich in Ihr Online-Banking eingeloggt – von einem Gerät in Bukarest. Ihr Passwort war kompromittiert, seit Monaten schon, in einem Datenleak, von dem Sie nie erfahren haben. Das Konto ist leergeräumt.
Plot Twist: Eine aktive Zwei-Faktor-Authentifizierung hätte den Angreifer gestoppt. Das gestohlene Passwort wäre nutzlos gewesen. Stattdessen hätte auf Ihrem Smartphone eine Benachrichtigung aufgeploppt: „Jemand versucht, sich einzuloggen. Sind Sie das?“ Die Antwort wäre Nein gewesen. Ende der Geschichte.
Das ist das Kernversprechen der Zwei-Faktor-Authentifizierung (2FA). Sie ist keine Wunderwaffe – aber sie ist der effektivste Einzelmechanismus, den Privatpersonen und Unternehmen heute zum Schutz von Konten einsetzen können.
Klassische Authentifizierung basiert auf einem Faktor: etwas, das Sie wissen – Ihr Passwort. Das Problem ist bekannt. Passwörter werden gestohlen, erraten, in Datenlecks veröffentlicht, per Phishing abgefischt oder schlicht zu schwach gewählt.
Wenig überraschend ist der aktuelle Stand: In einem Report über schlechte Passwort-Praktiken wurde festgestellt, dass ein erschreckend hoher Anteil von Nutzerinnen und Nutzern dasselbe Passwort für mehrere Dienste verwendet. Das Passwort für Netflix und das Passwort für das Firmen-E-Mail-Konto – identisch. Man kann sich nicht ausdenken, was die Realität liefert.
Zwei-Faktor-Authentifizierung fügt einen zweiten Faktor hinzu. Das Sicherheitsmodell kennt drei Kategorien:
Zwei-Faktor-Authentifizierung kombiniert mindestens zwei davon. Selbst wenn ein Angreifer Ihr Passwort kennt, fehlt ihm der zweite Faktor – und damit der Zugang.
Nicht alle Zweiten Faktoren sind gleich sicher. Das ist das Pikante daran: Die beliebteste Methode ist gleichzeitig eine der schwächsten.
Der Einmalcode kommt per SMS auf Ihr Handy. Klingt sicher. Ist es aber nur bedingt. „SIM-Swapping“ ist eine Angriffstechnik, bei der Angreifer Ihre Mobilfunknummer auf eine eigene SIM-Karte übertragen lassen – oft durch Social Engineering beim Mobilfunkanbieter. Danach erhalten sie Ihre SMS-Codes.
Dazu kommt: SMS werden unverschlüsselt übertragen. In Mobilfunknetzen gibt es bekannte Angriffsvektoren (SS7-Protokoll-Schwachstellen), die theoretisch das Abfangen von SMS erlauben. Für Hochrisiko-Accounts ist SMS-2FA daher eine Notlösung – aber besser als gar nichts.
Time-based One-Time Passwords, generiert durch Apps wie Google Authenticator, Microsoft Authenticator oder Authy, sind deutlich sicherer als SMS. Alle 30 Sekunden wird ein neuer Code generiert, der nur für dieses Zeitfenster gültig ist. Kein Netzwerk nötig, kein SIM-Swap möglich.
Der Code wird lokal auf Ihrem Gerät berechnet – der Server kennt das Shared Secret, Ihr Gerät auch, und gemeinsam berechnen sie denselben Code. Angreifer, die Ihren TOTP-Code per Phishing abfangen, haben etwa 30 Sekunden, um ihn zu nutzen. Das ist knapp. Dennoch nicht unmöglich – moderne Phishing-Kits leiten gestohlene Codes in Echtzeit weiter.
Das ist aktuell der Goldstandard. Hardware-Token wie YubiKey oder Google Titan Key nutzen kryptographische Schlüsselpaare. Phishing-Angriffe scheitern, weil der Token die Website-URL in die Signatur einbezieht – ein gefälschtes Login-Portal erhält niemals die richtige Antwort.
Passkeys, die neue Generation dieser Technologie, bringen diesen Schutz auf Smartphones und Computer – ohne separate Hardware. Warum Passwörter damit endgültig ausgedient haben könnten, erklärt dieser Artikel über Passkeys und das Ende der Passwörter.
