News

Deutsche Firmen drücken sich vor Zwei-Faktor-Authentifizierung

(Foto: Shutterstock)

Internationale Großkonzerne machen es vor: Für den Login können Kunden die Option wählen, dass neben dem Passwort zusätzlich ein Einmalkennwort abgefragt wird. Viele deutsche Firmen lehnen das als zu kompliziert ab.

Kaum ein großer Onlinehändler oder ein Buchungsportal in Deutschland will seinen Kunden mehr Sicherheit beim Login ins Kundenkonto durch die Zwei-Faktor-Authentifizierung (2FA) anbieten. Bei 2FA benötigen Kunden neben Anmeldenamen und Passwort einen zusätzlichen Sicherheitsfaktor, etwa einen Einmal-Code. Firmen und Verbände befürchten wirtschaftliche Einbußen oder gehen davon aus, dass Nutzer kein Interesse an 2FA haben.

Nutzer von Onlinebanking oder Menschen, die im Internet einkaufen, kennen 2FA bereits: Seit Mitte September gilt die gesetzliche Pflicht zur „starken Kundenauthentifizierung“, also 2FA. Neben den üblichen Anmeldeinformationen muss eine einmalige Transaktionsnummer (TAN) angefordert werden, etwa per SMS an eine zuvor bei der Bank hinterlegte Handynummer. Gedruckte TAN-Listen sind nicht mehr gültig. Damit sollen Kriminelle nicht mehr so einfach unbefugt einkaufen gehen oder fremde Bankkonten leerräumen können.

Doch nicht nur Geld ist schützenswert, sagt der Sicherheitschef der Allianz-Tochter Iconicfinance, Vincent Haupert. „Auch Bestell- und Buchungshistorien oder die Anschrift sind sensible Daten.“ Er plädiert für eine breitere 2FA-Implementierung: „Aus Nutzersicht ist das sehr attraktiv, damit man erst gar keinen nachfolgenden Ärger, etwa mit Identitätsdiebstahl, hat.“

Verschiedene Formen von 2FA

2FA gibt es in unterschiedlichen Formen. In einem optimierten Szenario verfügt der Kunde neben dem Anmeldename und Passwort als sogenanntes Wissenselement auch über ein Besitzelement. Dies kann ein Smartphone oder ein Schlüssel sein. Beim Smartphone wird dann ein sechsstelliger Code entweder per SMS zugestellt oder in einer Generator-App erstellt. Der individuelle Code kann beliebig oft angefordert werden und ist jeweils nur einmalig gültig. Internationale Unternehmen wie Facebook, Apple, Twitter oder Amazon bieten 2FA bereits länger an.

Deutsche Anbieter sind dagegen zurückhaltender. „Zwei-Faktor-Authentisierung brauchen wir nicht“, sagt ein Sprecher des Hamburger Versandhändlers Otto. Das Unternehmen vertraue stattdessen auf „diverse technische Maßnahmen“. Durch 2FA dauere der Kaufvorgang länger, so sei das Kauferlebnis unattraktiver. Auch die Otto-Tochter About You und Zalando verzichten auf 2FA. „Das wäre zu aufwendig für unsere Kunden“, sagt eine Sprecherin von About You. Man glaube nicht, dass Kunden den Zusatzschutz nutzen würden. Zalando verweist auf das „eigene, komplexe Datensicherheitssystem“.

Laut Digitalbarometer 2019 war bereits knapp jeder Vierte Opfer von Kriminalität im Internet. Dabei handelte es sich am häufigsten um Betrug beim Onlineshopping (36 Prozent), gefolgt vom Ausspähen vertraulicher Daten, sogenannte Phishing-Fälle, mit 28 Prozent. Identitätsdiebstahl wurde von 18 Prozent der Befragten genannt.

Aber nicht nur Online-Versandhändler verzichten auf Zwei-Faktor-Logins. Das Hotelbuchungsportal HRS bietet keine 2FA an mit der Begründung, die Zahlung erfolge bei Abreise oder über einen externen Dienstleister. HRS befürchtet, dass der zweistufige Anmeldungsvorgang der Buchungsvorgang „massiv erschwere“ – also dass weniger Menschen buchen.

Die Lufthansa erklärte, sie wolle sich aus Sicherheitsgründen nicht dazu äußern, warum sie keine 2FA anbietet. Die Tochter Eurowings will dies zumindest prüfen. Die Deutsche Bahn schafft nach eigenen Angaben zurzeit die technologischen Voraussetzungen dafür.

