Zwei-Faktor-Authentifizierung (2FA): Warum SMS nicht reicht

von

Was ist Zwei-Faktor-Authentifizierung überhaupt?

2FA bedeutet: Selbst wenn jemand dein Passwort kennt, kommt er trotzdem nicht in deinen Account. Du brauchst neben dem Passwort noch einen zweiten Nachweis — einen Code, einen Fingerabdruck oder einen physischen Schlüssel.

Klingt nach Aufwand? Ist es auch. Aber die Alternative ist schlimmer. Allein 2025 wurden in Deutschland laut BKA über 136.000 Fälle von Identitätsdiebstahl registriert. Bei 80 Prozent davon hätte 2FA den Angriff verhindert. Achtzig Prozent.

In meinem Alltag als IT-Admin richte ich 2FA als erstes ein — bei jedem neuen System, bei jedem neuen User. Ohne Ausnahme. Trotzdem erlebe ich regelmäßig Widerstand: „Ist mir zu umständlich.“ Bis der Account gehackt wird. Dann geht es plötzlich doch.

Welche 2FA-Methoden gibt es?

Es gibt vier gängige Methoden, und sie sind nicht alle gleich sicher.

SMS-Code: Du bekommst eine SMS mit einem 6-stelligen Code. Die bekannteste Methode, aber gleichzeitig die unsicherste. Dazu gleich mehr.

Authenticator-App (TOTP): Eine App auf deinem Smartphone generiert alle 30 Sekunden einen neuen Code. Funktioniert offline, braucht keine Mobilfunkverbindung. Der aktuelle Standard für die meisten Anwendungen.

Hardware-Schlüssel (FIDO2/WebAuthn): Ein physischer USB-Stick oder NFC-Dongle. Du steckst ihn ein und tippst drauf. Fertig. Die sicherste Methode überhaupt — gegen Phishing praktisch immun.

Biometrie: Fingerabdruck oder Gesichtserkennung. Wird oft als „dritte Stufe“ zusätzlich zu einem anderen Faktor eingesetzt. Bequem, aber nicht unfehlbar. Fingerabdrücke lassen sich mit etwas Aufwand fälschen — hab ich auf einer Security-Konferenz live gesehen.

Warum ist SMS als zweiter Faktor unsicher?

SMS-Codes können abgefangen werden — und das ist einfacher als die meisten denken.

Es gibt drei konkrete Angriffsvektoren:

SIM-Swapping: Der Angreifer ruft bei deinem Mobilfunkanbieter an und gibt sich als du aus. Er behauptet, seine SIM-Karte verloren zu haben, und lässt deine Nummer auf eine neue SIM übertragen. Ab diesem Moment bekommt er deine SMS. In den USA hat das FBI 2025 über 2.700 SIM-Swapping-Fälle dokumentiert, mit einem Gesamtschaden von 68 Millionen Dollar. In Deutschland ist die Dunkelziffer hoch, aber die Bundesnetzagentur meldet steigende Fallzahlen.

SS7-Schwachstellen: Das SS7-Protokoll stammt aus den 1970ern und regelt die Kommunikation zwischen Mobilfunknetzen weltweit. Es hat keine nennenswerte Verschlüsselung. Angreifer mit Zugang zum SS7-Netzwerk können SMS umleiten, ohne dass du es merkst. Das ist kein theoretisches Szenario — 2017 wurde damit in Deutschland Geld von Bankkonten gestohlen, bestätigt von O2 und dem BSI.

Malware auf dem Smartphone: Trojaner wie „Cerberus“ können eingehende SMS still mitlesen und an den Angreifer weiterleiten. Laut AV-TEST werden pro Tag 450.000 neue Malware-Varianten für Android entdeckt. Da reicht ein falscher Klick.

Bedeutet das, SMS-2FA ist komplett nutzlos? Nein. SMS-2FA ist besser als kein zweiter Faktor. Aber wenn du die Wahl hast — und die hast du bei fast allen großen Diensten — nimm eine Authenticator-App oder einen Hardware-Key.

Welche Authenticator-App soll ich nehmen?

Google Authenticator, Microsoft Authenticator oder Authy — alle drei tun ihren Job. Die Unterschiede liegen im Detail.

  • Google Authenticator: Schlank, einfach, tut genau eine Sache. Seit 2023 mit Cloud-Backup. Nachteil: Das Backup ist nicht Ende-zu-Ende-verschlüsselt. Google könnte theoretisch deine TOTP-Seeds lesen.
  • Microsoft Authenticator: Kann zusätzlich als Passwort-Manager fungieren. Push-Benachrichtigungen für Microsoft-Konten statt Code-Eingabe. Etwas überladen, aber funktional.
  • Authy: Multi-Device-Sync und verschlüsseltes Cloud-Backup. Wenn dein Handy kaputt geht, kommst du trotzdem noch an deine Codes. Meiner Meinung nach die beste Balance aus Sicherheit und Komfort.
  • Aegis (Android): Open Source, keine Cloud, alles lokal verschlüsselt. Für die Leute, die Google und Microsoft nicht vertrauen wollen. Respektable Wahl.

