20. Mai 2020
E-Mail-Konto, Onlinehändler, digitale Bezahldienste – viele Online-Accounts stecken voller sensibler Daten. Die Zwei-Faktor-Authentisierung soll dafür sorgen, dass Hacker auch dann nicht in fremde Konten eindringen können, wenn sie bereits ein Passwort ausspioniert haben. Wie das Sicherheitsinstrument funktioniert und wie und wo man es einsetzen kann, erklärt Christoph Bayer, IT-Security-Experte von TÜViT.
#explore: Was ist die Zwei-Faktor-Authentisierung?
Christoph Bayer: Wie der Name schon sagt, erfolgt die Authentisierung dabei mit zwei verschiedenen und idealerweise voneinander unabhängigen Faktoren: einerseits etwa über den Faktor Wissen – meine PIN oder mein Passwort – und andererseits über den Faktor Besitz – meine Bankkarte oder ein TAN-Generator. In den letzten Jahren sind verstärkt biometrische Charakteristika hinzugekommen, also Fingerabdruck, Iris und Gesicht. Die Kombination mehrerer Faktoren soll verhindern, dass jemand, der mein Passwort kennt, sich einfach an meiner Stelle bei der Bank oder einem anderen Service einloggen kann. Bestenfalls sind bei der Onlineanmeldung auch die Übertragungswege der Faktoren voneinander getrennt. Über den Browser auf dem Laptop gebe ich beispielsweise mein Passwort ein, und über mein Smartphone erhalte ich dann einen Sicherheitscode, der für die Anmeldung zusätzlich erforderlich ist. Die Idee dahinter ist, dass ein Angreifer, der etwa durch eine Schadsoftware bereits meinen Laptop kompromittiert hat, nicht zugleich auch auf mein Handy zugreifen kann. Aus Sicherheitsgründen sollte man daher immer zwei separate Geräte für die Anmeldung verwenden und nicht beide Vorgänge der Zwei-Faktor-Authentisierung auf einem Gerät abwickeln.
Was sind gängige Methoden für die Zwei-Faktor-Authentisierung?
Die zusätzliche Sicherheitsstufe besteht in der Regel aus der Abfrage eines zweiten Passworts, das exklusiv für diesen Log-in erzeugt wird. Je nach Anbieter wird der Code über eine spezielle App auf dem Smartphone generiert, oder man bekommt ihn per SMS oder E-Mail zugeschickt. Auch eine entsprechende Hardware wie ein sogenanntes Sicherheitstoken in Form eines bestimmten USB-Sticks kann als zweiter Faktor verwendet werden. Ebenso können der Fingerabdruck oder das Gesicht des Nutzers als zweiter Faktor dienen, die über das Smartphone gescannt und mit einer besonderen App des Anbieters verifiziert werden. Die Anmeldung zur digitalen Steuererklärung über den Onlinedienst Elster kombiniert dagegen ein Passwort mit einem Softwarezertifikat, das lokal auf dem Rechner des Nutzers gespeichert ist.
Bei welchen Anbietern kann ich bereits eine Zwei-Faktor-Authentisierung nutzen?
Bei einigen Internetdiensten wie etwa der Spieleplattform Steam muss man standardmäßig bereits bei der Anmeldung auf einem neuen Gerät oder in einem anderen Browser zusätzlich zum Passwort einen Sicherheitscode eingeben, den der Anbieter automatisch an das Mailkonto schickt. Die meisten großen Dienste wie Google, Microsoft, Apple, Paypal, Amazon oder Dropbox und soziale Netzwerke wie Twitter oder Facebook bieten ihrerseits schon die Möglichkeit zur Zwei-Faktor-Authentisierung. Diese ist in den meisten Fällen deaktiviert, man muss sie also in den Sicherheitseinstellungen des jeweiligen Onlinekontos aktivieren.
„Ein Schaden entsteht nicht nur, wenn Cyberkriminelle in mein Onlinebanking oder den E-Mail-Account eindringen.“
Die Zwei-Faktor-Authentisierung macht den Anmeldevorgang immer ein wenig unbequemer. Benötige ich denn tatsächlich bei jedem Onlinedienst zur Sicherheit einen zweiten Faktor?
Natürlich ist eine Zwei-Faktor-Authentisierung erst einmal etwas aufwendiger, zumal man ja auch im Urlaub den zweiten Faktor dabeihaben muss, um etwa auf das E-Mail-Konto zugreifen zu können. Manche der genutzten Onlinedienste mögen einem da weniger wichtig und schützenswert erscheinen als andere. Als IT-Sicherheitsberater empfehle ich aber, den Zugang zu den eigenen Diensten immer so sicher wie möglich zu gestalten – also mit einem zweiten Faktor. Denn ein Schaden entsteht nicht nur, wenn Cyberkriminelle in mein Onlinebanking oder den E-Mail-Account eindringen. Auch wenn Angreifer das Facebook-Konto kapern und darüber kompromittierende Bilder oder Nachrichten verbreiten, kann das für mich sehr unangenehme Konsequenzen haben.
Das könnte Sie auch noch interessieren
ZUR PERSON
© TÜV NORD
Christoph Bayer ist IT-Sicherheitsberater und -Evaluator bei TÜViT. In seinem Arbeitsalltag beschäftigt sich der Diplom-Mathematiker schwerpunktmäßig mit der Sicherheit von Smartcards – von Zahlungskarten über den elektronischen Reisepass bis hin zur Gesundheitskarte.