Nein, SMS reicht als zweiter Faktor nicht mehr aus. Punkt. Wer seine Online-Konten heute noch mit SMS-Codes absichert, wiegt sich in falscher Sicherheit. Angreifer fangen diese Codes ab, klauen Rufnummern per SIM-Swapping oder nutzen uralte Schwachstellen im Mobilfunknetz. Es gibt bessere Methoden. Deutlich bessere.
Mal ehrlich: Die meisten Leute denken bei Zwei-Faktor-Authentifizierung an diesen sechsstelligen Code per SMS. Handy griffbereit, Code eingeben, fertig. Klingt sicher. War es vielleicht auch mal. Aber die Angriffsmethoden haben sich weiterentwickelt, und SMS hat da nicht mitgehalten.
Laut dem Passwort-Manager Artikel hier auf infosguards.net sind starke Passwoerter die Basis. Aber selbst das beste Passwort bringt wenig, wenn der zweite Faktor loechrig ist.
Was genau ist Zwei-Faktor-Authentifizierung ueberhaupt?
Kurz: Du brauchst zwei verschiedene Dinge, um dich einzuloggen. Etwas, das du weisst (Passwort), plus etwas, das du hast (Handy, USB-Stick) oder bist (Fingerabdruck). Das Prinzip ist simpel und effektiv. Microsoft hat 2025 veroeffentlicht, dass 2FA ganze 99,9 % aller automatisierten Angriffe blockt [Quelle: Microsoft, 2025]. Google bestaetigte aehnliche Zahlen: Ein zusaetzlicher Faktor stoppt bis zu 100 % der automatisierten Bots und 99 % der Massen-Phishing-Attacken [Quelle: Google Security Blog].
Das Problem liegt nicht am Konzept. Das Problem liegt an der Umsetzung. Genauer: an SMS als Uebertragungsweg.
Warum ist SMS-2FA unsicher?
Hier wird es unangenehm. SMS wurde in den 1980er Jahren entwickelt. Fuer kurze Textnachrichten. Nicht fuer Sicherheit. Das Protokoll, ueber das Mobilfunknetze SMS-Nachrichten weiterleiten, heisst SS7 – Signalling System 7. Stammt aus den 1970ern. Keine Verschluesselung. Keine Authentifizierung. Ernsthaft.
Drei Hauptangriffswege machen SMS-2FA zum Risiko:
1. SIM-Swapping
Der Angreifer ruft bei deinem Mobilfunkanbieter an. Gibt sich als du aus. Oder besticht einen Mitarbeiter – kommt oefter vor als man denkt. Der Anbieter uebertraegt deine Nummer auf eine neue SIM-Karte. Ab sofort kriegt der Angreifer deine SMS-Codes. Du merkst es erst, wenn dein Handy ploetzlich kein Netz mehr hat.
Die Zahlen sind krass: Das FBI meldete fuer 2024 insgesamt 982 SIM-Swapping-Beschwerden mit Schaeden von ueber 26 Millionen Dollar [Quelle: FBI IC3 Report, 2024]. Im Schnitt verlor jedes Opfer rund 26.400 Dollar. In Grossbritannien explodierten die Faelle sogar um 1.055 % – von 289 auf fast 3.000 Faelle [Quelle: Cifas UK, 2024].
2. SS7-Angriffe
Angreifer mit Zugang zum SS7-Netzwerk koennen SMS-Nachrichten abfangen. Weltweit. Fuer jede Nummer. 2017 haben Kriminelle genau das in Deutschland gemacht – Bankkonten leergeraeumt, indem sie die per SMS versendeten 2FA-Codes abgefangen haben [Quelle: Sueddeutsche Zeitung, 2017]. Das war kein theoretisches Szenario. Das ist passiert.
3. Echtzeit-Phishing
Moderne Phishing-Kits wie Evilginx oder Modlishka setzen sich als Mittelsmann zwischen dich und die echte Login-Seite. Du gibst dein Passwort ein, der Angreifer leitet es weiter, die echte Seite schickt den SMS-Code, du tippst ihn ein – und der Angreifer hat ihn auch. Alles in Echtzeit. Dauert Sekunden. Wie bei einem Kellner, der beim Servieren mal kurz an deinem Teller nascht, bevor er ihn hinstellt – du merkst es nicht, aber es ist zu spaet.
