Die SMS-Methode hat seit 2017 öffentlich bekannte Sicherheitslücken — trotzdem ist sie Standard. Was die drei realistischen Alternativen unterscheidet, welche wirklich schützt und welche Theater ist.
Marcel Pötschke
Freiberuflicher Webentwickler
Wenn Sie 2-Faktor-Authentifizierung benutzen, gehören Sie zur sicherheitsbewussten Minderheit. Aber innerhalb dieser Minderheit gibt es einen Unterschied, den fast niemand kennt: Nicht alle 2FA-Methoden schützen gleich gut. Eine davon ist seit 2017 öffentlich gebrochen — und wird trotzdem noch von den meisten großen Anbietern als Standard angeboten.
Dieser Beitrag schaut sich die drei realistischen 2FA-Methoden an: SMS-Code, TOTP-App, Hardware-Key beziehungsweise Passkey. Wer welche Methode aktiviert hat, entscheidet, ob 2FA ein echter Schutz ist oder ein wohliges Sicherheitsgefühl.
Sie loggen sich ein, ein Code kommt per SMS, Sie tippen ihn ab. Das ist die häufigste 2FA-Variante — und die schwächste.
Das Problem heißt SIM-Swapping. Ein Angreifer ruft Ihren Mobilfunkanbieter an, gibt sich mit zusammengesuchten Daten als Sie aus, beantragt eine neue SIM-Karte. Sobald die aktiviert ist, bekommt der Angreifer alle SMS — auch die mit Ihrem 2FA-Code. Innerhalb weniger Minuten kann er sich in Ihr E-Mail-Konto, Online-Banking oder Crypto-Börse einloggen und das Passwort ändern, bevor Sie merken, dass Ihr Handy plötzlich kein Netz mehr hat.
Das ist kein hypothetisches Szenario. Das US-NIST hat SMS-2FA bereits 2017 in seinen Sicherheitsrichtlinien herabgestuft. Promi-Hacks, Crypto-Diebstähle in Millionenhöhe und gezielte Angriffe auf Geschäftsleute laufen seit Jahren genau so.
Trotzdem ist SMS überall Standard, weil:
Wenn Sie irgendwo nur SMS-2FA aktivieren können — besser als nichts, aber kein echter Schutz.
TOTP steht für „Time-based One-Time Password“. Eine App auf Ihrem Handy erzeugt alle 30 Sekunden einen neuen 6-stelligen Code, der nur Ihnen und dem Service bekannt ist. Beim Login tippen Sie den aktuellen Code ein.
Das funktioniert, weil:
Empfehlenswerte Apps: 2FAS, Aegis Authenticator (Android), Bitwarden Authenticator. Google Authenticator kann es auch, hatte aber lange kein Backup — wenn Ihr Handy weg war, waren auch alle 2FA-Codes weg. Authy bietet Cloud-Backup, was bequem ist, aber das Sicherheitsmodell etwas auflockert.
TOTP ist der vernünftige Mindeststandard. Wenn ein Service mehr als nur SMS anbietet, aktivieren Sie das.
Ich schaue mir mit Ihnen Ihre wichtigsten Konten an — E-Mail, Domain, Hosting, Banking — und priorisiere, was wirklich kritisch ist. Eine Stunde, in der Sie ruhiger schlafen.
Hardware-Keys sind kleine USB- oder NFC-Sticks (YubiKey ist der bekannteste Hersteller). Beim Login stecken Sie den Key ein und bestätigen mit einem Tipp. Passkeys sind die Software-Variante davon, gespeichert auf Ihrem Smartphone oder im Browser.
Was sie technisch besser machen:
Wo Hardware-Keys den größten Hebel haben:
Passkeys sind das Konsumenten-Pendant: gleiche Sicherheit, aber statt Hardware-Stick ist das Smartphone selbst der Faktor. Apple, Google und Microsoft haben sie seit 2023 in iOS, Android und Windows tief integriert — sie sind der Standard, der SMS langfristig ablösen wird.
Manche Services schicken nach dem Passwort-Login einen Code per E-Mail. Das ist kein zweiter Faktor — es ist der erste Faktor zweimal.
Wenn ein Angreifer Ihr E-Mail-Konto kompromittiert hat, hat er ohnehin Zugriff auf den Code. E-Mail-2FA ist Theater, das das Sicherheitsgefühl erhöht, ohne den realen Schutz zu erhöhen.
Priorisierte Liste, von oben nach unten:
Und überall, wo aktuell SMS aktiv ist und eine bessere Methode verfügbar ist: wechseln. Das dauert pro Konto fünf Minuten und ist die beste sicherheitstechnische Stunde, die Sie in diesem Jahr investieren können.