Zwei-Faktor-Authentifizierung (2FA)

RSA Security brachte 1986 den ersten Hardware-Token auf den Markt: den SecurID — eine kleine Karte mit wechselnder 6-stelliger Zahl alle 60 Sekunden. Banken und Militär liebten ihn. Das zugrunde liegende Konzept — TOTP (Time-based One-Time Password) — wurde 2011 als offener Standard (RFC 6238) veröffentlicht und ist heute in jedem Authenticator implementiert. Der Durchbruch für normale Nutzer kam mit Google Authenticator (2010) und dann dem FIDO Alliance-Standard (2013), der letztlich zu Passkeys führte. Von der Lochkarte zur biometrischen Entsperrung in 60 Jahren.

• 1986: RSA SecurID — erster Hardware-Token, 6 Ziffern alle 60 Sek., genutzt von Banken/Militär
• 2011: TOTP als offener RFC-Standard — Basis für alle heutigen Authenticator-Apps
• 2010: Google Authenticator macht 2FA für Millionen Nutzer zugänglich
• 2013: FIDO Alliance gegründet — Ziel: Passwörter durch kryptografische Schlüssel ersetzen
• 2019: FIDO2/WebAuthn als W3C-Standard — Hardware-Keys und biometrische Authentifizierung
• 2022: Apple, Google, Microsoft kündigen gemeinsam Passkey-Support an

Laut dem Verizon Data Breach Investigations Report 2023 involvieren 86 % aller Webangriffe gestohlene Zugangsdaten. Das bedeutet: Die technische Sicherheit von Server und Anwendung spielt keine Rolle, wenn der Angreifer einfach den richtigen Nutzernamen und das richtige Passwort kennt. Und Passwörter zu stehlen ist erschreckend einfach geworden: Phishing, Info-Stealer-Malware, Datenlecks, Shoulder Surfing, Social Engineering. 2FA macht gestohlene Passwörter wertlos — ohne das Gerät in der Hand des Nutzers nützt das beste Passwort dem Angreifer nichts.

• 86 % aller Webangriffe nutzen gestohlene Zugangsdaten — kein Exploit, kein Hack nötig
• Credential Stuffing: Automatisiertes Testen von Millionen gestohlener Zugangsdaten in Sekunden
• SIM-Swapping: Angreifer übernehmen Handynummern für SMS-2FA — Telekommunikationsbetrug
• Adversary-in-the-Middle (AiTM): Phishing-Proxies fangen TOTP-Codes in Echtzeit ab
• Social Engineering bei Support-Hotlines: "Ich habe meinen Code verloren" als Einstieg
• Trotz Risiken: Selbst SMS-2FA ist besser als kein 2FA — schützt gegen 95 % automatisierter Angriffe

Nicht alle 2FA ist gleich sicher. SMS-basierte Codes sind am schwächsten (SIM-Swap, SS7-Angriffe). TOTP-Apps (Authy, Google Authenticator) sind deutlich besser, aber durch AiTM-Phishing angreifbar — der Angreifer leitet den Code in Echtzeit weiter. FIDO2-Hardware-Keys (YubiKey, Google Titan Key) sind dagegen phishing-resistant: Der kryptografische Schlüssel verlässt das Gerät niemals, und die Authentifizierung ist an die genaue Domain gebunden. Ein Key, der für "paypal.com" registriert wurde, funktioniert nicht auf "pay-pal-sicherheit.de". Passkeys kombinieren diese Sicherheit mit Nutzerfreundlichkeit durch biometrische Entsperrung.

• SMS-Codes: Bequem, aber anfällig für SIM-Swapping und SS7-Protokollangriffe — letzter Ausweg
• TOTP-Apps (Aegis, Raivo): Deutlich sicherer, offline, kein Netz nötig — empfohlen für die meisten
• FIDO2 Hardware-Keys (YubiKey): Phishing-resistant, der Goldstandard — Angriffe schier unmöglich
• Passkeys: FIDO2-Sicherheit + Biometrie, in Apple/Google/Microsoft-Ökosystem integriert
• Backup-Codes sicher offline aufbewahren — für den Fall, dass das 2FA-Gerät verloren geht
• Recovery-Optionen sichern: E-Mail für Account-Recovery muss ebenfalls mit 2FA gesichert sein

2FA einzurichten braucht pro Account etwa 3 Minuten — aber schützt für immer. Die Priorität: zuerst E-Mail (das Generalschlüssel-Konto), dann Banking und Bezahldienste, dann soziale Netzwerke und Cloud-Speicher. Für technisch Versierte lohnt sich ein Hardware-Key für die kritischsten Accounts.

• Priorität 1: E-Mail-Konto mit 2FA sichern — alle anderen Dienste hängen davon ab
• Authenticator-App installieren: Aegis (Android, open source) oder Raivo (iOS)
• 2FA aktivieren: Kontoeinstellungen → Sicherheit → Zwei-Faktor / Zwei-Schritt
• Backup-Codes ausdrucken und sicher verwahren — nicht digital speichern
• FIDO2-Key (YubiKey 5 NFC, ~50 €) für Google, GitHub, Microsoft: einmalige Investition
• Alle kritischen Konten durchgehen: 2fa.directory zeigt 2FA-Unterstützung aller Dienste