Es gibt unterschiedliche Meinungen

Mitunter sind es auch schwache, mehrfach genutzte Passwörter, die für eine breitere 2FA-Implementierung sprächen. „Schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt“, sagt der Direktor des Hasso-Plattner-Instituts (HPI), Christoph Meinel. Er plädiert dafür, 2FA so schnell wie möglich zu aktivieren, sobald ein Dienstleister die Option anbietet. Dass sich Unternehmen gar gegen die Sicherheitsmaßnahme sträuben, kann Meinel nicht verstehen: „Jeder Serviceanbieter sollte dem Nutzer diese Entscheidung überlassen.“ Besonders wichtig sei ein zusätzlicher Schutz bei „allem, was mit Geld, was mit hohem Wert, dem Bereich der Gesundheit oder der Privatsphäre“ zu tun hat.

Das sehen aber nicht alle so. 2FA stehe „im Widerspruch zu den Anforderungen einer guten Nutzererfahrung“, heißt es beim Handelsverband Deutschland (HDE). „Gerade im Onlineshopping ist es von besonderer Bedeutung, hier den Interessenten einen möglichst schlanken und hürdenlosen Checkout zu ermöglichen“, argumentiert ein HDE-Sprecher. Jeder extra Schritt schmälere die Wahrscheinlichkeit eines Kaufabschlusses. Ähnlich sieht das der Bundesverband Onlinehandel: Die Gefahr des Abbruchs durch den Kunden sei extrem hoch, weswegen sich der Verband auch gegen die „Realisierung von PSD2 und erst Recht der Ausweitung auf weitere Gebiete“ stelle.

In gewissem Umfang versteht auch IconicFinance-Sicherheitschef Haupert die Bedenken: „Händler wollen keine zusätzliche Hürde einbauen.“ Zugleich glaubt er, dass es nur eine Frage der Zeit sei, bis 2FA flächendeckender angeboten werde. „Wenn es in der Bevölkerung mehr Nachfragen danach gibt, werden die Anbieter dem nachkommen.“ dpa

Zum Weiterlesen:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
Dennis
Dennis

Mangels funktionierenden Handys (ist einfach mal kaputt gegangen) und damit keine Möglichkeit an den zweiten Faktor zu kommen, habe ich jetzt die Konzertkarten klassisch bestellt. Bekomme jetzt also eine Rechnung per Post, renne dann zum Bankautomaten und überweise (Handy ist ja kaputt und noch kein Ersatz da), und dann bekomme ich die Karten per Post.
Am Automaten hole ich dann Bargeld, damit ich mir n neues Smartphone kaufen kann ;-) Weil ohne das Bargeld und mit kaputten Smartphone kann ich ja nicht mit Apple Pay zahlen :-o

Geile Welt. Das soll ein Fortschritt sein?

Antworten
Titus von Unhold
Titus von Unhold

Man kann 2FA auch als MFA implementieren und den zweiten Faktor wahlweise vom Kunden per App generieren lassen (die auf mehreren Geräten installierbar ist), auf eine zusätzlich hinterlegte Mailadresse oder an eine zweite Mobilfunk oder Festnetznummer senden. Das ist alles kein Problem.

Antworten
Kevin
Kevin

Ein Fortschritt wäre, angesichts deiner bewußt gemachten Abhängigkeit zu Apple und den anderen schönen Dingen dieser tollen neuen Welt, wenn du dir ein billiges Zweitgerät für den Notfall zu legst, denn das Thema hier lautet: doppelte Absicherung!
Oder du verzichtest einfach auf ein paar vermeintlich fortschrittliche Kleinigkeiten, die dich eventuell in zu große Abhängigkeit zwingen.
…nur so als Tipp.

Antworten
Martin_KonVis

Leider gibt es auch Hoster… die keine zwei Faktoren Authentifizierung anbieten und darauf vertrauen, dass ein Username + Passwort ausreicht sowie scheinbar keine Roadmap für die Einführung haben.

@t3n wäre das nicht mal ein spannender Artikel MFA im Bezug auf Hosting näher zu beleuchten? Welche Anbieter haben es, welche haben Roadmap usw?

Antworten
Tim Weber
Tim Weber

Mir geht diese ganze 2FA so unfassbar auf die nerven.

Ich will zum onlinebanking nicht jedes mal mein Handy dabei haben, mir jeden tag zig TANs schicken lassen.

ES NERVT! Und es ist total umständlich.
Probleme mit Datensicherheit oder sonstwas hatte ich die letzten 10 Jahre auch nicht.
Für mich vollkommen sinnlos…

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung