Was ist die Zwei-Faktor-Authentifizierung (2FA)?
Die Zwei-Faktor-Authentifizierung (2FA) ist ein Sicherheitsverfahren, das zur Verifizierung der Nutzeridentität zwei voneinander unabhängige Nachweise erfordert: typischerweise etwas, das der Nutzer weiß (Passwort) und etwas, das er besitzt (Smartphone, Hardware-Token) oder ist (biometrisches Merkmal). Selbst wenn ein Angreifer das Passwort eines Nutzers kennt, kann er ohne den zweiten Faktor keinen Zugriff erlangen. Laut Microsoft verhindert 2FA über 99,9 % aller automatisierten Kontoübernahme-Angriffe. Trotzdem nutzen weltweit nur etwa 57 % der Unternehmen 2FA systematisch (Duo Security Report 2023).
Ein Passwort allein ist heute keine Sicherheit mehr – es ist nur eine Frage der Zeit, bis es gestohlen oder erraten wird. Die Zwei-Faktor-Authentifizierung ist der wichtigste Einzelschritt, den jedes Unternehmen sofort umsetzen kann.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| Kontoübernahmen verhindert durch 2FA | 99,9 % | Microsoft Security Report |
| Unternehmen mit systematischer 2FA-Nutzung | ~57 % | Duo Security 2023 |
| Durchschnittlicher Datenschutzverstoß-Schaden ohne 2FA | 4,45 Mio. USD | IBM Cost of Data Breach 2023 |
| Häufigster 2FA-Angriff: SIM Swapping | ~70.000 Fälle/Jahr (USA) | FBI IC3 2023 |
| Sicherste 2FA-Methode | Hardware-Token (FIDO2/WebAuthn) | NIST SP 800-63B |
Die drei Authentifizierungsfaktoren
| Kategorie | Beschreibung | Beispiele |
|---|---|---|
| Wissen (Knowledge) | Etwas, das nur der Nutzer weiß | Passwort, PIN, Sicherheitsfrage |
| Besitz (Possession) | Etwas, das der Nutzer physisch hat | Smartphone (TOTP-App), Hardware-Token (YubiKey) |
| Sein (Inherence) | Biometrisches Merkmal des Nutzers | Fingerabdruck, Gesichtserkennung, Iris-Scan |
2FA kombiniert immer zwei verschiedene Kategorien. Zwei Passwörter gelten nicht als 2FA, da beide derselben Kategorie (Wissen) angehören.
2FA-Methoden im Sicherheitsvergleich
| Methode | Sicherheitsniveau | Phishing-resistent | Komfort | Empfehlung |
|---|---|---|---|---|
| SMS-TAN | Niedrig–Mittel | Nein | Hoch | Nur als letzter Ausweg |
| E-Mail-Code | Niedrig | Nein | Hoch | Nicht empfohlen |
| TOTP-App (Google Authenticator, Authy) | Mittel–Hoch | Nein | Mittel | Gut für die meisten Anwendungsfälle |
| Push-Benachrichtigung (Duo, Microsoft Auth.) | Mittel–Hoch | Begrenzt | Sehr hoch | Gut für Unternehmen |
| Hardware-Token (YubiKey, FIDO2) | Sehr hoch | Ja | Mittel | Empfohlen für sensible Konten |
| Passkeys (FIDO2/WebAuthn) | Sehr hoch | Ja | Hoch | Zukunftsstandard |
Single Factor vs. 2FA vs. MFA
| Verfahren | Faktoren | Sicherheitsniveau | Beispiel |
|---|---|---|---|
| Passwort allein (1FA) | 1 | Niedrig | Nur Passwort |
| Zwei-Faktor (2FA) | 2 | Hoch | Passwort + TOTP |
| Multi-Faktor (MFA) | 2+ | Sehr hoch | Passwort + TOTP + Biometrie |
| Passwortlos | 1+ | Sehr hoch | Passkey (FIDO2) |
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen 2FA und MFA?
2FA (Zwei-Faktor-Authentifizierung) ist ein Spezialfall von MFA (Multi-Faktor-Authentifizierung). MFA kann zwei oder mehr Faktoren verwenden. In der Praxis werden 2FA und MFA oft synonym verwendet. Wichtig ist, dass die Faktoren aus verschiedenen Kategorien (Wissen, Besitz, Sein) stammen.
Ist SMS-TAN noch sicher?
SMS-TAN gilt als schwächste 2FA-Methode. Angriffe wie SIM Swapping (Angreifer übernimmt Ihre Handynummer), SS7-Protokoll-Schwachstellen und Social Engineering bei Mobilfunkanbieter-Mitarbeitern können SMS-TANs kompromittieren. NIST (US-amerikanische Behörde für Standards) hat SMS-TAN in SP 800-63B als „restricted authenticator" eingestuft. TOTP-Apps oder Hardware-Token sind deutlich sicherer.
Was sind Passkeys und ersetzen sie 2FA?
Passkeys (FIDO2/WebAuthn) sind eine passwortlose Authentifizierungsmethode, die kryptografische Schlüssel nutzt, die auf dem Gerät des Nutzers gespeichert werden. Sie sind phishing-resistent, da der Schlüssel an eine spezifische Website gebunden ist. Passkeys sind für sich allein bereits sicherer als Passwort + SMS-TAN und werden von Apple, Google und Microsoft aktiv eingeführt.
Wie richte ich 2FA mit einer TOTP-App ein?
- Kostenlose App installieren (Google Authenticator, Authy, Microsoft Authenticator), 2) Im Konto zu „Sicherheit" → „Zwei-Faktor-Authentifizierung" navigieren, 3) QR-Code mit der App scannen, 4) Einmaligen 6-stelligen Code eingeben zur Bestätigung, 5) Backup-Codes sichern (z. B. in Passwort-Manager). Die TOTP-App generiert alle 30 Sekunden einen neuen Code basierend auf einem geteilten Geheimnis und der aktuellen Uhrzeit.
Was tue ich, wenn ich meinen 2FA-Zugang verliere?
Sofortmaßnahmen: Backup-Codes nutzen (die beim Einrichten generiert werden – sicher aufbewahren!). Alternativ: Kontowiederherstellungsprozess des Diensteanbieters nutzen (Ausweis-Verifikation). Für Unternehmen: Admin-seitiger Backup-Authentifizierungsmechanismus einrichten. Präventiv: TOTP-App auf mehreren Geräten (z. B. Authy) oder Backup-Token.
Fazit
2FA ist die kosteneffektivste Sicherheitsmaßnahme in der IT: Sie kostet fast nichts, lässt sich in Minuten einrichten und verhindert die überwältigende Mehrheit aller Kontoübernahmen. Für sensible Konten (E-Mail, Banking, Admin-Zugänge) sollte 2FA Pflicht sein – idealerweise mit TOTP-Apps oder Hardware-Token statt SMS.
Marius Bopp
Prokurist & Technischer Leiter · You Logic AG
IT-Experte mit 18 Jahren Berufserfahrung. Seit 12 Jahren bei You Logic AG verantwortlich für Cloud Computing, IT-Security und Managed Services im Rhein-Main-Gebiet.
LinkedIn
