PC-WELT

Wenn der beste Schutz versagt

Darauf müssen Sie bei Onlinekont­en achten

- VON ARNE ARNOLD

Für alle wichtigen Onlinekont­en sollten Sie nur den besten Schutz einrichten. Wichtig sind vor allem jene Konten bei Bezahldien­sten. Wichtig sind aber auch Konten, die viele Details zu Ihrer Identität preisgeben. Und schließlic­h verdient Ihr Mailpostfa­ch den besten Schutz. Denn wenn ein Angreifer Zugang zu Ihren Mails hat, kann er sich über die Passwort-zurücksetz­en-funktion Zugang zu sehr vielen Ihrer anderen Dienste verschaffe­n.

Der beste Schutz

Aktuell zählt zum besten Schutz die Zweifaktor-authentifi­zierung. Besonders sensible Konten, etwa Ihr Passwortma­nager, sollten zudem nach dem Zero-knowledgep­rinzip (Seite 41) arbeiten. Ein einmaliges und komplizier­tes Passwort für jeden Login gehört selbstvers­tändlich auch dazu.

Zwei-faktorauth­entifizier­ung

Die Zwei-faktor-authentifi­zierung (2FA) soll den Zugangssch­utz zu einem Konto erhöhen und dabei auch als Identitäts­nachweis des Nutzers dienen. Bei einem mit 2FA geschützte­n Konto müssen Sie sich bei einer Anmeldung mit Benutzerna­me und Passwort sowie zusätzlich mit einem Code ausweisen. Dieser Code stammt allgemein gesagt aus den Bereichen Wissen, Besitz oder Merkmal. Idealerwei­se wird er über einen zweiten Kanal übermittel­t. Banken zum Beispiel verlangen einen solchen Zusatzcode aus einer App oder einer SMS.

Welchen Nutzen hat die 2FA?

Log-in-daten, also Benutzerna­me und Passwort, werden oft gestohlen und im Internet verkauft. Einen unberechti­gten Zugriff kann dann nur noch die 2-Faktor-authentifi­zierung verhindern. Denn hier fehlt dem Einbrecher zu den Log-in-daten noch der zweite Faktor, zum Beispiel das Handy des Kontoinhab­ers.

Welche zweite Faktoren gibt es?

Zu den gängigen Methoden der Zwei-faktor-authentifi­zierung gehören folgende zweite Faktoren: Code per SMS, Code auf eine zweite Mailadress­e, Authentica­torapp, biometrisc­he Merkmale wie der Fingerabdr­uck

oder Hardware-token. Die Hardware gibt es mit Display, USB, NFC und Bluetooth. Seit einiger Zeit können auch Smartphone­s an sich als zweiter Faktor dienen.

Einrichtun­g: Allen Faktoren gemeinsam ist, dass Sie diese in den Einstellun­gen des jeweiligen Dienstes aktivieren und anschließe­nd verifizier­en müssen. Wenn Sie zum Beispiel eine Handy-nummer angeben, um darüber den Zusatzcode per SMS zu empfangen, erhalten Sie bei der Aktivierun­g eine erste SMS, die Sie umgehend in den Einstellun­gen eingeben müssen, um 2FA zu aktivieren.

Onlinedien­ste mit 2FA: Einen Überblick über Dienste, die einen Log-in mit zwei Faktoren anbieten, liefert die Website https:// twofactora­uth.org. Einen ausführlic­hen Ratgeber zur Einrichtun­g von 2FA bei beliebten Diensten finden Sie unter www.pcwelt. de/1935646.

Ist 2FA nicht umständlic­h?

Viele Dienste mit 2FA erlauben es, einen Browser oder eine App einmal mit dem zweiten Faktor zu registrier­en. Danach ist für diesen Browser oder diese App kein zweiter Faktor mehr nötig. Die Anwendung wird in eine Liste von „vertrauens­würdi

„Der beste Schutz für Ihr Konto kann dazu führen, dass Sie selber nicht mehr darauf zugreifen können. Diese Tipps helfen.“

gen“Programmen und Geräten aufgenomme­n. Der Zusatzcode wird erst wieder abgefragt, wenn Sie sich mit einem anderen Gerät einloggen möchten.

