Ein Code ist noch kein Schutz: Warum Zwei-Faktor-Authentifizierung im Alltag so ungleich stark wirkt

Wer sich heute irgendwo anmeldet, bekommt oft noch eine zweite kleine Prüfung hinterher: eine SMS, einen sechsstelligen Code aus der App, ein Pop-up zum Bestätigen oder den Hinweis, einen Sicherheitskey einzustecken. Im Alltag verschwimmt das schnell zu einer einzigen Kategorie. Hauptsache 2FA an, Problem gelöst.

Nur stimmt das so nicht. Zwei-Faktor-Authentifizierung ist kein einheitliches Sicherheitsniveau, sondern ein Sammelbegriff für sehr verschiedene Verfahren. Manche bremsen vor allem Passwortdiebstahl. Andere halten auch klassisches Phishing erstaunlich robust aus. Und wieder andere scheitern nicht an Kryptografie, sondern an etwas viel Banalerem: am verlorenen Handy, an nervigen Umwegen oder an einem Login-Prozess, der in der Hektik des Alltags zu viele Reibungspunkte produziert.

Kernaussagen

• Zwei-Faktor-Authentifizierung ist ein deutlicher Sicherheitsgewinn, aber SMS, Authenticator-App, Push-Freigabe, Sicherheitskey und Passkey schützen nicht gegen dieselben Angriffe.

• SMS-Codes sind besser als Passwort allein, bleiben aber an Telefonnummer, Mobilfunknetz und schwache Recovery-Wege gebunden.

• Authenticator-Apps vermeiden einige SMS-Probleme, sind aber nicht automatisch phishing-resistent; Push-Verfahren können zusätzlich durch MFA-Fatigue unterlaufen werden.

• Sicherheitskeys und Passkeys binden die Anmeldung kryptografisch an die echte Website und bremsen damit klassisches Phishing deutlich wirksamer aus.

• Gute Kontosicherheit hängt nicht nur von der stärksten Methode ab, sondern davon, ob Ersatzgerät, Backup-Codes und Recovery sauber vorbereitet sind.

Der zweite Faktor ist kein einheitliches Sicherheitsniveau

Der Grundgedanke von 2FA ist einfach: Ein gestohlenes Passwort soll nicht reichen. Wer sich einloggt, muss noch etwas Zweites vorweisen, etwa ein Gerät, eine App, einen Sicherheitskey oder eine biometrisch geschützte Freigabe. Genau deshalb empfehlen Sicherheitsbehörden MFA seit Jahren so nachdrücklich. Die US-Behörde CISA beschreibt MFA als essenzielle Praxis, weil kompromittierte Zugangsdaten allein dann deutlich weniger nützen.

Aber im selben Dokument steht auch der entscheidende Nachsatz: Nicht alle Formen von MFA sind gleich sicher. Das klingt technisch, ist aber für den Alltag der wichtigste Punkt überhaupt. Denn derselbe zusätzliche Schritt kann sehr verschiedene Schwächen haben.

Ein SMS-Code hilft gut gegen jemanden, der nur dein Passwort aus einem Datenleck kennt. Er hilft viel schlechter gegen Nummernübernahmen oder gegen Angriffe, die den zweiten Schritt gleich mit einsammeln. Eine Authenticator-App kappt die Abhängigkeit vom Telefonnetz, aber wenn du ihren Code in eine täuschend echte Phishing-Seite tippst, ist der Code trotzdem weg. Und ein Hardware-Key oder moderner Passkey ist deshalb stärker, weil er eben nicht bloß einen weiteren geheimen Wert nachliefert, sondern prüft, ob du gerade wirklich mit der richtigen Gegenstelle sprichst.

Wer diese Unterschiede nicht sieht, behandelt sehr verschiedene Werkzeuge so, als seien sie nur Varianten derselben Schublade. Genau das führt im Alltag zu falscher Sicherheit.

