Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Identitätsschutz Glossar

Zwei-Faktor-Authentifizierung (2FA)

Sicherheitsverfahren das zwei unabhängige Nachweise der Identität verlangt - typischerweise Passwort plus Einmalcode (TOTP) oder Hardware-Schlüssel. Verhindert Kontoübernahmen selbst bei gestohlenen Passwörtern.

Zwei-Faktor-Authentifizierung (2FA) ist eine Unterform der Multi-Faktor-Authentifizierung (MFA) die genau zwei Faktoren kombiniert. Der Begriff wird oft synonym mit MFA verwendet, obwohl MFA auch drei oder mehr Faktoren umfassen kann.

Die drei Faktoren der Authentifizierung

Jeder Authentifizierungsfaktor gehört einer von drei Kategorien:

Wissen (Something you know): Passwort, PIN, Sicherheitsfrage - Informationen die nur der Nutzer kennt.

Besitz (Something you have): Smartphone (für TOTP-App oder SMS-Code), Hardware-Token (YubiKey, FIDO2), Smartcard.

Inhärenz (Something you are): Biometrie - Fingerabdruck, Gesichtserkennung, Iris-Scan.

2FA kombiniert typischerweise: Wissen (Passwort) + Besitz (Einmalcode auf dem Smartphone).

2FA-Methoden im Vergleich

SMS-basierte 2FA (OTP per SMS)

Funktionsweise: Nach Passworteingabe wird ein Einmalcode per SMS gesendet.

Probleme:

  • SIM-Swapping: Angreifer überzeugt Mobilfunkanbieter die Nummer auf eigene SIM umzustellen
  • SS7-Schwachstellen: Mobilfunknetz-Protokoll ermöglicht SMS-Abfangen (staatliche Akteure)
  • Geräteverlust: Wer das Telefon kontrolliert, hat den 2FA-Faktor

Empfehlung: Besser als kein 2FA, aber für kritische Konten nicht ausreichend.

TOTP (Time-based One-Time Password)

Funktionsweise: App (Google Authenticator, Authy, Microsoft Authenticator) generiert alle 30 Sekunden einen 6-stelligen Code basierend auf einem shared Secret und der aktuellen Zeit.

Implementierung: RFC 6238, HMAC-SHA1-basiert.

Stärken:

  • Kein Netzwerk nötig (offline funktionsfähig)
  • Kein SMS-Abfangen möglich
  • Weit verbreitet und einfach zu implementieren

Schwächen:

  • Anfällig für Adversary-in-the-Middle (AiTM) Phishing: Wenn Nutzer Code auf Phishing-Seite eingibt, kann Angreifer ihn in Echtzeit weiterverwenden
  • Shared Secret muss sicher gespeichert werden (bei Server-Kompromittierung: alle TOTPs kompromittiert)
  • Zeitabhängig: Systemzeit muss synchron sein

FIDO2 / Passkeys (Phishing-resistent)

Funktionsweise: Public-Key-Kryptographie. Der private Schlüssel verlässt das Gerät nie. Authentifizierung ist domain-gebunden - auf einer Phishing-Domain funktioniert der Schlüssel nicht.

Implementierung: W3C WebAuthn Standard, CTAP2-Protokoll.

Hardware-Authenticatoren: YubiKey, Google Titan Key, Nitrokey.

Plattform-Authenticatoren: Windows Hello, Face ID/Touch ID auf iPhone/Mac, Android Fingerprint.

Stärken:

  • Phishing-resistent: Domain-Bindung verhindert Nutzung auf falschen Seiten
  • Kein Geheimnis das gestohlen werden kann (nur öffentlicher Schlüssel auf Server)
  • Benutzerfreundlich: Fingerabdruck statt Code eintippen

Schwächen:

  • Geräteverlust-Problematik (Recovery Keys oder Backup-Authenticator nötig)
  • Ältere Systeme/Browser unterstützen FIDO2 nicht

Hardware-Token (HOTP / dediziert)

HOTP (Counter-based OTP): Ähnlich TOTP, aber counter-basiert statt zeitbasiert. RSA SecurID ist ein klassisches Beispiel.

Hardware-Token: Dedizierte Geräte ohne Smartphone-Abhängigkeit - für Hochsicherheitsumgebungen.

Push-Authentifizierung

Apps wie Microsoft Authenticator, Duo Security oder Okta senden eine Push-Benachrichtigung: “Bitte bestätigen Sie den Anmeldeversuch.” Nutzer tippt “Zustimmen”.

Gefahr: MFA Fatigue / Push Bombing: Angreifer der die Credentials kennt, sendet so viele Push-Anfragen bis der Nutzer aus Versehen oder Ungeduld zustimmt. Gegenmaßnahme: Nummernabgleich (Nutzer muss eine Zahl aus der Anfrage eingeben).

Warum 2FA nicht vor allem schützt

2FA mit TOTP schützt nicht vor:

  • AiTM-Phishing: Session-Cookie-Diebstahl in Echtzeit (TOTP wird live weitergeleitet)
  • Malware auf dem Gerät: Stealer extrahieren TOTP-Seeds aus Browser-Extensions
  • Social Engineering: Nutzer überzeugt seinen TOTP-Code telefonisch preiszugeben

Phishing-resistente 2FA (FIDO2) schützt vor allen dieser Angriffe.

Compliance-Anforderungen

NIS2 Art. 21: Explizite Pflicht zu Multi-Faktor-Authentifizierung für privilegierte Zugänge.

BSI IT-Grundschutz ORP.4 / SYS.2: MFA für privilegierte Konten und Remote-Zugang.

ISO 27001 A.5.17: Authentifizierungsinformationen - MFA als Best Practice.

PCI DSS v4.0 Req. 8.4: MFA obligatorisch für alle privilegierten Zugänge und alle Remote-Zugriffe.

Empfehlung für Unternehmen

  1. Sofort: 2FA für alle Mitarbeitenden aktivieren (mindestens TOTP)
  2. Priorität 1: FIDO2-Schlüssel für privilegierte Konten (Domain Admins, IT-Admins, Geschäftsführung)
  3. SMS-2FA: Nur wenn kein anderes Verfahren möglich, dann als temporäre Lösung
  4. Backup-Codes sicher aufbewahren (nicht im selben System wie die Credentials)
  5. Recovery-Prozess definieren: Was passiert wenn Mitarbeitender 2FA-Gerät verliert?

AWARE7 Leistungen zum Thema

ISO 27001 Beratung Penetrationstest

Ausführlicher Wiki-Artikel

Active Directory Angriffe

10 Min. Lesezeit

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Security Awareness Training: Wie die Human Firewall wirklich funktioniert

13 min Lesezeit

Zero Trust - Modernes Sicherheitsarchitekturprinzip

8 Min. Lesezeit

Verwandte Begriffe

Authentifizierung (Authentication) Credential Stuffing IAM (Identity and Access Management) MFA (Multi-Faktor-Authentifizierung) Phishing
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung