Portable USB Tools Portable USB Tools

Serie: Sicher im Netz (Teil 2) – Authentifizierungs-Apps

2. März 2026

Zwei-Faktor-Authentifizierung richtig nutzen: Warum SMS-TANs riskant sind und welche 2FA-App die beste ist.

Dein Passwort liegt im Darknet – und jetzt?

Im ersten Teil haben wir das Passwort-Chaos beseitigt und eine sichere Grundlage. Wir wissen, wie sicher unser Schlüssel sein sollte und wie wir ihn sicher wegstecken. Was passiert, wenn ein Anbieter gehackt wird oder du dir doch mal einen Trojaner einfängst? Passwörter können trotz aller Vorsicht abhandenkommen und landen so schnell auf Passwortlisten im Darknet. Ein Passwort alleine reicht heute nicht mehr. Die Antwort auf diese Gefahr ist eine zweite Hürde: Die Zwei-Faktor-Authentifizierung (2FA).

Die Zwei-Faktor-Authentisierung (2FA) bricht das Risiko des verlustes eines Passworts, indem sie eine zweite, unabhängige Barriere einzieht. Man kombiniert dabei etwas, das man weiß (das Passwort), mit etwas, das man besitzt (das Smartphone oder ein Sicherheitsschlüssel) oder das man ist (Biometrie wie der Fingerabdruck). Selbst wenn Angreifer also deinen „Schlüssel“ in die Finger bekommen, stehen sie vor einer verschlossenen Tür, weil ihnen dein physischer Bestätigungsfaktor fehlt. Wie effektiv dieser Schutzwall in der Praxis ist, belegen Daten von Microsoft: Ganze 99,9 % aller automatisierten Account-Übernahmen werden durch diesen simplen zweiten Schritt im Keim erstickt.

Von Mail bis Push – Welche Alternativen gibt es?

Die Effektivität der Zwei-Faktor-Authentisierung steht und fällt mit dem gewählten Kanal. Um zu verstehen, warum TOTP-Verfahren als besonders resilient gelten, hilft eine kritische Analyse der klassischen Methoden und ihrer spezifischen Schwachstellen:

  • E-Mail-Codes: Viele Dienste schicken dir einen Code per Mail. Das schützt zwar vor grundlegenden Angriffen, birgt aber ein großes Risiko: Wenn ein Hacker dein E-Mail-Postfach knackt, hat er automatisch auch den zweiten Faktor für alle anderen Konten,. Zudem sind E-Mails oft nicht Ende-zu-Ende-verschlüsselt.
  • Push-Benachrichtigungen: Apps wie der Microsoft Authenticator schicken dir oft einfach eine Benachrichtigung aufs Handy: "Bist du das? Ja / Nein". Das ist extrem bequem, führt aber zur sogenannten "MFA-Fatigue" (MFA-Ermüdung). Hacker bombardieren das Opfer manchmal so lange mit automatisierten Push-Nachrichten, bis dieses genervt (oder versehentlich) auf "Ja" tippt.
  • Telefonanruf: Manchmal ruft dich eine Computerstimme an und diktiert dir einen Code. Dies wird meist nur als Notfall- oder Barrierefreiheitsoption genutzt

Warum auch SMS-Codes ein Risiko sein können

Viele Webseiten schicken Sicherheitscodes auch heute noch per SMS. Das ist definitiv besser als kein zweiter Faktor – aber für gezielte Angriffe gleicht es einer offenen Tür:

  • SIM-Swapping: Ein Angreifer überzeugt deinen Mobilfunkanbieter (oft per Social Engineering am Telefon), deine Handynummer auf eine neue SIM-Karte zu übertragen. Ab jetzt landen deine Sicherheitscodes direkt beim Hacker. Dieser Angriff wird in der Praxis regelmäßig beobachtet, da viele Provider-Prozesse anfällig sind
  • Abfangen im Mobilfunknetz: SMS-Nachrichten sind im Mobilfunknetz nicht verschlüsselt und eigentlich nicht für Geheimnisse gemacht. Über Schwachstellen im sogenannten SS7-Protokoll des Mobilfunknetzes können SMS sogar gezielt umgeleitet werden
  • Passwort-Reset-Falle: Viele Dienste nutzen die Handynummer nicht nur für den 2FA-Code, sondern auch, um das Passwort zurückzusetzen. Wer deine Nummer kontrolliert, kann dich so komplett aus deinen Accounts aussperren.

Die Lösung: TOTP-Apps

Die weitaus cleverere Lösung sind Authentifizierungs-Apps. Der Standard dahinter heißt TOTP (Time-based One-Time Password). Es klingt kompliziert, ist aber im Alltag kinderleicht:

So funktioniert's:

  1. Bei der Einrichtung scannst du einmalig einen QR-Code der Webseite. Die App und der Server "verabreden" sich auf ein geheimes Rezept.
  2. Durch sogenanntes Hashing generiert die App aus diesem Geheimnis und der aktuellen Uhrzeit alle 30 bis 60 Sekunden einen neuen, sechs- bis achtstelligen Code.
  3. Der Code wird komplett lokal auf deinem Gerät berechnet. Die App braucht dafür kein Internet und kein Handynetz – es kann also auch nichts auf dem Transportweg abgefangen werden.