Warum SMS besser als nichts, aber längst nicht mehr die Zielgerade ist

SMS-Codes waren für viele Dienste lange der pragmatische Einstieg in 2FA. Das hat einen einfachen Grund: Fast jede Person hat ein Handy, und ein sechsstelliger Code per Textnachricht ist leicht erklärt. Für Konten, die sonst nur mit Passwort geschützt wären, ist das noch immer eine echte Verbesserung.

Nur hängt diese Verbesserung an einer Infrastruktur, die nie als hochsichere Authentifizierung gebaut wurde. In NIST SP 800-63B werden PSTN-basierte Out-of-Band-Verfahren ausdrücklich mit Zusatzauflagen behandelt; zugleich betont NIST, dass Verfahren ohne belastbaren Gerätebesitznachweis für diesen Zweck ungeeignet sind. CISA nennt die alltagsnäheren Angriffspfade noch deutlicher: SS7-Schwächen, SIM-Swap und Phishing können SMS-basierte Verfahren aushebeln oder umgehen.

Das heißt nicht, dass jede SMS sofort unsicher wäre. Es heißt: Ihr Sicherheitsversprechen hängt an einer Telefonnummer, an Mobilfunkprozessen und an Vertriebs- oder Supportwegen, die außerhalb der eigentlichen Login-Seite liegen. Wer die Nummer unter Kontrolle bekommt, hat oft mehr als nur einen Empfangskanal übernommen.

Selbst Google schreibt in der eigenen Hilfe recht offen, dass Codes per SMS oder Anruf trotz Sicherheitsgewinn anfällig für telefonnummerbasierte Hacks bleiben. Diese Offenheit ist nützlich, weil sie einen verbreiteten Denkfehler korrigiert: SMS ist kein Betrugsschutz im Allgemeinen, sondern eine bestimmte Art von Hürde mit klaren Stärken und klaren Lücken.

Authenticator-App ist nicht gleich phishing-resistent

Viele Menschen wechseln deshalb von SMS zu Authenticator-Apps. Das ist oft sinnvoll. Ein lokal erzeugter Einmalcode aus einer App wie Google Authenticator oder Aegis hängt nicht mehr am Telefonnetz und nicht mehr an der Übernahme einer Rufnummer. Damit verschwindet ein ganzer Klassenwechsel von Risiken.

Aber auch hier lohnt die Unterscheidung. Ein zeitbasierter Code aus einer Authenticator-App ist zwar von SMS unabhängiger, aber nicht automatisch gegen Phishing geschützt. Wenn eine gefälschte Login-Seite dich erst nach dem Passwort und dann nach dem App-Code fragt, kann der Angreifer beides sofort weiterverwenden. Das Problem liegt also nicht in der App selbst, sondern darin, dass du den Code noch immer an eine Oberfläche übergibst, die nur so vertrauenswürdig ist wie die Seite davor.

Noch verwirrender wird es, weil viele Leute unter „Authenticator-App“ inzwischen zwei verschiedene Dinge zusammenwerfen: klassische TOTP-Codes und Push-Freigaben. Als Alltagswort klingt das nach derselben Sicherheitsklasse, tatsächlich sind es zwei andere Interaktionslogiken. Gerade Push-Verfahren wirken bequem, weil kein Code mehr abgetippt werden muss. Genau dort setzt aber ein anderes Problem an. CISA warnt ausdrücklich vor „push bombing“ oder MFA-Fatigue: Angreifer schicken so lange Bestätigungsanfragen, bis jemand genervt auf „Zulassen“ tippt.

Merksatz: Der zweite Schritt ist nicht automatisch stark, nur weil er auf dem Handy stattfindet.

Entscheidend ist, ob der Faktor an Telefonnummern, an abtippbare Codes oder an die echte Website selbst gebunden ist.

Hier berührt das Thema eine größere Designfrage. Der ältere Wissenschaftswelle-Beitrag Bequem ist nicht neutral: Wann Personalisierung im Design hilft und wann sie bevormundet zeigt aus einer anderen Richtung, dass Reibung nie bloß ein Komfortproblem ist. Bei 2FA gilt das besonders deutlich: Ein zu lästiger Ablauf wird übersprungen, verzögert oder im Zweifel mechanisch bestätigt.

