koffer-mit-schloessern-symbolfoto-sicherheit-2fa-zwei-faktor-authentifizierung
Zwei-Faktor-Authentifizierung (2FA) schützt Ihre Daten besser

Zwei-Faktor-Authentifizierung (2FA) sollte für Selbstständige so naheliegend sein wie die Verwendung sicherer Passwörter.

Der Grund: Immer häufiger erweist sich die klassische Login-Methode (Benutzername und – möglichst sicheres – Passwort) als nicht ausreichender Schutz gegen unbefugte Zugriffe. Hacker erlangen Logindaten und bekommen so Zugriff auf Informationen und Zahlungsmittel. Dabei bietet Zwei-Faktor-Authentifizierung zusätzliche Sicherheit mit minimalem Aufwand.

Zwei-Faktor-Authentifizierung bedeutet, dass Sie neben der gültigen Kombination aus Benutzernamen und Passwort noch eine zweite Information benötigen, um online Zugriff auf Ihre Daten zu erhalten.

Ich möchte Zwei-Faktor-Authentifizierung an Beispielen erläutern:

 

Worum es bei 2FA grundsätzlich geht, zeigen die beiden Screenshots von Paypal und Amazon. Obwohl der Nutzer bereits seinen Nutzernamen und das richtige Passwort eingegeben hat, erhält er, wie die Abbildungen zeigen, noch keinen Zugriff auf das entsprechende Konto. Zuvor muss noch ein per SMS (Paypal) bzw. via App (Amazon) erhaltener Einmal-Code eingegeben werden.

Wie funktioniert’s? Zwei-Faktor-Authentifizierung am Beispiel Google / Google Mail

Nutzer webbasierter E-Mail-Dienste wie beispielsweise Google loggen sich normalerweise mit der Kombination aus E-Mail-Adresse und Passwort ein. Kommt Zwei-Faktor-Authentifizierung (2FA) hinzu, ist es auch hier erforderlich, ein weiteres Sicherheitsmerkmal einzugeben. So reduziert sich die Möglichkeit unbefugter Zugriffe auf ein Minimum.

Google-2FA-Assistent
Google führt Nutzer, die Zwei-Faktor-Authentifizierung wünschen, mit einem leicht verständlichen Assistenten durch die Einrichtung.

 

Google-2FA-Einrichtung
Zum Testen von 2FA sendet Google dem Nutzer einen Security Code per SMS oder Sprachanruf.

 

Richtet man die Zwei-Faktor-Authentifizierung bei Google erstmals ein, so schlägt der Einrichtungsassistent zunächst den Weg „SMS oder Sprachanruf“ vor und führt den Nutzer durch einen entsprechenden Testlauf. Dabei wird 2FA nicht sofort aktiviert. Google sendet dem Nutzer einen Zahlencode auf’s Handy. Wird dieser eingegeben, so war der Test erfolgreich. Der Nutzer kann erst dann, nach erfolgreichem Testlauf, entscheiden, ob die Zwei-Faktor-Authentifizierung fortan verwendet werden soll.

 

Einrichtung der Zwei-Faktor-Authentifizierung bei Google via SMS oder Sprachanruf
Geschafft! Jetzt kann 2FA aktiviert werden.

 

Es empfiehlt sich, im Rahmen der Ersteinrichtung von 2FA gleich drei Dinge mit zu erledigen:

