Zwei-Faktor-Authentifizierung: Deutsche Firmen drücken sich

30.09.2019
Internationale Großkonzerne machen es vor: Für den Log-In können Kunden die Option wählen, das neben dem Passwort zusätzlich ein Einmalkennwort abgefragt wird. Viele deutsche Firmen lehnen das dagegen als zu kompliziert ab.
Das Abfragefenster für Username und «Password» auf einer Internetseite. Foto: Jens Büttner/dpa
Das Abfragefenster für Username und «Password» auf einer Internetseite. Foto: Jens Büttner/dpa

Berlin (dpa) - Kaum ein großer Online-Händler oder ein Buchungsportal in Deutschland will seinen Kunden mehr Sicherheit beim Log-in ins Kundenkonto durch die Zwei-Faktor-Authentifizierung (2FA) anbieten.

Bei 2FA benötigen Kunden neben Anmeldename und Passwort einen zusätzlichen Sicherheitsfaktor, etwa einen Einmal-Code. Firmen und Verbände befürchten wirtschaftliche Einbußen oder gehen davon aus, dass Nutzer kein Interesse an 2FA haben.

Nutzer von Online-Banking oder Menschen, die im Internet einkaufen gehen, kennen 2FA bereits: Seit Mitte September gilt die gesetzliche Pflicht zur «starken Kundenauthentifizierung», also 2FA. Neben den üblichen Anmeldeinformationen muss eine einmalige Transaktionsnummer (TAN) angefordert werden, etwa per SMS an eine zuvor bei der Bank hinterlegte Handynummer. Gedruckte TAN-Listen sind nicht mehr gültig. Damit sollen Kriminelle nicht mehr so einfach unbefugt einkaufen gehen oder fremde Bankkonten leerräumen können.

Doch nicht nur Geld ist schützenswert:

Der Sicherheitschef der Allianz-Tochter IconicFinance, Vincent Haupert: «Auch Bestell- und Buchungshistorien oder die Anschrift sind sensible Daten.» Er plädiert für eine breitere 2FA-Implementierung: «Aus Nutzersicht ist das sehr attraktiv, damit man erst gar keinen nachfolgenden Ärger, etwa mit Identitätsdiebstahl, hat.»

2FA gibt es in unterschiedlichen Formen. In einem optimierten Szenario verfügt der Kunde neben dem Anmeldename und Passwort als sogenanntes Wissenselement auch über ein Besitzelement. Dies kann ein Smartphone oder ein Schlüssel sein. Beim Smartphone wird dann ein sechsstelliger Code entweder per SMS zugestellt oder in einer Generator-App erstellt. Der individuelle Code kann beliebig oft angefordert werden und ist jeweils nur einmalig gültig. Internationale Unternehmen wie Facebook, Apple, Twitter oder Amazon bieten 2FA bereits länger an.

Deutsche Anbieter sind dagegen zurückhaltender.

«Zwei-Faktor-Authentisierung brauchen wir nicht», sagt ein Sprecher des Hamburger Versandhändlers Otto. Das Unternehmen vertraue stattdessen auf «diverse technische Maßnahmen». Durch 2FA dauere der Kaufvorgang länger, so sei das Kauferlebnis unattraktiver. Auch die Otto-Tochter About You und Zalando verzichten auf 2FA. «Das wäre zu aufwendig für unsere Kunden», sagt eine Sprecherin von About You. Man glaube nicht, dass Kunden den Zusatzschutz nutzen würden. Zalando verweist auf das «eigene, komplexe Datensicherheitssystem».

Laut Digitalbarometer 2019 war bereits knapp jeder Vierte Opfer von Kriminalität im Internet. Dabei handelte es sich am häufigsten um Betrug beim Online-Shopping (36 Prozent),gefolgt vom Ausspähen vertraulicher Daten, sogenannte Phishing-Fälle, mit 28 Prozent. Identitätsdiebstahl wurde von 18 Prozent der Befragten genannt.

Aber nicht nur Online-Versandhändler verzichten auf Zwei-Faktor-Logins.

Das Hotelbuchungsportal HRS bietet keine 2FA an mit der Begründung, die Zahlung erfolge bei Abreise oder über einen externen Dienstleister. HRS befürchtet, dass der zweistufige Anmeldungsvorgang der Buchungsvorgang «massiv erschwere» - also dass weniger Menschen buchen.

Die Lufthansa erklärte, sie wolle sich aus Sicherheitsgründen nicht dazu äußern, warum sie keine 2FA anbietet. Die Tochter Eurowings will dies zumindest prüfen. Die Deutsche Bahn schafft nach eigenen Angaben zurzeit die technologischen Voraussetzungen dafür.

Mitunter sind es auch schwache, mehrfach genutzte Passwörter, die für eine breitere 2FA-Implementierung sprächen. «Schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt», sagt der Direktor des Hasso-Plattner-Instituts (HPI),Prof. Christoph Meinel. Er plädiert dafür, 2FA so schnell wie möglich zu aktivieren, sobald ein Dienstleister die Option anbietet. Dass sich Unternehmen gar gegen die Sicherheitsmaßnahme sträuben, kann Meinel nicht verstehen: «Jeder Serviceanbieter sollte dem Nutzer diese Entscheidung überlassen.» Besonders wichtig sei ein zusätzlicher Schutz bei «allem, was mit Geld, was mit hohem Wert, dem Bereich der Gesundheit oder der Privatsphäre» zu tun hat.

Das sehen aber nicht alle so.

2FA stehe «im Widerspruch zu den Anforderungen einer guten Nutzererfahrung», heißt es beim Handelsverband Deutschland (HDE). «Gerade im Onlineshopping ist es von besonderer Bedeutung, hier den Interessenten einen möglichst schlanken und hürdenlosen Check-out zu ermöglichen», argumentiert ein HDE-Sprecher. Jeder extra Schritt schmälere die Wahrscheinlichkeit eines Kaufabschlusses. Ähnlich sieht das der Bundesverband Onlinehandel: Die Gefahr des Abbruchs durch den Kunden sei extrem hoch, weswegen sich der Verband auch gegen die «Realisierung von PSD2 und erst Recht der Ausweitung auf weitere Gebiete» stelle.

In gewissem Umfang versteht auch IconicFinance-Sicherheitschef Haupert die Bedenken: «Händler wollen keine zusätzliche Hürde einbauen.» Zugleich glaubt er, dass es nur eine Frage der Zeit sei, bis 2FA flächendeckender angeboten werde. «Wenn es in der Bevölkerung mehr Nachfragen danach gibt, werden die Anbieter dem nachkommen.»

So funktioniert Zwei-Faktor-Authentifizierung:

Die Zwei-Faktor-Authentifizierung (2FA) funktioniert je nach Anbieter und Unternehmen unterschiedlich. Zu den bekanntesten Varianten gehören der Versand eines sechsstelligen Codes per SMS auf das Handy. Alternativ gibt es Code-Generatoren-Apps, die auf dem Smartphone installiert werden können, erklärt Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam.

Durch 2FA brauchen Nutzer neben Anmeldename und Passwort auch ein sogenanntes Besitzelement, um sich bei Onlinekonten aller Art einzuloggen. Dieser Besitz ist entweder etwa ein Handy, ein Smartphone oder ein Schlüssel, die jeweils zuvor im Kundenkonto registriert werden müssen.

Bei manchen Anbietern ist 2FA sogar Pflicht, oft lässt es sich in den Einstellungen aktivieren. Meistens versteckt sich die Funktion in Kategorien mit Titeln wie «Erweiterte Sicherheitseinstellungen» (Amazon) oder «Sicherheit und Login» (Facebook).

Um den Code-Generator mit dem Kundenkonto zu koppeln, müssen Benutzer auf der Webseite einen individuellen QR-Code mittels Smartphone-Kamera scannen oder einen spezifischen Schlüssel manuell in das Smartphone eingeben. Im Anschluss muss ein so erzeugter sechsstelliger Code wiederum im Handy eingegeben werden, um die Kopplung abzuschließen. Bei der Variante mit dem SMS-Versand wird auf eine festgelegte Handynummer eine Kurznachricht geschickt, die den Kopplungscode enthält.

Informationen vom Bundesamt für Sicherheit zu 2FA

Digitalbarometer 2019


Verfasser: dpa-infocom GmbH

KEYWORDS

TEILEN


Das könnte Sie auch interessieren
Nach den nun veröffentlichten Patches gegen «Spectre» und «Meltdown» ist mit weiteren Schwachstellen bei Computer-Chips zu rechnen. Foto: Ralf Hirschberger/dpa-Zentralbild Experte: «Spectre» und «Meltdown» sind erst der Anfang Die größten Schleusen sind geschlossen, doch Entwarnung gibt es längst nicht. Die Chip-Sicherheitsprobleme «Spectre» und «Meltdown» haben die Computer-Industrie erschüttert. Und sie ebnen den Weg für eine ganz neue Klasse von Angriffen.
Wer seine Musik, Bilder, Texte oder Filme veröffentlichen will, kann dies unter Creative-Commons-Lizenzen tun und selbst bestimmen, was mit den eigenen Werken angestellt wird. Foto: Andrea Warnecke Creative Commons bietet gleiches Recht für alle In Zeiten des Internets, das keine Landesgrenzen kennt, wirkt nationales Urheberrecht überholt. Ein Paradebeispiel dafür war der lange Lizenzgebührenstreit für Musikvideos zwischen Youtube und der Gema in Deutschland. Einen Gegenentwurf verspricht Creative Commons.
Eine weltweite Welle von Cyber-Attacken hatte im Mai Zehntausende Computer von Unternehmen, Behörden und Verbrauchern getroffen. In Deutschland erwischte es Rechner bei der Deutschen Bahn. Foto: P. Götzelt/dpa Cyberattacken bedrohen 2017 die vernetzte Welt Zwei große Cyberangriffe mit Erpressungstrojanern sorgten im Mai und Juni für Aufsehen. Das Einfallstor war eine Schwachstelle, die einst der US-Geheimdienst NSA entdeckt und für eigene Aktionen gehortet hatte. Mit verfügbaren Updates wären die Computer sicher gewesen.
Kinder und Jugendliche tauschen sich zunehmend über das Smartphone aus. Das Gerät senkt jedoch auch die Hemmschwelle für böse Behauptungen und Kommentare. Foto: Armin Weigel Internationale Studie: Cybermobbing ist mögliche Zeitbombe Die Opfer von Cybermobbing werden immer jünger. Zugleich geraten auch Erwachsene häufiger in den Fokus von Attacken wie Verleumdung, Beleidigung und Diffamierung im Netz. Wissenschaftler schlagen Alarm - und fordern verstärkte Prävention.