Es passiert leider immer wieder, dass wir mit unseren Kunden vor dem Problem stehen, dass Accounts gehackt werden.
Bei der Suche nach dem Warum sehen wir oft, dass nicht alle Sicherheitsempfehlungen seitens der Plattformen befolgt werden und zum Beispiel sehr oft die 2FA (Two-Factor Authentication) nicht aktiviert ist.
Wir möchten in diesem Beitrag erklären, was 2FA ist und warum sie so wichtig ist.
Die 2FA – ein zusätzliches Sicherheitsschild
Die Zwei-Faktor-Authentifizierung ist eine zusätzliche Sicherheitsebene – eine zusätzlicher Anmeldeschritt – um zu verhindern, dass sich jemand anmeldet, selbst wenn er Zugriff auf Dein Passwort hat. Wenn Du Dich bei einem Deinen Online-Konten anmeldest, erfordert die grundlegende Authentifizierungsebene nur Dein Passwort, für die Anmeldung – das ist ein Schritt, um Deine Identität zu bestätigen. 2FA fügt eine zweite Information (oder eine zweite Ebene) hinzu, die Du bereitstellen musst, bevor Du Zugriff auf Dein Konto erhältst.
Ein Hacker, der versucht, in Dein Konto einzudringen – sogar ein Hacker, der Dein Passwort kennt – würde ohne diese zweite Information ausgesperrt werden. Er bekommt also keinen Zugriff auf dein Konto!
Wie die 2FA im Detail funktioniert
Wie bereits erwähnt, überprüft die 2FA zusätzlich zu Deinem Passwort eine zweite Information. Die Art der Informationen, die für die zweite Überprüfung verwendet werden, hängt von dem verwendeten Onlinedienst ab.
Die zusätzliche Authentifizierungsebene ist im Allgemeinen einer von drei grundlegenden Faktoren: something you know, something you have, or something you are.
Hier sind Optionen, die in diese drei Authentifizierungskategorien passen:
Something you know:
Das kann ein PIN-Code sein, die Antworten auf Deine Sicherheitsfragen und natürlich Dein Passwort.
Something you have:
Dies bezieht sich im Allgemeinen auf ein physisches Objekt, wie z. B. ein Sicherheitstoken (ein kleines Hardwaregerät) oder eine ID-Karte. Es kann sich auch auf Dein Telefon beziehen, dessen Besitz Du mit einer speziellen Authenticator-App (zB Microsoft Authenticator) oder einem SMS-Code verifizieren kannst.
Something you are:
Dies bezieht sich auf biometrische Daten und kommt normalerweise in Form Deines Fingerabdrucks oder Gesichtsscans – wie bei Apples Touch ID oder Face ID – oder eines Retina-Augenscanners vor.
Ein klassisches Beispiel für 2FA im Alltag wäre, wenn wir einen Geldautomaten benutzen: Um Geld an einem Geldautomaten abzuheben, benötigen wir etwas, das wir haben (die Bankkarte), zusammen mit etwas, das wir wissen (der PIN).
Aber wenn Du Dich mit Ihrem Benutzernamen und Passwort bei einem Online-Konto anmeldest, obwohl Du zwei Informationen angibst, erfüllen diese beiden Elemente nicht die Kriterien für die 2FA, da beide Informationen in den Bereich „something you know“ fallen. Glücklicherweise kann man bei den meisten E-Mail-Konten eine zusätzliche Ebene hinzufügen.
Wir haben hier eine Linkliste, wo du direkt die 2FA für verschiedene Dienste finden kannst – klicke einfach auf das entsprechende Icon und du kommst direkt zu den Seiten:
Aber ist die 2FA sicher oder kann ein Konto trotzdem gehackt werden?
Obwohl die 2FA viel sicherer ist als ein Passwort allein, ist sie nicht zu 100% narrensicher – online ist leider nichts zu 100% sicher. Aber die meisten Hacker zielen nicht auf bestimmte Personen ab. Stattdessen zielen sie auf leichte Opfer mit schwacher Sicherheit. Und wenn sich ein Konto als schwer zu knacken erweist, wechseln Angriffe normalerweise zu Konten, die einfacher zu knacken sind. Aus diesem Grund schützt Dich die 2FA in fast allen Fällen.
Aber wenn ein Hacker speziell auf Dich abzielt und viel Zeit und Ressourcen zur Verfügung hat, kann er vielleicht einen Weg finden, einzudringen.
Beispielsweise gibt es Malware, die Du über einen Fremdlink in einem Spam-Mail auf Deinem System installierst, die zB. den Code des Google Authenticator kopiert.
Alternativ könnte ein gewiefter Cyberkrimineller einen Social-Engineering-Hack verfolgen, bei dem es darum geht, einen Mobilfunkanbieter davon zu überzeugen, Deine Telefonnummer an ihn zu übertragen. Wenn dann ein SMS-Code als Deine zweite Bestätigungsinformation gesendet wird, geht er tatsächlich an den Hacker und nicht an Dich.
Eine weitere Möglichkeit, wie ein Hacker die 2FA umgehen könnte, wäre, Dir eine Phishing-E-Mail zu senden, die besagt, dass Du gleich einen SMS-Code erhalten wirst. Gleichzeitig versucht der Hacker, auf Dein Konto zuzugreifen, was eine echte Anfrage nach einem SMS-Code auslöst. Wenn Du versehentlich den echten Code an Hacker sendest, kann er damit Deine 2FA knacken und auf Dein Konto zugreifen.
Wie Du siehst, sind diese Szenarien jeweils mit extremen Aufwand verbunden, der ein tadelloses Timing und ein einzigartiges Interesse daran erfordern, Dich persönlich zu betrügen. Aber den meisten Hackern ist es egal, wen sie betrügen, solange sie so viel Geld wie möglich verdienen können. Tatsächlich versuchen die meisten Cyberkriminellen, ihre Gewinne zu maximieren, ohne entdeckt zu werden, und es macht wenig Sinn, viel Zeit und Mühe auf eine einzelne Person zu verwenden.
Und um Zeit, Nerven und Geld zu sparen, können wir Dir nur ans Herz legen, die 2FA für deine Privat- und natürlich auch Firmenkonten zu aktivieren. Es ist schnell erledigt und schützt Dich in den meisten Fällen vor Angriffen!
Photo provided by Canva