Was ist 2FA (Zwei-Faktor-Authentifizierung)?

Die meisten Menschen sind mit SMS-basierten 2FA-Sicherheitssystemen vertraut. Hierbei sendet eine App bei der Anmeldung einen numerischen Code an das Mobiltelefon des Benutzers. Der Benutzer muss dann sowohl sein Passwort als auch den Code eingeben, um fortzufahren. Nur das eine oder das andere einzugeben, reicht für die Authentifizierung nicht aus.

2FA ist die gängigste Form der Multi-Faktor-Authentifizierung (MFA), die jede Authentifizierungsmethode umfasst, bei der Benutzer mehr als einen Authentifizierungsfaktor angeben müssen, um ihre Identität nachzuweisen. 

Obwohl 2FA häufig mit Computersystemen in Verbindung gebracht wird, kann sie auch physische Assets und Standorte schützen. In einem Gebäude mit Zugangsbeschränkungen ist es beispielsweise erforderlich, dass Personen einen Ausweis vorlegen und ihren Fingerabdruck scannen müssen, um eintreten zu können.

Laut dem Data Breach Kostenreportvon IBM verursachen kompromittierte Anmeldedaten 10 % der Datenschutzverletzungen. Für Bedrohungsakteure ist es relativ einfach, Passwörter durch Phishing, Spyware oder Brute-Force-Angriffe zu stehlen.

Die Zwei-Faktor-Authentifizierung steigert die Kontosicherheit, indem sie einen zweiten Faktor erfordert. Hacker müssen nicht nur zwei Zugangsdaten stehlen, um in ein System einzudringen: Der zweite Faktor ist oft schwer zu hacken. Zu den üblichen zweiten Faktoren gehören Fingerabdrücke und biometrische Daten, physische Sicherheitsschlüssel und ablaufende Passcodes.

Authentifizierungsfaktoren sind die Zugangsdaten, die Benutzer angeben, um ihre Identität zu überprüfen. Zwei-Faktor-Authentifizierungssysteme verwenden mehrere Arten von Authentifizierungsfaktoren, und echte 2FA-Systeme verwenden zwei Faktoren unterschiedlicher Art. 

Die Verwendung von zwei unterschiedlichen Faktorentypen gilt als sicherer als die Verwendung von zwei Faktoren desselben Typs, da Hacker zum Knacken der einzelnen Faktoren unterschiedliche Methoden anwenden müssen.

Zum Beispiel können Hacker das Passwort eines Benutzers stehlen, indem sie Spyware auf dessen Computer installieren. Diese Spyware könnte aber keine Einmalpasswörter auf dem Smartphone des Benutzers abfangen. Der Hacker müsste dann eine andere Möglichkeit finden, um diese Nachrichten abzufangen. 
 
Zu den Arten von Authentifizierungsfaktoren gehören:

• Wissensfaktoren
• Besitzfaktoren
• Inhärente Faktoren 
• Verhaltensfaktoren

Wissensfaktoren sind Informationen, die theoretisch nur der Benutzer kennt. Passwörter sind die am häufigsten genutzten Wissensfaktoren. Oft werden auch persönliche Identifikationsnummern (PIN) und Antworten auf Sicherheitsfragen verwendet.

In den meisten 2FA-Implementierungen dienen Wissensfaktoren als erstes Authentifizierungselement. 

Trotz ihrer weiten Verbreitung sind Wissensfaktoren die anfälligste Art von Authentifizierungsfaktor. Hacker können Passwörter durch Phishing-Angriffe, Malware oder Brute-Force-Angriffe abfangen. Dabei werden Bots eingesetzt, die potenzielle Passwörter für ein Konto generieren und so lange testen, bis eines funktioniert.

Auch andere Arten von Wissensfaktoren stellen keine große Herausforderung für Cyberkriminelle dar. Die Antworten auf viele Sicherheitsfragen, wie zum Beispiel die klassische Frage nach dem Mädchennamen der Mutter, lassen sich leicht durch einfache Nachforschungen oder Social-Engineering-Angriffe knacken, die die Benutzer dazu verleiten, persönliche Informationen preiszugeben.

Die gängige Praxis, ein Passwort und eine Sicherheitsfrage zu verlangen, ist keine echte 2FA, da sie zwei Faktoren desselben Typs verwendet – in diesem Fall zwei Wissensfaktoren.

