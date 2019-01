Bremen. Nachdem ein 20-Jähriger die Daten von Hunderten Politikern und Prominenten ausgespäht hat, ist das Thema Datensicherheit wieder in aller Munde. Als Reaktion auf den Vorfall forderte etwa Bundesjustizministerin Katarina Barley (SPD) die sogenannte Zwei-Faktor-Authentisierung, die mehrheitlich aber „Zwei-Faktor-Authentifizierung“ (2FA) genannt wird, zum Standard zu machen.

Beim Online-Banking wird dieses Verfahren bereits seit vielen Jahren angewandt. Nach dem Login mit Benutzername und Pin muss etwa zum Überweisen ein weiterer Code eingegeben werden, den der Nutzer beispielsweise auf sein Smartphone bekommt. Nach diesem Modell können auch andere Zugänge zusätzlich geschützt werden, etwa bei Facebook, Amazon oder Apple.

Der zweite Faktor neben dem Passwort ist auch bei der 2FA ein Code, den der Nutzer entweder per SMS oder in einer App auf sein Handy bekommt. „Wenn ein Hacker in den Besitz von E-Mail-Adresse und Passwort kommt und sich damit einloggen will, dann kommt er trotzdem nicht rein. Ihm fehlt der zweite Faktor“, sagt Dennis Schirrmacher, Redakteur des Computermagazins „CT“. Sofern die Online-Dienste dieses Verfahren anbieten, sollten die Nutzer davon auch Gebrauch machen, rät der Experte.

Wenn das Smartphone verloren gegangen oder defekt ist, haben Nutzer der 2FA in der Regel trotzdem noch Zugriff auf ihre Konten. „Genau für diese Fälle vergeben die meisten Anbieter bei der Anmeldung Extra-Codes. Dann kann man sich über diese Einmal-Codes in sein Konto einloggen und eine neue Handynummer registrieren“, sagt Schirrmacher. Diese Codes sollten allerdings so aufbewahrt werden, dass andere Personen hierauf keinen Zugriff haben.

Voreingestellt ist das Verfahren bei den Diensten allerdings nicht. Die Nutzer können es aber selbst aktivieren. Wer etwa bei Facebook die Einstellungen öffnet, kann sich unter „Sicherheit und Login“ für die zweistufige Authentifizierung anmelden. Bei Amazon kann das Verfahren unter dem Reiter „Mein Konto“, „Anmelden und Sicherheit“ aktiviert werden.

Zu den Gründen, warum die 2FA bei Amazon nicht voreingestellt ist, wollte sich das Unternehmen nicht äußern. „Ich bitte um Verständnis, dass wir keine Angaben zu internen Geschäftsprozessen machen“, sagt Sprecher Ole Wulff. „Die Online-Versandhäuser wollen ihren Kunden die Einkäufe so leicht wie möglich machen“, vermutet Schirrmacher. Den zweiten Faktor müsse der Verbraucher zunächst verstehen, und wenn das nicht der Fall sei, kaufe der Kunde womöglich nicht.

Bei Facebook könne die 2FA nicht voreingestellt werden, da die Nutzer hierfür ihr Einverständnis geben müssten. „Grundsätzlich empfehlen wir aber jedem Nutzer, die zweistufige Authentifizierung zu aktivieren“, sagt ein Facebook-Sprecher.

Wie oft dieser zweite Faktor abgefragt wird, kann der Nutzer individuell entscheiden. „Nach der erstmaligen Aktivierung fragt der Service bei einem weiteren Login, ob der Webbrowser vertrauenswürdig ist. Wenn man etwa zu Hause ist, kann man dies bejahen. Danach wird der zweite Faktor nicht mehr benötigt und die Eingabe des Passwortes ist ausreichend“, sagt Schirrmacher. In Internet-Cafés dagegen sollte der Browser als nicht vertrauenswürdig eingestuft werden, da andere Nutzer sonst an die eigenen Daten kommen könnten. Das führe aber auch dazu, dass der zweite Faktor dann bei jeder Anmeldung abgefragt werden würde.

Neben der 2FA ist es wichtig, ein starkes Passwort zu haben. „Es sollte mindestens aus zwölf Zeichen bestehen und muss sich nicht zwingend aus Zahlen und Sonderzeichen ­zusammensetzen“, sagt der Journalist. Je länger das Passwort ist, desto schwieriger ist es auch zu knacken. Damit der Nutzer seine Zugangsdaten trotzdem nicht vergisst, ­können sie auch handschriftlich notiert ­werden. „Diesen Zettel sollte man natürlich nicht an den Monitor heften, sondern ihn an einer ­sicheren Stelle verwahren“, sagt Schirrmacher.

Daneben rät der Experte, für jeden Online-Dienst ein anderes Passwort zu verwenden. Das gilt insbesondere für die E-Mail. „Das ist das Herzstück jeder Online-Persönlichkeit. Wer da reinkommt, der hat etwa die Möglichkeit, bei Amazon oder Paypal das Passwort zurückzusetzen und sich so Zugang zu verschaffen“, sagt Schirrmacher.

Wer seinen E-Mail-Account etwa bei der Telekom hat, kann die Zwei-Faktor-Authentifizierung derzeit noch nicht nutzen. Derzeit werde dieses Verfahren als optionales Angebot geprüft. Doch auch ohne diese Technologie seien die Daten der Kunden bei dem Unternehmen sicher. „Die Telekom nutzt ein internes Datenschutz- und Security Assessment als Teil des Entwicklungsprozesses jeder Lösung, vom Kundencenter bis zur Magenta­cloud“, sagt Unternehmenssprecher Christian Fischer. Zudem würden Passwörter verschlüsselt im Rechenzentrum gespeichert werden.

Auch bei GMX und Web.de wird die 2FA derzeit noch nicht angeboten. „Wir werden dieses Verfahren aber im kommenden Quartal einführen. Auch sie ist allerdings nur ein Baustein für mehr Sicherheit im Netz. Statistiken von Diensten, die 2FA bereits anbieten, zeigen eine geringe Akzeptanz mit Nutzungsraten von zehn Prozent auf“, sagt Martin Wilhelm, Sprecher der beiden Plattformen. Außerdem passt das Unternehmen seine Passwort-Richtlinie an. „Um unseren Nutzern eine bessere Hilfestellung bei der Wahl eines sicheren Passworts zu geben, werden wir die am häufigsten verwendeten Passwörter, wie 12345678, nicht mehr zulassen“, sagt Wilhelm.

Andere Anbieter, wie etwa Yahoo oder Google Mail, bieten die 2FA bereits an. „Sofern der eigene Mail-Anbieter dieses Verfahren nicht bereithält, bietet sich ein Wechsel aus Sicherheitsgründen an“, sagt Schirrmacher. Zwar sei dies mit einem großen Aufwand verbunden, da man sich bei vielen Diensten neu registrieren müsse. „Dennoch ist es ein weiterer Stein, den man einem möglichen Angreifer in den Weg legt. Die eigene Sicherheit sollte dem Nutzer eigentlich einen Wechsel wert sein“, sagt Schirrmacher.

Zusätzlich zur technischen Sicherung durch 2FA ist es ratsam, sich Gedanken zu machen, was man im Internet von sich preisgeben möchte. „Das geht vom Geburtsdatum, was bei Facebook vielleicht öffentlich abrufbar ist, bis hin zur Handynummer. Da ist im Netz meist viel mehr öffentlich einsehbar, als man denkt“, sagt Schirrmacher. Deshalb rät der Experte, etwa bei Facebook zu schauen, welche Informationen dort über die eigene Person für jedermann sichtbar sind, und einiges davon gegebenenfalls zu verbergen.

Außerdem empfiehlt Schirrmacher zum Schutz vor Datenklau, etwa den Laptop oder das Smartphone abzusichern. Das geht beispielsweise per Fingerabdruck, Gesichtserkennung oder mit einem Zahlencode. Dies gilt insbesondere, wenn Passwörter im Browser gespeichert sind. Sind die Geräte nicht durch eine dieser Methoden geschützt, stehen Unbefugten damit sämtliche Zugänge zu Online-Diensten offen.

„Volle Sicherheit gibt es im Internet nie“, sagt Schirrmacher. Dennoch garantiere die 2FA dem Nutzer zusätzliche Sicherheit. In der Theorie sei es zwar möglich, dass etwa eine SMS mit einem Code abgefangen werde, doch für Privatleute ist das eher abwegig: Der Aufwand für den Hacker sei hierfür einfach zu groß.