Multi-Faktor-Authentifizierung zu aktivieren ist wohl die meistgestellte Empfehlung in Sachen Kontosicherheit. Sie ist sinnvoll — ein gestohlenes Passwort allein sollte nicht ausreichen, um ein Konto zu übernehmen. Aber die Methode, die du dabei verwendest, macht einen enormen Unterschied. Nicht jeder zweite Faktor bieten denselben Schutz, und manche vermitteln ein falsches Sicherheitsgefühl, das gefährlicher sein kann als ein klares Bild der tatsächlichen Risiken.[1]
Was MFA eigentlich ist
Authentifizierung lässt sich klassisch in drei Kategorien einteilen: etwas, das du weißt (Passwort oder PIN), etwas, das du hast (Gerät, Token, Schlüssel), und etwas, das du bist (Biometrie). Multi-Faktor-Authentifizierung bedeutet schlicht, mindestens zwei dieser Kategorien zu kombinieren. Die Idee: Ein Angreifer, der einen Faktor kompromittiert hat — etwa dein Passwort durch einen Datenbankeinbruch — kann ohne den zweiten Faktor trotzdem nicht auf dein Konto zugreifen.
Der zweite Faktor ist fast immer „etwas, das du hast”: ein Gerät, das einen Code empfangen, generieren oder eine kryptografische Operation durchführen kann. Der Unterschied zwischen den verfügbaren Methoden liegt darin, wie dieser zweite Faktor funktioniert — und entscheidend: ob er gestohlen oder ausgetrickst werden kann, ohne dass du es merkst.
SMS-Codes: Bequem, aber kompromittiert
SMS-basierte Einmalcodes sind die verbreitetste Form von MFA — und die schwächste. Zwei separate Angriffsvektoren machen sie für alles Wichtige unzuverlässig.
SIM-Swapping ist ein Social-Engineering-Angriff gegen deinen Mobilfunkanbieter.[2] Ein Angreifer ruft deinen Anbieter an, gibt sich als du aus und lässt deine Rufnummer auf eine SIM-Karte unter seiner Kontrolle übertragen. Ab diesem Moment gehen alle SMS-Nachrichten, die für dich bestimmt sind — inklusive Authentifizierungscodes — zum Angreifer. Dein Handy zeigt dabei weiter vollen Empfang, ohne jeden Hinweis, dass etwas nicht stimmt. Die Identitätsverfahren vieler Anbieter sind erschreckend schwach, und dieser Angriff wurde bereits zum Leeren von Krypto-Wallets und zur Übernahme prominenter Konten genutzt.[3]
SS7-Interception ist technisch anspruchsvoller und typischerweise das Werkzeug staatlicher Akteure oder gut ausgestatteter Angreifer.[4] Das SS7-Protokoll, das das weltweite Telefonnetz trägt, weist bekannte Schwachstellen auf, die es ermöglichen, SMS-Nachrichten lautlos abzufangen und umzuleiten — ohne SIM-Tausch, ohne Benachrichtigung, unsichtbar.
Für die meisten Menschen ist SIM-Swapping die realistische Bedrohung. Das Ergebnis ist dasselbe: SMS als zweiter Faktor ist deutlich schwächer, als die meisten annehmen.
E-Mail-Codes: Nur so stark wie dein E-Mail-Passwort
Viele Dienste bieten „Code per E-Mail” als zweiten Faktor an. Das Problem ist strukturell. Wer dasselbe Passwort für den Dienst und das E-Mail-Konto verwendet — ein sehr verbreitetes Muster — schafft damit keinen zweiten Faktor, sondern einen einzigen Angriffspunkt.
Selbst mit einem einzigartigen E-Mail-Passwort ist dein Posteingang faktisch der Generalschlüssel zu deinem digitalen Leben: Passwort-Reset-Mails aller Dienste laufen dort zusammen. Ein Angreifer, der dein E-Mail-Konto kontrolliert, braucht keinen zweiten Faktor für irgendetwas — er setzt einfach das Passwort zurück. E-Mail-basierte MFA ist besser als nichts, aber kein echtes zweites Faktor, wenn die E-Mail-Sicherheit schwach ist.
