E-Mail-Konten k\u00f6nnen leicht von Kriminellen geknackt werden. Die \u201eZwei-Faktor-Authentifizierung\u201c soll davor nun besseren Schutz bieten \u2013 dank einer kombinierten mehrfachen Absicherung.<\/p>\n
<\/p>\n
Der Zugang zum eigenen E-Mail-Postfach wird von Kriminellen erobert, und der Schaden besteht nicht nur darin, dass Fremde unbefugt die private Post mitlesen. Die Umleitung von Bestellungen kann weitaus schlimmere Konsequenzen haben. Zuletzt wurden im Januar in sogenannten Botnetzen 16 Millionen E-Mail-Adressen mitsamt der zugeh\u00f6rigen Kennw\u00f6rter entdeckt. Wenn die vollst\u00e4ndigen Zugangsdaten gestohlen werden, helfen auch die einschl\u00e4gigen Tipps f\u00fcr die Wahl eines guten Kennworts nicht weiter.<\/p>\n
Man kann jedoch solchen F\u00e4llen des Identit\u00e4tsdiebstahls vorbeugen. Das Stichwort lautet \u201eZwei-Faktor-Authentifizierung\u201c. Hinter dem sperrigen Begriff steckt die Idee einer kombinierten mehrfachen Absicherung. Am Geldautomaten ben\u00f6tigt man die Bankkarte und die Pin-Nummer. Wer sich in sein Unternehmens-Netz einw\u00e4hlt, verwendet die Login-Daten und ein Sicherheits-Token, eine kreditkartengro\u00dfe Karte, die auf ihrem Display einen Code anzeigt, der alle f\u00fcnf Minuten wechselt. Selbst wenn der Token in falsche H\u00e4nde ger\u00e4t, kann er f\u00fcr den unerlaubten Zugriff nicht missbraucht werden, weil f\u00fcr den Zugriff auch die Login-Informationen ben\u00f6tigt werden.<\/p>\n
Eine Zwei-Faktor-Authentifizierung f\u00fcr E-Mail-Konten ist kein Allheilmittel gegen s\u00e4mtliche Gefahren. Aber sie schafft deutlich mehr Sicherheit als die umstrittene Marketing-Aktion \u201eE-Mail made in Germany\u201c. Wer sein elektronisches Postfach besser sch\u00fctzen will, kommt um den Einsatz des zweistufigen Verfahrens nicht herum. Und es ist bezeichnend, dass deutsche Anbieter wie die Telekom, GMX oder Web.de zwar plakativ mit \u201eSicherheit\u201c werben, aber diese grundlegende Technik nicht einmal gegen Entgelt anbieten.<\/p>\n
F\u00fcr h\u00f6chsten Schutz muss man also, ob man sie nun mag oder nicht, auf amerikanische Anbieter wie Google, Microsoft, Yahoo wechseln. Die erste M\u00f6glichkeit besteht darin, zus\u00e4tzlich das Handy f\u00fcr die erweiterte Authentifizierung einzusetzen. Die entsprechenden Men\u00fcs zur Einrichtung hei\u00dfen \u201eBest\u00e4tigung in zwei Schritten\u201c, \u201eZweite Anmelde\u00fcberpr\u00fcfung\u201c oder \u201eSicherheitsschl\u00fcssel\u201c.<\/p>\n
Man gibt seine eigene Rufnummer an, und nach jedem erfolgreichen ersten Schritt mit Login-Name und Kennwort wird automatisch ein mehrstelliger Zahlencode per SMS ans Telefon geschickt. Erst nachdem dieser Zusatzcode ebenfalls eingegeben wurde, ist der Weg zum Konto frei. Auf einem vertrauensw\u00fcrdigen Rechner, etwa dem PC im eigenen Haushalt, kann man den zweiten Schritt tempor\u00e4r, etwa f\u00fcr 30 Tage, aussetzen lassen. Nach einer erfolgreichen Authentifizierung wird ein Cookie gesetzt, das einem einen Monat lang den Griff zum Handy erspart. Will man sich mit seinem E-Mail-Konto anderswo anmelden, kommt jedoch abermals die SMS.<\/p>\n