Welche echten Schaeden sind durch fehlende oder schwache 2FA entstanden?
Das ist keine Theorie. Das hat echte Unternehmen getroffen. Hart.
Change Healthcare (Februar 2024): Weil MFA fehlte, konnten Angreifer auf medizinische Daten zugreifen. Betroffen: ueber ein Drittel aller US-Patientenakten. Millionen Menschen. Ein fehlender zweiter Faktor [Quelle: FBI/HHS, 2024].
Snowflake-Kunden (2024): Ransomware-Angriff auf Cloud-Kunden. Die hatten weder MFA aktiviert noch ihre Zugangsdaten vernuenftig verwaltet. Ergebnis: massive Datenlecks bei mehreren Grossunternehmen [Quelle: Mandiant, 2024].
PowerSchool (2024/2025): Keine MFA implementiert. Persoenliche Daten von ueber 60 Millionen Schuelern und Lehrern kompromittiert. Sechzig. Millionen. [Quelle: PowerSchool Breach Report, 2025].
Der Verizon Data Breach Investigations Report 2025 zeigt: Gestohlene Zugangsdaten waren in 22 % aller untersuchten Datenlecks der initiale Angriffsvektor. Immer noch der haeufigste [Quelle: Verizon DBIR, 2025]. Und ja – konventionelle MFA wird zunehmend umgangen, durch Token-Diebstahl, MFA-Bombing und Man-in-the-Middle-Attacken.
Welche Alternativen gibt es zu SMS-2FA?
Drei Methoden stechen heraus. Jede ist besser als SMS. Deutlich.
TOTP-Apps (Authenticator-Apps)
Apps wie Google Authenticator, Authy oder – mein Favorit – Aegis (Open Source, nur Android) generieren alle 30 Sekunden einen neuen Code. Der Unterschied zu SMS: Der Code wird lokal auf deinem Geraet erzeugt. Kein Versand ueber Mobilfunknetze. Kein SS7. Kein Abfangen. Ein SIM-Swap bringt dem Angreifer hier genau nichts.
Nachteil: Gegen Echtzeit-Phishing schuetzen TOTP-Apps allein nicht. Wenn du den Code auf einer gefaelschten Seite eingibst, hat der Angreifer ihn trotzdem. Besser als SMS? Absolut. Perfekt? Nein.
Hardware-Sicherheitsschluessel (YubiKey & Co.)
Hier wird es richtig gut. Ein YubiKey oder ein anderer FIDO2-kompatibler Schluessel ist ein kleiner USB-Stick (oder NFC-Dongle), den du physisch beruehren musst. Keine Codes eintippen. Der Schluessel kommuniziert kryptografisch mit der Webseite und prueft automatisch, ob du auf der echten Seite bist. Phishing wird damit strukturell unmoeglich – nicht nur schwieriger, sondern unmoeglich [Quelle: Yubico, 2025].
Ich nutz selbst seit 3 Jahren einen YubiKey und hab seitdem null Stress mit meinen wichtigen Accounts. Kein Code abtippen, kein Handy suchen. Reinstecken, antippen, fertig. Kostet zwischen 30 und 70 Euro, haelt quasi ewig.
(Kleiner Gedankensprung: Lustig eigentlich – wir sperren unsere Haustuer mit einem physischen Schluessel ab und finden das voellig normal. Aber bei digitalen Tueren soll ein sechsstelliger Code per SMS reichen? Macht keinen Sinn.)
Passkeys
Die neueste Entwicklung. Passkeys basieren auf dem FIDO2-Standard und sind quasi die Weiterentwicklung von Hardware-Keys, nur ohne separaten USB-Stick. Dein Geraet – Smartphone, Laptop – speichert einen kryptografischen Schluessel. Der wird ueber Biometrie (Fingerabdruck, Gesichtserkennung) oder eine PIN freigeschaltet. Kein Passwort. Kein Code. Phishing-resistent by Design.