Was Sicherheitskeys und Passkeys tatsächlich anders machen

Die starke Trennlinie verläuft nicht zwischen „App“ und „kein App“, sondern zwischen phishbaren und phishing-resistenten Verfahren. CISA formuliert das ungewöhnlich klar: Die einzige breit verfügbare phishing-resistente Authentifizierung ist FIDO/WebAuthn.

Der Grund dafür liegt im Protokoll selbst. Die W3C-Spezifikation für WebAuthn beschreibt öffentliche Schlüssel-Credentials, die an den jeweiligen Dienst gebunden sind. Vereinfacht gesagt: Der Authenticator liefert nicht einfach einen universell abtippbaren Geheimwert, sondern erstellt einen kryptografischen Nachweis für genau die Gegenstelle, bei der du dich anmeldest. Das macht klassischen Phishing-Seiten das Leben sehr viel schwerer, weil sie die Anmeldung nicht einfach wie einen abgefangenen Code weiterreichen können.

Hardware-Sicherheitskeys waren dafür lange die sichtbarste Form. Dass dahinter keine bloße Marketinghülle steckt, erklärt auch der Beitrag Der Schlüssel im Silizium: Warum Verschlüsselung in Geräten am Chip entscheidet. Dort ist der Punkt allgemeiner formuliert, aber für 2FA zentral: Sicherheit wird robuster, wenn sensible Nachweise nicht frei im normalen Systemumlauf landen.

Passkeys sind nun interessant, weil sie denselben Grundschutz alltagstauglicher machen sollen. Google beschreibt Passkeys im eigenen Security Blog als Weiterentwicklung von Security Keys mit vereinfachter Nutzung. Besonders relevant ist der alltagspraktische Effekt: Passkeys können Passwort und zweiten Faktor in einem Schritt zusammenziehen, statt noch einen zusätzlichen Code oder ein Extra-Gerät zu verlangen. Genau deshalb sind sie nicht bloß eine kosmetische Komfortfunktion, sondern womöglich eine Antwort auf ein altes 2FA-Dilemma: Stärkerer Schutz wird erst dann massentauglich, wenn er sich nicht wie Zusatzarbeit anfühlt.

Das ist dieselbe Architekturfrage, die auch bei anderen Sicherheitsthemen wiederkehrt. Der Artikel Neue Schlösser, alte Leitungen: Warum Post-Quantum-Kryptografie am Inventar beginnt zeigt das auf Infrastrukturebene: Gute Kryptografie gewinnt erst dann wirklich, wenn sie in reale Abläufe, Geräte und Übergänge passt.

Der eigentliche Alltagstest heißt Recovery

Der unangenehmste 2FA-Moment ist oft nicht der Angriff, sondern der Dienstagmorgen nach dem Gerätewechsel. Neues Handy, alte Nummer weg, App nicht migriert, Sicherheitskey zuhause, Backup-Codes nie gespeichert. Genau dort kippt eine gute Sicherheitsidee in Frust.

Deshalb ist Recovery kein Nebenthema, sondern Teil der Sicherheitsqualität. Google empfiehlt ausdrücklich Backup-Codes für den Fall, dass das Hauptgerät verloren geht. Bei Sicherheitskeys ist ein Zweitschlüssel oft die nüchternere Lösung. Bei Passkeys wird die Frage noch etwas verschoben: Komfort entsteht häufig dadurch, dass mehrere eigene Geräte oder ein Passwortmanager die Credentials synchron mittragen. Das ist praktisch, aber nur dann ein Gewinn, wenn klar bleibt, welche Geräte als Reserve dienen und wie der Notfall aussieht.

Hier zeigt sich ein Prinzip, das weit über Authentifizierung hinausgeht. Der Wissenschaftswelle-Beitrag Vertrauen in digitalen Diensten beginnt im Fehlerfall beschreibt genau diese Perspektive: Systeme beweisen ihre Qualität nicht im Idealablauf, sondern dann, wenn etwas fehlt, hängenbleibt oder ersetzt werden muss. Für 2FA gilt das praktisch wörtlich.

