Als bekannt wurde, dass ein Doxer zahlreiche persönliche Daten von Prominenten geleakt hatte, hatten Artikel mit Sicherheitstipps einmal mehr Konjunktur. In denen stehen dann die üblichen Tipps: Klicke nicht auf Links und Anhänge in obskuren Mails, verwende starke, schwer zu knackende Passwörter. Oder schalte am besten überall Zwei-Faktor-Authentifizierung ein.

Dass letztere immer noch relativ selten eingesetzt wird, liegt sicherlich auch daran, dass sie unbequem ist. Und vielleicht auch daran, dass das Wort „Zwei-Faktor-Authentifizierung“ so unglaublich technisch und kompliziert klingt, dass viele Nicht-Informatiker sofort zum Browsertab mit den Katzenvideos wechseln.

Dabei ist Zwei-Faktor-Authentifizierung eigentlich ganz einfach: Statt nur Name und Passwort einzugeben, musst du zusätzlich noch eine Nummer eintippen, die bei jedem Login wechselt. Das kennen wir alle vom Online-Banking mit seinen Tan-Listen und ihren Nachfolgern I-Tan bis M-Tan. Diese Nummer kommt üblicherweise per SMS aufs Handy. Erbeutet ein Hacker dein Passwort, kommt er damit noch lange nicht in deinen Mail- oder Social-Media-Account, schließlich benötigt er zusätzlich dein Handy.

Einbrechen wird sehr viel schwerer – aber leider nicht unmöglich. Insbesondere SMS als Weg für die Zwei-Faktor-Authentifizierung hat sich als unsicher erwiesen, und das liegt am Mobilfunk-Netz. SMS werden darin unverschlüsselt übertragen. Theoretisch hat niemand Zugriff auf die Daten, die im Funknetz hin und her geschickt werden, praktisch enthält der in den Mobilfunknetzen benutzte Standard SS7 mehrere Sicherheitslücken. Und Tools zum Ausbeuten dieser Lücken kursieren frei im Internet.

Das funktioniert nicht nur in der Theorie: Im Herbst 2017 wurde bekannt, dass es Angreifern gelungen ist, in einen Google-Account einzudringen und eine Bitcoin-Wallet zu verwenden, indem sie die Sicherheitslücken in SS7 ausnutzten. Ändern kann man daran nicht viel: SS7 ist international verbreitet und es dauert sehr lange, bis die Telefongesellschaften ihre Standards aktualisiert haben. Zum Beispiel wird auch der seit Jahren auf seine Einführung wartende SMS-Nachfolger RCS die übertragenen Daten nicht verschlüsseln und somit anfällig für Sicherheitslücken in SS7 sein.

Natürlich sind die Anbieter von Cloud-Diensten und Social-Media-Plattformen unzufrieden mit der Situation. Schließlich müssen sie verhindern, dass ihre Nutzer Angst haben, dass ihre Daten gehackt und geleakt werden könnten. So arbeitet Instagram bereits an einer Variante der Zwei-Faktor-Authentifizierung, bei der nicht mehr SMS zum Einsatz kommt, sondern eine separate App. Ähnliche Systeme finden sich auch schon vereinzelt, allerdings habe ich als Nutzer derzeit keine Wahl, sondern kann nur die Login-Verfahren benutzen, die die Anbieter auch bereitstellen.

Neben technischen Sicherheitslücken ist es aber auch der menschliche Faktor, der die Zwei-Faktor-Authentifizierung unsicher macht: Wer sein Telefon verliert und somit die SMS mit dem Freischalt-Code nicht empfangen kann, wird schlagartig aus allen so gesicherten Accounts ausgesperrt. Der Kundensupport bietet daher die Möglichkeit, die Zwei-Faktor-Authentifizierung zurückzusetzen. Zumeist werden dabei Daten wie Geburtsdatum oder eine geheime Antwort der Sorte „Was ist die Lieblingsfarbe Ihrer Oma“ abgefragt. Im aktuellen Fall von Massendoxing soll der Angreifer es geschafft haben, den Twitter-Support eines seiner Opfer breitzuschlagen und die Zwei-Faktor-Authentifizierung zurückzusetzen, sodass er den Twitter-Account eines seiner Opfer übernehmen konnte.

Anhand solcher Probleme wird klar, dass Zwei-Faktor-Authentifizierung nicht das Ende der Fahnenstange sein kann und die Industrie sich Gedanken über völlig andere Authentifizierungsverfahren machen muss. Hierzu wurde der FIDO-Standard ins Leben gerufen, der von einer Reihe von Banken und Branchengrößen wie Google, Facebook oder auch Dropbox unterstützt wird. Ein Beispiel für die Umsetzung ist der Titan-Sicherheitsschlüssel von Google. Dabei handelt es sich um eine Art USB-Key mit einem Schlüssel, der für das Login verwendet wird. Bei klassischen PCs steckt man ihn in einen USB-Port, mit Tablets und Smartphones kann er sich via Bluetooth verbinden. Ähnlich funktioniert der Yubikey von Yubico, der zusätzlich auch per Lightning oder NFC mit dem Computer oder Smartphone verbunden werden kann.

Zumindest wer sensible Daten zu schützen hat oder in Unternehmen für die personenbezogenen Daten seiner Kunden Verantwortung trägt, sollte über solche Lösungen nachdenken. Allerdings hilft sie auch nicht weiter, wenn das eigene System zusätzlich noch virenverseucht ist. Umgekehrt dürfen die Sicherheitslücken in der Zwei-Faktor-Authentifizierung nicht dazu führen, dass die Menschen jetzt denken: „Oh, 2FA ist doch unsicher, spar ich mir die Mühe und verwende halt weiter mein altes Passwort 123456.“

Viele Hacks setzten relativ großes Fachwissen voraus und kommen zum Einsatz, wenn professionelle Hacker eine konkrete Person oder Organisation angreifen wollen. Sehr viele Einbrüche in Cloud- und Social-Media-Accounts basieren aber nicht auf gezielten Angriffen, sondern funktionieren nach dem Schleppnetz-Prinzip. Oftmals werden bei Hacks großer IT-Firmen lange Listen von Zugangsdaten erbeutet und geleakt. Angreifer arbeiten diese Listen systematisch durch und probieren die Zugangsdaten an allen möglichen anderen Accounts von Dropbox bis Facebook durch, bis sie irgendwo reinkommen und sich umsehen, ob sich etwas interessantes findet.

Hier bleibt Zwei-Faktor-Authentifizierung eine wirkungsvolle und wichtige Maßnahme, die eigenen Accounts zu schützen. Ähnlich wie ein normales Türschloss von Schlüsseldiensten und Einbrechern im Handumdrehen geknackt werden kann, aber trotzdem die meisten Menschen draußen halten dürfte.