Apple, Google und Microsoft unterstuetzen Passkeys bereits. GitHub auch. Passkeys synchronisieren sich ueber deine Geraete, was sie alltagstauglicher macht als separate Hardware-Keys. Achtung aber: Noch bieten nicht alle Dienste Passkeys an. Das aendert sich gerade schnell.
Was empfiehlt das BSI?
Das Bundesamt fuer Sicherheit in der Informationstechnik empfiehlt ausdruecklich die Einrichtung einer Zwei-Faktor-Authentifizierung fuer alle Online-Konten [Quelle: BSI, 2025]. Das BSI raet mittlerweile sogar vom regelmaessigen Passwortwechsel ab – stattdessen: starkes Passwort plus 2FA plus im Idealfall Passwort-Manager.
Ausserdem wird im Rahmen der NIS-2-Richtlinie ab 2026 Multi-Faktor-Authentifizierung fuer viele Unternehmen in der EU zur Pflicht [Quelle: NIS-2-Richtlinie, EU]. Wer jetzt noch keine MFA hat, kriegt bald ein regulatorisches Problem obendrauf.
Das BSI hat uebrigens verschiedene 2FA-Verfahren vom Fraunhofer AISEC bewerten lassen. Hardware-Tokens und FIDO2 schneiden dabei am besten ab. SMS wird nicht explizit verboten, aber die Empfehlungen gehen klar in Richtung staerkerer Methoden.
Wie richtet man TOTP richtig ein?
Weil TOTP-Apps der beste Kompromiss aus Sicherheit und Alltagstauglichkeit sind, hier eine kurze Anleitung:
- App installieren: Google Authenticator (iOS/Android), Aegis (Android, Open Source) oder Ente Auth (plattformuebergreifend). Authy geht auch, synct aber in die Cloud – Geschmackssache.
- In den Account-Einstellungen des jeweiligen Dienstes die Zwei-Faktor-Authentifizierung suchen und aktivieren.
- QR-Code scannen mit der TOTP-App. Dauert 3 Sekunden.
- Backup-Codes speichern! Das vergessen die meisten. Wenn dein Handy kaputtgeht und du keine Backup-Codes hast, sperrst du dich selbst aus. Codes ausdrucken und sicher aufbewahren. Oder in den Passwort-Manager.
- Testen. Ausloggen, neu einloggen, Code eingeben. Funktioniert? Gut.
Fuer maximale Sicherheit: Die wichtigsten Accounts (E-Mail, Bank, Cloud) mit einem Hardware-Key absichern. Fuer alles andere reicht TOTP voellig aus.
Wie sieht die Zukunft der Authentifizierung aus?
Passkeys werden SMS und auch TOTP langfristig abloesen. Das ist keine Vermutung, das ist die Richtung, in die Apple, Google und Microsoft gemeinsam arbeiten. Die FIDO Alliance treibt das voran.
Trotzdem wird der Uebergang Jahre dauern. Noch unterstuetzen zu viele Dienste nur SMS oder TOTP. Mein Tipp: Jetzt schon Passkeys nutzen, wo es geht. TOTP als Fallback. SMS nur dort, wo es keine andere Option gibt – und dann wenigstens mit dem Bewusstsein, dass es der schwaechste Faktor ist.
Der MFA-Markt waechst massiv: von 19,4 Milliarden Dollar Umsatz in 2025 auf geschaetzte 22,8 Milliarden in 2026 [Quelle: Market.us, 2025]. Das zeigt, wie stark Unternehmen gerade investieren.
Uebrigens, ich glaub das waren 74 % der nordamerikanischen Unternehmen oder so, die MFA bereits nutzen. In Europa sind es 68 %. Klingt viel, heisst aber auch: Fast jedes dritte europaeische Unternehmen hat noch keinen zweiten Faktor. Krass eigentlich.
Was tun, wenn ein Dienst nur SMS-2FA anbietet?