Spoiler: Wenn Ihr E-Mail-Konto kompromittiert ist, hilft E-Mail-basierte 2FA nichts. Der Angreifer, der Ihr Konto übernehmen will, hat dann Zugriff auf Ihre E-Mails – und damit auf den Bestätigungscode. Zirkuläre Logik. Als alleinige 2FA-Methode nicht empfehlenswert.
Nicht bei jedem Online-Shop ist 2FA überlebenswichtig. Bei diesen Konten schon:
Für Privatpersonen ist 2FA eine Empfehlung. Für Unternehmen ist es de facto ein Compliance-Erfordernis. NIS-2, ISO 27001, die DSGVO – überall finden sich Anforderungen, die eine starke Authentifizierung implizieren oder explizit fordern.
Das Pikante: Bei einem Datenleck, das auf kompromittierte Zugangsdaten ohne 2FA zurückzuführen ist, wird die Frage nach der Fahrlässigkeit sehr unangenehm. Aufsichtsbehörden stellen diese Frage bereits.
Was Unternehmen heute implementieren sollten:
Wie umfassende Cybersicherheits-Ansätze im Unternehmenskontext aussehen, beschreibt dieser Artikel über Cybersicherheit für eine sicherere digitale Welt.
Kein System ist uneinnehmbar. Das gilt auch für 2FA. Die häufigsten Angriffsmethoden:
Moderne Phishing-Kits wie Evilginx oder Modlishka setzen einen Proxy zwischen Sie und die echte Website. Sie geben Ihre Zugangsdaten und den 2FA-Code ein – der Proxy leitet beides in Echtzeit weiter und übernimmt die aktive Session. Ihr Code ist dann genutzt, die Session gehört dem Angreifer.
Gegen diese Methode helfen nur FIDO2/Passkeys, weil sie die Website-URL in die Authentifizierung einbeziehen.
Bereits erwähnt, aber in seiner Wirksamkeit oft unterschätzt. Prominente Opfer: Jack Dorsey, Gründer von Twitter, war selbst betroffen. Kriminelle haben mit dieser Methode Millionen aus Krypto-Wallets gestohlen.
Der Clou dieser Methode: Angreifer bombadieren ein Konto mit Push-Benachrichtigungen zur MFA-Bestätigung. Dutzende Notifications in kurzer Zeit – bis die betroffene Person in einem Moment der Erschöpfung oder Verwirrung auf „Genehmigen“ tippt. Der Okta-Angriff durch LAPSUS$ im Jahr 2022 nutzte genau diese Technik.
Schutz: Number-Matching aktivieren (Nutzende müssen eine angezeigte Zahl im Authenticator bestätigen), Push-Benachrichtigungen auf bestimmte Geräte beschränken, Ratenlimitierung für MFA-Anfragen.
Manchmal wird 2FA nicht technisch, sondern menschlich umgangen. Angreifer rufen beim IT-Helpdesk oder beim Kundendienst an, geben sich als betroffene Person aus, und überzeugen den Support, die 2FA zurückzusetzen. Das ist erschreckend oft erfolgreich.
Die meisten großen Dienste bieten 2FA – aber längst nicht alle machen es offensichtlich. Wo Sie anfangen sollten:
Google-Konto: Einstellungen → Sicherheit → Bestätigung in zwei Schritten. Empfohlen: Google Authenticator oder Hardware-Key statt SMS.
Microsoft 365: Admin Center → Azure Active Directory → Security → MFA. Im Unternehmenskontext unbedingt Conditional Access konfigurieren.
Apple ID: Einstellungen → [Ihr Name] → Passwort & Sicherheit → Zwei-Faktor-Authentifizierung.
Social Media: LinkedIn, Instagram, Twitter/X bieten alle 2FA unter Einstellungen → Sicherheit. Bei LinkedIn besonders wichtig für Unternehmensseiten-Administratoren.
Weitere Tipps zu IT-Sicherheit im Überblick bietet dieser Ratgeber: Die einfachsten Tipps für mehr IT-Sicherheit.
Stellen Sie sich vor: Ihr Smartphone ist kaputt, gestohlen, verloren. Ihre 2FA-App ist weg. Sie kommen nicht mehr in Ihr E-Mail-Konto. Das ist eine sehr reale und sehr unangenehme Situation.
