Zwei oder mehr Faktoren zur Authentisierung sind heutzutage bei vielen Accounts Standard. Auch die 2FA per SMS wird immer noch viel verwendet. Uns begegnen dabei im Alltag immer wieder viele Fragen rund um das Thema, insbesondere wenn es um die Sicherheit der 2FA per geht. In diesem Beitrag schauen wir uns die am häufigsten gestellten Fragen an.
Die meistgestellten Fragen zu 2FA per SMS: Sicherheit, Angriffsrisiken und Benutzerfreundlichkeit
Keine Kommentare
Inhaltsverzeichnis
Ist 2FA per SMS sicher oder unsicher?
Ob der Versand von Codes für 2FA via SMS sicher oder unsicher ist, kann eigentlich nur in Relation zu anderen Verfahren beantwortet werden, denn kein Verfahren ist absolut sicher.
Klar ist: Es ist sicherer, 2FA per SMS zu nutzen, als keine Zweifaktorauthentisierung. Bei einem gezielten Angriff ist es theoretisch möglich, dass die Codes abgefangen werden. Dann brauchen Angreifer aber immer noch den zweiten Faktor, also beispielsweise das zusätzliche Passwort. Weitere Informationen zu gezielten Angriffen finden Sie im Abschnitt: Kann 2FA per SMS gehackt werden?
Andere Verfahren für Zweifaktorauthentisierung, wie beispielsweise die Verwendung von Hardware-Token oder Authentifizierungs-Apps gelten häufig als sicherer, weil sie sich anderer Verschlüsselungen bedienen. Hier leidet jedoch häufig die Benutzerfreundlichkeit, gerade wenn Unternehmen Accounts mit 2FA nutzen.
Es ist also eine Frage der Abwägung: Wie viel Sicherheit brauchen Sie und wie realistisch ist der Einsatz welcher Authentisierungs-Möglichkeit für Sie?
Ist 2FA per SMS besser als nichts?
Die kurze Antwort: Ja, es ist besser, eine Zwei-Faktor-Authentisierung via SMS zu nutzen oder als Unternehmen anzubieten, als nichts.
Wenn Sie zwei Faktoren zur Authentisierung nutzen, müssen potentielle Angreifer immer noch BEIDE Faktoren kennen, um Zugriff auf ein Konto oder einen Account zu erhalten. Damit ist eine 2FA per SMS sicherer als eine reine Passwort-Eingabe.
Achten Sie trotzdem immer weiterhin auf Unregelmäßigkeiten, melden Sie unbefugte Zugriffe sofort und vergeben Sie im Zweifelsfall umgehend ein neues Passwort. Dies gilt nicht nur wenn Sie 2FA per SMS nutzen, sondern immer.
Kann 2FA per SMS gehackt werden?
Die kurze Antwort lautet: Ja, aber nur mit größerem Aufwand. Es gibt verschiedene Wege, 2FA per SMS abzufangen. Hier möchten wir kurz auf die häufigsten Sicherheitsbedenken eingehen.
SIM-Swapping
Beim SIM-Swapping versuchen Angreifer, die Mobilfunkanbieter zu überzeugen, dass ihnen die Nummer gehört, auf die sie Zugriff erhalten wollen und die Nummer auf eine andere SIM umzuleiten. Gelingt dieser Täuschungsversuch, empfangen die Angreifer eingehende SMS des Opfers und können so auch Zugriff auf 2FA Codes erhalten.
Um sich vor SIM-Swapping zu schützen, können Sie bei vielen Mobilfunkanbietern angeben, dass Sie ein Passwort oder Ähnliches angeben müssen, wenn Sie eine Änderung in Auftrag geben wollen.
Außerdem hilft die allgemeine Empfehlung, sparsam und vorsichtig mit den eigenen Daten im Internet umzugehen. Je weniger Angreifer über Sie in Erfahrung bringen können, desto schwieriger wird es für sie, andere Personen zu täuschen. Seien Sie auch vorsichtig, wenn Sie Emails bekommen die Sie auffordern, verschiedene Daten anzugeben, insbesondere wenn diese vermeintlich von Ihrem Mobilfunkanbieter kommen.
Hacken des Mobilfunknetzes
Wenn davon die Rede ist, dass Angreifer das Mobilfunknetz hacken ist in der Regel die Ausnutzung von Sicherheitslücken der im Mobilfunk genutzten Protokollsammlung SS7 gemeint.
Über bestimmte Umwege ist es möglich, sich Zugriff auf die über SS7 ausgetauschten Informationen zu beschaffen, in diesem Fall auf den Inhalt bestimmter SMS. Kennen Angreifer nicht nur den Inhalt dieser SMS, sondern auch Ihre Zugangsdaten, beispielsweise zu einer Webanwendung, können sie auf diese Art und Weise vollen Zugriff auf Ihr Konto erhalten.
Auch hier hilft es, Ihre mobile Telefonnummer so sparsam wie möglich anzugeben und auf einen verantwortungsvollen Umgang mit Ihren Daten, insbesondere online, zu achten. Achten Sie auch darauf, welche Art von Links Sie öffnen. Mehr dazu im folgenden Abschnitt über Malware.
