2-Faktor-Authentifizierung: Was ist besser? 2FA-SMS oder 2FA-App?

2FA-App vs. 2FA-SMS

In den letzten Jahren ist die 2FA-SMS immer mehr in Verruf geraten – zu Unrecht. Denn in punkto Sicherheit kann sie der 2FA-App leicht das Wasser reichen. Ein Faktencheck.

Es ist so simpel und doch so sicher: Sie geben beim Login Ihren Benutzernamen und Ihr Passwort ein. Danach bekommen Sie eine SMS mit einem Sicherheitscode, Sie geben den Code ein und schon sind Sie in Ihrem Account eingeloggt. Selbst, wenn jemand Ihr Passwort herausfindet, ist Ihr Konto geschützt. Denn: Kein Zugriff ohne Sicherheitscode.

So hat es jedenfalls lange funktioniert. Bis immer mehr Argumente zu lesen, die gegen die 2FA-SMS und für die 2FA-App sprachen. Aber ist die App wirklich sicherer als die SMS? Wir haben uns die häufigsten Meinungen angesehen und die tatsächlichen Sicherheitsrisiken verglichen.

Das sind die häufigsten Bedenken bei der 2FA-SMS

Seit die 2FA-App entwickelt wurde, liest man immer wieder Argumente gegen die 2FA-SMS. Hier eine repräsentative Auswahl:

  • SIM-Swapping: Kriminelle könnten sich beim Mobilfunkanbieter im Namen des Opfers eine SIM-Karte erschleichen
  • Augenzeugen: Fremde könnten einem über die Schulter sehen, während man die SMS mit dem Sicherheitscode liest
  • Schadsoftware: Auf dem Handy installierte Trojaner könnten die SMS mit dem Sicherheitscode abfangen und an Kriminelle weiterleiten

Aber wie groß sind diese Risiken wirklich? Wir machen den Faktencheck.

Argument 1: SIM-Swapping – können sich Kriminelle eine SIM-Karte ergaunern?

Wer schon einmal versucht hat, eine defekte SIM-Karte beim Mobilfunkanbieter zu tauschen, kennt den Ablauf. Zuerst braucht man:

  • einen amtlichen Lichtbildausweis
  • den Mobilfunkvertrag
  • den Gewerbeschein (wenn es sich um ein Firmenhandy handelt)
  • und ein geheimes Codewort, das man bei der Anmeldung angegeben hat.

Mit all diesen Informationen bekommt man schließlich die neue SIM-Karte – und das auch nicht immer. Denn in vielen Fällen wird sie mit der Post an die Adresse geschickt, die im Vertrag angegeben ist.

Aus diesen Gründen ist SIM-Swapping der denkbar schlechteste Weg, um Zugriff auf einen Sicherheitscode zu bekommen – vor allem, da es für Cyberkriminelle wesentlich lukrativere Möglichkeiten gibt.

Argument 2: Augenzeugen – der Blick über die Schulter

In der Regel loggt man sich nur dann in einen Online-Account ein, wenn man ungestört ist. Aber selbst, wenn tatsächlich jemand zusieht und den Einmal-Sicherheitscode lesen kann – es nützt nichts. Denn all diese Codes sind nur wenige Minuten lang gültig und funktionieren nur 1 Mal. Beim nächsten Login wird wieder ein neuer Code generiert, also kann sich kein Betrüger mit einem älteren Code einloggen.

Argument 3: Schadsoftware – können Trojaner Sicherheitscodes lesen und weiterleiten?

Die Antwort ist ja. Aber dieses Risiko beschränkt sich nicht nur auf 2FA-SMS. Denn wenn ein Smartphone mit einem Trojaner infiziert ist, kann die Schadsoftware ALLES auslesen. Selbstverständlich ist dann auch die 2FA-App betroffen.

Wie sicher ist eine Authentifizierung mit der 2FA-App wirklich und welche Risiken lauern?

Während die 2FA-SMS regelmäßig als riskant bezeichnet wird, gibt es kaum negative Stimmen über die 2FA-App. Dabei hängt es von vielen Faktoren ab, ob die Zwei-Faktor-Authentifizierung via App überhaupt sicher sein kann. Und die User haben nur einen geringen Einfluss auf diese Faktoren.