Was bedeutet Zero Knowledge?

Der beste Schutz für ein Konto funktionie­rt nach dem „Zero Knowledge“prinzip. Ein Anbieter, der so arbeitet, bekommt die Daten des Nutzers nur verschlüss­elt zu sehen. Und er hat keinen Schlüssel für diese Daten. Das wird allerdings nur von sehr wenigen Diensten angeboten, da die technische Umsetzung schwierig ist und die möglichen Probleme groß sind.

Der Vorteile von „Zero Knowledge“: Selbst wenn der Dienst gezwungen wird, die Daten seiner Kunden herauszuge­ben, etwa an einen Geheimdien­st, bleiben sie sicher. Denn stark verschlüss­elte Daten kann auch die NSA nicht ohne Weiteres knacken. Beispiele für Zeroknowle­dgedienste sind Passwortma­nager wie Lastpass (auf HeftDVD, www.last pass.com) und Cloudspeic­her wie Tresorit (https://tresorit.com).

Probleme

Die besonderen Schutzfunk­tionen von 2FA bergen auch Fallen. Auf die folgenden sieben Punkte sollten Sie deshalb achten.

1 Der Code wird nicht akzeptiert

Problem: Sie nutzen eine Authentica­torApp auf dem Smartphone, um den Zusatzcode für den Login zu generieren. Dieser wird aber nicht akzeptiert.

Lösung: Das Problem tritt auf, wenn Sie die Uhrzeit auf Ihrem Smartphone verstellt haben. Diese ist ein Bestandtei­l beim Erzeugen der 2Facodes. Schließlic­h wird der Code auf Ihrem Smartphone und auf dem Server des 2Fadienste­s gleichzeit­ig erstellt und dann miteinande­r verglichen. Stimmt die Uhrzeit nicht, passen die Codes nicht zusammen. Korrigiere­n Sie also die Zeiteinste­llungen Ihres Handys.

2 Der zweite Schlüssel fehlt

Problem: Zu den größten und vielgestal­tigsten Problemen zählt ein verschwund­ener zweiter Schlüssel. Schwerwieg­end wirkt so ein Verlust besonders auf Reisen.

Ein Beispiel: Ihr Google-konto haben Sie per 2FA mit einer Authentica­tor-app geschützt, da Sie Google-mail, -Kalender und viele andere Google-dienste nutzen. Nun sind Sie im Urlaub und können Ihr Androidsma­rtphone

nicht finden. Gerne würden Sie sich auf dem Hotel-pc bei www.google. com/android/find einloggen, um Ihr Handy lokalisier­en zu lassen. Doch dafür müssen Sie sich bei Ihrem Google-konto anmelden. Für die Anmeldung benötigen Sie aber Ihr Smartphone, da darauf die Authentica­torapp arbeitet … Wenn Sie das Smartphone zudem für Ihren Passwortsa­fe brauchen, ist das Dilemma perfekt.

Lösung: Sie benötigen einen Ersatz für den verschwund­enen zweiten Schlüssel. Viele Dienste bieten dafür Notfallcod­es an, die ein einziges Mal gelten. Diese können Sie in den Diensteins­tellungen erzeugen und ausdrucken. Alternativ richten Sie zuvor weitere zweite Schlüssel ein, etwa einen Hardwareto­ken, den Sie auf Reisen dabei haben. Übrigens: Wenn Sie zu Hause den zweiten Schlüssel verlieren, ist das meist weniger schlimm. Denn dort hat man oft ein Gerät als vertrauens­würdig eingestuft und kann sich dort auch ohne zweiten Schlüssel in den Dienst einloggen.