Zwei Wissensfaktoren wären ein Beispiel für einen zweistufigen Verifizierungsprozess. Der Prozess besteht aus zwei Schritten– der Eingabe eines Passworts und der Beantwortung einer Frage – verwendet aber nur eine Art von Faktor.

Eine zweistufige Verifizierung kann sicherer als nur ein Passwort sein, da zwei Nachweise erforderlich sind. Allerdings sind diese beiden Faktoren aufgrund ihrer gleichen Art leichter zu stehlen als zwei verschiedene Arten von Faktoren.

Besitzfaktoren sind Dinge, die eine Person besitzt. Die beiden häufigsten Arten von Besitzfaktoren sind Software-Token und Hardware-Token.

Software-Token treten häufig als Einmalpasswörter (One-Time-Passwords, OTPs) in Erscheinung. OTPs sind in der Regel 4-8-stellige Einmalpasswörter, die nach einer bestimmten Zeitspanne ablaufen. Software-Tokens können per SMS, E-Mail oder Sprachnachricht an das Smartphone des Benutzers gesendet werden. Tokens können auch von einer auf dem Gerät installierten Authentifizierungs-App generiert werden.

Bei einem Software-Token fungiert das Gerät des Benutzers als Besitzfaktor. Das 2FA-System geht davon aus, dass nur der rechtmäßige Benutzer Zugriff auf alle Informationen hat, die an dieses Gerät geliefert oder von ihm erzeugt werden. 

SMS-basierte OTPs in Textform zählen zwar zu den benutzerfreundlichsten Besitzfaktoren, sind aber auch am unsichersten. Benutzer benötigen eine Internet- oder Mobilfunkverbindung, um diese Authentifizierungscodes zu erhalten, und Hacker können sie durch raffinierte Phishing- oder Man-in-the-Middle-Angriffe stehlen. 

Außerdem sind OTPs anfällig für das SIM-Klonen: Hierbei erstellen Kriminelle ein funktionierendes Duplikat der SIM-Karte des Smartphones des Opfers, um SMS abzufangen.

Authenticator-Apps – wie Google Authenticator, Authy, Microsoft Authenticator und Duo – können Token ohne Netzwerkverbindung generieren. Ein Benutzer koppelt die Authenticator-App mit einem Dienst, oft durch das Scannen eines QR-Codes. Die App generiert dann kontinuierlich zeitbasierte Einmalpasswörter (TOTPs) für den gekoppelten Dienst. Jedes TOTP läuft nach 30–60 Sekunden ab, was einen Diebstahl erschwert. 

Einige Authenticator-Apps verwenden Push-Benachrichtigungen anstelle von TOTPs. Wenn sich ein Benutzer bei einem Konto anmeldet, sendet die App eine Push-Benachrichtigung an sein iOS- oder Android-Betriebssystem, auf die er tippen muss, um den Versuch als legitim zu bestätigen.

Obwohl Authenticator-Apps schwerer zu knacken sind als SMS, sind sie nicht narrensicher. Hacker können mithilfe von Malware TOTPs direkt von Authentifikatoren stehlen. Sie können auch MFA-Fatigue-Angriffe starten, bei denen sie ein Gerät mit betrügerischen Push-Benachrichtigungen überfluten, in der Hoffnung, dass das Opfer eine davon versehentlich bestätigt. 

Hardware-Token sind dedizierte Geräte, wie zum Beispiel Schlüsselanhänger, ID-Karten oder Dongles, die als Sicherheitsschlüssel fungieren. Einige Hardware-Token werden an den USB-Anschluss eines Computers angeschlossen und übertragen Authentifizierungsinformationen an die Anmeldeseite. Andere Token generieren Bestätigungscodes, die der Benutzer bei einem Prompt manuell eingeben muss.

Hardware-Token sind zwar schwer zu hacken, können aber gestohlen werden – genau wie mobile Geräte von Benutzern, die Software-Token enthalten. Laut dem Data Breach Kostenreport von IBM sind verloren gegangene und gestohlene Geräte an bis zu 9 % der Datenschutzverletzungen beteiligt.

