Eine klassische Authentisierung beschreibt einen Login mithilfe eines Benutzernamens und eines Passworts. Das einfachste Beispiel ist der Login bei einem E-Mail-Anbieter wie Yahoo, Google oder T-Online. Dies ist eine Anmeldung über einen einzelnen Faktor, dem Wissen über die Zugangsdaten. Die Mehr-Faktor-Authentisierung erweitert den Anmeldeprozess um mindestens einen weiteren Faktor.
Um sich zu authentisieren, benötigt man entweder Wissen, Biometrie oder Besitz.
Ein normaler Login mit Benutzername und Passwort beruht auf Wissen. Sie wissen, wie ihre Zugangsdaten lauten und können sich damit anmelden.
Eine alternative bietet die Biometrie, also Ihr Körper. So können sie sich zum Beispiel über Ihren Fingerabdruck, Ihre Iris oder eine Gesichtserkennung einloggen. Das bekannteste Beispiel ist hierbei das Smartphone. So kann man sich bei vielen Smartphones über den Fingerabdruck anmelden oder indem man ganz einfach sein Gesicht in die Kamera hält. Allerdings bleibt es in der Regel bei einer einfachen Authentisierung, da man entweder das Passwort oder die Biometrie verwendet.
Die dritte Möglichkeit sich zu Authentisieren ist der Besitz. Dies kann zum Beispiel ein spezieller Hardware-USB-Stick sein, den man in den PC stecken muss, um sich anzumelden. Apple benutzt diese Art der Authentisierung zum Beispiel, um ein neues Gerät anzumelden. Findet ein Login auf einem neuen Gerät statt, erscheint auf den bereits vorhandenen Geräten die Meldung „Möchten Sie das Gerät freigeben?“. Es reicht also allein der Besitz/Zugriff auf einen bestimmten Gegenstand.
Sobald man zwei Faktoren in beliebiger Kombination verbindet, nennt man dies 2-Faktor-Authentisierung, kurz 2FA. Diese 2FA sollte Ihnen mittlerweile bei vielen Logins im Internet aufgefallen sein. Ob Instagram, Facebook oder LinkedIn, bei fast allen sozialen Netzwerken ist eine optionale 2FA möglich.
Bei Banken ist die Authentisierung über zwei Merkmale bereits lange Standard. Schon vor 15 Jahren hatte man zu Hause eine ausgedruckte TAN-Liste liegen, die man genutzt hat, um den Login und die Überweisung zu bestätigen. Die gedruckten TAN-Listen sind mittlerweile veraltet, das Prinzip bleibt aber gleich. Der Zettel weicht dem USB-Stick oder der Smartphone-App. Egal ob Sparkasse oder Volksbank, jeder Nutzer benötigt heutzutage mindestens zwei Apps für das Online Banking auf dem Smartphone. Die normale Banking-App sowie eine App, die den Code zur 2FA enthält. Nur mit diesem Code ist zum Beispiel eine Überweisung möglich.
Ein weiteres Beispiel ist die Bezahlung mit dem Smartphone. Hier führt eine Kombination aus Besitz und Biometrie zur Freischaltung der Karte. Das Smartphone mit der eingerichteten Bankkarte stellt den Besitz dar. Der Login via Gesichtserkennung oder Fingerabdruck stellt die Biometrie dar. Im Gegensatz dazu können bereits kleinere Beträge von 25 bis 50 Euro mit dem Besitz einer EC- oder Kreditkarte – dank kontaktlosem Bezahlen – bezahlt werden. Hier führt also allein der Besitz zur Freigabe von zum Beispiel 25 Euro bei Kartenzahlungen.
Die 3-Faktor-Authentisierung, kurz 3FA, sorgt für weitere Sicherheit. Beispielhaft werden hier neben den Login-Daten zwei Authentisierungs-Codes an unterschiedliche Endpunkte geschickt. Zum Beispiel an eine E-Mail-Adresse und an eine Telefonnummer. Alternativ kann auch nach einem Login via Passwort die Abfrage des Fingerabdrucks und die Eingabe eines Sicherheitscodes folgen. Auch hier sind alle möglichen Kombinationen von Wissen, Biometrie und Besitz möglich.
Die Mehr-Faktoren-Authentisierung soll den Login sicherer machen. Deshalb ist es am besten, wenn das Gerät zur Anmeldung und das Gerät zur Authentisierung nicht identisch sind.
Hat zum Beispiel der Angreifer Zugriff auf Ihr Smartphone und auf diesem befinden sich sowohl die Anmeldedaten als auch die App für die 2FA/3FA, dann ist der zusätzliche Faktor kein wirklicher Schutz mehr.
Eine Mehr-Faktor-Authentisierung, richtig umgesetzt, bietet deutlich mehr Sicherheit. Ein Beispiel: Gehen wir davon aus, Sie haben Ihren PC und Ihren Browser über einen längeren Zeitraum nicht auf dem neuesten Stand gehalten. Sie haben unbemerkt eine Ransomware auf Ihrem Computer installiert, welche in der Lage ist Ihre Tastatur aufzunehmen und Ihren Browserverlauf zu beobachten. Die angreifende Person ist nun in der Lage, sich überall anzumelden, wo sie Benutzername und Passwort angegeben haben. Doch ohne den zweiten Faktor können die Hacker mit den Zugangsdaten nicht viel anfangen. Je mehr Faktoren notwendig sind, um sich einzuloggen, desto größer wird der Aufwand für die angreifende Person. Zugangsdaten, 2FA-Code und Gesichtserkennung? Zugangsdaten, E-Mail Code und Benachrichtigung auf Ihr Tablet? Aus einem Hackerangriff aus der Ferne müsste eventuell ein echter Einbruch in die Wohnung des Opfers stattfinden. Der Aufwand ist in den meisten Fällen sicherlich zu groß.
Wer BISON-Dienste nutzen möchte, muss sich mit 2FA anmelden. BISON nutzt dafür einen SMS-Tan, welche ähnlich zur Authenticator App ist. Sobald sich der Anleger mit den Zugangsdaten einloggt, erhält dieser per SMS einen Code, welcher eingeben werden muss. Einem Angreifer ist es also nicht möglich, sich allein mit den Zugangsdaten anzumelden und auf das jeweilige Konto zuzugreifen. Selbst wenn jemand Zugang zum persönlichen Computer hat, ist ein Zugriff nicht möglich.
Krasnoff, B. (2023) “How to set up two-factor authentication on your online services,” The Verge, 18 April. Available at: https://www.theverge.com/23612381/two-factor-authentication-2fa-amazon-twitter-how-to, last accesseed 12.09.2023.
Two-factor Authentication (2022). Available at: https://www.bsi.bund.de/EN/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html, last accesseed 12.09.2023.
Shacklett, M.E. and Contributor, T. (2021) “What is multifactor authentication and how does it work?,” Security. Available at: https://www.techtarget.com/searchsecurity/definition/multifactor-authentication-MFA , last accesseed 12.09.2023.
Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Finanz-, Investitions-, und/oder Handelsberatung dar. Wir empfehlen dir dringend, die notwendigen Nachforschungen anzustellen, bevor du eine Anlage-, Investitions- und/oder Handelsentscheidung triffst. Bitte beachte, dass man von der Wertentwicklung in der Vergangenheit nicht auf zukünftige Ergebnisse schließen kann.
Eine Haftung der Gruppe Börse Stuttgart und ihren Tochtergesellschaften für den Artikel ist ausgeschlossen.