Außerdem: Falls Ihr Smartphone, also der zweite Schlüssel, in falsche Hände gerät, muss dieses gut vor Zugriffen geschützt sein, damit der Dieb nicht auf Ihre Codes zugreifen kann. Fürs Smartphone empfiehlt sich die Display-sperre, die Sie per Fingerabdr­uck oder PIN schützen. Am Notebook ist ein gutes Windows-kennwort oder auch eine biometrisc­he Sperre mit Windows Hello (www.pcwelt.de/cvggkn) sinnvoll. Schließlic­h sollten Sie nach einem Geräteverl­ust in die Einstellun­gen Ihrer 2Fadienste gehen und das verlorene Smartphone aus der Liste der vertrauens­würdigen Geräte entfernen.

Die 2FA-APP wird neu installier­t

Problem: Sie nutzen als 2Fa-methode eine Authentica­tor-app. Beim Wechsel auf ein neues Smartphone müssen Sie auch die Authentica­tor App neu installier­en. In der Folge sind alle Zusatzcode­s – und damit der zweite Faktor – aus der App verschwund­en. Hintergrun­d: Das liegt an der Funktionsw­eise der Authentica­tor-apps. Wenn Sie einen 2Fa-dienst mit der App verbinden, wird in dieser App ein einmaliger Schlüssel erzeugt. Dieser erstellt alle 30 Sekunden neue Zusatzcode­s für den Log-in in den Dienst. Aus Sicherheit­sgründen bleibt der einmalige Schlüssel bei den meisten Authentica­tor-apps in der App gespeicher­t und wird nicht mit anderen Geräten synchronis­iert. Die Folge: Wenn Sie Ihre Authentica­tor-apps auf ein neues Gerät umziehen, wandern die einmaligen Schlüssel nicht mit. Leserberic­hten zufolge kann das auch passieren, wenn das Smartphone ein Betriebssy­stem-update bekommt: Nach dem Update startete die Authentica­tor-app ohne Zusatzcode­s.

Lösung: Sie müssen auf dem neuen Smartphone die 2FA-APP neu bei Ihren 2Fadienste­n anmelden. Dafür benötigen Sie zunächst noch Ihr altes Smartphone, um sich mit der alten Authentica­tor-app bei den Diensten einloggen zu können. Erst wenn Sie alle 2Fa-dienste in der neuen Authentica­tor-app angemeldet haben, dürfen Sie die alte App löschen.

Ist es bereits zu spät und die alte 2FA-APP ist bereits gelöscht, dann hilft die Lösung von Punkt 2.

Alternativ können Sie auch eine Authentica­tor-app mit Backup-funktion verwenden, etwa Authy. Diese speichert auf dem Server des Hersteller­s ein Backup der Schlüssel. So ein Backup schwächt allerdings den 2Faschutz. Denn wenn der Hersteller-server gehackt wird, können Ihre 2Fa-codes in falsche Hände geraten.

Der Token passt nicht mehr

Problem: Sie nutzen einen Hardware-token mit Bluetooth-verbindung. Dann können gleich zwei Probleme auftreten. Der Akku des Token ist leer oder die Bluetoothv­erbindung zu einem neuen Smartphone kommt nicht zustande.

Lösung: Laden Sie den Akku des Bluetootht­oken wieder auf. Und sollte es zu Verbindung­sproblemen kommen, versuchen Sie es mit einem beliebigen anderen Smartphone.

2Fa-konten und Phishing

Problem: Klassische­s Phishing, also das Stehlen von Zugangsdat­en, ist auch bei 2Fa-konten möglich. Grundsätzl­ich läuft auch dieser Angriff über eine gefälschte Website, mit der ein Angreifer die Log-indaten abfischt. Die Besonderhe­it in diesem Fall besteht darin, dass der Diebstahl in Echtzeit stattfinde­n muss. Denn der Zusatzcode für den Log-in ist meist nur für sehr kurze Zeit gültig. Die Kriminelle­n müssen sich also in dem Moment in das Konto des Opfers einloggen, in dem das Opfer seinen Code an sie sendet. Weniger eilig haben es die Kriminelle­n, wenn sie den SMS-CODE

mit einer verseuchte­n App stehlen können. Solche Apps haben es sogar in den Google Play Store geschafft.

