Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

10. September 2018

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?

Zwei-Faktor-Authentifizierung: Sinnvoll oder nicht?
Bild: nicescene / iStock / Getty Images
2,40 (5)
Sicherheit der Verarbeitung
Wie personenbezogene Daten schützen, wenn der einfache Passwortschutz nicht ausreicht? Dafür bieten sich Verfahren der Zwei-Faktor-Authentifizierung an. Doch Vorsicht: Auch diesen verstärktem Zugangsschutz haben Angreifer schon geknackt. Was bedeutet das für den Datenschutz?

Starker Zugangsschutz nicht nur im Zahlungsverkehr

Nicht nur im Zahlungsverkehr ist ein starker Zugangsschutz sinnvoll, der das Nutzer-Passwort um weitere Sicherheits-Faktoren ergänzt. Das zweite Sicherheits-Merkmal kann etwa ein Einmal-Passwort oder eine Chipkarte sein. Benötigen Nutzer zwei dieser Zugangs-Mechanismen, spricht man von Zwei-Faktor-Authentifizierung, abgekürzt 2FA.

Die Datenschutz-Grundverordnung (DSGVO) besagt in Artikel 32 (Sicherheit der Verarbeitung): „Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, …“

Haben personenbezogene Daten also einen hohen Schutzbedarf, muss auch der Schutz vor unbefugten Zugang entsprechend hoch sein. Das betrifft etwa Gesundheits- oder Kreditkarten-Daten. In der Regel geschieht dies durch eine Zwei-Faktor-Authentifizierung und eine Verschlüsselung.

Leider stößt es bei den Nutzern auf wenig Gegenliebe, wenn sie weitere Schutzfaktoren verwenden sollen, um ihren Zugang abzusichern. Sie scheuen den Aufwand.

Mehr Aufwand, mehr Schutz?

Datenschutzbeauftragte versuchen schon seit Langem, Nutzer und Geschäftsleitung von den Vorteilen einer 2FA zu überzeugen. Denn der zusätzliche Aufwand bringt ja zusätzlichen Schutz.

Insbesondere ein Verfahren, welches das Smartphone verwendet, das die meisten Nutzer ohnehin bei sich tragen, scheint ein guter Kompromiss zu sein: Das Einmal-Passwort als zusätzlicher Sicherheitsfaktor kommt häufig als SMS auf das Smartphone des Nutzers.

Berichte über bekannt gewordene Vorfälle (wie der Reddit Hack) zeigen jedoch, dass Angreifer die SMS mit dem Einmal-Passwort ausspähen können. Neben dem Nutzer-Passwort könnte also auch das Einmal-Passwort, das per SMS kommt, in unbefugte Hände geraten.

Wie ist so etwas möglich? Dafür reicht schon eine Spionage-App, die der Nutzer nichtsahnend installiert.

Die App verlangt Zugriff auf die SMS des Nutzers. Und da die wenigsten Nutzer überprüfen, welche Berechtigungen eine App wirklich braucht, leitet sie ungestört die SMS mit Einmal-Passwort an den Angreifer weiter.

Zwei-Faktor-Authentifizierung bleibt wichtig

Bedeuten Vorfälle wie der Reddit-Hack nun, dass ein starker Zugangsschutz, der auf 2FA basiert, gar nicht stark ist? Lohnt sich der Aufwand für ein solches Verfahren noch?

Raten Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter nicht von der Zwei-Faktor-Authentifizierung ab. Suchen Sie vielmehr wie bei jedem Security-Verfahren nach Schwachstellen.

SMS sind auf vielen Endgeräten ungeschützt. Security-Token, also spezielle Geräte, die Einmal-Passwörter erzeugen, schaffen Abhilfe. Sie haben im Vergleich zu den üblichen Smartphones einige Vorteile. Unter anderem installiert der Nutzer auf Security-Tokens keine fremden Apps, die die Erlaubnis bekommen, SMS-Nachrichten zu lesen.

Grundsätzlich gilt zudem, dass die Security mehrstufig sein sollte, also etwa zusätzlich zum Zugangsschutz mit 2FA eine Verschlüsselung nötig ist.

Das Beispiel Zwei-Faktor-Authentifizierung zeigt: Alle Security-Verfahren können Schwachstellen haben. Deshalb sind mehrere Schichten für die Security immer von Vorteil.

Oliver Schonschek

Oliver Schonschek
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.