Die auch als „Biometrie“ bezeichneten inhärenten Faktoren sind körperliche Merkmale, die nur auf den Benutzer zutreffen, wie Fingerabdrücke, Gesichtszüge und Netzhautmuster. Viele Smartphones und Laptops sind mit Gesichtsscannern und Fingerabdrucklesern ausgestattet und oft verwenden Apps und Websites diese biometrischen Daten als Authentifizierungsfaktor.

Obwohl biometrische Charakteristiken am schwierigsten zu knacken sind, können die Folgen katastrophal sein, wenn dies gelingt. Wenn ein Hacker Zugriff auf eine biometrische Datenbank erhält, kann er diese Daten stehlen oder seine eigenen biometrischen Daten mit dem Profil eines anderen Benutzers verknüpfen. Wenn biometrische Daten kompromittiert werden, können sie nicht schnell oder einfach geändert werden, was es schwierig macht, laufende Angriffe zu stoppen.

Die Fortschritte bei der Bildgenerierung durch künstliche Intelligenz (KI) haben Cybersicherheit Experten besorgt, dass Hacker diese Tools nutzen könnten, um Gesichtserkennungssoftware auszutricksen. 

Verhaltensfaktoren sind digitale Artefakte, die die Identität eines Benutzers anhand von Verhaltensmustern überprüfen. Beispiele hierfür sind der typische IP-Adressbereich eines Benutzers, der übliche Standort und die durchschnittliche Tippgeschwindigkeit.

Verhaltensbasierte Authentifizierungssysteme nutzen KI und maschinelles Lernen (ML), um das normale Verhaltensmuster eines Benutzers zu bestimmen und auffällige Aktivitäten wie die Anmeldung über ein neues Gerät, eine neue Telefonnummer oder einen neuen Standort zu erkennen.

Einige Zwei-Faktor-Authentifizierungssysteme erlauben es Benutzern, vertrauenswürdige Geräte als Faktoren zu registrieren. Zwar muss der Benutzer bei der ersten Anmeldung möglicherweise zwei Faktoren angeben, doch die Verwendung des vertrauenswürdigen Geräts wird in Zukunft automatisch als zweiter Faktor akzeptiert.

Verhaltensfaktoren spielen auch bei adaptiven Authentifizierungssystemen eine Rolle, die ihre Anforderungen je nach Risikoniveau ändern. Beispielsweise benötigt ein Benutzer möglicherweise nur ein Kennwort, um sich von einem vertrauenswürdigen iPhone im Unternehmensnetzwerk aus bei einer App anzumelden. Dieser Benutzer muss möglicherweise einen zweiten Faktor hinzufügen, um sich über ein neues Gerät oder ein unbekanntes Netzwerk anzumelden. 

Verhaltensfaktoren sind zwar eine geläufige Möglichkeit, um Benutzer zu authentifizieren, erfordern bei der Bereitstellung jedoch erhebliche Ressourcen und Fachkenntnisse. Dazu kommt, dass Hacker den Benutzer leicht imitieren können, wenn sie Zugriff auf ein vertrauenswürdiges Gerät erhalten.

Passwortlose Zwei-Faktor-Authentifizierungssysteme akzeptieren nur inhärente, Besitz- und Verhaltensfaktoren – keine Wissensfaktoren. Wenn ein Benutzer zum Beispiel nach einem Fingerabdruck und einem physischen Token gefragt wird, handelt es sich um eine passwortlose 2FA.

Die passwortlose Authentifizierung macht Wissensfaktoren überflüssig, da sie leicht kompromittiert werden können. Zwar verwenden die meisten aktuellen 2FA-Methoden Passwörter, doch Branchenexperten rechnen damit, dass passwortlose Verfahren in Zukunft immer häufiger genutzt werden. 

Passkeys, die beispielsweise auf dem gängigen FIDO-Standard basieren, gehören zu den häufigsten passwortlosen Formen der Authentifizierung. Sie verwenden eine Public-Key-Verschlüsselung, um die Identität eines Benutzers zu verifizieren.

Laut dem Data Breach Kostenreport sind kompromittierte Anmeldedaten und Phishing die beiden häufigsten Vektoren für Cyberangriffe. Zusammen machen sie etwa 26 % der Datenschutzverletzungen aus. Beide Vektoren setzen mehrheitlich auf das Entwenden von Passwörtern, mit denen dann rechtmäßige Konten und Geräte übernommen werden, um Schaden anzurichten.

