Sicherheitsmythen auf dem Prüfstand

Dinge, die heute noch als sicher gelten, können morgen schon wieder überholt sein. Wir sagen Ihnen, worauf Sie sich verlassen können und worauf Sie achten sollten.

Hier erfahren Sie, welche Ihrer IT-Sicherheitsinfos noch aktuell sind und welche IT-Mythen inzwischen so kursieren.

Die größten Mythen zu Online-Sicherheit und die Wahrheit

Ist die Zwei-Faktor-Authentifizierung über SMS wirklich sicher?

Mythos: Die als 2FA abgekürzte Zwei-Faktor-Authentifizierung gilt gemeinhin als äußerst sicher. Mit dieser Methode geschützte Konten sollen angeblich nicht geknackt werden können.

Hintergrund: Viele Onlinedienste wie Amazon, Outlook.com und Gmail bieten die Zwei-Faktor-Authentifizierung an. Bein Einloggen in den Account sind außer dem Passwort und dem Benutzernamen noch ein zusätzlicher Code einzugeben. Der jeweilige Dienst sendet den Code entweder per SMS an das Handy des Nutzers oder erzeugt ihn alle paar Sekunden neu.

Das sind die Fakten: Entgegen weitverbreiteter Annahmen ist die Zweifaktor-Authentifizierung nicht hundertprozentig sicher. Letztes Jahr gelang es zwei Angreifern, per 2FA geschützte Konten zu knacken, und zwar über zwei Methoden. Bei der einen Methode arbeiteten die Angreifer mit einer vom Mobilfunk-Provider ergaunerten SIM-Karte. Die als SIM-Swapping bezeichnete Methode funktioniert so: Zuerst wird die Handynummer einer bestimmten Person ausfindig gemacht. Anschließend geben die Gauner beim Mobilfunkprovider vor, die Karte verloren zu haben. Nach Versand der neuen Karte durch den Provider haben die Betrüger sie im Briefkasten abgefangen, falls sie den Provider nicht überreden konnten, die Karte an eine andere Adresse zu schicken.

Das benötigte Log-in-Passwort können sich die Hacker per Schadcode von ihren Opfern besorgen. Dieses plus die SIM-Karte erlauben auf ein Konto zu gelangen, das über 2FA geschützt wurde. Im konkreten Fall hatten es die Gauner auf Bitcoin-Konten abgesehen. Einer der Angreifer wurde festgenommen und im Jahre 2018 zu 10 Jahren Haft verurteilt. Der Wert der gestohlenen Bitcoins betrug fünf Millionen Dollar.

Im zweiten Fall gelang laut Amnesty International der Zugriff auf Mail-Konten bei Yahoo und Google über klassische Phishing-Angriffe, obwohl die Konten per 2FA geschützt waren. Betroffen waren Menschenrechtsaktivisten in Nordafrika und im Nahen Osten, denen Phishing-Mails zugesandt wurden. Die Mails gaben vor, Mailkontenprobleme zu melden und wirkten so, als würden sie tatsächlich von Google oder Yahoo stammen. Phishing-Mails und -Sites waren kaum von echten Dokumenten der Anbieter zu unterscheiden. An den Empfänger erging die Aufforderung zur Anmeldung in seinem Account per 2FA. Wer dieser Aufforderung nachkam, gab jedoch sein Konto preis.

So ist Schutz möglich: Um sich gegen SIM-Swapping zu wappnen, muss das Mail-Postfach gut gegen Postdiebstahl durch Angreifer geschützt werden. Hundertprozentig schützt aber auch das nicht gegen SIM-Swapping. Wenn es den Angreifern gelingt, den Mobilfunk-Provider dazu zu überreden, die SIM-Karte an eine fremde Adresse zu versenden, sind die Schutzbemühungen vergebens. Ein U2F-Sicherheitsschlüssel (Universal Second Factor) anstatt einer SMS ist für den zweiten Faktor die bessere Alternative. Er bietet einen kompletten Ersatz für das Smartphone als zweiten Schlüssel. Viele Dienste mit 2FA unterstützen den U2F-Sicherheitsschlüssel, der schon für ein paar Euro zu haben ist. Bei der einfachen Variante wird der U2F-Schlüssel zwecks Identifizierung in den USB-Anschluss des Rechners gesteckt. Manche Keys können aber auch per Bluetooth genutzt werden. Diese Variante wird aber nur von wenigen Diensten unterstützt. Für das Konto bei Google funktioniert ein Bluetooth-U2F-Schlüssel wie in diesem Ratgeber beschrieben.

Wirklich wirksam lassen sich Phishing-Angriffe nur durch ein gesundes Misstrauen gegenüber allen Log-in-Daten anfordernden Mails unterbinden. Sollte Sie Ihr Mailanbieter wegen Problemen kontaktieren, klicken Sie auf keinen Fall auf den Link in der E-Mail. Rufen Sie stattdessen die Startseite des Dienstanbieters auf und melden Sie sich wie gewohnt in Ihrem E-Mail-Account an. Sollte tatsächlich ein Problem bei Ihrem Konto aufgetreten sein, erhalten Sie während der Anmeldung oder in Ihrem Konto eine entsprechende Nachricht angezeigt.