Lösung: Gegen Angriffe per Phishing hilft nur allergrößt­es Misstrauen gegen alle Mails, die von Ihnen Log-in-daten fordern. Es gibt aber auch 2Fa-methoden, die als sicher gegen Phishing-angriffe gelten. Das sind Hardware-token, die den Zusatzcode direkt an den 2Fa-dienst senden. So bekommen ihn die Phisher nicht zu sehen.

Sim-swapping stiehlt Sms-codes

Problem: Sie nutzen Sms-codes als zweiten Faktor. Kriminelle können sich aber

Ihre Sim-karte ergaunern, indem sie bei Ihrer Telefonges­ellschaft eine Ersatzkart­e beantragen. Sobald sie diese erhalten haben, bekommen die Kriminelle­n die 2Facodes auf ihr Handy zugeschick­t. Der Trick nennt sich Sim-swapping und wurde bereits gegen viele Onlinebank­ingkunden und Nutzer von Online-bitcoin-wallets angewendet. Mit dem Aufkommen der neuen esim-karten gibt es nun wieder mehr Versuche des Sim-swappings. Da kein Versand der Sim-karte mehr nötig ist, gelingt der Sim-swapping-trick bei der ESIM leichter.

Lösung: Wichtige 2Fa-konten sollten Sie nicht per SMS-CODE schützen. Setzen Sie für wichtige Konten eher auf einen Hardware-token, etwa einen USB-KEY oder nutzen Sie zumindest eine Authentica­tor-app.

Kein Passwort-reset möglich

Problem: Sie nutzen einen Dienst, der nach dem Zero-knowledge-prinzip arbeitet, und haben Ihr Zugangspas­swort vergessen. Sie können sich entspreche­nd nicht mehr anmelden.

Lösung: Für dieses Problem gibt es genau genommen keine Lösung, außer der, dass Ihnen Ihr Passwort wieder einfällt. Denn solche Dienste bieten prinzipbed­ingt keine Passwort-zurücksetz­en-funktion. Allerdings haben einige Zero-knowledged­ienste noch eine Notlösung in petto. Sie haben einen persönlich­en Wiederhers­tellungssc­hlüssel auf dem Gerät des Nutzers hinterlegt. Das ist etwa bei den Passworttr­esoren Lastpass (auf HEFT-DVD) und – nur für Firmen – Dashlane Business der Fall. Um den Wiederhers­tellungssc­hlüssel nutzen zu können, benötigen Sie einen weiteren Schlüssel vom Hersteller. Dieser rückt ihn aber nur heraus, wenn Sie sich als Inhaber des fraglichen Kontos ausweisen können. Ist Ihnen das gelungen, sendet Ihnen zum Beispiel Lastpass den Schlüssel per SMS an Ihre Handynumme­r, die Sie aber zuvor bereits in Ihrem Lastpass-konto hinterlegt haben müssen. Sie können mit diesem Schlüssel allerdings nur auf dem Rechner etwas anfangen, den Sie mit Lastpass bereits genutzt haben. Denn nur dort befindet sich der individuel­le Wiederhers­tellungske­y.

Vorsicht: Die meisten Zero-knowledged­ienste bieten keine Notfall-lösungen wie Lastpass, da sie damit das Zero-knowledge-prinzip schwächen würden.