Mehr zum Thema<\/span><\/p>\n Auch wenn es sich kompliziert anh\u00f6rt: Die Zwei-Faktor-Authentifizierung sollte man zumindest bei jenen E-Mail-Konten aktivieren, \u00fcber die Bestellungen oder gar gesch\u00e4ftliche Transaktionen laufen. Auch Facebook und Twitter sowie die Konten bei Apple, Dropbox, Ebay und Paypal lassen sich auf diese Weise sch\u00fctzen.<\/p>\n Etwas diffizil kann die Einrichtung eines mit Zwei-Faktor-Authentifizierung laufenden Kontos auf dem Smartphone sein, um unterwegs beispielsweise an die E-Mail zu kommen. Hier gibt es zwei Verfahren. Entweder wird bei der Einrichtung des Kontos auf dem Mobilger\u00e4t eine Umleitung in den Web-Browser gestartet, auf dass man auf der gewohnten Website noch einmal Login, Kennwort und SMS-Zugangscode eingibt. Oder der Anbieter arbeitet mit tempor\u00e4ren (Einmal-)Kennw\u00f6rtern, die zun\u00e4chst im Web-Browser nach erfolgtem Login generiert werden und dann anstelle des Kennworts im entsprechenden Feld des Mobilger\u00e4ts eingegeben werden.<\/p>\n Wer \u00f6fter mit der Bahn f\u00e4hrt oder sich in anderen Funkl\u00f6chern aufh\u00e4lt, kann bei einigen Anbietern anstelle der SMS-Codes auf Ersatzcodes zur\u00fcckgreifen, die f\u00fcr den Einmalgebrauch auf der Website generiert werden. Ohne SMS arbeitet ferner der Google Authenticator, den es gratis als App f\u00fcr alle (mobilen) Betriebssysteme gibt. Er arbeitet wie die Tokens im Unternehmenseinsatz und zeigt alle 30 Sekunden ein neues Kennwort. Vor dem Einsatz des Authenticators generiert der Anbieter einen pers\u00f6nlichen 80-Bit-Geheimcode, der mit dem Einscannen eines QR-Codes auf das Smartphone \u00fcbertragen wird.<\/p>\n Das anstelle der SMS generierte Einmalkennwort l\u00e4sst sich jederzeit und selbst ohne Mobilfunkverbindung ablesen, allerdings muss die Uhrzeit des Smartphones halbwegs genau eingestellt sein, weil das Einmalkennwort aus der Uhrzeit und dem 80-Bit-Geheimcode errechnet wird.<\/p>\n Mit der Zweit-Faktor-Authentifizierung geht ein hoher Schutz der eigenen Konten einher. Die weiterhin bestehende Schwachstelle sind Man-in-the-Middle-Angriffe, wenn zum Beispiel der Angreifer eine gef\u00e4lschte Startseite pr\u00e4sentiert, um Login und SMS-Code oder Einmalkennwort abzufangen. Auch die SMS-Zustellung l\u00e4sst sich abfischen, nicht nur durch den Diebstahl des Telefons, sondern mit einem Trick der beim Online-Banking mehrfach verwendet wurde: Der Angreifer beantragt im Namen des Opfers eine neue oder zus\u00e4tzliche Sim-Karte und leitet die SMS um. Der dazu erforderliche Aufwand ist jedoch betr\u00e4chtlich, und so wird man alles in allem nachdr\u00fccklich dazu raten, auf die zus\u00e4tzliche H\u00fcrde der Zwei-Faktor-Authentifizierung nicht zu verzichten.<\/p>\n\n
Schwierige Einrichtung bei Smartphones<\/h2>\n
Noch bestehen Schwachstellen<\/h2>\n