Dann aktivier es trotzdem. Ja, SMS-2FA ist schwaecher als die Alternativen. Aber SMS-2FA ist immer noch besser als gar keine 2FA. Viel besser sogar. 80 % aller Sicherheitsverletzungen haetten durch irgendeine Form von 2FA verhindert werden koennen [Quelle: Microsoft, 2025]. Selbst die loechrige SMS-Variante haette die meisten davon gestoppt.
Plus: Du kannst parallel Druck machen. Viele Dienste fuehren Passkeys oder TOTP ein, wenn genug Nutzer danach fragen. Als Uebergangsloesung ist SMS akzeptabel. Als Dauerzustand nicht.
Wenn du bereits lernst, Phishing-Mails zu erkennen, hast du schon einen grossen Schritt gemacht. Der naechste ist, den zweiten Faktor zu modernisieren.
Haeufig gestellte Fragen (FAQ)
Ist SMS-2FA besser als gar keine 2FA?
Ja, definitiv. SMS-2FA blockt den Grossteil der automatisierten Angriffe. Die Schwaechen betreffen vor allem gezielte Attacken. Ohne jeden zweiten Faktor stehst du aber komplett offen da.
Kann meine Bank mich zwingen, SMS-2FA zu nutzen?
In der EU schreibt die PSD2-Richtlinie starke Kundenauthentifizierung vor. Viele Banken bieten inzwischen App-basierte Verfahren an (pushTAN, photoTAN). Wenn deine Bank nur SMS anbietet, lohnt sich eine Nachfrage – oder ein Bankwechsel.
Was kostet ein YubiKey?
Zwischen 30 und 70 Euro, je nach Modell. Der YubiKey 5 NFC ist fuer die meisten Leute die beste Wahl. Tipp: Immer zwei kaufen – einen als Backup.
Was passiert, wenn ich meinen Hardware-Key verliere?
Deshalb Backup-Key registrieren. Die meisten Dienste lassen dich mehrere Schluessel hinterlegen. Ohne Backup brauchst du den Recovery-Prozess des Anbieters – kann dauern.
Sind Passkeys wirklich sicher?
Nach aktuellem Stand ja. Passkeys nutzen asymmetrische Kryptografie und sind Phishing-resistent by Design. Der private Schluessel verlaesst dein Geraet nie. Kein Server speichert dein Geheimnis.
Schuetzt 2FA gegen alle Hacker?
Nein. 2FA schuetzt gegen die haeufigsten Angriffsarten: gestohlene Passwoerter, Phishing, Brute-Force. Gegen hochspezialisierte staatliche Akteure oder Zero-Day-Exploits hilft es allein nicht. Aber fuer 99 % der Bedrohungen im Alltag reicht es aus.
Kann ich TOTP-Codes auf mehreren Geraeten nutzen?
Ja, wenn du beim Einrichten den QR-Code mit mehreren Geraeten scannst. Oder du nutzt eine App wie Ente Auth, die verschluesselte Cloud-Backups anbietet. Aegis erlaubt manuelle Backups.
Wie merke ich, ob meine SIM gesswappt wurde?
Dein Handy verliert ploetzlich das Netz. Du bekommst keine Anrufe oder SMS mehr. Wenn das passiert: Sofort den Mobilfunkanbieter kontaktieren und alle wichtigen Passwoerter aendern. Jede Minute zaehlt.
Muss ich jetzt sofort alles umstellen?
Nicht alles auf einmal. Fang mit dem E-Mail-Konto an – das ist der Schluessel zu allen anderen Accounts (Passwortzuruecksetzung laeuft immer ueber E-Mail). Dann Bank, Cloud-Speicher, Social Media. Schritt fuer Schritt.
Was ist MFA-Bombing?
Der Angreifer loest dutzende Push-Benachrichtigungen auf deinem Handy aus, bis du entnervt auf „Genehmigen“ tippst. Funktioniert erschreckend oft. Gegenmassnahme: Nummer-Matching aktivieren, bei dem du eine angezeigte Zahl bestaetigen musst statt einfach auf OK zu druecken.