Laut BSI-Lagebericht 2021 ist die Bedrohungslage von Cyber-Angriffen nach wie vor angespannt bis kritisch zu bewerten. Massive IT-Ausfälle in Kritischer Infrastruktur haben negative Auswirkungen auf unser Zusammenleben. Doch nicht nur Unternehmen und staatliche Einrichtungen, sondern auch Verbraucherinnen und Verbraucher können ihre genutzten Online-Dienste im Rahmen der vom Diensteanbieter bereitgestellten Infrastrukturen, Verfahren, Prozesse und Dokumentationen besser absichern. Die Nutzung einzigartiger und sicherer Passwörter reicht für die Absicherung der Konten zumeist aus. Das BSI empfiehlt darüber hinaus – wenn möglich – die Einrichtung und Verwendung einer Zwei-Faktor-Authentisierung (2FA).

Ziel dieser Darstellung ist eine gegenüberstellende Betrachtung von verschiedenen Verfahren für die Zwei-Faktor-Authentisierung im Kontext von Online-Diensten bei Berücksichtigung der BSI-Empfehlungen für Verbraucherinnen und Verbraucher. Auf Basis der Bewertungstabellen (siehe PDF) erhalten versierte und technisch affine Verbraucherinnen und Verbraucher, die bereits über Basiswissen der verschiedenen Authentisierungs-Verfahren verfügen, Einblicke in bestimmte Sicherheitseigenschaften bzw. spezifische Probleme der verschiedenen 2FA-Verfahren.

Einführung ins Thema 2-Faktor-Authentisierung: Wie funktioniert die Zwei-Faktor-Authentisierung?

Der Verbraucherzentrale Bundesverband hat einen systematischen Marktüberblick zu Anwendungsgebieten und gängigen Verfahren der Zwei-Faktor-Authentisierung erstellt. Im Anschluss wurden das Nutzungsverhalten der Verbraucherinnen und Verbraucher sowie ihre Erfahrungen und Erwartungen durch eine repräsentative Online-Befragung untersucht.

Welche Verfahren der 2-Faktor-Authentisierung wurden betrachtet?

Wir haben gängige Verfahren der 2FA herangezogen und in ihren Eigenschaften betrachtet. Diese Verfahren sind:

• E-Mail
• SMS-TAN
• softwarebasierte Verfahren, teilweise mit Hardwarebindung: PushTAN Apps
• softwarebasierte Verfahren, teilweise mit Hardwarebindung: TOTP Apps (Time-based One-time Password Algorithmus)
• hardwarebasierte Verfahren (physische Token): Fido2
• hardwarebasierte Verfahren: chipTAN
• hardwarebasierte Verfahren: Personalausweis (genutzt auf NFC-fähigem Smartphone per AusweisApp2)

Im Rahmen der Untersuchung wurden Angriffsszenarien betrachtet, die eine denkbare Gefahr für Verbraucherinnen und Verbraucher darstellen und gleichzeitig durch bestimmte 2FA-Verfahren verhindert werden können. Angriffe, die nicht aus der Ferne auf den zweiten Faktor ausgeführt werden, sondern die durch eine Kompromittierung des Gerätes z. B. durch eine maliziöse App verursacht werden, wurden nicht betrachtet. In diesem Fall ist die Sicherheit des 2FA-Verfahrens nachrangig, da durch das unsichere Endgerät bereits ein grundlegendes Problem für Verbraucherinnen und Verbraucher besteht, welches auch durch ein 2FA-Verfahren nicht zu lösen ist.

Annahmen für die Bewertung

Um die verschiedenen Verfahren vergleichbar zu machen, haben wir folgende Grundannahmen für die Nutzungsumgebung getroffen:

• Verwendung von sicheren und einzigartigen Passwörtern nach unseren Passwort-Empfehlungen
• Einsatz der 2-Faktor-Authentisierung unter Verwendung zweier unterschiedlicher Geräte, z. B. eines Desktops und eines Smartphones → Fido2-Token und chipTAN-Generator sind eigenständige Geräte
• Benutzung vertrauenswürdiger Quellen für Software oder Apps

Wenn nur ein Gerät für die 2FA genutzt wird oder die oben genannten Grundannahmen nicht zutreffen, wird dies zu einer Beeinträchtigung der Sicherheit des Verfahrens führen.