TOTP: Echter Fortschritt mit einem ernsthaften blinden Fleck
Zeitbasierte Einmalpasswörter (TOTP) — die sechsstelligen Codes aus Apps wie Aegis, andOTP oder Google Authenticator — sind ein echter Schritt nach vorn.[8] Die Einrichtung erfolgt per QR-Code, der ein gemeinsames Geheimnis enthält. Deine App und der Server berechnen unabhängig voneinander denselben zeitbasierten Code — nichts wird per SMS oder E-Mail übertragen, kein Anbieter kann social-engineered werden.
Das gemeinsame Geheimnis liegt nur auf dem Server und in deiner Authenticator-App. Solange es nicht durch einen Server-Einbruch geleakt wird und dein Handy nicht kompromittiert ist, hält TOTP gut stand.
Der blinde Fleck ist Echtzeit-Phishing. TOTP-Codes sind 30 Sekunden gültig. Eine Phishing-Seite, die wie deine Bank aussieht — etwa unter bank-sicher-login.com statt bank.com — kann Benutzername, Passwort und TOTP-Code in Echtzeit empfangen und sofort an die echte Seite weiterleiten, bevor der Code abläuft. Das nennt sich Adversary-in-the-Middle-Angriff (AitM), und Tools zur Automatisierung davon sind öffentlich verfügbar.[9] TOTP bietet keinen Schutz dagegen, weil es keine Kenntnis davon hat, für welche Website es gerade authentifiziert. Wer dazu gebracht werden kann, Zugangsdaten auf einer überzeugenden Fälschung einzugeben, ist durch TOTP nicht geschützt.
WebAuthn und Hardware-Schlüssel: Phishing kann nicht gewinnen
FIDO2/WebAuthn — der Standard hinter Hardware-Tokens wie YubiKey sowie hinter Passkeys auf modernen Geräten — funktioniert grundlegend anders.[6] Statt eines gemeinsamen Geheimnisses oder eines übertragenen Codes verwendet die Authentifizierung Public-Key-Kryptografie. Bei der Registrierung generiert dein Gerät ein Schlüsselpaar. Der private Schlüssel verlässt das Gerät nie. Beim Login sendet der Server eine Challenge, das Gerät signiert sie mit dem privaten Schlüssel, der Server überprüft die Signatur gegen den gespeicherten öffentlichen Schlüssel.
Entscheidend: Das Schlüsselpaar ist an den genauen Ursprung gebunden — den Domainnamen der Website. Wenn du dich bei bank.com registrierst, ist das Credential kryptografisch an bank.com gebunden. Besuchst du bank-sicher-login.com, verweigern Browser und Sicherheitsschlüssel schlicht die Verwendung dieses Credentials. Es gibt keinen Code zum Abfangen, keinen Code zum Wiederverwenden, und keine Möglichkeit, das Gerät dazu zu bringen, sich gegenüber einer Fälschung zu authentifizieren. Das ist Typosquatting-Resistenz und Phishing-Resistenz — direkt ins Protokoll eingebaut.
Hardware-Tokens speichern den privaten Schlüssel in manipulationsgesicherter Hardware; er kann nicht extrahiert werden, selbst wenn der Computer kompromittiert ist. Passkeys auf Handy oder Laptop bieten ähnliche kryptografische Garantien, sind aber von der Sicherheit des Geräts und seiner Synchronisationsinfrastruktur abhängig.
Für Konten, die wirklich wichtig sind — E-Mail, Passwort-Manager, Finanzdienste, Infrastruktur — ist ein Hardware-Schlüssel der einzige zweite Faktor, der gegen das volle Spektrum gängiger Angriffe resistent ist.
Hinweis: Leider unterstützen nicht alle Websites WebAuthn/Hardware-Schlüssel. Während große Plattformen (Google, Microsoft, GitHub, Apple) bereits vollständig integriert haben, gibt es noch viele Dienste ohne diese Option. In diesen Fällen ist TOTP die beste verfügbare Alternative.