  1. Back-up-Codes generieren und sicher verwahren: Google bietet die Möglichkeit, für den Fall vorzusorgen, dass man als Nutzer keinen Zugriff auf das im Rahmen der Zwei-Faktor-Authentifizierung definierte Handy / Smartphone hat. Das kann ja passieren, etwa, wenn das Smartphone verloren ging oder defekt ist. In solchen Fällen können Back-up-Codes als Ersatz benutzt werden. Die ersten zehn Codes sollten Sie gleich im Rahmen der Einrichtung generieren und sicher verwahren – nur für den Fall. Diesen Schritt sollten Sie nicht auf später verschieben.
  2. Einen zweiten und evtl. auch dritten Weg für die Zwei-Faktor-Authentifzierung definieren: Sie könnten hier beispielsweise zusätzlich eine zweite Handynummer oder Ihre Festnetznummer angeben – auch dies für den Fall, dass Sie auf Ihr primäres Zwei-Faktor-Gerät keinen Zugriff haben.
  3. Für mehr Komfort: die Option „Aufforderung durch Google“ aktivieren. Wenn Sie ein Android-Gerät verwenden oder ein iPhone mit installierter und eingeloggter Google App, dann wird Sie Ihr Smartphone im Rahmen der Anmeldung aktiv zur Bestätigung des Loginversuchs auffordern. Kein mühevolles Abtippen von Ziffernfolgen ist nötig, stattdessen reicht das kurze Bestätigen via Touch ID (Fingerabdruck) oder Smartphone Code. Natürlich sollten Sie dazu nur ein Smartphone verwenden, das durch einen Code geschützt ist.

Hier die Optionen im Überblick:

Google-Zwei-Faktor-2FA-Alternativen
Bei 2FA führen potentiell viele Wege zum Ziel. Nutzer sollten auf jeden Fall mehrere Authentifizierungs-Möglichkeiten einrichten.

 

Mehrere 2FA-Codes mit einer App erzeugen

mehrere schluesselEinmal-Zahlencodes lassen sich für mehr als nur einen Dienst von einer zentralen Smartphone App aus erzeugen. Es gibt Apps, die 2FA-Codes beispielsweise für Google, Amazon, gängige Passwort-Manager oder auch Content-Management-Systeme erzeugen können. Vorteil: Sie verwenden eine 2FA App für alle möglichen Dienste.

Eine dieser Apps nennt sich Google Authentificator und ist nicht nur auf Android, sondern auch auf iPhones lauffähig. Es gibt auch zahlreiche Alternativen am Markt, im Zweifel würde ich allerdings Apps von bekannten und vertrauenswürdigen Anbietern den Vorzug geben. Rückblickend sind manche Sicherheitsmängel haarsträubend: So gab es etwa bei der App „Authy“, die (laut Google Trends) aktuell sehr gefragt ist, vor einiger Zeit eine unfreiwillige Hintertür.

2FA Apps für Smartphones erzeugen Zahlencodes für den Zwei-Faktor-Login. Jeder Code gilt nur 60 Sekunden lang und ist völlig individuell, da die entsprechende App entsprechend personalisiert wurde. Dazu muss der Benutzer einmalig mit der App (in diesem Beispiel: Google Authentificator) einen vom E-Mail-Dienst angezeigten QR-Code scannen. Damit ist die App mit dem Dienst verbunden. Man muss den QR Code kein zweites Mal scannen. Fortan dient die App als zweiter Sicherheitsfaktor im Rahmen des Login.

In der Regel ist die Eingabe des Smartphone-Codes übrigens nicht täglich erforderlich: Durch Anklicken einer entsprechenden Checkbox können Nutzer festlegen, dass der E-Mail-Dienst dem entsprechenden Browser eine bestimmte Zeit lang vertraut. Das reduziert einerseits graduell die Sicherheit, andererseits sorgt dies für ein Stück mehr Komfort. Selbstverständlich können Sie auf dieses Mehr an Komfort auch verzichten und die Zwei-Faktor-Anmeldung bei jedem Login vorschreiben.

Wo Sie Zwei-Faktor-Authentifizierung nutzen sollten

Es ist empfehlenswert, Zwei-Faktor-Authentifizierung bei allen Diensten zu nutzen, die finanzielle Transaktionen ermöglichen oder Zugriff auf persönliche und geschäftliche Daten gewähren: E-Mail und Messaging, E-Commerce, Cloud-Speicher- und Payment-Dienste, um nur einige Bereiche zu nennen. Neben den bereits erwähnten Diensten bieten beispielsweise auch Apple, Facebook und – gerade in der Startphase – künftig auch Whatsapp Zwei-Faktor-Autentifizierung.

Doch wozu der ganze Aufwand? Warum Zwei-Faktor-Authentifizierung?

Regelmäßig greifen Hacker Websites an und erbeuten millionenfach persönliche Daten. Gehören Ihre auch dazu?

