Wie sinnvoll eine Zwei-Faktor-Authentifizierung (2FA) ist, zeigt sich mittlerweile regelmäßig. Immer, wenn wieder einmal massenhaft Nutzerdaten im Netz auftauchen, können all jene aufatmen, die ihre Online-Konten bereits mit einem zweiten Faktor abgesichert haben. Eine einfache Möglichkeit dafür bieten Authentifizierungs-Apps, die zusätzlich zu Passwort und Nutzernamen für jedes Einloggen einen einmaligen, nur kurz gültigen Code generieren. SpardaSurfSafe, eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, zeigt, wie das funktioniert und worauf man achten sollte.
Es gehört heute leider zum Alltag, dass in regelmäßigen Abständen große Pakete mit Nutzerdaten von Diensten wie Facebook, Netflix, LinkedIn oder anderen Webseiten im Internet auftauchen. Wohl dem, der für jedes Konto ein eigenes Passwort nutzt, denn so können Cyberkriminelle zumindest nicht mehrere Konten mit einem einzelnen gestohlenen Datensatz übernehmen. Dass diese Schutzmaßnahme Sinn macht, hat sich mittlerweile herumgesprochen. Doch es gibt noch eine weitere Möglichkeit, seine Konten vor unbefugtem Zugriff zu schützen: Die Zwei-Faktor-Authentifizierung, kurz 2FA. Diese kennen die meisten bereits vom Onlinebanking, wo man sich mit seinen Nutzerdaten einloggt und für alle weiteren Aktionen eine TAN benötigt. Diese erhält man beispielsweise über die SpardaSecure-App. Doch nicht nur für Bankgeschäfte ist eine 2FA im Zuge der Sicherheit sinnvoll, auch Profile in sozialen Medien, Nutzerkonten bei Online-Shops oder Profile in Foren oder Blogs sollten mit einer 2FA geschützt werden, da Unbefugte so allein mit Nutzername und Passwort das Konto nicht übernehmen können.
Zwei-Faktor-Authentifizierung per SMS ist keine optimale Lösung
„Man sollte überall wo es möglich ist, auf eine 2FA zurückzugreifen. Die bekannte Methode mit einem Code per SMS ist jedoch nicht unbedingt die beste Wahl“, erklärt Götz Schartner vom Verein Sicherheit im Internet e. V., einem der Mitveranstalter von SpardaSurfSafe. „Zum einen tauchen SMS bei vielen Nutzern als Benachrichtigung auf dem Sperrbildschirm auf. Hier könnten Unbefugte mitlesen. Manche Kriminelle kopieren oder stehlen auch SIM-Karten, um an die Codes zu kommen, oder schleusen Trojaner ein, die SMS-Nachrichten abfangen können“, führt der Experte aus. Daher bietet beispielsweise Instagram eine 2FA mit SMS gar nicht erst an.
Die bessere Wahl: Authentifizierungs-Apps
Eine sicherere Methode ist die Nutzung sogenannter Authentifizierungs-Apps. Sie funktionieren fast alle nach dem gleichen Prinzip und sind daher weitgehend universell bei verschiedenen Diensten einsetzbar. Grundlage ist ein Algorithmus, der auf Grundlage eines Schlüssels und der aktuellen Zeit einen Einmalcode erzeugt. Der Schlüssel ist dabei nur lokal und auf dem Server bekannt. Der Code, der nur kurze Zeit gültig ist, wird dann beim Login als zweiter Faktor, zusätzlich zu den Nutzerdaten, eingegeben.
