Wenn der beste Schutz versagt
Darauf müssen Sie bei Onlinekonten achten
Für alle wichtigen Onlinekonten sollten Sie nur den besten Schutz einrichten. Wichtig sind vor allem jene Konten bei Bezahldiensten. Wichtig sind aber auch Konten, die viele Details zu Ihrer Identität preisgeben. Und schließlich verdient Ihr Mailpostfach den besten Schutz. Denn wenn ein Angreifer Zugang zu Ihren Mails hat, kann er sich über die Passwort-zurücksetzen-funktion Zugang zu sehr vielen Ihrer anderen Dienste verschaffen.
Der beste Schutz
Aktuell zählt zum besten Schutz die Zweifaktor-authentifizierung. Besonders sensible Konten, etwa Ihr Passwortmanager, sollten zudem nach dem Zero-knowledgeprinzip (Seite 41) arbeiten. Ein einmaliges und kompliziertes Passwort für jeden Login gehört selbstverständlich auch dazu.
Zwei-faktorauthentifizierung
Die Zwei-faktor-authentifizierung (2FA) soll den Zugangsschutz zu einem Konto erhöhen und dabei auch als Identitätsnachweis des Nutzers dienen. Bei einem mit 2FA geschützten Konto müssen Sie sich bei einer Anmeldung mit Benutzername und Passwort sowie zusätzlich mit einem Code ausweisen. Dieser Code stammt allgemein gesagt aus den Bereichen Wissen, Besitz oder Merkmal. Idealerweise wird er über einen zweiten Kanal übermittelt. Banken zum Beispiel verlangen einen solchen Zusatzcode aus einer App oder einer SMS.
Welchen Nutzen hat die 2FA?
Log-in-daten, also Benutzername und Passwort, werden oft gestohlen und im Internet verkauft. Einen unberechtigten Zugriff kann dann nur noch die 2-Faktor-authentifizierung verhindern. Denn hier fehlt dem Einbrecher zu den Log-in-daten noch der zweite Faktor, zum Beispiel das Handy des Kontoinhabers.
Welche zweite Faktoren gibt es?
Zu den gängigen Methoden der Zwei-faktor-authentifizierung gehören folgende zweite Faktoren: Code per SMS, Code auf eine zweite Mailadresse, Authenticatorapp, biometrische Merkmale wie der Fingerabdruck
oder Hardware-token. Die Hardware gibt es mit Display, USB, NFC und Bluetooth. Seit einiger Zeit können auch Smartphones an sich als zweiter Faktor dienen.
Einrichtung: Allen Faktoren gemeinsam ist, dass Sie diese in den Einstellungen des jeweiligen Dienstes aktivieren und anschließend verifizieren müssen. Wenn Sie zum Beispiel eine Handy-nummer angeben, um darüber den Zusatzcode per SMS zu empfangen, erhalten Sie bei der Aktivierung eine erste SMS, die Sie umgehend in den Einstellungen eingeben müssen, um 2FA zu aktivieren.
Onlinedienste mit 2FA: Einen Überblick über Dienste, die einen Log-in mit zwei Faktoren anbieten, liefert die Website https:// twofactorauth.org. Einen ausführlichen Ratgeber zur Einrichtung von 2FA bei beliebten Diensten finden Sie unter www.pcwelt. de/1935646.
Ist 2FA nicht umständlich?
Viele Dienste mit 2FA erlauben es, einen Browser oder eine App einmal mit dem zweiten Faktor zu registrieren. Danach ist für diesen Browser oder diese App kein zweiter Faktor mehr nötig. Die Anwendung wird in eine Liste von „vertrauenswürdi
„Der beste Schutz für Ihr Konto kann dazu führen, dass Sie selber nicht mehr darauf zugreifen können. Diese Tipps helfen.“
gen“Programmen und Geräten aufgenommen. Der Zusatzcode wird erst wieder abgefragt, wenn Sie sich mit einem anderen Gerät einloggen möchten.
Was bedeutet Zero Knowledge?
Der beste Schutz für ein Konto funktioniert nach dem „Zero Knowledge“prinzip. Ein Anbieter, der so arbeitet, bekommt die Daten des Nutzers nur verschlüsselt zu sehen. Und er hat keinen Schlüssel für diese Daten. Das wird allerdings nur von sehr wenigen Diensten angeboten, da die technische Umsetzung schwierig ist und die möglichen Probleme groß sind.
Der Vorteile von „Zero Knowledge“: Selbst wenn der Dienst gezwungen wird, die Daten seiner Kunden herauszugeben, etwa an einen Geheimdienst, bleiben sie sicher. Denn stark verschlüsselte Daten kann auch die NSA nicht ohne Weiteres knacken. Beispiele für Zeroknowledgedienste sind Passwortmanager wie Lastpass (auf HeftDVD, www.last pass.com) und Cloudspeicher wie Tresorit (https://tresorit.com).