Malware
Wer Zugriff auf die Inhalte eines Telefons hat, hat in der Regel auch Zugriff auf die SMS. Deshalb kann auch Spionagesoftware oder andere Malware die auf einem Smartphone installiert wurde dazu führen, dass Angreifer 2FA-Codes einsehen können. Schädliche Software kann auch vom Nutzer unbemerkt auf ein Smartphone gelangen.
Auch Malware wird häufig via Email verbreitet, also lohnt sich auch hier eine gesunde Skepsis und Vorsicht. Auf mobilen Geräten geschieht dies auch häufig via SMS.
Natürlich kann Malware auch über andere Nachrichten, die Sie erhalten, auf ein Telefon gelangen, egal ob via Email, SMS, via Facebook oder anderswo. Kurz: Seien Sie vorsichtig und klicken Sie nicht auf Links, wenn Sie dem Absender nicht vertrauen oder wenn die Nachricht merkwürdig aussieht.
Auch Sicherheitssoftware kann vor Malware schützen – es gibt sie auch speziell für mobile Geräte.
Physischer Zugriff auf ungesichertes Mobiltelefon
Zuletzt ist es natürlich auch möglich, dass Angreifer Zugriff auf Ihre Daten erhalten, wenn sie Ihr ungesichertes Mobiltelefon stehlen. Deshalb ist es wichtig, Ihr Telefon mit einer PIN oder biometrischen Abfrage zu sichern, sodass nicht jede Person das Telefon einfach entsperren kann. Diese Hürden sind zwar nicht in jedem Fall unüberwindbar, aber sie verschaffen Ihnen mindestens genug Zeit, andere Sicherheitsmaßnahmen zu ergreifen.
Kann ich 2FA per SMS auch ohne ein Smartphone nutzen?
Ja, viele Unternehmen mieten eigene Inbound-Nummern, um 2FA-SMS ohne Smartphone zu empfangen. Grundsätzlich kann natürlich jedes Mobiltelefon SMS empfangen, nicht nur Smartphones. Für Unternehmen ist diese Variante aber trotzdem oft nicht praktikabel, weil mehrere Personen Zugriff auf den Code haben müssen, der für die 2FA per SMS versendet wird.
Es ist wichtig, dass Sie sich darüber im Klaren sind, dass die Sicherheit der 2FA per SMS geschwächt wird, wenn mehrere Personen auf den Code zugreifen können. Nichtsdestotrotz sehen wir immer wieder, dass diese Variante für viele Unternehmen funktioniert. Auch hier gilt immerhin, dass diese Art der Zweifaktorauthentifizierung besser ist, als nur ein einfaches Passwort zu nutzen.
Sollte Ihr Unternehmen SMS empfangen können? Unser Blogpost zum Thema hilft Ihnen bei der Entscheidung.
Wie wird 2FA per SMS von Unternehmen eingesetzt?
Hier müssen wir zwischen zwei Fällen unterscheiden, nämlich
1. Unternehmen, die ihren Nutzern 2FA per SMS anbieten
und
2. Unternehmen die selbst Dienste nutzen, in denen die 2FA per SMS eingesetzt wird.
Im ersten Fall bieten Unternehmen ihren Nutzern die Möglichkeit an, sich mittels 2FA per SMS zu authentifizieren. Dies ist besonders bei Diensten, die ein hohes Maß an Sicherheit erfordern, wie beispielsweise Online-Banking, von großer Bedeutung. Hier werden also Anwendungen oder Accounts mit einer 2FA geschützt.
Solche Unternehmen haben ein Interesse daran, sichere und leicht bedienbare SMS Gateways zu finden, die auch hohe Volumen an Nachrichten schnell versenden können.
Im zweiten Fall nutzen Unternehmen selbst Dienste, die eine 2FA per SMS anbieten. Hier kommt es häufig zu dem Fall, dass mehrere Teammitglieder in der Lage sein müssen, auf die SMS zuzugreifen, die den Code zur Authentifizierung enthält. Hier kann eine mögliche Lösung sein, eine eigene Inbound-Nummer bei einem SMS Gateway zu buchen, auf der die entsprechende SMS empfangen werden kann. Unternehmen sind hier also auf einfache Lösungen angewiesen, die trotzdem ein gewisses Maß an Sicherheit bieten.
Hinweis:
Viele Dienste senden 2FA SMS mit einer alphanumerischen Sender-ID. Achten Sie also bei der Auswahl einer eigenen Inbound Nummer darauf, dass sie SMS von alphanumerischen Absendern empfangen kann.
Wie finde ich einen guten Anbieter für 2FA per SMS?
Sie möchten 2FA-Codes via SMS versenden und fragen sich, worauf Sie bei der Auswahl des SMS Gateways achten sollten? Im Grunde gelten die Voraussetzungen, die auch bei Massen-SMS Anbietern gelten, nur sollten Sie noch einmal ganz besonders auf die Nutzung seriöser Routen und den Serverstandort achten.
Natürlich spielt auch die Benutzerfreundlichkeit eine Rolle. Idealerweise können Sie sich die Benutzeroberfläche Ihres Anbieter in einer Demo-Version oder einem kostenlosen Account anschauen, bevor Sie sich zu Zahlungen verpflichten.
Haben Sie Fragen? Wir freuen uns über Ihre Nachricht.
Viele Grüße
Headerbild von filadendron via iStock