Es vergeht kaum eine Woche, ohne dass neue Meldungen über gestohlene Kennwörter in Umlauf kommen. Den Nutzern der betroffenen Dienste bleibt dann nichts anderes übrig, als schnellstmöglich ihre Zugangsdaten zu ändern, wenn sie ihren Account sichern wollen. Doch es gibt noch eine andere Möglichkeit, um sein Konto trotz solcher Zwischenfälle zu schützen: Die Zwei-Faktor-Authentifizierung, bei der das Kennwort um eine weitere Sicherheitsstufe ergänzt wird. SpardaSurfSafe erklärt die wichtigsten Fakten.

Mit Kennwörtern ist es so eine Sache: Sind sie zu kompliziert, vergisst man sie schnell. Sind sie zu einfach, haben Hacker sie schnell geknackt. Und selbst ein sicheres Kennwort bietet nur unzureichenden Schutz, wenn man bei allen Diensten das gleiche einsetzt – vor allem, wenn die Log-in-Daten dann durch eine Sicherheitslücke beim Anbieter in die Hände von Kriminellen fallen. Leider passiert das aber mit schöner Regelmäßigkeit, wie ein Blick in die Schlagzeilen der letzten Monate zeigt. Vom Social Network über E-Mail-Accounts bis hin zu Cloud-Anwendungen und Spiele-Konten – es gibt kaum einen Bereich, in dem die Hacker nicht aktiv sind. Wird ein neues Datenleck bekannt, bleibt den Nutzern des betroffenen Dienstes nichts anderes übrig, als ihr Kennwort zu ändern. Und mit jeder Änderung steigt die Gefahr, dass man auf ein bereits vorhandenes Kennwort zurückgreift, denn man will es sich schließlich auch merken können.

„Es ist leider eine Tatsache, dass die meisten Nutzer schlechte oder unsichere Kennwörter wählen. Eine weitere große Gruppe hat ein sicheres Kennwort – aber eben nur eines, das dann überall zum Einsatz kommt. Ein Grund mag sein, dass man so relativ sicher sein kann, das Kennwort nicht zu vergessen, aber aus sicherheitstechnischer Sicht ist dieser Zustand äußerst bedenklich. Stellen Sie sich vor, bei einem Online-Shop kommt es zum Datendiebstahl, Ihre Log-in-Daten fallen Kriminellen in die Hände. Diese testen nun, ob sie mit den erbeuteten Daten auch auf andere Dienste zugreifen können – bei nur einem Kennwort haben Sie dann ganz schnell ein Problem!“, warnt Götz Schartner vom Verein Sicherheit im Internet e.V., einem der Mitveranstalter der Initiative SpardaSurfSafe. „Und selbst wenn Sie alles richtig gemacht, also ein sicheres Kennwort gewählt haben und bei jedem Dienst ein anderes nutzen, kann Ihr Konto kompromittiert werden, wenn der Anbieter gehackt wird oder Sie sich einen Keylogger-Virus eingefangen haben, der jede Tastatureingabe aufzeichnet. Gegen solche Fälle hilft nur eine weitere Sicherheitsstufe, also die sogenannte Zwei-Faktor-Authentifizierung, wie sie auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinen IT-Grundschutz-Katalogen empfiehlt.“

Dabei werden zwei voneinander unabhängige Faktoren genutzt, um sich auszuweisen. Ein allgemein bekanntes Beispiel ist die Bankkarte zusammen mit der PIN-Nummer am Geldautomaten. Nur wer über beides verfügt, kann auf das Konto zugreifen und Geld abheben. Die genutzten Faktoren können etwas sein, das man hat (wie ein Schlüssel oder ein Handy), etwas, das man weiß (wie ein Passwort, eine PIN oder eine TAN) oder aber etwas, das untrennbar mit dem Nutzer verbunden ist, wie ein Fingerabdruck oder die Netzhaut. Nur wer über zwei der genannten Faktoren verfügt, kann sich dann Zugang zu den Daten und Konten verschaffen. Das klingt erstmal kompliziert und vor allem unbequem, doch das ist es dank neuer Technik nicht.

„Die einfachste Variante der Zwei-Faktor-Authentifizierung ist per Smartphone-App durchführbar, wie beispielsweise via kostenlosem Google Authenticator. Bei jedem Einloggen erstellt die App eine neue, einmalig gültige Zahlenreihe, den sogenannten Bestätigungscode, der dann entweder als SMS gesendet wird oder direkt in der App sichtbar ist. Zusammen mit dem Benutzernamen und dem herkömmlichen Kennwort kann man sich dann einloggen“, erklärt Schartner. „Und keine Angst: Man muss nicht für jeden Dienst eine eigene App installieren. Die generierten Codes funktionieren bei allen an die App angeschlossenen Diensten.“ Um die Zwei-Faktor-Authentifizierung nicht unnötig kompliziert und unbequem zu machen, lassen sich auch Regeln erstellen, bei welchen Geräten sie abgefragt wird. Wer also keine Lust hat, auf seinem eigenen Rechner jedes Mal den gesamten Authentifizierungsvorgang zu durchlaufen, kann nach einmaliger Eingabe des Codes festlegen, dass er nicht erneut abgefragt wird. Zu den unterstützten Anwendungen zählen Snapchat, Dropbox, Amazon, Microsoft oder Facebook.