Probleme
Die besonderen Schutzfunktionen von 2FA bergen auch Fallen. Auf die folgenden sieben Punkte sollten Sie deshalb achten.
1 Der Code wird nicht akzeptiert
Problem: Sie nutzen eine AuthenticatorApp auf dem Smartphone, um den Zusatzcode für den Login zu generieren. Dieser wird aber nicht akzeptiert.
Lösung: Das Problem tritt auf, wenn Sie die Uhrzeit auf Ihrem Smartphone verstellt haben. Diese ist ein Bestandteil beim Erzeugen der 2Facodes. Schließlich wird der Code auf Ihrem Smartphone und auf dem Server des 2Fadienstes gleichzeitig erstellt und dann miteinander verglichen. Stimmt die Uhrzeit nicht, passen die Codes nicht zusammen. Korrigieren Sie also die Zeiteinstellungen Ihres Handys.
2 Der zweite Schlüssel fehlt
Problem: Zu den größten und vielgestaltigsten Problemen zählt ein verschwundener zweiter Schlüssel. Schwerwiegend wirkt so ein Verlust besonders auf Reisen.
Ein Beispiel: Ihr Google-konto haben Sie per 2FA mit einer Authenticator-app geschützt, da Sie Google-mail, -Kalender und viele andere Google-dienste nutzen. Nun sind Sie im Urlaub und können Ihr Androidsmartphone
nicht finden. Gerne würden Sie sich auf dem Hotel-pc bei www.google. com/android/find einloggen, um Ihr Handy lokalisieren zu lassen. Doch dafür müssen Sie sich bei Ihrem Google-konto anmelden. Für die Anmeldung benötigen Sie aber Ihr Smartphone, da darauf die Authenticatorapp arbeitet … Wenn Sie das Smartphone zudem für Ihren Passwortsafe brauchen, ist das Dilemma perfekt.
Lösung: Sie benötigen einen Ersatz für den verschwundenen zweiten Schlüssel. Viele Dienste bieten dafür Notfallcodes an, die ein einziges Mal gelten. Diese können Sie in den Diensteinstellungen erzeugen und ausdrucken. Alternativ richten Sie zuvor weitere zweite Schlüssel ein, etwa einen Hardwaretoken, den Sie auf Reisen dabei haben. Übrigens: Wenn Sie zu Hause den zweiten Schlüssel verlieren, ist das meist weniger schlimm. Denn dort hat man oft ein Gerät als vertrauenswürdig eingestuft und kann sich dort auch ohne zweiten Schlüssel in den Dienst einloggen.
Außerdem: Falls Ihr Smartphone, also der zweite Schlüssel, in falsche Hände gerät, muss dieses gut vor Zugriffen geschützt sein, damit der Dieb nicht auf Ihre Codes zugreifen kann. Fürs Smartphone empfiehlt sich die Display-sperre, die Sie per Fingerabdruck oder PIN schützen. Am Notebook ist ein gutes Windows-kennwort oder auch eine biometrische Sperre mit Windows Hello (www.pcwelt.de/cvggkn) sinnvoll. Schließlich sollten Sie nach einem Geräteverlust in die Einstellungen Ihrer 2Fadienste gehen und das verlorene Smartphone aus der Liste der vertrauenswürdigen Geräte entfernen.
Die 2FA-APP wird neu installiert
Problem: Sie nutzen als 2Fa-methode eine Authenticator-app. Beim Wechsel auf ein neues Smartphone müssen Sie auch die Authenticator App neu installieren. In der Folge sind alle Zusatzcodes – und damit der zweite Faktor – aus der App verschwunden. Hintergrund: Das liegt an der Funktionsweise der Authenticator-apps. Wenn Sie einen 2Fa-dienst mit der App verbinden, wird in dieser App ein einmaliger Schlüssel erzeugt. Dieser erstellt alle 30 Sekunden neue Zusatzcodes für den Log-in in den Dienst. Aus Sicherheitsgründen bleibt der einmalige Schlüssel bei den meisten Authenticator-apps in der App gespeichert und wird nicht mit anderen Geräten synchronisiert. Die Folge: Wenn Sie Ihre Authenticator-apps auf ein neues Gerät umziehen, wandern die einmaligen Schlüssel nicht mit. Leserberichten zufolge kann das auch passieren, wenn das Smartphone ein Betriebssystem-update bekommt: Nach dem Update startete die Authenticator-app ohne Zusatzcodes.
Lösung: Sie müssen auf dem neuen Smartphone die 2FA-APP neu bei Ihren 2Fadiensten anmelden. Dafür benötigen Sie zunächst noch Ihr altes Smartphone, um sich mit der alten Authenticator-app bei den Diensten einloggen zu können. Erst wenn Sie alle 2Fa-dienste in der neuen Authenticator-app angemeldet haben, dürfen Sie die alte App löschen.
Ist es bereits zu spät und die alte 2FA-APP ist bereits gelöscht, dann hilft die Lösung von Punkt 2.