Wenn Sicherheit zu lästig wird, wird sie umgangen

Die vielleicht unangenehmste Wahrheit an 2FA lautet: Die beste Methode nützt wenig, wenn Menschen sie nicht nutzen, falsch konfigurieren oder im Stress entnerven. Genau deshalb ist die Usability-Forschung hier mehr als ein Komfortanhang.

Die USENIX-Studie von Reese und Kolleg:innen zeigt zwei Dinge gleichzeitig: U2F-Sicherheitskeys hatten in der Untersuchung die schnellste mediane Authentifizierungszeit, trotzdem sagten manche Teilnehmenden ausdrücklich, dass ihnen der Zusatzaufwand zu hoch sei. In der Studie wollten 13 Prozent der Befragten 2FA gerade wegen der empfundenen Unbequemlichkeit nicht nutzen.

Die größere Systemperspektive liefert USENIX Security 2020: Bei einer großflächigen Pflicht-Einführung an zwei Universitäten lagen die Probleme nicht nur in einzelnen Methoden, sondern in der Multiplikation kleiner Reibungen. Gemerkte Geräte, fragmentierte Login-Dienste und Timeouts erhöhten die Belastung messbar; zugleich zeigte die Studie, dass mehr als eine von zwanzig 2FA-Zeremonien abgebrochen wurde oder scheiterte.

Das ist ein wichtiger Befund, weil er eine allzu moralische Lesart vermeidet. Wenn Menschen Sicherheit umgehen, ist das nicht immer Nachlässigkeit. Oft ist es ein Designsignal. Die Methode ist dann nicht einfach „zu schwach genutzt“, sondern für den Alltag schlecht eingebettet.

Welche Methode im Alltag meist die vernünftigste ist

Für die meisten Menschen ergibt sich daraus keine einzige ewige Wunderlösung, aber eine belastbare Reihenfolge. Wenn ein Konto nur Passwort oder SMS anbietet, ist SMS meist immer noch besser als nichts. Sobald eine gut umgesetzte Authenticator-App möglich ist, ist das oft der vernünftigere Zwischenschritt. Und wo Passkeys oder FIDO/WebAuthn sauber unterstützt werden, verschiebt sich die Lage deutlich zugunsten phishing-resistenter Verfahren.

Die eigentliche Empfehlung lautet deshalb nicht bloß: „Aktiviere 2FA.“ Sie lautet: Wähle, wenn möglich, eine Methode, die nicht an der Telefonnummer hängt, richte Reservewege bewusst ein und behandle Recovery nicht als späteres Problem. Denn die gefährlichste Sicherheitsroutine ist oft diejenige, die im Ernstfall so unbequem wird, dass man sie beim nächsten Dienst lieber wieder weglässt.

Am Ende schützt also nicht der zusätzliche Code als solcher. Es schützt die Kombination aus Angriffspfad, Bedienbarkeit und guter Vorbereitung. Genau deshalb wirkt Zwei-Faktor-Authentifizierung im Alltag so ungleich stark.

Autorenprofil

Benjamin Metzig ist Gründer, Autor und redaktionell Verantwortlicher von Wissenschaftswelle.de. Wissenschaftswelle ist ein persönlich geführtes redaktionelles Wissensprojekt, das komplexe Themen aus unterschiedlichen Fachbereichen sorgfältig recherchiert, strukturiert und verständlich aufbereitet. Moderne Recherche-, Analyse- und KI-Werkzeuge dienen dabei als Unterstützung, während Auswahl, Einordnung, Ton, Quellenbewertung und Veröffentlichung redaktionell bei Benjamin Metzig verantwortet bleiben. Mehr zum Profil: Autorenprofil von Benjamin Metzig.

Instagram Facebook

Weiterlesen

• Der Schlüssel im Silizium: Warum Verschlüsselung in Geräten am Chip entscheidet

• Vertrauen in digitalen Diensten beginnt im Fehlerfall

• Neue Schlösser, alte Leitungen: Warum Post-Quantum-Kryptografie am Inventar beginnt