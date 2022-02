DJ 2FA-SMS versus 2FA-App: Wie sicher sind Apps im Vergleich zur SMS? Ein Faktencheck - Jahrelang wurde die 2FA-SMS als unsichere Lösung bezeichnet - Doch sie ist besser als ihr Ruf

Marly (pts013/17.02.2022/09:35) - Keine Woche ohne Cyberattacken. Und trotzdem gelten Apps als sicherste Lösung zur 2-Faktor-Authentifizierung. Das Schweizer Unternehmen SMSup http://smsup.de hat den Faktencheck gewagt und räumt gängige Vorurteile über die 2FA-SMS aus.

2FA-SMS hat einen unverdient schlechten Ruf

Während die 2-Faktor-Authentifizierung auf dem Vormarsch ist, gerät der Code per SMS immer mehr in den Hintergrund. Dabei punktet die 2FA-SMS mit unbestreitbaren Vorteilen - auch in Fragen der Sicherheit.

Die Hauptargumente gegen die SMS-Lösung sind bekannt: Trojaner könnten die Nachrichten abfangen, jemand könnte beim Empfang über die Schulter sehen und den Code lesen, Kriminelle könnten sich eine SIM-Karte beim Provider erschleichen.

Zwei dieser 3 Punkte lassen sich leicht entkräften: 1. Der Aufwand, um sich eine SIM-Karte zu einer bestimmten Telefonnummer zu besorgen, ist enorm. Und der Versuch ist - zumindest im deutschsprachigen Raum - aufgrund diverser Sicherheitsvorkehrungen der Mobilfunkanbieter höchstwahrscheinlich zum Scheitern verurteilt. 2. Wenn eine andere Person den gerade gesendeten Sicherheitscode sehen kann, hilft ihr das nicht weiter. Denn all diese Codes sind nur einmal gültig - und nur für wenige Minuten. Beim nächsten Login-Versuch wird ein neuer Code generiert.

Bleibt noch Punkt 3, der Trojaner auf dem Smartphone - wenn das geschieht, kann die 2FA-SMS natürlich ausgelesen werden. Doch auch Apps sind nicht vor Trojanern sicher. Und sie bergen noch viele weitere Risiken, die nicht thematisiert werden.

Vorteile der 2-Faktor-Authentifizierung via SMS

Während eine App alle Daten übers Internet überträgt, werden SMS über das Mobilfunknetz übertragen. Diese Übertragungen sind selbstverständlich geschützt und können im Gegensatz zu Internet-Übertragungen kaum von Cyberkriminellen abgefangen werden. Ein weiterer Vorteil: Mit einer SMS werden keine persönlichen Daten mitgesendet, die im Falle einer App in den riesigen Datenbanken von Datenkraken landen.

Ein weiteres Sicherheitsrisiko ergibt sich aus den Endgeräten: Viele User verwenden ältere Smartphones, für die keine Sicherheitsupdates mehr verfügbar sind. Das macht die Geräte angreifbar - und wenn tatsächlich ein Trojaner installiert wird, kann dieser alle Zugangsdaten und auch den 2FA-Key aus der App abgreifen.

Zwei-Faktor-Authentifizierung soll die Sicherheit erhöhen

Tatsache ist, dass 2FA für mehr Sicherheit beim Login sorgen soll. Um das zu erreichen, muss sie auch für jedermann verständlich und verfügbar sein. 2FA-Apps bieten diesen Vorteil nicht. Denn viele Menschen verzichten auf Smartphones, können also keine App installieren. Oder sie haben ältere Modelle, deren Betriebssysteme mit den Apps nicht mehr kompatibel sind. Und wieder andere fühlen sich schlichtweg überfordert, wenn sie eine 2FA-App installieren und in Betrieb nehmen sollen - und verzichten so darauf, die Zwei-Faktor-Authentifizierung einzurichten.

Nicht zuletzt bleiben viele ältere Mitbürger auf der Strecke, die ihre Mobiltelefone tatsächlich nur für SMS und Telefonie verwenden. Nichtsdestotrotz benutzen auch diese Menschen Onlinebanking und bestellen im Internet. Die 2FA-SMS bietet auch dieser Personengruppe die Möglichkeit, sich beim Login vor Betrügern zu schützen.

Warum 2FA-Apps nicht mehr Sicherheit bieten als SMS

In den letzten Jahren wurden unzählige Server von namhaften Unternehmen gehackt. Und in fast allen Fällen wurden höchst sensible Userdaten gestohlen und im Darknet angeboten.

Dasselbe Risiko besteht selbstverständlich bei den Datenbanken der Anbieter von 2FA-Apps. Denn es werden dieselben Verschlüsselungsmethoden eingesetzt und Hacker werden immer gewiefter. Sobald Hacker Zugriff haben, können sie alle Keys auslesen - dazu diverse persönliche Daten - und haben uneingeschränkten Zugriff auf diverse Online-Accounts. Denn diese Keys sind natürlich auch in den Handys der Betroffenen gespeichert, sonst könnten die Apps nicht mit den Servern kommunizieren.

Dazu kommt das Risiko eines Man-in-the-middle-Angriffs, wenn User einen öffentlichen Hotspot nutzen, um sich in ein Konto einzuloggen. Hier ist die SMS natürlich eindeutig im Vorteil. Denn der übermittelte Code gilt ein einziges Mal und für einen sehr kurzen Zeitraum, es gibt keine gespeicherten Keys und die Übertragung erfolgt nicht über das Internet, sondern über das wesentlich sicherere Mobilfunknetz.