Die richtige Methode für den richtigen Kontext
Keine einzelne Empfehlung passt auf jede Situation. Ein praktisches Denkmodell ist, die Methode dem Wert des Kontos anzupassen:[5]
Vergleich der MFA-Methoden
| Methode | Phishing-resistent | SIM-Swap-sicher | Kein gemeinsames Geheimnis |
|---|---|---|---|
| SMS | Nein | Nein | Ja |
| E-Mail OTP | Nein | Ja | Ja |
| TOTP | Nein | Ja | Nein |
| WebAuthn / Passkey | Ja | Ja | Ja |
Jede Methode hat unterschiedliche Abwägungen zwischen Sicherheit, Benutzerfreundlichkeit und Implementierungskomplexität:
- Hochwertige Konten (E-Mail, Passwort-Manager, Banking, Infrastruktur): Hardware-Schlüssel oder gerätegebundener Passkey[6]
- Wichtige Konten (Social Media, Arbeitswerkzeuge, Entwicklungsplattformen): TOTP als Minimum, Hardware-Schlüssel bevorzugt[7]
- Konten mit geringem Risiko: TOTP ist ausreichend; SMS, wenn nichts anderes angeboten wird, ist immer noch besser als nichts
- E-Mail-Konten im Besonderen: als kritische Infrastruktur behandeln — stärkste verfügbare Methode nutzen, da alles andere über sie läuft
Backup-Codes verdienen einen eigenen Hinweis: offline aufbewahren, nicht in einer Cloud-Notizen-App. Sie sind ein Wiederherstellungsmechanismus, kein Komfort-Feature — entsprechend behandeln.
Quellen
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI). Technische Richtlinie TR-02102: Kryptographische Verfahren. https://www.bsi.bund.de/
[2] Bundeskriminalamt (BKA). Warnung vor SIM-Swapping-Angriffen. Hinweise zur Häufung von SIM-Swapping-Attacken gegen Finanzkonten und E-Mail-Dienste. https://social.bund.de/@bsi/112919243006830029
[3] Federal Communications Commission (FCC). Cell Phone Fraud. Verbraucherhinweise zu SIM-Swap- und Port-Out-Betrug sowie zum Schutz des Mobilfunkkontos. https://www.fcc.gov/cell-phone-fraud
[4] Daily Security Review. SS7 Alarm: TCAP Tag Exploit Lets Attackers Intercept SMS and Track Users. Technische Analyse eines SS7-TCAP-Tag-Exploits, der lautloses SMS-Abfangen und Nutzer-Tracking ermöglicht. https://dailysecurityreview.com/cyber-security/application-security/ss7-alarm-tcap-tag-exploit-lets-attackers-intercept-sms-and-track-users/
[5] Karen Kent, TechTarget. Multifactor Authentication: 5 Examples and Strategic Use Cases. Beschreibt MFA-Methodentypen, ihre Sicherheitseigenschaften (einschließlich SMS-Unsicherheit und phishing-resistentem WebAuthn/FIDO) und die Zuordnung von Authentifizierungsstärke zu Risikostufen. 24. Juni 2025. https://www.techtarget.com/searchsecurity/tip/Multifactor-authentication-Examples-and-strategic-use-cases
[6] World Wide Web Consortium (W3C). Web Authentication: An API for accessing Public Key Credentials. https://www.w3.org/TR/webauthn-2/
[7] Electronic Frontier Foundation (EFF). Anleitung: Zwei-Faktor-Authentifizierung aktivieren. Surveillance Self-Defense-Leitfaden zu 2FA-Methoden, Sicherheitsabwägungen und Empfehlungen. https://ssd.eff.org/module/how-enable-two-factor-authentication
[8] Internet Engineering Task Force (IETF). RFC 6238: TOTP: Time-Based One-Time Password Algorithm. https://tools.ietf.org/html/rfc6238
[9] Microsoft Threat Intelligence. From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud. Technische Dokumentation von Adversary-in-the-Middle-Proxy-Tools (Evilginx2, Modlishka, Muraena) und der Echtzeit-Abfangung von Anmeldedaten unter Umgehung von MFA. 12. Juli 2022. https://www.microsoft.com/en-us/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm-phishing-sites-as-entry-point-to-further-financial-fraud/