Das Bundesamt für Sicherheit in der Informationstechnologie bietet einen einfachen Sicherheitstest, der Aufschluss darüber gibt, ob bestimmte E-Mail-Adressen von Datenlecks betroffen sind.

Ähnlich funktioniert der HPI Identity Leak Checker beim Hasso-Plattner-Institut (HPI): Auch hier können Sie durch Eingabe Ihrer E-Mail prüfen, ob Ihre persönlichen Identitätsdaten bereits im Internet veröffentlicht wurden. Kontrolliert wird, ob Ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet veröffentlicht wurde und missbraucht werden könnte.

Abrundend empfiehlt es sich, einmal die eigene E-Mail-Adresse zu googeln (in Anführungszeichen eingeschlossen) und die Ergebnisse zu prüfen. Deuten sich Hinweise auf Datenlecks an? Wie sieht es aus, wenn Sie Ihren Vor- und Zunamen, eingeschlossen in Anführungszeichen, in Verbindung mit „Geburtsdatum“ oder mit Ihrem in Anführungszeichen eingeschlossenen Geburtsdatum googeln?

Grundsätzlich gilt: Derartige Angaben sollten im Internet nicht öffentlich verfügbar sein. Schließlich geben viele Hotlines bereitwillig Auskunft zu vertraulichen Details über beispielsweise Kundenkonten, wenn Anrufer die Fragen nach aktueller Adresse und Geburtsdatum korrekt beantworten können.

„Meine E-Mail-Adresse ist von einem Leak betroffen. Was kann ich tun?“

Wird Ihre E-Mail-Adresse in einem der beiden Leak-Tests als betroffen identifiziert, so sollten Sie zu diesen Sofortmaßnahmen greifen:

  • schnellstmöglich Ihr Passwort bei allen relevanten Onlinediensten ändern
  • bei allen Diensten, die Ihnen wichtig sind, auf Zwei-Faktor-Authentifizierung umstellen

Anmerkung: Die Testergebnisse bei BSI und HPI werden auch nach einer Passwortänderung unverändert positiv bleiben, denn die Checks beziehen sich auf Datenlecks in der Vergangenheit. Am Testergebnis werden Ihre Sofortmaßnahmen daher nichts ändern, wohl aber an Ihrer Account-Sicherheit.

Sollten Sie persönliche Daten wie Ihr vollständiges Geburtsdatum im öffentlich zugänglichen Internet finden: Versuchen Sie, die Ursache zu beheben. Verzichten Sie darauf, in Social Networks ihr vollständiges Geburtsdatum zu veröffentlichen. Bitten Sie Betreiber von Websites, die Ihr Geburtsdatum veröffentlichen (etwa, weil sie es aus dem Handelsregister gezogen haben), diese Angabe zu eliminieren.

Fest steht: Wenn es erstmal zu spät ist und vertrauliche Daten im Netz stehen oder Accounts gehackt sind, so haben Sie kaum noch Möglichkeiten, den Schaden effektiv zu begrenzen. Nicht auszumalen, was Hacker alles anrichten können, wenn sie an Ihre Logindaten für relevante Websites gelangen.

Daher finde ich: Zwei-Faktor-Authentifizierung ist (nicht nur) für Selbstständige eine unverzichtbare Vorsichtsmaßnahme.

Bernhard JodeleitAutor dieses Beitrags:

Bernhard Jodeleit berät Unternehmen in Sachen Digitalstrategie, Online Marketing und Krisenkommunikation. Zudem beschäftigt er sich seit Jahren mit dem sicheren Betrieb von Unternehmenswebsites und der Abwehr von Cyber-Angriffen.

Hinweis: Die finanziellen Folgen von Cyberkriminalität können sehr schnell existenzbedrohende Ausmaße annehmen – vor allem für klein- und mittelständische Unternehmen, die weder über die finanziellen Mittel, noch über das adäquate Krisenmanagement zur Bewältigung verfügen. Die Hiscox Cyber-Versicherung bietet genau diese Sicherheit und deckt finanzielle Risiken ab, die durch Cyberattacken und Datenrechtsverletzungen auf Sie zukommen können. Zur Cyber Versicherung