Hacker haben es in der Regel auf Passwörter abgesehen, weil sie vergleichsweise leicht durch Brute-Force oder Täuschung zu knacken sind. Da Passwörter oft wiederverwendet werden, reicht in vielen Fällen ein einziges gestohlenes Passwort, um in mehrere Konten einzudringen. Die Folgen eines gestohlenen Passworts können für Benutzer und Unternehmen erheblich sein und reichen von Identitätsdiebstahl und finanziellem Diebstahl bis hin zur Systemmanipulation und mehr.

Die Zwei-Faktor-Authentifizierung hilft, unbefugten Zugriff zu verhindern, indem sie den Systemen für Identity und Access Management (IAM) eine zusätzliche Sicherheitsebene hinzufügt. Selbst wenn Hacker das Passwort stehlen, benötigen sie immer noch einen zweiten Faktor, um auf ein Konto zuzugreifen. 

Außerdem sind diese zweiten Faktoren in der Regel schwieriger zu stehlen als ein Wissensfaktor. Hacker müssten biometrische Daten fälschen, Verhaltensweisen imitieren oder physische Geräte stehlen. 

Zwei-Faktor-Authentifizierungsmethoden können Unternehmen auch dabei helfen, bestimmte Compliance-Verpflichtungen zu erfüllen. Zum Beispiel erfordert der Payment Card Industry Data Security Standard (PCI DSS) ausdrücklich MFA für Systeme, die Kreditkartendaten verarbeiten.

Andere Vorschriften, wie der Sarbanes-Oxley (SOX) Act und die Datenschutz-Grundverordnung (DSGVO), erfordern nicht ausdrücklich eine 2FA. Unternehmen können mit einer 2FA jedoch die strengen Sicherheitsstandards dieser Gesetze einhalten.

Obwohl die Zwei-Faktor-Authentifizierung stärker ist als Ein-Faktor-Authentifizierungsmethoden, insbesondere solche, die nur Kennwörter verwenden, ist die 2FA nicht unfehlbar. Insbesondere können Hacker Kontowiederherstellungssysteme missbrauchen, um die 2FA zu umgehen und ein Konto zu beschlagnahmen.

Ein Hacker kann sich beispielsweise als legitimer Benutzer ausgeben, der den Zugriff verloren hat und seine Zugangsdaten zurücksetzen muss. Kontowiederherstellungssysteme erfordern häufig andere Authentifizierungsmittel, z. B. die Antwort auf eine Sicherheitsfrage. Wenn diese Frage so einfach ist wie der Mädchenname der Mutter, kann der Hacker mit ein wenig Recherche die richtige Antwort finden. Der Hacker kann dann das Kontopasswort zurücksetzen und den echten Benutzer aussperren.  

Hacker kompromittieren auch Konten, indem sie Zugriff auf ein anderes erhalten. Wenn ein Angreifer beispielsweise in ein sensibles Unternehmenssystem eindringen möchte, könnte er zunächst das E-Mail-Konto eines Benutzers übernehmen. Er fordert dann über das Unternehmenssystem ein neues Passwort an, das eine E-Mail an das Konto sendet, das der Hacker bereits kontrolliert.

Die SMS-basierte 2FA, die vielleicht häufigste Form von 2FA, kann durch raffiniertes Social Engineering gehackt werden. Der Angreifer kann sich als sein Opfer ausgeben und dessen Telefonanbieter anrufen. Er behauptet, sein Telefon sei gestohlen worden und er müsse seine Nummer auf ein neues umändern. OTPs werden dann an das Telefon gesendet, das der Hacker kontrolliert, anstatt an das Telefon des Opfers.  

Benutzer können sich gegen diese Angriffe schützen, indem sie sicherstellen, dass alle ihre Konten – von E-Mail-Konten bis hin zu Konten bei Telefonanbietern – effektive 2FA- oder MFA-Anforderungen erfüllen. Setzt man alles auf MFA, wird es für Hacker schwieriger, ein Konto zu verwenden, um ein anderes zu kompromittieren.

Benutzer können außerdem sicherstellen, dass die von ihnen gewählten Authentifizierungsfaktoren schwer zu knacken sind. Biometrie und Physical Security Token zum Beispiel sind schwieriger zu stehlen als Antworten auf Sicherheitsfragen.