Andere Dienste wie Twitter oder Instagram bieten an, eine Telefonnummer zu hinterlegen, an die dann ein Bestätigungscode versandt wird. „Das Problem von Bestätigungscodes per SMS ist die Abhängigkeit von einem Mobilfunknetz. Nur ist das beispielsweise im Urlaub nicht unbedingt verfügbar, wenn man im Internetcafé kurz seine Mails checken will. Viele nutzen ihr Handy im Urlaub auch vorwiegend über W-LAN um Kosten zu vermeiden – eine SMS kommt dann aber nicht an“, führt Schartner aus. Auch Apple bietet für ältere Geräte noch die Zwei-Faktor-Authentifizierung per SMS an. Neuere Geräte ab iOS9 oder OS X El Capitan brauchen hingegen keine gesonderte Software, sondern können als „Vertrautes Gerät“ markiert werden und dann selbstständig Bestätigungscodes generieren.

Neben diesen am häufigsten verwendeten Methoden, kann man darüber hinaus auch auf ein sogenanntes Token zurückgreifen. Dieses kleine Gerät generiert während des Einloggens auf Knopfdruck Einmal-Kennwörter, die parallel an den Dienstanbieter, bei dem man sich gerade einloggt, übergeben werden. Sobald das Kennwort einmal benutzt wurde verfällt es direkt. Sollte ein Keylogger mitlesen, kann er mit den erbeuteten Daten nicht viel anfangen, da das eingegebene Kennwort ja nicht mehr gültig ist. Außerdem bieten die meisten Geräte Zusatzfunktionen wie NFC. Damit kann das Token mit einem Kennwortmanager auf dem Smartphone kommunizieren und diesen freigeben, ohne dass man ein ellenlanges, sicheres Kennwort händisch eingeben muss. Der Nachteil: Es entstehen zusätzliche Kosten für die Anschaffung, je nach Anbieter können das durchaus um die 50 Euro oder sogar mehr sein. Außerdem muss das Gerät natürlich auch ständig mitgeführt werden, um es nutzen zu können.

„Die Zwei-Faktor-Authentifizierung bietet ein deutlich höheres Maß an Sicherheit und sollte gerade bei Diensten mit sensiblen und sehr persönlichen Daten zum Einsatz kommen. Dazu gehören E-Mail-Konten, Social-Media-Profile, Cloud-Anwendungen wie die Dropbox aber auch Spielekonten wie Steam, Xbox oder Playstation. Technisch ist die Einrichtung auch für absolute Laien machbar, auch wenn man bei einigen Diensten etwas suchen muss, bis man die richtigen Einstellungen gefunden hat. Einmal aktiviert, beeinträchtigt die Zwei-Faktor-Authentifizierung auch die Bequemlichkeit bei der Nutzung der Dienste kaum, denn nach einmaliger Eingabe des Codes können die eigenen Geräte als sicher gekennzeichnet werden und fragen nicht jedes Mal erneut nach“, erläutert Schartner den Nutzen der zweiten Sicherheitsstufe. „Es lohnt sich also auf jeden Fall, diesen einmaligen Aufwand auf sich zu nehmen, denn danach können Sie auch bei der nächsten Schlagzeile über gehackte Kennwörter ruhig schlafen!“

Weitere Informationen zur Sicherheit im Internet sind auf der Homepage von SpardaSurfSafe unter https://www.spardasurfsafe-bw.de/ abrufbar. Unter https://www.spardasurfsafe-bw.de/privatsphaere-datenschutz/tipps-tricks/schuetze-dein-gaming-konto/ gibt es außerdem eine detaillierte Übersicht, wie man die Zwei-Faktor-Authentifizierung bei den wichtigsten Gaming-Diensten aktiviert.

Über die 8com GmbH & Co. KG

Veranstalter und Träger von SpardaSurfSafe ist die Stiftung Bildung und Soziales der Sparda-Bank Baden-Württemberg, die gemeinsam mit dem Kultusministerium Baden-Württemberg, dem Verein Sicherheit im Internet e. V. und dem Landesmedienzentrum Baden-Württemberg das Großprojekt im sechsten Jahr durchführt. In Kooperation mit den IT-Sicherheitsexperten der 8com GmbH & Co. KG wurde ein Konzept entwickelt, das die Schüler im Rahmen des Unterrichts im Umgang mit den Neuen Medien aufklärt. „Wir haben das Konzept in den vergangenen Jahren erfolgreich in 17 verschiedenen Städten in Baden-Württemberg mit mittlerweile über 250.000 Teilnehmern durchgeführt. Dafür bekommen wir durchweg positives Feedback von den Teilnehmern, ob Schüler, Eltern oder Lehrer“, erklärt Patrick Löffler vom Verein Sicherheit im Internet e. V.

Firmenkontakt und Herausgeber der Meldung:

8com GmbH & Co. KG
Europastraße 32
67433 Neustadt an der Weinstraße
Telefon: +49 (6321) 48446-0
Telefax: +49 (6321) 48446-29
http://www.8com.de

Ansprechpartner:
Felicitas Kraus
Pressereferentin
Telefon: +49 (30) 30308089-14
E-Mail: kraus@quadriga-communication.de
Eva-Maria Nachtigall
Projekt – SpardaSurfSafe
Telefon: +49 (6321) 48446-0
E-Mail: info@8com.de
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel