Anzeige
Anzeige
Analyse
Artikel merken

Warum auch Zwei-Faktor-Authentifizierung per SMS keine absolute Sicherheit bietet

Auch die Zwei-Faktor-Authentifizierung hat Sicherheitslücken, die von Angreifern ausgenutzt werden. Weglassen solltest du sie aber trotzdem nicht.

Von Enno Park
4 Min. Lesezeit
Anzeige
Anzeige

Auch die Zwei-Faktor-Authentifizierung hat Sicherheitslücken, die von Angreifern ausgenutzt werden. (Bild: Maksim Kabakou / Shutterstock)

Als bekannt wurde, dass ein Doxer zahlreiche persönliche Daten von Prominenten geleakt hatte, hatten Artikel mit Sicherheitstipps einmal mehr Konjunktur. In denen stehen dann die üblichen Tipps: Klicke nicht auf Links und Anhänge in obskuren Mails, verwende starke, schwer zu knackende Passwörter. Oder schalte am besten überall Zwei-Faktor-Authentifizierung ein.

Anzeige
Anzeige

Dass letztere immer noch relativ selten eingesetzt wird, liegt sicherlich auch daran, dass sie unbequem ist. Und vielleicht auch daran, dass das Wort „Zwei-Faktor-Authentifizierung“ so unglaublich technisch und kompliziert klingt, dass viele Nicht-Informatiker sofort zum Browsertab mit den Katzenvideos wechseln.

Dabei ist Zwei-Faktor-Authentifizierung eigentlich ganz einfach: Statt nur Name und Passwort einzugeben, musst du zusätzlich noch eine Nummer eintippen, die bei jedem Login wechselt. Das kennen wir alle vom Online-Banking mit seinen Tan-Listen und ihren Nachfolgern I-Tan bis M-Tan. Diese Nummer kommt üblicherweise per SMS aufs Handy. Erbeutet ein Hacker dein Passwort, kommt er damit noch lange nicht in deinen Mail- oder Social-Media-Account, schließlich benötigt er zusätzlich dein Handy.

Anzeige
Anzeige

Sicherheitslücken im Mobilfunknetz

Einbrechen wird sehr viel schwerer – aber leider nicht unmöglich. Insbesondere SMS als Weg für die Zwei-Faktor-Authentifizierung hat sich als unsicher erwiesen, und das liegt am Mobilfunk-Netz. SMS werden darin unverschlüsselt übertragen. Theoretisch hat niemand Zugriff auf die Daten, die im Funknetz hin und her geschickt werden, praktisch enthält der in den Mobilfunknetzen benutzte Standard SS7 mehrere Sicherheitslücken. Und Tools zum Ausbeuten dieser Lücken kursieren frei im Internet.

Anzeige
Anzeige

Das funktioniert nicht nur in der Theorie: Im Herbst 2017 wurde bekannt, dass es Angreifern gelungen ist, in einen Google-Account einzudringen und eine Bitcoin-Wallet zu verwenden, indem sie die Sicherheitslücken in SS7 ausnutzten. Ändern kann man daran nicht viel: SS7 ist international verbreitet und es dauert sehr lange, bis die Telefongesellschaften ihre Standards aktualisiert haben. Zum Beispiel wird auch der seit Jahren auf seine Einführung wartende SMS-Nachfolger RCS die übertragenen Daten nicht verschlüsseln und somit anfällig für Sicherheitslücken in SS7 sein.

Natürlich sind die Anbieter von Cloud-Diensten und Social-Media-Plattformen unzufrieden mit der Situation. Schließlich müssen sie verhindern, dass ihre Nutzer Angst haben, dass ihre Daten gehackt und geleakt werden könnten. So arbeitet Instagram bereits an einer Variante der Zwei-Faktor-Authentifizierung, bei der nicht mehr SMS zum Einsatz kommt, sondern eine separate App. Ähnliche Systeme finden sich auch schon vereinzelt, allerdings habe ich als Nutzer derzeit keine Wahl, sondern kann nur die Login-Verfahren benutzen, die die Anbieter auch bereitstellen.

Anzeige
Anzeige

Der menschliche Faktor

Neben technischen Sicherheitslücken ist es aber auch der menschliche Faktor, der die Zwei-Faktor-Authentifizierung unsicher macht: Wer sein Telefon verliert und somit die SMS mit dem Freischalt-Code nicht empfangen kann, wird schlagartig aus allen so gesicherten Accounts ausgesperrt. Der Kundensupport bietet daher die Möglichkeit, die Zwei-Faktor-Authentifizierung zurückzusetzen. Zumeist werden dabei Daten wie Geburtsdatum oder eine geheime Antwort der Sorte „Was ist die Lieblingsfarbe Ihrer Oma“ abgefragt. Im aktuellen Fall von Massendoxing soll der Angreifer es geschafft haben, den Twitter-Support eines seiner Opfer breitzuschlagen und die Zwei-Faktor-Authentifizierung zurückzusetzen, sodass er den Twitter-Account eines seiner Opfer übernehmen konnte.

Anhand solcher Probleme wird klar, dass Zwei-Faktor-Authentifizierung nicht das Ende der Fahnenstange sein kann und die Industrie sich Gedanken über völlig andere Authentifizierungsverfahren machen muss. Hierzu wurde der FIDO-Standard ins Leben gerufen, der von einer Reihe von Banken und Branchengrößen wie Google, Facebook oder auch Dropbox unterstützt wird. Ein Beispiel für die Umsetzung ist der Titan-Sicherheitsschlüssel von Google. Dabei handelt es sich um eine Art USB-Key mit einem Schlüssel, der für das Login verwendet wird. Bei klassischen PCs steckt man ihn in einen USB-Port, mit Tablets und Smartphones kann er sich via Bluetooth verbinden. Ähnlich funktioniert der Yubikey von Yubico, der zusätzlich auch per Lightning oder NFC mit dem Computer oder Smartphone verbunden werden kann.

Zumindest wer sensible Daten zu schützen hat oder in Unternehmen für die personenbezogenen Daten seiner Kunden Verantwortung trägt, sollte über solche Lösungen nachdenken. Allerdings hilft sie auch nicht weiter, wenn das eigene System zusätzlich noch virenverseucht ist. Umgekehrt dürfen die Sicherheitslücken in der Zwei-Faktor-Authentifizierung nicht dazu führen, dass die Menschen jetzt denken: „Oh, 2FA ist doch unsicher, spar ich mir die Mühe und verwende halt weiter mein altes Passwort 123456.“

Anzeige
Anzeige

2FA besser als nix

Viele Hacks setzten relativ großes Fachwissen voraus und kommen zum Einsatz, wenn professionelle Hacker eine konkrete Person oder Organisation angreifen wollen. Sehr viele Einbrüche in Cloud- und Social-Media-Accounts basieren aber nicht auf gezielten Angriffen, sondern funktionieren nach dem Schleppnetz-Prinzip. Oftmals werden bei Hacks großer IT-Firmen lange Listen von Zugangsdaten erbeutet und geleakt. Angreifer arbeiten diese Listen systematisch durch und probieren die Zugangsdaten an allen möglichen anderen Accounts von Dropbox bis Facebook durch, bis sie irgendwo reinkommen und sich umsehen, ob sich etwas interessantes findet.

Hier bleibt Zwei-Faktor-Authentifizierung eine wirkungsvolle und wichtige Maßnahme, die eigenen Accounts zu schützen. Ähnlich wie ein normales Türschloss von Schlüsseldiensten und Einbrechern im Handumdrehen geknackt werden kann, aber trotzdem die meisten Menschen draußen halten dürfte.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
4 Kommentare
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

geeky

Weiß man eigentlich schon wann der Titan-Key auch im deutschen Google Store verfügbar sein wird und was er kosten wird?

Antworten
dennis

Ja, aber über Messenger wie WhatsApp ist das besser, oder was?
Es gibt keine 100%iger Sicherheit, das weiß man einfach. Messenger wie WhapsApp lesen alles ab, was auf dem Handy landet. Wer sich so einen Mist auf sein Handy lädt, der ist selbst Schuld, wenn seine Daten überall landen. Am Rande: WhatsApp gehört zu Facebook, na klingelt da was? Die gute alte SMS ist die sicherste Variante für diese Sicherheitsmaßnahmen. Das ist nun mal so.

Antworten
Titus von Unhold

Halbwissen + Verschwörungstheorien… Damit tust du den berechtigten Ansprüchen des Datenschutz keinen gefallen.

Antworten
dennis

Lass mal hören. Wo ist bei meiner Aussage Halbwissen und eine Verschwörungstherie zu finden. Lasse mich ja gerne belehren.

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige