Den zweiten Faktor per SMS zu aktivieren gehört zu den besten Entscheidungen, die du heute treffen kannst. Es ist auch die erste, die du wieder überdenken musst.
Beides stimmt gleichzeitig, und genau darin liegt die ganze Schwierigkeit. Die Debatte zerfällt meist in zwei gleich falsche Lager: die einen halten SMS für echte Sicherheit, die anderen für Theater. SMS ist unendlich viel besser als nichts und zugleich der schwächste der gebräuchlichen zweiten Faktoren. Das ist kein Widerspruch. Es gibt eine Leiter, und SMS ist die erste Sprosse — weit über dem Boden.
Was SMS gut macht
Ohne zweiten Faktor hängt dein Konto an einem Geheimnis, das seit Jahren in einem fremden Datenleck kursieren kann, ohne dass du davon weißt. Irgendwer nimmt diese Liste, probiert sie bei einem Dienst nach dem anderen durch, und wenn du das Passwort wiederverwendet hast, ist er drin. Er hat dich nicht ausgesucht: Deine Zeile stand halt in der Tabelle.
SMS bricht das an der Wurzel. Sobald ein zweiter Faktor da ist, hört ein Angriff auf dich auf, ein automatischer Vorgang zu sein, und wird zu Handarbeit, die dir gilt. Man muss wissen, wer du bist, welche Nummer du benutzt und wer sie dir gibt. Für viele lohnt sich das nicht: Es gibt einfachere Konten. Wenn ein Dienst also nur SMS anbietet, lautet die Antwort ja, ohne Einschränkung. Die Einschränkungen kommen danach.
Der Fehler steckt nicht in deinem Telefon
Man stellt sich vor, SMS zu brechen hieße, Funkwellen abzufangen, eine Karte zu klonen oder das Handy zu infizieren. Nichts davon ist nötig. Der Angriff, der tatsächlich Konten kostet und der in den öffentlich bekannten Fällen immer wieder auftaucht, ist SIM-Swapping, und der besteht aus etwas viel Langweiligerem: Jemand ruft bei deinem Mobilfunkanbieter an, sagt, er habe seine SIM verloren, beantwortet ein paar Sicherheitsfragen und bittet um eine Ersatzkarte. Ab diesem Moment landen deine SMS bei ihm.
Achte darauf, was hier nicht passiert ist. Keine Verschlüsselung wurde gebrochen. Dein Telefon wurde nicht angefasst. Du hast nichts falsch gemacht — und nichts gemerkt, außer dass deine Leitung plötzlich verstummt, was dir, wenn du schläfst, erst mal nicht auffällt. SIM-Swapping ist kein technischer Angriff auf dich: Es ist Social Engineering gegen deinen Anbieter. Das Glied, das versagt, ist ein Mitarbeiter im Kundenservice, der dafür bezahlt wird, Fälle schnell zu schließen, und dem gerade eine vollkommen glaubwürdige Geschichte erzählt wurde — denn eine SIM zu verlieren passiert Menschen jeden Tag. Die Fälle sind umfassend dokumentiert, und das Muster wiederholt sich mit einer Eintönigkeit, die längst niemanden mehr überrascht.
Das Unangenehme daran: Du hast dabei nichts zu melden. Deine Sicherheit hängt am Prüfprozess einer Firma, die du nicht danach ausgesucht hast. Und es gibt einen zweiten, leiseren Mangel: Deine Telefonnummer ist kein Geheimnis. Du hast sie dem Zahnarzt gegeben, dem Stromanbieter und dem halben Adressbuch der Republik. Ein Kennzeichen, das du nach Belieben verteilst, spielt hier den Ausweis.
Die zweite Sprosse: eine App
Der nächste Schritt ist TOTP — die sechsstelligen Codes, die alle dreißig Sekunden wechseln, in einer App wie denen von Google, Aegis, 1Password oder Bitwarden.
Der Mechanismus ist elegant: Dienst und App teilen ein einziges Mal ein Geheimnis, bei der Einrichtung, und danach berechnen beide aus diesem Geheimnis und der Uhrzeit denselben Code. Es wird nichts verschickt. Und genau darin liegt der ganze Unterschied: Wenn nichts reist, kann auch nichts umgeleitet werden. Kein Anbieter, keine Nummer, niemand, den man wegen einer Ersatzkarte anrufen könnte. SIM-Swapping findet hier keine Tür.