Die Lösung: Backup-Codes. Fast jeder Dienst mit 2FA bietet bei der Einrichtung eine Liste mit Einmal-Backup-Codes an. Diese Codes sind für genau diese Situation gedacht. Das Problem: Die meisten Menschen ignorieren sie, schließen das Fenster weg, oder speichern sie im selben digitalen Ort, zu dem sie gerade keinen Zugang haben.
Backup-Codes gehören ausgedruckt oder in einem sicheren physischen Ort aufbewahrt – nicht als Screenshot auf dem Handy, das gerade weg ist. Das klingt altmodisch. Genau darum funktioniert es.
Die offiziellen BSI-Empfehlungen zur Multi-Faktor-Authentifizierung: BSI – Zwei-Faktor-Authentisierung richtig einrichten.
Ob Ihre E-Mail-Adresse in einem bekannten Datenleak auftaucht, verrät Ihnen Have I Been Pwned: Have I Been Pwned – Datenleck-Check.
Der FIDO Alliance Standard definiert die Grundlagen sicherer passwortloser Authentifizierung: FIDO Alliance – Sicherheitsstandard für Authentifizierung.
Weitere relevante Artikel zu Sicherheit und Authentifizierung auf digital-magazin.de:
Manche Branchen haben besonders hohe Anforderungen an die Authentifizierungssicherheit – und besonders häufig läuft etwas schief.
Gesundheitswesen: Krankenhäuser und Kliniken sind bevorzugte Angriffsziele. Medizinische Daten erzielen auf dem Schwarzmarkt deutlich höhere Preise als Kreditkartendaten. Gleichzeitig arbeiten viele Gesundheitseinrichtungen mit veralteten Systemen, die keine modernen Authentifizierungsverfahren unterstützen.
Öffentliche Verwaltung: Behörden sind zunehmend im Visier. Staatlich gesponserte Angreifer haben es auf Infrastruktur und sensible Bürgerdaten abgesehen. Das BSI empfiehlt für Behörden ausdrücklich hardware-basierte Authentifizierung.
Finanzsektor: Stark reguliert, aber nicht immun. Die MaRisk und BAIT-Anforderungen der BaFin schreiben starke Authentifizierung für kritische Systeme vor. Wer das nicht umsetzt, riskiert nicht nur Angriffe, sondern auch Bußgelder.
Zwei-Faktor-Authentifizierung ist mächtiger, wenn sie mit einem Passwort-Manager kombiniert wird. Warum? Weil ein Passwort-Manager für jeden Dienst ein einzigartiges, komplexes Passwort generiert und speichert. Kein Passwort wird wiederverwendet. Kein Passwort ist erratbar.
Mit 2FA obendrauf sind zwei von zwei Angriffskanälen blockiert: Das Passwort ist stark und einzigartig, der zweite Faktor erfordert physischen Zugang zum Gerät. Das ist keine Vollkasko-Garantie. Aber es ist das Maximum, das ohne Mehraufwand erreichbar ist.
Empfehlenswerte Passwort-Manager: Bitwarden (Open Source, kostenlos verfügbar), 1Password, KeePassXC für die vollständige Offline-Variante. Den Passwort-Manager selbst natürlich mit dem stärksten verfügbaren 2FA-Faktor absichern.
Konten mit aktivierter 2FA werden Studien zufolge bis zu 99,9 Prozent seltener erfolgreich kompromittiert als Konten ohne. Diese Zahl stammt aus Microsoft-Daten, die über Milliarden von Accounts ausgewertet wurden. Sie ist beeindruckend – auch wenn man berücksichtigt, dass die verbleibenden 0,1 Prozent durch die oben beschriebenen Umgehungsmethoden erklärbar sind.
Was das in der Praxis bedeutet: Angreifer, die eine Liste kompromittierter Passwörter abarbeiten (Credential Stuffing), springen bei einem Account mit 2FA einfach zum nächsten ohne 2FA weiter. Der Aufwand lohnt sich für sie nicht. Sie sind kein lohnenswertes Ziel mehr – solange genug andere ohne diese Absicherung erreichbar sind.
Das klingt zynisch. Es ist aber eine präzise Beschreibung der Risikologik von Angreifern. Und es erklärt, warum 2FA – so trivial sie auch erscheint – einen fundamentalen Unterschied macht.
81 Prozent aller Kontokompromittierungen ließen sich verhindern. Die technische Lösung existiert. Sie ist kostenlos. Sie dauert fünf Minuten. Die einzige Frage, die bleibt: Wann aktivieren Sie sie?
