2FA: Mit diesen Tipps sind Deine Konten sicher

„Man in the Middle“-Attacke durch Phishing
Dass sich Hacker zwischen Nutzer und dessen Konto drängen – Fachleute sprechen hier vom „Man in the Middle“ – ist eine bekannte Problematik. Deshalb gibt es auch Verfahren, die dies effektiv verhindern sollen. Die größte Bedeutung hat in diesem Zusammenhang derzeit wohl TLS. Die Abkürzung steht für „Transport Layer Security“. Eine TLS-Verbindung soll gewährleisten, dass sich niemand in die Kommunikation mogeln kann, um Zugang oder sensible Daten zu erhalten.

Hacker versuchen aber, TLS-Verbindung durch Phishing zu umgehen. Dafür verwenden sie gefälschte Nachrichten und Webseiten, die scheinbar von einem seriösen Unternehmen stammen. Hier sollen Nutzer dann ihre Zugangsdaten eingeben. Wer darauf hereinfällt, liefert Hackern sensible Informationen frei Haus. Das können nicht nur Benutzernamen und Passwort, sondern auch 2FA-Codes sein. Cyberkriminelle nutzen diese Daten in der Regel, um direkt Zugang zu erhalten und an Dein Geld zu kommen. Denn viele Codes sind nur kurze Zeit gültig.

Der wirksamste Schutz besteht darin, Phishing-Webseiten und -Nachrichten direkt als solche zu identifizieren. Hierzu gibt es hilfreiche Ratgeber. Klicke am besten nicht auf Links in Nachrichten, die Du erhältst. Das gilt besonders – aber nicht nur – wenn Du den Absender nicht persönlich kennst. Lege Dir zudem für sensible Webseiten, wie dem Zugang zu Deinem Online-Banking-Konto, ein Lesezeichen in Deinem Browser an. Nutze dieses, wenn Dir Deine Bank vermeintlich eine Nachricht sendet und Dich auffordert zu reagieren.

„Man in the Browser“-Zugriffe via Malware
Schadsoftware – sogenannte Malware – kann sich auch direkt auf Deinem Computer einnisten. Da hier oft der Browser das Ziel ist, sprechen Experten hier auch vom „Man in the Browser“. Das ist besonders perfide. Denn diese Programme sind in der Regel so lange inaktiv, bis Du eine bestimmte Webseite aufrufst. So könnte Malware aktiv werden, wenn Du Dich in Dein Online-Banking-Konto einloggst und eine Überweisung mit 2FA-Codes autorisieren möchtest.

Auf dem Bildschirm scheinen alle Angaben korrekt zu sein, sodass Nutzer diese in der Regel mit PIN oder Einmal-Passwort bestätigen. Die Malware ist aber in der Lage, Empfänger und Betrag zu verändern, ohne dass dieses zunächst auf dem Display erscheint. Programme, die so oder ähnlich vorgehen, sind etwa Carberp, Emotet, Shylock, SpyEye oder Zeus.

Am besten verhinderst Du, dass Schadsoftware überhaupt auf Deinen Computer kommt. Installiere keine Programme, die unseriös erscheinen und verzichte auf fragwürdige Quellen beim Bezug von Software. Zudem solltest Du regelmäßig einen Anti-Malware-Scanner verwenden. Bei Aufträgen im Online-Banking senden zudem viele Kreditinstitute vor der Ausführung noch einmal alle Daten zur Kontrolle. Wirf einen genauen Blick, ob hier Kontonummer bzw. IBAN mit Deinen Eingaben übereinstimmen.

„Malware as a Service“: diebische Malware
Malware kann aber noch raffinierter agieren. Ein mögliches Einfalltor ist hier die Bequemlichkeit von Nutzern im Zusammenspiel mit Cookies. So gestatten viele Dienste Browsern im Rahmen einer 2FA sensible Zugangsdaten zu speichern. Das beschleunigt zwar den Zugriff und erhöht den Komfort für Nutzer. Schließlich musst Du künftig die gesicherten Informationen nicht mehr von Hand eingeben. Gleichzeitig lässt sich so aber ein Faktor bei der Authentifizierung aushebeln. Das senkt wiederum das Sicherheitsniveau.

Wenn Du der Speicherung zustimmst, legen Dienst bzw. Browser ein Authentifizierungs-Cookie auf Deinem Computer ab. Zwar enthält dieser die sensiblen (Anmelde-)Daten nur in codierter Form. Allerdings ist die Entschlüsselung nicht unmöglich. Wie kommen Hacker aber nun an den Cookie? Dafür sorgen sogenannte Info-Stealer wie Lumma. Einschlägige illegale Foren preisen die Malware auch als „Malware as a Service“ an.

Auch hier hilft ein gutes Anti-Malware-Programm weiter, damit die Schadsoftware gar nicht erst auf Deinen Rechner gelangt. Dieses solltest Du unbedingt ständig aktuell halten. Zusätzlich empfehlen wir die manuelle Eingabe von Faktorinformationen. Das entspricht aus gutem Grund auch der Standardeinstellung. Das mag zwar nicht ganz so komfortabel sein. Es ist aber deutlich sicherer.

