Doppelt hält besser

.
Ein Datenhack kann unangenehme Folgen haben. Es gibt Fälle, in denen Unbekannte im Namen der Personen, deren Konto gehackt wurde, beleidigende Kommentare in sozialen Medien veröffentlichen oder betrügerische E-Mails verschicken. Andere haben erlebt, wie Geld von ihrem Konto bei einer Onlinebank verschwand. Oft merken Nutzerinnen und Nutzer erst dann, dass ihr Konto gehackt wurde, wenn der Schaden bereits entstanden ist.

Dass Datendiebstähle immer wieder vorkommen, liegt auch daran, dass sich die meisten Nutzenden bei der IT-Sicherheit auf ihr Passwort verlassen. Vielen ist nicht bewusst, dass im Internet umfangreiche Listen mit Millionen von Nutzername-Passwort-Kombinationen zu finden sind. Fachleute sprechen von „Password Dumps“, sogenannten Passwort-Deponien. Die Daten stammen aus erfolgreichen Datendiebstählen. Da viele Menschen Passwörter mehrmals verwenden, sind auch Zugangsdaten zu Google-Konten in solchen „Password Dumps“ zu finden, obwohl diese Google-Konten nicht gehackt worden sind. Auch Phishing-Angriffe, bei denen Nutzerinnen und Nutzer mit betrügerischen Webseiten oder E-Mails dazu gebracht werden, ihr Passwort zu verraten, stellen eine ständige Bedrohung dar.

Unternehmen wie Google empfehlen deshalb, Onlinekonten mit einer 2-Faktor-Authentifizierung abzusichern. Bei diesem Verfahren erfolgt die Anmeldung mit zwei unterschiedlichen Komponenten, also zum Beispiel mit einem Passwort und einem SMS-Code. Auch bei Banken und Kreditkartenunternehmen ist dieses Verfahren heute oftmals gang und gäbe.

Grundsätzlich unterscheiden Sicherheitsfachleute zwischen drei Arten von Sicherheitsfaktoren. Es gibt den Faktor Information, bei dem zum Beispiel ein SMS-Code eingegeben oder eine Sicherheitsfrage beantwortet werden muss. Dann gibt es den Faktor physischer Gegenstand, eine Kreditkarte zum Beispiel, die zur Authentifizierung genutzt wird. Ein weiterer Faktor sind biometrische Daten, wie sie Smartphone-Nutzende verwenden, wenn sie den Bildschirm per Fingerabdruck entsperren. Jede 2-Faktor-Authentifizierung stellt eine Kombination von zwei dieser Faktoren dar.

Google bietet verschiedene Arten der 2‑Faktor-Authentifizierung an. Neben dem klassischen Passwort können Nutzende einen Einmalcode verwenden, den sie per SMS oder Sprachanruf erhalten oder mit der App „Google Authenticator“ erstellen, die für Android und das Apple-Betriebssystem iOS erhältlich ist. Zudem ist es möglich, im Google-Konto eine Liste mit vertrauenswürdigen Endgeräten zu hinterlegen: Wenn sich jemand von einem Gerät aus anmeldet, das nicht auf der Liste steht, erhält er von Google eine Sicherheitswarnung.

Seit drei Jahren bietet Google zudem die Möglichkeit an, einen Sicherheitsschlüssel zu verwenden. Damit ist entweder ein USB-, NFC- oder Bluetooth-Dongle gemeint, der mit dem jeweiligen Endgerät verbunden werden muss. Das Verfahren beruht auf einem offenen Standard, der sich „FIDO Universal 2nd Factor (U2F)“ nennt und den Google gemeinsam mit Unternehmen wie Microsoft, Mastercard und PayPal entwickelt hat. Sicherheitsschlüssel, die auf diesem Standard beruhen, werden von verschiedenen Herstellern angeboten und kosten oft nur wenige Euro. Der große Vorteil: Seit Einführung dieser Schlüssel hat sich die Zahl potenzieller Datendiebstähle signifikant verringert. Während ein Onlinekonto theoretisch von überall auf der Welt gehackt werden kann, muss ein physischer Schlüssel erst einmal in die Hände von Kriminellen gelangen (die natürlich nach wie vor auch die Zugangsdaten des Opfers kennen müssen, um sich anzumelden). Nicht nur Google, sondern auch andere Firmen unterstützen solche Sicherheitsschlüssel bereits heute.

Die 2‑Faktor-Authentifizierung hat aber auch Nachteile. Wer SMS-Codes als zusätzlichen Faktor verwendet, muss sein Mobiltelefon zur Hand haben, wenn er sich mit einem neuen Gerät anmeldet. Und USB- und Bluetooth-Dongles können verloren gehen. Ein großes Problem ist das aber nicht. Sicherer ist das Onlinekonto durch den doppelten Schutz auf jeden Fall. Und wer seinen Schlüssel verliert, kann ihn einfach aus dem Konto entfernen und einen neuen hinzufügen. Oder schon vorher einen zweiten Schlüssel registrieren und an einem geheimen Ort aufbewahren.

Weitere Informationen erhalten Sie auf g.co/2step

Illustration: Birgit Henne