Das ist ein großer Sprung und kostet fünf Minuten. Aber es ist auch nicht das Ende, denn TOTP behält einen sehr menschlichen blinden Fleck: Den Code tippst du demjenigen hin, der danach fragt. Wenn du ihn auf einer Seite eingibst, die wie deine Bank aussieht, es aber nicht ist, fängt der Angreifer ihn ab und reicht ihn in den Sekunden, die er noch lebt, an die echte Seite weiter. Deine App erzeugt eine Zahl; wo du sie einfügst, weiß sie nicht.
Die Sprosse, die sich nicht täuschen lässt
Der Hardware-Schlüssel — der Standard FIDO/U2F, ein Stick per USB oder NFC, oder das Handy selbst als Authenticator — löst genau das. Bei der Registrierung entsteht ein Schlüsselpaar, das an den Origin gebunden ist: an die konkrete Domain dieses Dienstes. Beim Anmelden sagt der Browser, für welche Domain die Signatur verlangt wird, und der Schlüssel signiert eine Aufgabe, in der diese Domain steckt. Ist die Seite eine Kopie auf einem anderen Server, passt die Domain nicht, und es kommt keine Signatur heraus, die der echte Dienst akzeptiert.
Anders gesagt: Der Schlüssel ist nicht klüger als du; er traut nur deinem Urteil nicht. Er schaut nicht aufs Schloss, liest die URL nicht, wägt nicht ab, ob die E-Mail seriös wirkte. Er vergleicht eine Zeichenkette mit einer anderen. Er ist das einzige Glied, das sich mit einer guten Geschichte nicht überzeugen lässt — und an dieser Stelle wirst du gemerkt haben, dass die guten Geschichten genau das Problem sind.
„Eingeschränkt“ heißt nicht „verboten“
Das NIST stuft in SP 800-63B die Out-of-Band-Verifizierung über das Telefonnetz — also SMS — als eingeschränkt ein. Es lohnt sich, bei dem Wort kurz zu verweilen, denn in dieser Nuance steckt der ganze Text. Eingeschränkt heißt nicht verboten: Es ist eine mittlere, bewusst gewählte Kategorie. Man darf es weiter einsetzen, aber wer es tut, übernimmt Pflichten: das Risiko bewerten, die Nutzer darauf hinweisen, dass dieser Kanal eine bekannte Schwäche hat, und einen Plan haben, auf etwas Besseres umzustellen.
Das ist klüger als ein Verbot und erklärt, warum SMS weiterlebt. Ein mittelmäßiges Verfahren, das die Leute benutzen, schützt mehr als ein ausgezeichnetes, das niemand aktiviert. Würde es morgen überall verboten, käme ein großer Teil dieser Konten keine Sprosse höher: Sie blieben beim Passwort allein — und das ist der Boden.
Was zu tun ist, der Reihe nach
- Bietet ein Dienst nur SMS an, aktiviere es. Heute. Die erste Sprosse bringt den größten Höhengewinn.
- Bietet er TOTP, wechsle zu TOTP und nimm SMS als Rückfallweg raus, wenn du darfst. Deine Sicherheit ist die der schwächsten Methode, die du zulässt, denn der Angreifer sucht sich die Tür aus.
- Bei dem, was wirklich zählt — E-Mail, Bank, Passwortmanager —, nimm einen Hardware-Schlüssel. An der E-Mail hängen die „Passwort vergessen“ deines ganzen Lebens.
- Erlaubt dein Anbieter eine PIN oder eine Portierungssperre, richte sie ein. Das behebt die Ursache nicht, macht dem Anrufer die Ersatzkarte aber schwerer.
- Und vergiss den ersten Faktor nicht. 2FA ist ein zweites Schloss, keine Amnestie für das erste: ein langes, einmaliges Passwort aus dem Generator, und wenn du bei einem deiner bisherigen zweifelst, schick es durch den Passwort-Checker.
Das Fazit ist langweilig, und deshalb sagt es fast niemand: SMS ist schlecht, und du solltest es benutzen, wenn du nichts anderes hast. Echte Sicherheit besteht fast nie darin, die perfekte Option zu wählen, sondern zu wissen, welche die schlechteste der guten ist, sie zu benutzen, solange es sein muss, und sie nie mit Fertigsein zu verwechseln.
Quellen: NIST SP 800-63B, das die Out-of-Band-Verifizierung über das öffentliche Telefonnetz (SMS oder Sprache) als eingeschränkte Methode einstuft, mit den Pflichten zu Risikobewertung, Nutzerhinweis und Migrationsplan, die diese Kategorie mit sich bringt · FIDO/U2F- und WebAuthn-Spezifikationen und ihre Prüfung des Origin (Domain) im Moment der Signatur · RFC 6238 (TOTP) · öffentlich bekannte SIM-Swapping-Fälle, umfassend dokumentiert in der Presse und in Gerichtsverfahren.