Welche App passt zu mir?

Es gibt unzählige Apps, die alle denselben TOTP-Standard nutzen. Sie unterscheiden sich hauptsächlich beim Thema Backups und Komfort:

Google Authenticator

  • Vorteil: Sehr schlicht und tut, was er soll. Google bietet inzwischen eine Cloud-Synchronisation der Codes an.
  • Nachteil: Verbirgt die Codes auf dem Display nicht vor neugierigen Blicken und lässt sich nicht per PIN/Fingerabdruck beim Öffnen sperren.

Authy (Twilio)

  • Vorteil: Funktioniert auf mehreren Plattformen gleichzeitig (Handy, Tablet, PC). Backups werden verschlüsselt in der Authy-Cloud gespeichert.
  • Nachteil: Du musst zur Registrierung eine Handynummer angeben.

Microsoft Authenticator

  • Vorteil: Perfekt, wenn du ohnehin Microsoft Office nutzt. Lässt sich beim Öffnen per PIN oder Biometrie sperren und verbirgt die Codes,.
  • Nachteil: Backups lassen sich beim Systemwechsel (z.B. von Android auf iOS) nur schwer übertragen.

Open-Source Alternativen (z.B. andOTP, Aegis, FreeOTP)

  • Vorteil: Sehr datenschutzfreundlich, quelloffen und bieten oft lokale, verschlüsselte Backup-Exporte an,,.
  • Nachteil: Teils etwas technischer in der Einrichtung. (Hinweis: andOTP wird leider seit 2022 nicht mehr weiterentwickelt).

Passwort-Manager

Viele gute Passwort-Manager (wie 1Password oder Bitwarden) haben TOTP-Generatoren direkt eingebaut.

  • Vorteil: Deine Codes werden automatisch ausgefüllt, was extrem bequem ist. Zudem hast du auf jedem Gerät Zugriff darauf.
  • Nachteil: Hier leidet massiv die Sicherheit. Wer seinen 2. Faktur zusammen mit seinem ersten, also dem Passwort lagert", riskiert hier ein böses erwachen, wenn Angreifer Zugang auf den Passwort Manager erlangen.
Google Authenticator Authy
Multi-Device Nur mit Google-Konto ✅ Ja
Backup Google-Konto Authy-Server
Kosten Kostenlos Kostenlos
Empfehlung Für Google-Nutzer Für mehrere Geräte

Die Achillesferse: Warum 2FA kein Freifahrtschein gegen Phishing ist

Trotz aller Sicherheitsvorteile hat auch die 2FA-App einen blinden Fleck: Sie schützt dich nicht vor Echtzeit-Phishing. Das größte Missverständnis ist zu glauben, man sei mit einem Code unantastbar.

Stell dir vor, du landest durch einen täuschend echten Link auf einer perfekt kopierten Login-Seite deiner Bank. Du gibst dein Passwort und – im guten Glauben – deinen frisch generierten TOTP-Code ein. In diesem Moment schnappt die Falle eines sogenannten AiTM-Angriffs (Adversary-in-the-Middle) zu: Ein Hacker agiert als digitaler Postbote im Hintergrund. Er fängt deine Daten in genau der Sekunde ab, in der du sie tippst, und leitet sie sofort an die echte Webseite weiter. Während du noch auf den Ladebalken wartest, hat sich der Angreifer bereits mit deinem gültigen Code legitimiert.

Das Fazit: TOTP-Apps sind ein hervorragendes Schutzschild gegen klassische Remote-Angriffe, Passwort-Leaks oder SIM-Swapping. Doch gegen geschickte Täuschung im Browser hilft letztlich nur ein extrem wacher Blick auf die URL – oder der Umstieg auf eine Technologie, die solche Übertragungsfehler technisch unmöglich macht. Wie hardware-basierte Sicherheitsschlüssel (FIDO2) dieses Problem endgültig lösen, schauen wir uns als Nächstes an.

Dein 2-Minuten-Plan für heute

  1. Check dein Haupt-Konto: Geh in die Sicherheitseinstellungen deines E-Mail-Postfachs (dein wichtigster Anker!).
  2. Wähle „Authenticator-App“ – als 2FA-Methode. Falls bisher SMS aktiviert war, entferne diese Option, sobald die App funktioniert.
  3. Scanne den QR-Code mit der App deiner Wahl
  4. Wichtig: Notiere dir die sogenannten "Backup-Codes" (Wiederherstellungscodes), die dir die Webseite am Ende anzeigt, an einem sicheren Ort (z.B. in deinem Passwort-Manager aus Teil 1),. Wenn dein Handy jemals kaputtgeht, sind diese Codes dein einziger Weg zurück ins Konto! Und bitte: Deaktiviere 2FA niemals aus Bequemlichkeit wieder – der Sicherheitsgewinn ist es absolut wert.
Zurück zur Übersicht