„Social Engineering“: durch Täuschung sensible Informationen erhalten
Bisher verlief das Hacking eher anonym. Was aber ist, wenn sich Hacker Deinen Benutzernamen und vielleicht sogar Dein Passwort über Malware oder das Darknet verschafft haben? Schließlich benötigen sie noch die Informationen für den zweiten Faktor. Hier wird es oft persönlicher. Dabei spielt oft „Social Engineering“ eine wichtige Rolle.

Hierbei handelt es sich um eine bewährte Methode, bei der Kriminelle Menschen durch Manipulation und Täuschung dazu bringen, vertrauliche Informationen preiszugeben. Hierzu kann beispielsweise ein Anruf beim Opfer dienen. Täter geben sich dabei oft als Mitarbeiter einer Bank aus, die Sicherheitsinformationen benötigen. Als Erklärung schieben sie dann häufig die Einführung neuer Sicherheitstechniken vor. Angeblich seien dafür aber Authentifizierungscodes erforderlich. Ist das potenzielle Opfer noch unsicher, versuchen die Cyberkriminellen meistens durch – gestohlene – Benutzernamen oder Passwörter sich das Vertrauen zu erschleichen. Gelingt das, nutzen die Kriminellen die erlangten Daten direkt, um Geld auf ihre Konten zu überweisen.

Gib keine sensiblen Daten ungesichert am Telefon oder über andere Kommunikationskanäle weiter. Das gilt natürlich auch für 2FA-Codes und -Freigaben. Praktisch alle seriösen Kreditinstitute erklären immer wieder, dass ihre Mitarbeiter niemals solche Informationen via Telefon, Chat & Co abfragen.

„SIM-Hijacking“: Vorsicht! Anderer Empfänger unter dieser Nummer
Früher war es eine bewährte Praxis, nur kurzzeitig gültige Einmalpasswörter via SMS zu versenden. Was sollte auch schon passieren? Immerhin gehörte die Telefonnummer, an die der Zugangscode ging, doch zum Handy der berechtigten Person. Dann räumten aber Kriminelle zahlreiche Konten leer, die mit dieser Methode geschützt waren. Der Schaden ging in die Millionen. Der Trick, den sie benutzten, ist heute als „SIM-Hijacking“ oder „Sim-Swapping“ bekannt.

Bei dieser betrügerischen Masche verschaffen sich Cyberkriminelle Zugang zur SIM-Karte des Opfers. Das passiert aber in der Regel nicht durch den Diebstahl des Handys mit eingelegter Karte. Täter wenden sich stattdessen an den jeweiligen Mobilfunkanbieter und bitten diesen, eine neue SIM-Karte bzw. e-SIM zu versenden. Als Erklärung behaupten sie, das Handy sei gestohlen oder verloren gegangen. Besonders einfach machen es ihnen Mobilfunkanbieter, die Karten an neue Adresse verschicken. Aber auch beim Versand an die reale Adresse des Opfers lassen sich Briefe abfangen oder aus dem Briefkasten fischen.

Um das „SIM-Hijacking“ erfolgreich durchzuführen, müssen Kriminellen bei einer 2FA Daten wie Log-in oder Passwort des Opfers bereits bekannt sein. Wie geschildert, gibt es hier aber dafür diverse Methoden.  Du solltest für die 2FA nicht auf eine SMS mit Einmalpasswort setzen. Denn mit etwas krimineller Energie erhalten Täter hier recht einfach Zugang zu Deinen Konten.

SMS & E-Mail: unsichere Faktoren bei einer 2FA
Leider ist die SMS nicht der einzige unsichere Faktor, den Kriminelle bei einer 2FA ausnutzen. Auch die E-Mail ist nicht in jedem Fall empfehlenswert. Du kannst diesen Faktor zur Not nutzen, wenn Du auch Dein Postfach durch eine 2FA mit sicheren Faktoren vor den Zugriffen Unbefugter effektiv geschützt hast. Allgemein solltest Du aber Faktoren auswählen, die eine höhere Sicherheit bieten und es potenziellen Hackern – bei vertretbarem Aufwand – immer so schwer wie möglich machen.

Eine besondere Schwachstelle, die Cyberkriminelle gerne ausnutzen, sind schwache Back-up-Faktoren. Zahlreiche Dienste ermöglichen es Nutzern in diesem Zusammenhang, auf alternative Authentifizierungsfaktoren auszuweichen. Solche Faktoren zu hinterlegen, ist grundsätzlich sinnvoll. Vielleicht ist das Handy gerade nicht aufgeladen oder es liegt ein technischer Defekt vor.

Das Problem besteht darin, dass auch Hacker auf diese alternativen Anmeldeoptionen zurückgreifen können. Dementsprechend können sie auch versuchen, statt eines starken Faktors einen schwachen Alternativfaktor zu knacken. Dann ist Dein Konto schnell kompromittiert und möglicherweise bald leer geräumt. Denn die Kette – und damit der Schutz Deines Kontos – ist  nur so stark wie das schwächste Glied. Damit Du keine bösen Überraschungen erlebst, bewerten wir im folgenden Abschnitt die gebräuchlichsten Faktoren bei einer 2FA.