Benutzername und Passwort reichen für Internetnutzer zunehmend nicht mehr aus: Für Online-Banking und Kreditkartenzahlungen ist ein weiterer Sicherheitsfaktor schon Standard, und auch andere Onlinedienste bieten zur Anmeldung die sogenannte Zwei-Faktor-Authentisierung (2FA) an. Wie funktioniert das – und was gilt es zu beachten?
WAS IST DIE 2FA?
Bei der Zwei-Faktor-Authentisierung (oft auch Authentifizierung genannt) weisen sich Verbraucher zur Anmeldung oder für die Abfrage sensibler Daten auf einem Onlinekonto mit zwei von drei Sicherheitsfaktoren aus. Was genau zum Tragen kommt, unterscheidet sich je nach Anbieter.
Der gewohnte und nach wie vor übliche Faktor ist „Wissen“ und bedeutet konkret beispielsweise ein Passwort oder eine PIN-Nummer. Doch das allein reicht für 2FA nicht mehr. Die beiden weiteren möglichen Faktoren sind „Besitz“ – beispielsweise ein Smartphone für den Empfang einer einmalig generierten Transaktionsnummer (TAN) oder eine Chipkarte – und „Sein“, das sind biometrische Merkmale wie ein Fingerabdruck.
UND WAS IST HIER AM GÄNGIGSTEN?
Neben „Wissen“ brauchen Verbraucher meist einen „Besitz“: Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) müssen sie in der Regel eine TAN eingeben. Sie wird für jede Nutzung eigens generiert und dem Nutzer üblicherweise per SMS oder über eine zugehörige App aufs Smartphone geschickt. Es gibt aber auch externe TAN-Generatoren. TAN-Listen aus Papier, wie manche Banken sie früher verwendeten, gelten als nicht mehr sicher genug und haben ausgedient.
Viele Verbraucher dürften auch das Softwarezertifikat kennen, das Nutzer der Steuersoftware Elster zur Anmeldung benötigen und das dauerhaft auf dem privaten Rechner aufbewahrt wird – auch hier greift also der Faktor „Besitz“. Wer im Internet die Online-Ausweisfunktion seines elektronischen Personalausweises nutzt, hat mit der Chipkarte und dem zugehörigen Kennwort bereits beide benötigte Faktoren zur Hand.
WO KOMMT DIE METHODE SCHON ZUM EINSATZ?
Nicht nur bei der Online-Steuer, auch beim Online-Banking ist die Zwei-Faktor-Methode bereits Pflicht – und zwar seit Inkrafttreten der zweiten europäischen Zahlungsdiensterichtlinie PSD2 vor rund einem Jahr. Auch wer Einkäufe im Netz mit seiner Kreditkarte bezahlen will, braucht zwei Faktoren zur Authentifizierung.
Mittlerweile bieten auch zahlreiche weitere Onlinedienste wie Mailanbieter, Buchungsportale, Soziale Netzwerke oder Streamingplattformen 2FA an – im Normalfall freiwillig. „Viele Dienste haben die Funktion standardmäßig deaktiviert“, erklärt das BSI, „eine Überprüfung der Log-In-Verfahren lohnt sich“. Auch Mobiltelefone lassen sich via 2FA sichern.
WIE SICHER IST DAS?
Die Methode gilt als klare Verbesserung beim Thema Datensicherheit: Neben dem üblichen Kennwort „wird eine zusätzliche Barriere erschaffen, die es Betrügern erschwert, sensible Daten abzugreifen“, wie Alexander Emunds vom Online-Portal teltarif.de erklärt. Er rät aber ebenso wie das BSI dazu, für den entscheidenden zweiten Faktor nach Möglichkeit eine Alternative wie eine zusätzliche Telefonnummer für den TAN-Empfang zu hinterlegen.
Das schützt Verbraucher zum einen davor, sich selbst von Diensten auszusperren, sollten sie beispielsweise ihr Smartphone verlieren. Zum anderen machen sie es potenziellen Datendieben nicht wirklich schwerer, wenn sie beispielsweise beim Banking per Smartphone auch die entsprechenden TAN-Nummern auf demselben Gerät empfangen: In diesem Fall hat ein potenzieller Dieb im Zweifel nämlich gleich beide Faktoren in der Hand.
WANN IST DAS NÖTIG?
Zwei Mobiltelefone, ein externer TAN-Generator oder ein Kartenlesegerät bedeuten gleichzeitig natürlich deutlich mehr Aufwand. Haben Nutzer bei einem Dienst „keine persönlichen Daten hinterlassen, ist die Zwei-Faktor-Authentifizierung nicht wirklich notwendig“, erklärt daher das Technikmagazin Chip. Auch, wer beispielsweise nur vom heimischen PC in gesichertem WLAN-Netzwerk aus auf einen Onlineshop zugreift, kann sich die 2FA laut BSI unter Umständen sparen.