Zwei Passwörter sind nicht zwei Faktoren
"Aktiviere 2FA" — diesen Rat hört man überall. Aber die meisten aktivieren die SMS-Version — einen 6-stelligen Code per SMS — und halten sich für sicher. Sicherer als ohne 2FA, ja. Aber SMS-basiertes 2FA hat echte, gut dokumentierte Schwachstellen, die du kennen solltest.
Das Ziel ist nicht, dich von SMS 2FA abzuschrecken. Es geht darum zu verstehen, was du wirklich bekommst, und wann etwas Stärkeres angebracht ist.
Was ist Zwei-Faktor-Authentifizierung?
Authentifizierungsfaktoren gibt es in drei Typen:
- Etwas, das du weißt — Passwort, PIN
- Etwas, das du hast — Telefon, Hardware-Schlüssel, Authenticator-App
- Etwas, das du bist — Fingerabdruck, Face ID
Zwei-Faktor-Authentifizierung (2FA) bedeutet, zwei verschiedene Typen zu verwenden. Passwort + SMS-Code ist "etwas, das du weißt" + "etwas, das du hast." Das ist echtes 2FA — und dramatisch besser als ein Passwort allein.
Das Problem ist nicht 2FA selbst. Das Problem ist, dass "etwas, das du hast (ein Telefon)" ohne physischen Diebstahl des Telefons übernommen werden kann.
Warum SMS 2FA abgefangen werden kann
SIM-Swapping
Der häufigste SMS-Angriff. So funktioniert er:
- Ein Angreifer ruft deinen Mobilfunkanbieter an und gibt sich als dich aus
- Er behauptet, sein Telefon verloren zu haben und braucht die Nummer auf einer neuen SIM
- Der Anbieter überträgt deine Nummer auf seine SIM
- Alle SMS an "deine" Nummer gehen jetzt an den Angreifer
- Er fordert Passwort-Resets + SMS-Codes für deine Konten an
Dies ist prominenten Persönlichkeiten passiert. Krypto-Exchange-Konten, E-Mail-Konten, Social Media — SIM-Swapping ist ein bekannter Angriffsvektor, weil die Identitätsprüfung bei Mobilfunkanbietern uneinheitlich ist.
SS7-Protokoll-Sicherheitslücken
Das SS7-Protokoll ist die 40 Jahre alte technische Infrastruktur, die Anrufe und SMS weltweit vermittelt. Es hat bekannte Sicherheitslücken, die staatlichen Angreifern und organisierten Kriminellen erlauben, SMS während der Übertragung abzufangen — ohne dein Telefon oder deinen Anbieter zu berühren.
Für die meisten Menschen sind SS7-Angriffe theoretisch. Für hochwertige Ziele (Führungskräfte, Journalisten, Aktivisten) sind sie eine reale Bedrohung.
Echtzeit-Phishing nach SMS-Codes
Der häufigste Angriff gegen Normalnutzer: Eine gefälschte Login-Seite erfasst gleichzeitig dein Passwort UND deinen SMS-Code und spielt sie auf der echten Seite ab, bevor der Code abläuft.
Du gibst deine Daten auf einer überzeugend wirkenden Fake-Seite ein → sie loggen sich auf der echten Seite ein → die echte Seite schickt dir eine SMS → du gibst die SMS auf der Fake-Seite ein → Angreifer hat deine Session.
Das nennt sich "Echtzeit-Phishing-Angriff" oder "Adversary-in-the-Middle" (AiTM). Es funktioniert gegen SMS 2FA, auch wenn du dein Telefon nie hergegeben hast.
Was stärker ist als SMS
Authenticator-Apps (TOTP)
Apps wie Google Authenticator, Authy oder jede TOTP-kompatible App generieren zeitbasierte Codes lokal auf deinem Gerät. Keine SMS, kein Mobilfunkanbieter involviert.
Warum es besser ist: Codes werden auf deinem Gerät generiert, nicht über ein Netzwerk übertragen. Ein SIM-Swap hilft nicht — der Code ist auf deinem ursprünglichen Telefon. Echtzeit-Phishing funktioniert noch (wenn du den Code auf einer Fake-Seite eingibst), aber SS7-Angriffe greifen nicht.
Verwenden für: jeden Dienst, der es anbietet. Bevorzuge das gegenüber SMS.
Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn)
Physische Geräte (YubiKey, Google Titan, etc.), die per USB angesteckt oder per NFC getippt werden. Beim Login berührst du den Schlüssel physisch.
Warum es stärker ist: kryptografischer Beweis, keine Codes zum Abfangen, phishing-resistent (der Schlüssel prüft, ob er mit der echten Website spricht, indem er die Domain verifiziert). Echtzeit-Phishing funktioniert nicht — der Schlüssel authentifiziert keine gefälschte Domain.
Verwenden für: deine kritischsten Konten — E-Mail, Banking, Unternehmens-Zugänge.
Passkeys
Passkeys ersetzen Passwörter vollständig durch Public-Key-Kryptografie, die auf deinem Gerät gespeichert wird. Unterstützt von Apple, Google, Microsoft und einer wachsenden Liste von Diensten.
Warum es stärker ist: kein Passwort zu stehlen, kein Code abzufangen, phishing-resistent durch Design (kryptografische Domain-Bindung). Der private Schlüssel verlässt dein Gerät nie.
Verwenden für: jeden Dienst, der sie unterstützt (Apple ID, Google-Konto, GitHub, PayPal, 1Password und mehr).
Das ehrliche Ranking
Von am wenigsten bis am meisten sicher:
- Kein 2FA — nur Passwort (vermeiden)
- SMS 2FA — besser als nichts, anfällig für SIM-Swap + AiTM-Phishing
- Authenticator-App (TOTP) — SIM-Swap-immun, noch anfällig für AiTM-Phishing
- Hardware-Schlüssel (FIDO2) — phishing-resistent, erfordert physische Anwesenheit
- Passkeys — phishing-resistent, kein Passwort, beste UX der starken Optionen
Was konkret zu tun ist
Für die meisten Menschen:
- Authenticator-App (nicht SMS) verwenden wo immer möglich
- SMS verwenden wenn es die einzige Option ist — immer noch viel besser als nichts
- 2FA zuerst für E-Mail aktivieren — sie ist der Hauptschlüssel für alle anderen Konten
Für hochwertige Konten (Banking, Krypto, Unternehmens-Zugang):
- Hardware-Sicherheitsschlüssel oder Passkeys
- Einzigartiges, starkes Passwort (nutze einen Passwort-Generator)
- Prüfen ob deine E-Mail in einem Datenleck war (E-Mail-Breach-Checker)
Für alle:
- Passwörter niemals zwischen Websites wiederverwenden
- Bei einem Datenleck: Passwort ändern, prüfen ob dasselbe Passwort woanders verwendet wurde, 2FA aktivieren falls noch nicht geschehen
Das Fazit
SMS 2FA ist besser als kein 2FA. Wenn es die einzige Option ist, nutze es. Aber wenn ein Dienst eine Authenticator-App oder einen Hardware-Schlüssel anbietet, nutze sie — die Sicherheitsverbesserung ist erheblich.
Das Wichtigste: 2FA auf deinem E-Mail-Konto haben. E-Mail ist der Wiederherstellungsmechanismus für alles andere — wenn ein Angreifer deine E-Mail kontrolliert, kann er alle anderen Passwörter zurücksetzen.
Prüfe ob deine E-Mail in einem Datenleck war — und aktiviere dann heute 2FA dafür.