Die Einrichtung der Authentifizierungs-Apps läuft fast immer gleich ab. Nach der Installation aktiviert man in den Sicherheitseinstellungen des Dienstes, für den man die App verwenden möchte, die 2FA. Darauf erscheint auf der Webseite ein QR-Code, den man wiederum mit der App einscannt. „Das war es dann auch schon. Nach dem Scannen beginnt die App damit, alle 30 Sekunden einen neuen Code zu generieren, mit dem man sich einloggen kann“, erklärt Schartner. „Den Vorgang muss man einmalig bei allen genutzten Diensten wiederholen, dann hat man seine Konten abgesichert.“ Nur bei wenigen Anbietern ist die Nutzung einer speziellen App für die 2FA notwendig, so beispielsweise bei Adobe mit dem Adobe Authenticator. In der Regel lassen die Entwickler ihren Nutzern jedoch die Wahl. Wer eine Authentifizierungs-App nutzt, sollte unbedingt wie im Installationsverlauf empfohlen Back-up-Codes generieren und diese dann sicher verwahren für den Fall, dass man keinen Zugriff mehr auf die App hat.
Welche App ist nun die Beste?
Wer seine Konten über eine 2FA-App absichern will, hat die Qual der Wahl, denn sowohl für Android als auch für iOS stehen eine ganze Reihe an Anwendungen zur Verfügung. Wer es schnell und einfach will, kann sich für den Google Authenticator entscheiden. „Er tut genau das was er soll, nicht mehr und nicht weniger. Einziger Nachteil: Die Codes werden direkt angezeigt, ein unbefugter Mitleser könnte sie also ebenfalls sehen. Das macht z. B. Duo Mobile besser, hier muss man den Code für den jeweiligen Dienst erst antippen, damit er sichtbar wird“, erklärt Götz Schartner. Ebenfalls relativ leicht zu nutzen ist der Microsoft Authenticator. Hier kann der Nutzer selbst konfigurieren, ob der Code verborgen oder direkt angezeigt wird. „Natürlich gibt es neben diesen Authentifizierungs-Apps noch viele weitere Optionen für die jeweiligen Betriebssysteme. Man sollte jedoch darauf achten, dass es sich um einen vertrauenswürdigen Anbieter handelt“, fasst Götz Schartner zusammen. „Außerdem ist es sinnvoll, eine App mit dem verbreiteten OATH-TOTP-Algorithmus zu wählen.“
Grundsätzlich empfiehlt der Experte, die 2FA überall dort zu aktivieren, wo es möglich ist, um Kriminellen den Zugang zu Nutzerkonten und persönlichen Daten so schwer wie möglich machen. Authentifizierungs-Apps sind eine einfache und sichere Möglichkeit, genau das zu gewährleisten. Natürlich existieren auch andere Möglichkeiten wie der Versand der Einmalcodes per SMS oder die Nutzung von Hardware-Token, doch erstere sind weniger sicher und letztere zwar sicherer, aber auch teurer und weniger praktisch in der Anwendung.
Weitere Informationen zu Authentifizierungs-Apps und zu SpardaSurfSafe stehen unter https://www.spardasurfsafe-bw.de > „Thema des Monats“ zur Verfügung. Wer konkrete Fragen hat, kann kostenlos und anonym den Experten-Chat auf der Webseite nutzen. Dort stehen jeden Donnerstag von 17 bis 18 Uhr ein IT-Experte und ein Fachanwalt Rede und Antwort.
Über SpardaSurfSafe – eine Initiative der Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg
Veranstalter und Träger von SpardaSurfSafe ist die Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, die gemeinsam mit dem Kultusministerium Baden-Württemberg, dem Verein Sicherheit im Internet e. V. und dem Landesmedienzentrum Baden-Württemberg das Großprojekt im achten Jahr durchführt. In Kooperation mit den IT-Sicherheitsexperten der 8com GmbH & Co. KG wurde ein Konzept entwickelt, das die Schüler im Rahmen des Unterrichts im Umgang mit den Neuen Medien aufklärt. „Wir haben das Konzept in den vergangenen Jahren erfolgreich in 32 verschiedenen Städten in Baden-Württemberg mit rund 420.000 Teilnehmern durchgeführt. Dafür bekommen wir durchweg positives Feedback von den Teilnehmern, ob Schüler, Eltern oder Lehrer“, erklärt Patrick Löffler vom Verein Sicherheit im Internet e. V.