?? ??
?? ?? Auf der Website https://twofactora­uth.org sehen Sie, welche Dienste bereits eine Zwei-faktor-authentifi­zierung anbieten und welche Faktoren mindestens unterstütz­t werden.
Auf der Website https://twofactora­uth.org sehen Sie, welche Dienste bereits eine Zwei-faktor-authentifi­zierung anbieten und welche Faktoren mindestens unterstütz­t werden.
?? ?? Der Cloudspeic­herdienst Tresorit arbeitet nach dem Zero-knowledge-prinzip. Nur wenige Mitbewerbe­r bieten einen ebenso guten Schutz, da das Verfahren technisch aufwendig ist.
Der Cloudspeic­herdienst Tresorit arbeitet nach dem Zero-knowledge-prinzip. Nur wenige Mitbewerbe­r bieten einen ebenso guten Schutz, da das Verfahren technisch aufwendig ist.
?? ?? Auf der Website eines Dienstes, der mit 2FA arbeitet, richten Sie als zweiten Faktor beispielsw­eise eine Authentica­tor-app ein. Die Synchronis­ierung mit dem Smartphone erfolgt über den (abfotograf­ierten) Qr-code.
Auf der Website eines Dienstes, der mit 2FA arbeitet, richten Sie als zweiten Faktor beispielsw­eise eine Authentica­tor-app ein. Die Synchronis­ierung mit dem Smartphone erfolgt über den (abfotograf­ierten) Qr-code.
?? ?? Mit der App Google Authentica­tor erzeugen Sie Zusatzcode­s für den Zugang zu 2Fa-geschützte­n Konten. Die Codes werden alle 30 Sekunden neu generiert.
Mit der App Google Authentica­tor erzeugen Sie Zusatzcode­s für den Zugang zu 2Fa-geschützte­n Konten. Die Codes werden alle 30 Sekunden neu generiert.
?? ?? Dilemma: Wer sein Smartphone verliert, würde es gerne von Google orten lassen. Doch dafür muss man sich in sein Google-konto einloggen. Dumm nur, wenn man für die Anmeldung das Smartphone als zweiten Faktor benötigt.
Dilemma: Wer sein Smartphone verliert, würde es gerne von Google orten lassen. Doch dafür muss man sich in sein Google-konto einloggen. Dumm nur, wenn man für die Anmeldung das Smartphone als zweiten Faktor benötigt.
?? ?? Solche einmal gültigen Notfallcod­es sollten Sie sich für jedes 2Fa-geschützte Konto speichern. Sie sind im Notfall Gold wert und können auch auf Reisen mitgenomme­n werden (Punkt 2).
Solche einmal gültigen Notfallcod­es sollten Sie sich für jedes 2Fa-geschützte Konto speichern. Sie sind im Notfall Gold wert und können auch auf Reisen mitgenomme­n werden (Punkt 2).
?? ?? Letzte Rettung, wenn Sie Ihr Masterpass­wort vergessen haben: Der Zero-knowledge-dienst Lastpass sendet einen Notfallcod­e per SMS, mit dem Sie Ihre Daten auf Ihrem PC retten können.
Letzte Rettung, wenn Sie Ihr Masterpass­wort vergessen haben: Der Zero-knowledge-dienst Lastpass sendet einen Notfallcod­e per SMS, mit dem Sie Ihre Daten auf Ihrem PC retten können.
?? ?? Hinter dieser Bitcoin-app steckt ein Schadcode, der Sms-codes stehlen kann und somit den 2Fa-schutz aushebelt. Entdeckt hat sie der Antivirens­pezialist Eset (www.eset.de) in Googles Play Store.
Hinter dieser Bitcoin-app steckt ein Schadcode, der Sms-codes stehlen kann und somit den 2Fa-schutz aushebelt. Entdeckt hat sie der Antivirens­pezialist Eset (www.eset.de) in Googles Play Store.
?? ?? Google bietet drei Hardware-token für den 2Faschutz an. Allerdings verkauft Google diese noch nicht im deutschen Google-store. Alternativ­en gibt es etwa bei Yubikey (www. yubico.com).
Google bietet drei Hardware-token für den 2Faschutz an. Allerdings verkauft Google diese noch nicht im deutschen Google-store. Alternativ­en gibt es etwa bei Yubikey (www. yubico.com).

Newspapers in German

Newspapers from Germany