Zwei-Faktor-Authentifizierung: Das steckt hinter dem Online-Sicherheitsverfahren
Da machen Ihre Freunde aber Augen: Auf einmal posten Sie auf Facebook Werbung für Online-Casinos oder anrüchige Medizinprodukte. Und Sie wissen von nichts? Kann trotzdem passieren. Zumindest, wenn ein Hacker Ihre Zugangsdaten inklusive Passwort erbeutet. Hat der dann vielleicht auch Zugriff auf Ihre E-Mail-Nachrichten? Oder bezahlt sogar mit Ihrer Kreditkarte? Das muss nicht sein. Eine Zwei-Faktor-Authentifizierung macht es Kriminellen deutlich schwerer. Die KlarMacher zeigen Ihnen, was Sie über das Sicherheitsverfahren wissen müssen.
Themen in diesem Artikel
- Die Zwei-Faktor-Authentifizierung sorgt für Sicherheit
- Die Zwei-Faktor-Authentifizierung kennt unterschiedliche Kategorien
- Beim Online Banking ist die Zwei-Faktor-Authentifizierung Pflicht
- Auch ohne Pflicht: Viele setzen auf die Zwei-Faktor-Authentifizierung
Auf den Punkt
- Die Zwei-Faktor-Authentifizierung ist ein Sicherheitsverfahren im Internet.
- Mit dem Verfahren weist zum Beispiel der Inhaber eines Online-Kontos nach, dass er der rechtmäßige Nutzer ist.
- Den Nachweis muss er auf zweifache Weise erbringen.
- Die Zwei-Faktor-Authentifizierung kommt u. a. bei Online-Überweisungen und Log-ins zum Einsatz.
Die Zwei-Faktor-Authentifizierung sorgt für Sicherheit
Ihre privaten Videos in der Cloud. Ihr Kontostand bei PayPal. Die Nachrichten bei Gmail. Alles gehört Ihnen und geht keinen Hacker etwas an. Aber sind die Konten wirklich vor fremdem Zugriff sicher? Bislang waren solche Accounts vor allem mit einem Passwort geschützt. Aber diese Hürde konnten Betrüger oftmals leicht überwinden und dann sensible Daten erbeuten.
Mit der Zwei-Faktor-Authentifizierung (von Fachleuten eher „Zwei-Faktor-Authentisierung” genannt) geht das deutlich schwerer. Denn dabei reicht ein einzelner Nachweis wie ein Passwort nicht mehr aus. Stattdessen ist ein zusätzlicher, zweiter Nachweis nötig. Das kann zum Beispiel ein bestimmter Code sein – eine sogenannte TAN –, den Sie per SMS auf Ihr Smartphone bekommen. Es gibt aber auch Verfahren, bei denen Sie die nötige TAN in einer App aufrufen oder selbst generieren (Eine Übersicht über die verschiedenen Systeme finden Sie im Artikel Die Nummer sicher: Die wichtigsten TAN-Verfahren im Online Banking. Wieder andere Verfahren fordern statt einer TAN Ihren Fingerabdruck.
Eine Zwei-Faktor-Authentifizierung kombiniert also immer zwei unterschiedliche Nachweis-Faktoren. Beide Faktoren müssen erfüllt sein, um zum Beispiel Zugriff auf ein Online-Konto zu erhalten. Diese zwei Faktoren für die Authentifizierung (= belegen, dass etwas stimmt) geben der Sicherheitsmaßnahme ihren Namen.
Die Zwei-Faktor-Authentifizierung kennt unterschiedliche Kategorien
Die Verfahren zur Zwei-Faktor-Authentifizierung sollen besonders sicher sein. Deshalb müssen die zwei Nachweis-Faktoren aus verschiedenen Kategorien stammen. Insgesamt gibt es drei solcher Kategorien. Zwei davon müssen also abgedeckt sein. Zur Auswahl stehen:
- Besitz. Bei dieser Kategorie geht es um etwas, das dem rechtmäßigen Kreditkarten-Inhaber gehört. Das ist zum Beispiel das Smartphone, an das eine TAN per SMS verschickt wird.