Aber sehen wir uns die Punkte der Reihe nach an.

1. Risikofaktor 2FA-App-Key

Wenn Sie die Zwei-Faktor-Authentifizierung über eine App einrichten, müssen Sie zuerst einen QR-Code scannen oder einen Sicherheitscode eingeben, um sich zu verifizieren. Dieser „Key“ wird sowohl am Smartphone als auch auf dem Server des App-Herstellers gespeichert – schließlich müssen App und Server miteinander kommunizieren.

Wenn nun das Rechenzentrum gehackt wird (und dieses Szenario ist nicht so abwegig, wenn man sich ansieht, wie viele große Unternehmen in den letzten Jahren Opfer von Hackerangriffen wurden), dann haben die Cyberkriminellen Zugriff auf Ihren Key und alle mit ihm verbundenen Dienste. Sie können sich also problemlos in Ihre Konten einloggen – viel leichter, als das mit der 2FA-SMS möglich wäre.

2. Risikofaktor Datenbank

Wie schon erwähnt, gibt es im Internet keine absolute Sicherheit. Immer wieder tauchen unzählige Datensätze im Darknet auf, die von namhaften Unternehmen abgesaugt wurden. Und sie bringen den Hackern viel Geld ein. Vor allem, wenn komplette Login-Datensätze vorhanden sind. Es liegt also auf der Hand, dass Kriminelle ihre Energie eher darin investieren, eine Datenbank mit Usern von 2FA-Apps zu hacken als sich mühsam einzelne SIM-Karten zu organisieren.

Übrigens: Die Verschlüsslung, die für diese Datenbanken und Rechenzentren verwendet wird, ist dieselbe, die auch Facebook Yahoo, WhatsApp usw. verwenden. Und von all diesen Unternehmen wurden bereits sensible Userdaten gestohlen.

3. Risikofaktor Schadsoftware

Wenn sich ein Trojaner auf einem Smartphone einnistet, sind natürlich alle Daten in Gefahr. In diesem Fall ist die 2FA-App allerdings gefährlicher als die 2FA-SMS, da sie übers Internet direkt mit dem Server kommuniziert. Der Hacker erhält also alle Daten und auch gleich die Login-Informationen zu diversen Anmeldeseiten.

Was die Sache noch brisanter macht: Viele ältere Smartphone-Modelle erhalten keine Sicherheitsupdates mehr – und nur wenige Menschen kaufen sich jedes Jahr ein neues Handy.

4. Risikofaktor Datenübertragung

Die 2FA-App kommuniziert übers Internet. Die gängigen Verschlüsselungen können von gewieften Hackern leicht ausgehebelt werden. Besonders gefährlich ist es, wenn die User einen öffentlichen Hotspot verwenden. Hier kann es leicht zu sogenannten Man-in-the-middle-Angriffen kommen.

Die 2FA-SMS bietet mehr Sicherheit und Vorteile als die 2FA-App

Einer der wichtigsten Faktoren in punkto Sicherheit ist, dass SMS nicht übers Internet übermittelt werden, sondern über das Mobilfunknetz. Die Datenübertragung ist also wesentlich sicherer und kann nicht einfach von Hackern abgefangen werden.

Dazu kommt aber noch ein anderer, ebenso wichtiger Aspekt: Eine SMS garantiert die vielzitierte Datensparsamkeit. Denn im Gegensatz zur 2FA-App werden hier keine persönlichen Daten wie Namen, Adressen, keine Standortdaten, Konto- oder Logindaten an den Server übermittelt – schließlich hat die SMS keinen Zugriff auf den kompletten Handyspeicher, die App aber schon.

Die Zwei-Faktor-Authentifizierung soll mehr Sicherheit bieten, nicht weniger

Wenn Anbieter ausschließlich auf die 2FA-App setzen, schließen sie damit automatisch einen relativ großen Personenkreis aus. Denn viele veraltete Smartphones sind nicht mehr mit den Apps diverser Anbieter kompatibel und es gibt nach wie vor viele Menschen, die bewusst auf ein Smartphone verzichten und lieber ihr Tasten-Handy verwenden. Da auch diese Menschen Sicherheit beim Login verdienen, sollten sie wenigstens die freie Wahl haben – und sich für die 2FA-SMS entscheiden können.