Mein persönliches Setup: Authy auf dem Handy, Passwort-Manager für die Passwörter, und für besonders kritische Accounts ein YubiKey.

Was sind Hardware-Keys und wann lohnen sie sich?

Hardware-Security-Keys sind das sicherste, was du für die Authentifizierung kaufen kannst. Kein Phishing der Welt kann einen FIDO2-Key austricksen — das Protokoll prüft automatisch, ob die Website echt ist.

Die zwei bekanntesten Hersteller:

  • YubiKey 5 NFC (ab ca. 55 Euro): USB-A oder USB-C plus NFC für Smartphones. Unterstützt FIDO2, U2F, OTP, SmartCard. Wasser- und stoßfest. Keine Batterie nötig.
  • Google Titan Security Key (ab ca. 35 Euro): Günstiger, aber weniger Protokolle. Reicht für die meisten Privatanwender.

Kauf dir immer zwei Stück. Einen für den täglichen Gebrauch, einen als Backup im Safe. Wenn du deinen einzigen Hardware-Key verlierst und keine Backup-Codes hast, sperrst du dich selbst aus. Hab ich schon bei drei Kollegen erlebt. Macht keinen Spaß.

Lohnt sich ein Hardware-Key für Privatpersonen? Wenn du Journalist, Aktivist oder einfach sicherheitsbewusst bist: absolut. Google hat 2019 intern alle 85.000 Mitarbeiter auf Hardware-Keys umgestellt. Seitdem: null erfolgreiche Phishing-Angriffe. Null.

Wie aktiviere ich 2FA bei Google, Apple und Microsoft?

Bei allen drei Anbietern dauert die Einrichtung unter 5 Minuten.

Google:

  1. Öffne myaccount.google.com → Sicherheit
  2. Klick auf „Bestätigung in zwei Schritten“
  3. Wähle „Authenticator-App“ (nicht SMS!)
  4. Scanne den QR-Code mit deiner Authenticator-App
  5. Gib den 6-stelligen Code ein — fertig
  6. Speichere die Backup-Codes! Drucke sie aus und leg sie zu deinen wichtigen Dokumenten.

Apple:

  1. iPhone: Einstellungen → [dein Name] → Anmeldung & Sicherheit → Zwei-Faktor-Authentifizierung
  2. Apple nutzt ein eigenes System über vertrauenswürdige Geräte und Telefonnummern
  3. Seit iOS 15 funktioniert der integrierte Code-Generator auch für Drittanbieter-Accounts

Microsoft:

  1. Öffne account.microsoft.com → Sicherheit → Erweiterte Sicherheitsoptionen
  2. Klick auf „Neue Möglichkeit zur Anmeldung oder Überprüfung hinzufügen“
  3. Wähle „App verwenden“ und richte den Microsoft Authenticator ein
  4. Microsoft bietet auch Passkeys an — die nächste Generation von 2FA, definitv einen Blick wert

Soziale Netzwerke: Instagram, Facebook, X (Twitter) und LinkedIn unterstützen alle Authenticator-Apps. Die Einstellungen findest du jeweils unter Sicherheit → Zwei-Faktor-Authentifizierung. Bei Facebook besonders wichtig — Phishing-Angriffe zielen häufig auf Social-Media-Accounts.

Was sind Passkeys — die Zukunft von 2FA?

Passkeys ersetzen Passwort UND zweiten Faktor durch eine einzige, Phishing-sichere Anmeldung.

Die Technologie basiert auf FIDO2/WebAuthn. Dein Gerät speichert einen kryptographischen Schlüssel, der an die jeweilige Website gebunden ist. Beim Anmelden bestätigst du per Fingerabdruck, Gesichtserkennung oder PIN — fertig. Kein Passwort mehr, kein Code mehr.

Google, Apple und Microsoft haben Passkeys 2024/2025 breit ausgerollt. Amazon, PayPal, GitHub und über 150 weitere Dienste unterstützen sie bereits. Die FIDO Alliance meldet, dass Ende 2025 weltweit über 15 Milliarden Accounts Passkey-fähig waren.

Mein Rat: Wo Passkeys verfügbar sind, aktiviere sie. Wo nicht, nutze Authenticator-App plus Hardware-Key als Backup. SMS-2FA nur als allerletzter Fallback.

Fazit: 2FA ist Pflicht, SMS ist Notlösung

Jeder Account ohne zweiten Faktor ist ein offenes Scheunentor. Die Einrichtung kostet 5 Minuten pro Dienst, die Nutzung im Alltag vielleicht 10 Sekunden extra beim Login. Dafür sparst du dir im besten Fall Wochen voller Stress, wenn ein Account kompromittiert wird.

Meine Empfehlung in drei Stufen: Authy oder Aegis als Authenticator-App für alle Standard-Accounts. YubiKey für E-Mail, Cloud-Speicher und Bankzugang. Und SMS-2FA? Nur wenn es keine Alternative gibt. Was immer noch besser ist als gar nichts.

Schreibe einen Kommentar