- Wissen. Hier wird etwas abgefragt, das nur der rechtmäßige Kreditkarten-Inhaber kennt – also eine PIN oder ein bestimmtes Passwort.
- Inhärenz (Biometrie). Damit ist ein persönliches Merkmal des Kreditkarten-Besitzers gemeint. Das kann zum Beispiel der Fingerabdruck sein, mit dem man die TAN-App auf dem Smartphone öffnet.
Es wäre also keine „echte“ Zwei-Faktor-Authentifizierung, wenn Sie sich zum Beispiel mit einem Passwort und einer PIN in einen Account einloggen können. Denn beide Nachweise stammen aus der Kategorie „Wissen“.
Beim Online Banking ist die Zwei-Faktor-Authentifizierung Pflicht
Sie wollen sich in Ihr Online-Konto einloggen und dort eine Überweisung vornehmen? Sie wollen in einem Webshop per Kreditkarte bezahlen? Dann kommen Sie an der Zwei-Faktor-Authentifizierung nicht vorbei. Denn bei allen Online-Finanztransaktionen innerhalb der EU ist das Sicherheitsverfahren Pflicht. Ab 2021 muss auch der Log-in in Ihr Online-Bankkonto durch die Zwei-Faktor-Authentifizierung geschützt sein.
Welches Verfahren dabei zum Einsatz kommt, ist jeder Bank und allen anderen Finanzdienstleistern (zum Beispiel PayPal) selbst überlassen.
Wie und wann Sie die zwei Faktoren in der Praxis erfüllen, ist nicht immer ganz einfach zu durchschauen. Zum Beispiel bei Zahlungen von Ihrem Konto. Wenn Sie in Ihr Online-Bankkonto eingeloggt sind und eine Überweisung bestätigen möchten, „genügt“ zum Beispiel eine TAN, die Sie per SMS bekommen. Warum? Weil Sie sich zuvor (etwa mit Passwort) im Online-Konto eingeloggt haben – ein Nachweisfaktor war damit schon erbracht. Anders ist es bei Zahlungen im Webshop: Hier müssen Sie erst noch beide Faktoren erfüllen, um die Zahlung zu bestätigen.
Der Gesetzgeber nennt so einen doppelten Nachweis übrigens „starke Kundenauthentifizierung“ (kurz SCA von der englischen Übersetzung „Strong Customer Authentification“). Aber egal, ob Zwei-Faktor-Authentifizierung, Zwei-Faktor-Authentisierung oder SCA: gemeint ist immer dasselbe.
Zwei-Faktor-Authentifizierung: So läuft es bei der Hanseatic Bank
Für Besitzer einer Kreditkarte der Hanseatic Bank gibt es ab Herbst 2020 ein spezielles pushTAN-Verfahren, um die Zwei-Faktor-Authentifizierung zu erfüllen. Dafür brauchen Sie die App Hanseatic Bank Secure auf Ihrem Smartphone (Besitz als erster Faktor). Wenn Sie dann mit der Kreditkarte im Internet einkaufen, wird der Zahlungsvorgang an die App gemeldet. Die müssen die Nutzer per Passwort, Fingerabdruck oder Gesichtserkennung öffnen (Wissen bzw. Inhärenz als zweiter Faktor), bestätigen dort die Zahlung bestätigen – und fertig. Der Rest läuft automatisch.
Auch ohne Pflicht: Viele setzen auf die Zwei-Faktor-Authentifizierung
Von A wie Amazon bis Z wie Zalando: So gut wie alle wichtigen Online-Anbieter bieten Ihnen zum Schutz Ihres Accounts die Zwei-Faktor-Authentifizierung an.
Sie wollen das Verfahren nutzen? Hier finden Sie jeweils die wichtigsten Informationen:
(Stand: September 2020)
