Zurück zum Blog
3 Min. Lesezeit

Warum SMS-2FA nicht mehr ausreicht

SMS-Codes können gestohlen werden. Erfahre mehr über bessere Zwei-Faktor-Authentifizierungsmethoden, die deine Konten wirklich schützen.

Warum SMS-2FA nicht mehr ausreicht

Du hast die Zwei-Faktor-Authentifizierung aktiviert. Super! Aber wenn du SMS-Codes verwendest, bist du nicht so sicher, wie du vielleicht denkst.

SMS-Codes: Das Problem

Wenn du dich irgendwo anmeldest und einen Code per SMS erhältst, reist dieser Code durch das Netzwerk deines Mobilfunkanbieters. Und dieses Netzwerk kann ausgetrickst werden.

SIM-Swapping: Im Grunde überzeugt ein Angreifer deine Telefongesellschaft, deine Nummer auf sein Telefon zu übertragen. Er ruft den Kundenservice an, gibt sich als du aus und behauptet, sein Telefon verloren zu haben. Sobald deine Nummer auf seiner SIM-Karte ist, empfängt er alle deine SMS — einschließlich dieser Sicherheitscodes.

Das ist kein unrealistisches Hacker-Film-Zeug. SIM-Swap-Betrug ist massiv gewachsen und steigt weiter. Mit neuer eSIM-Technologie können Angreifer deine Nummer jetzt in unter fünf Minuten stehlen.

Wie es passiert

  1. Sie recherchieren dich — Dein Name, Geburtstag, Adresse aus sozialen Medien oder Datenlecks
  2. Sie rufen deinen Anbieter an — Geben sich als du aus, behaupten ein verlorenes Telefon
  3. Dein Telefon ist tot — Deine Nummer wandert auf ihr Gerät
  4. Sie setzen deine Passwörter zurück — Mit SMS-Codes, die jetzt an sie gehen

Manche Angreifer müssen nicht mal jemanden anrufen: Sie nutzen alte Telekom-Protokolle namens SS7 aus, um deine Nachrichten direkt umzuleiten.

Hilft irgendeine 2FA?

Ja! Microsoft hat herausgefunden, dass Konten mit irgendeiner Form von MFA zu 99,9% weniger wahrscheinlich gehackt werden. Das Problem ist, SMS ist die schwächste Form von MFA. Es ist besser als nichts, aber es gibt viel stärkere Optionen.

Bessere Optionen

Authenticator-Apps (Gut)

Anstatt Codes per SMS zu erhalten, generiert eine App die Codes direkt auf deinem Telefon. Die Codes reisen nie über ein Netzwerk — sie werden direkt auf deinem Gerät erzeugt.

Warum eine separate App? Die meisten Passwort-Manager bieten auch 2FA-Codes. Praktisch. Aber wenn jemand in deinen Passwort-Manager gelangt, bekommt er sowohl die Passwörter als auch die 2FA-Codes. Game over. Sie getrennt zu halten bedeutet, ein Angreifer muss zwei Apps kompromittieren, um reinzukommen. Leg nicht alle Eier in einen Korb.

Empfohlene Anwendungen:

  • Aegis — Kostenlos, Open Source, nur Android. Hohe Anpassbarkeit, verschlüsselte Backups.
  • Ente Auth — Kostenlos, Open Source, funktioniert überall einschließlich Desktop und Web.

Hardware-Sicherheitsschlüssel (Besser)

Ein kleines USB-Gerät, das du beim Anmelden einsteckst. Keine Codes zum Eintippen — einfach auf den Schlüssel tippen.

Beliebte Optionen sind YubiKey und Google Titan Key. Sie funktionieren mit den meisten großen Diensten: Google, Microsoft, GitHub und vielen mehr.

Der Schlüssel verwendet Kryptographie, die prüft, ob du auf der echten Website bist. Wenn du auf einen Phishing-Link geklickt hast, funktioniert er auf gefälschten Seiten nicht.

Passkeys (Am besten)

Die neueste Option. Dein Telefon oder Computer generiert einen einzigartigen kryptographischen Schlüssel für jede Seite. Nichts zu merken, nichts einzutippen.

Passkeys sind in iOS, Android, Windows und macOS implementiert. Mehr Websites unterstützen sie — Google, Apple, Microsoft, PayPal und andere.

Wie Hardware-Schlüssel prüft es automatisch, ob eine Website echt ist. Es macht Phishing fast unmöglich.

Wie du deine Konten absicherst

  • Ruf deinen Anbieter an und bitte um eine Port-Sperre oder SIM-Sperre
  • Richte eine Authenticator-App ein (Aegis oder Ente Auth)
  • Verschiebe alle deine Konten, die von SMS abhängen, auf die App, beginnend mit E-Mail und Banking
  • Bewahre deine Backup-Codes sicher auf, aber nicht auf deinem Telefon
  • Hol dir einen Hardware-Sicherheitsschlüssel für deine wichtigsten Konten
  • Aktiviere Passkeys überall, wo sie angeboten werden

Backup?

Es gibt eine Angst bei Authenticator-Apps: Was ist, wenn dein Telefon verloren geht?

  • Aegis ermöglicht den Export verschlüsselter Backups
  • Ente Auth synchronisiert über Geräte hinweg
  • Die meisten Dienste bieten Backup-Codes bei der 2FA-Einrichtung — bewahre diese sicher auf

Hardware-Schlüssel? Kauf zwei, behalte einen als Backup.

Fazit

Vor einem Jahrzehnt waren SMS-Codes in Ordnung. Heutzutage sind sie eine Schwachstelle, die Angreifer auszunutzen wissen.

Der Wechsel zu einer Authenticator-App dauert vielleicht 30 Minuten und macht dich dramatisch sicherer. Hardware-Schlüssel und Passkeys gehen noch weiter.

Schlagwörter: security privacy passwords 2fa
Signal vs Session: Welcher …
×