Alternativ können Sie auch eine Authenticator-app mit Backup-funktion verwenden, etwa Authy. Diese speichert auf dem Server des Herstellers ein Backup der Schlüssel. So ein Backup schwächt allerdings den 2Faschutz. Denn wenn der Hersteller-server gehackt wird, können Ihre 2Fa-codes in falsche Hände geraten.
Der Token passt nicht mehr
Problem: Sie nutzen einen Hardware-token mit Bluetooth-verbindung. Dann können gleich zwei Probleme auftreten. Der Akku des Token ist leer oder die Bluetoothverbindung zu einem neuen Smartphone kommt nicht zustande.
Lösung: Laden Sie den Akku des Bluetoothtoken wieder auf. Und sollte es zu Verbindungsproblemen kommen, versuchen Sie es mit einem beliebigen anderen Smartphone.
2Fa-konten und Phishing
Problem: Klassisches Phishing, also das Stehlen von Zugangsdaten, ist auch bei 2Fa-konten möglich. Grundsätzlich läuft auch dieser Angriff über eine gefälschte Website, mit der ein Angreifer die Log-indaten abfischt. Die Besonderheit in diesem Fall besteht darin, dass der Diebstahl in Echtzeit stattfinden muss. Denn der Zusatzcode für den Log-in ist meist nur für sehr kurze Zeit gültig. Die Kriminellen müssen sich also in dem Moment in das Konto des Opfers einloggen, in dem das Opfer seinen Code an sie sendet. Weniger eilig haben es die Kriminellen, wenn sie den SMS-CODE
mit einer verseuchten App stehlen können. Solche Apps haben es sogar in den Google Play Store geschafft.
Lösung: Gegen Angriffe per Phishing hilft nur allergrößtes Misstrauen gegen alle Mails, die von Ihnen Log-in-daten fordern. Es gibt aber auch 2Fa-methoden, die als sicher gegen Phishing-angriffe gelten. Das sind Hardware-token, die den Zusatzcode direkt an den 2Fa-dienst senden. So bekommen ihn die Phisher nicht zu sehen.
Sim-swapping stiehlt Sms-codes
Problem: Sie nutzen Sms-codes als zweiten Faktor. Kriminelle können sich aber
Ihre Sim-karte ergaunern, indem sie bei Ihrer Telefongesellschaft eine Ersatzkarte beantragen. Sobald sie diese erhalten haben, bekommen die Kriminellen die 2Facodes auf ihr Handy zugeschickt. Der Trick nennt sich Sim-swapping und wurde bereits gegen viele Onlinebankingkunden und Nutzer von Online-bitcoin-wallets angewendet. Mit dem Aufkommen der neuen esim-karten gibt es nun wieder mehr Versuche des Sim-swappings. Da kein Versand der Sim-karte mehr nötig ist, gelingt der Sim-swapping-trick bei der ESIM leichter.
Lösung: Wichtige 2Fa-konten sollten Sie nicht per SMS-CODE schützen. Setzen Sie für wichtige Konten eher auf einen Hardware-token, etwa einen USB-KEY oder nutzen Sie zumindest eine Authenticator-app.
Kein Passwort-reset möglich
Problem: Sie nutzen einen Dienst, der nach dem Zero-knowledge-prinzip arbeitet, und haben Ihr Zugangspasswort vergessen. Sie können sich entsprechend nicht mehr anmelden.
Lösung: Für dieses Problem gibt es genau genommen keine Lösung, außer der, dass Ihnen Ihr Passwort wieder einfällt. Denn solche Dienste bieten prinzipbedingt keine Passwort-zurücksetzen-funktion. Allerdings haben einige Zero-knowledgedienste noch eine Notlösung in petto. Sie haben einen persönlichen Wiederherstellungsschlüssel auf dem Gerät des Nutzers hinterlegt. Das ist etwa bei den Passworttresoren Lastpass (auf HEFT-DVD) und – nur für Firmen – Dashlane Business der Fall. Um den Wiederherstellungsschlüssel nutzen zu können, benötigen Sie einen weiteren Schlüssel vom Hersteller. Dieser rückt ihn aber nur heraus, wenn Sie sich als Inhaber des fraglichen Kontos ausweisen können. Ist Ihnen das gelungen, sendet Ihnen zum Beispiel Lastpass den Schlüssel per SMS an Ihre Handynummer, die Sie aber zuvor bereits in Ihrem Lastpass-konto hinterlegt haben müssen. Sie können mit diesem Schlüssel allerdings nur auf dem Rechner etwas anfangen, den Sie mit Lastpass bereits genutzt haben. Denn nur dort befindet sich der individuelle Wiederherstellungskey.
Vorsicht: Die meisten Zero-knowledgedienste bieten keine Notfall-lösungen wie Lastpass, da sie damit das Zero-knowledge-prinzip schwächen würden.