Deine Passwörter sind okay. Dein 2FA nicht.

TL;DR

• SMS-basierte Zwei-Faktor-Authentisierung ist kaputt, und das schon seit Jahren. Authenticator-Apps sind besser, können aber von modernen Phishing-Kits umgangen werden.
• Das einzige 2FA, das wirklich funktioniert, ist ein physischer Security-Key. Einer kostet etwa fünfzig Euro und ersetzt das ganze Chaos.

Hintergrund

Die Geschichte, die jeder Sicherheitsexperte leid ist zu erzählen: Du hast ein tolles Passwort, es liegt in einem Manager, du hast 2FA aktiviert, weil du ein verantwortungsbewusster Erwachsener bist, und du fühlst dich sicher. Bist du nicht[^1]. Das Protokoll, auf das du dich wahrscheinlich verlässt – ein sechsstelliger Code per SMS oder aus einer Authenticator-App – wurde nachträglich ans Internet drangeflanscht. Es wurde nie dafür entwickelt, einem Angreifer zu widerstehen, der deinem Mobilfunkanbieter eine Frage stellen kann.

Was passiert ist

Behördliche Richtlinien sind seit Jahren eindeutig: SMS-basierte Zwei-Faktor-Authentisierung ist „deutlich weniger sicher“ als Alternativen. Angreifer nutzen SIM-swapping routinemäßig, nicht als Elite-Manöver[^2]. Ein SIM-swap ist kein Hack. Es ist ein Telefonat mit einem Mobilfunkanbieter, geführt von jemandem mit deinen öffentlich auffindbaren Daten und einer überzeugenden Geschichte. Innerhalb von zehn Minuten wird deine Nummer auf eine SIM-Karte in einer Schublade irgendwo anders umgeleitet, und jeder „Wir schicken dir einen Code“-Login gehört jetzt ihnen.

Authenticator-Apps – Google Authenticator, Authy, die App, die dein Arbeitgeber dich zur Installation gezwungen hat – lösen das SIM-swap-Problem, aber nicht das Phishing-Problem. Die sechs Ziffern auf deinem Bildschirm sind nur einen Proxy davon entfernt, abgefangen und wiedergegeben zu werden. Moderne Phishing-Kits erledigen diese Weiterleitung in Echtzeit: Die gefälschte Login-Seite des Angreifers leitet deinen Code innerhalb des 30-Sekunden-Fensters an die echte Seite weiter. Du siehst nie ein falsches Schloss-Symbol. Du wirst einfach vierzig Minuten später gehackt und wunderst dich, wie das passieren konnte.

Die Lösung ist nicht „sei vorsichtiger“. Niemand ist so vorsichtig, konsequent, um 2 Uhr morgens, am Handy, nach einem Flug. Die Lösung ist, deine Authentisierung von dem Ding wegzunehmen, das ausgetrickst werden kann. Dieses Ding sind deine Augen, dein Urteilsvermögen und das Mobilfunknetz. Ein physischer Security-Key – der kleine USB-C- oder NFC-Dongle, der weniger kostet als ein schönes Abendessen – bindet den Login kryptografisch an die Domain. Tipp dein Passwort auf einer pixelgenauen, gefälschten Amazon-Seite ein, tippe auf den Key: Nichts passiert. Der Key weiß, dass es nicht das echte Amazon ist. Die Seite muss wirklich die Seite sein, sonst bleibt der Key stumm. Es gibt keinen Code zum Vorlesen, keinen Push zum Bestätigen um 3 Uhr morgens, wenn du halb schläfst. Es funktioniert entweder oder nicht, und der Angreifer hat keinen Weg hinein.

Warum es wichtig ist

Die Rechnung dahinter ist fast schon peinlich. Zwei Stunden an einem Samstag, sechs kritische Konten – E-Mail, Bank, Passwort-Manager, GitHub, die Krypto-Wallet, von der du vergessen hast, dass du sie besitzt – und du hast die Tür geschlossen, durch die die meisten echten Kontoübernahmen direkt hineinspazieren. Die Keys sind standardisiert (FIDO2/WebAuthn), werden von jedem großen Dienst unterstützt und brauchen keine Batterien. Du hast einen in der Tasche und einen Ersatz in der Schublade. Das ist das ganze System.

Was mich immer noch überrascht, ist, wie wenige Leute einen besitzen. Der durchschnittliche technisch versierte Leser dieser Seite besitzt mit ziemlicher Sicherheit keinen. Sie haben einen Passwort-Manager, fühlen sich gut mit ihrem Setup und sind nur eine sorgfältig formulierte E-Mail davon entfernt, den Zugriff auf das zu verlieren, worüber ihr Leben läuft. Das ist keine Paranoia. Es ist Arithmetik: Jede ernsthafte Post-Mortem-Analyse einer Konto-Kompromittierung, die ich in den letzten drei Jahren gelesen habe, hatte einen Moment, in dem ein Hardware-Key in der Tasche die Geschichte auf Seite eins beendet hätte.

Wenn du eine Sache aus diesem Text mitnimmst, dann diese: Kauf einen Key, richte ihn dieses Wochenende für dein E-Mail-Konto ein und verbringe dreißig Minuten mit dem Recovery-Prozess, damit dein Zukunfts-Ich nicht an einem Flughafen ausgesperrt wird. Das ist alles. Du hast gerade das Bedrohungsmodell eliminiert, das für mehr gewöhnlichen finanziellen Schaden verantwortlich ist, als Ransomware jemals geschafft hat.

Ein Beispiel aus der Praxis

Stell dir Maria vor. Freelance-Designerin, 34, nutzt Gmail für alles – Kundenrechnungen, Steuerbelege und das Konto, an das die Wiederherstellung ihres Passwort-Managers gebunden ist. Montagmorgen bekommt sie eine SMS: „Google: Neuer Login aus Berlin. Warst du das? Antworte mit J oder N.“ Sie denkt sich, sie ist in Hamburg, antwortet mit N und glaubt, sie sei hilfreich. Es war ein Phishing-Test: Der Angreifer hatte ihr Passwort bereits aus einem Jahre alten Datenleck, und ihr N war das entscheidende 2FA-Signal, das sie brauchten, um die Session zu fixieren. Bis zur Mittagspause ist ihr Google-Konto weg, ihr Passwort-Manager geleert und drei ihrer Kunden erhalten Rechnungen mit einer neuen IBAN. Jetzt spiel diesen Montag noch einmal mit einem Hardware-Key auf dem Konto durch. Die pixelgenaue Google-Login-Seite des Angreifers fragt den Key nach einer Signatur. Der Key prüft die Domain, sieht, dass es nicht accounts.google.com ist, und tut nichts. Es gibt keine Aufforderung, die Maria missverstehen könnte. Marias Montag bleibt langweilig.

Passende Produkte

Der Key, den die meisten besitzen sollten: USB-A mit NFC, damit er am Laptop und per Tap-to-Auth am Handy funktioniert, FIDO2-zertifiziert und von dem Hersteller, an dessen Implementierung sich alle anderen messen.