Ergebnisse der Bewertung

1. Usable Security

Alle Verfahren weisen Vor- aber auch Nachteile auf. Vorteilhaft ist es, wenn ein Verfahren für mehrere Dienste genutzt werden kann und nicht für jeden Dienst separat eingerichtet werden muss. Hier können Verbraucherinnen und Verbraucher Nutzungserfahrungen machen und von Dienst zu Dienst übertragen. Von Nachteil ist, wenn bei Wiederherstellung oder Übertragung des zweiten Faktors (beispielsweise durch den Verlust oder die Neuanschaffung eines Smartphones) jeder einzelne Dienst neu eingerichtet werden muss. Im Vergleich zu Authentisierungsverfahren ohne Hardware/Geräteverbindung entsteht dort ein größerer Aufwand, wo eine Hardware angeschafft werden muss oder eine Gerätebindung vorliegt.

Die Nutzbarkeit des Personalausweises als hardwarebasiertes Verfahren hat sich seit seiner Einführung stetig verbessert. Auch wenn dieses Verfahren zurzeit noch eine geringe Verbreitung hat, so kann es doch bereits für wichtige Behördenangelegenheiten genutzt werden. Zukünftig wird die Identifikation über das Smart-eID-Verfahren möglich sein und damit Vorteile hinsichtlich der Usable Security mit sich bringen.

Zu den Bewertungstabellen: 'Usable Security'

2. Vertraulichkeit der Daten

In diesem Untersuchungsbereich sind Vorteile hardwarebasierter Verfahren oder von Verfahren ohne proprietäre Apps zu erkennen. Dem Diensteanbieter bzw. dem Dienst, der den zweiten Faktor zur Verfügung stellt, werden dadurch keine vertraulichen Informationen übermittelt. TOTP-Apps können so gestaltet sein, dass sie keine vertraulichen Informationen preisgeben. Den Verbraucherinnen und Verbrauchern wird aber insbesondere bei PushTAN-Apps und ggf. auch bei proprietären TOTP-Apps mit Herstellerspezifika nicht transparent gemacht, ob Tracking-Funktionen genutzt werden und ob die Vertraulichkeit der Informationen kompromittiert ist.

Zu den Bewertungstabellen: 'Vertraulichkeit der Daten'

3. IT-Sicherheit

Die gemeinsame Verwendung des Dienstes und des zweiten Faktors auf nur einem Gerät birgt erhöhte Sicherheitsrisiken und sollte vermieden werden. Auch ist eine sichere Nutzung aller Verfahren nur unter der Annahme möglich, dass das Endgerät nicht kompromittiert ist. Da Verbraucherinnen und Verbraucher im Rahmen von gängigen Cybercrime-Aktivitäten insbesondere durch Angriffe aus der Ferne gefährdet sind, wurden nur solche Angriffe betrachtet.

Bei der Nutzung auf zwei verschiedenen Geräten sind bei E-Mail und SMS-TAN-Verfahren erfolgreiche Angriffe aus der Ferne unwahrscheinlich. Vor Phishing-Angriffen, die in Echtzeit stattfinden, schützen diese Verfahren nicht, da z. B. der 2. Faktor durch einen Realtime-Proxy des Angreifers gesendet werden kann.

Die betrachteten softwarebasierten Verfahren (Push-TAN und TOTP-Apps) weisen deutliche Schwächen bei Leaks des Dienstes und bei Real-Time-Phishing-Angriffen auf. Verbraucherinnen und Verbraucher haben nicht bei jeder Implementierung eine Möglichkeit, sogenannte Man-in-the-Middle-Angriffe zu erkennen oder sich vor diesen zu schützen.

Die Verwendung von hardwarebasierten Verfahren stellt eine Nutzung unter Beteiligung von zwei verschiedenen Geräten dar und erleichtert damit eine sichere Nutzung der Zwei-Faktor-Authentisierung. Das betrachtete hardwarebasierte Verfahren Fido2-Token ist dann resistent gegen übliche Phishing-Angriffe, wenn das Token-Binding, das in den aktuellen Spezifikationen verbindlich ist, korrekt implementiert wird. Die hardwarebasierten Verfahren Chip-TAN und Personalausweis sind resistent gegen alle betrachteten Angriffsszenarien.

Zu den Bewertungstabellen: 'IT-Sicherheit'

Wiederherstellung des 2FA-Verfahrens

Die Wiederherstellungsmechanismen sind meist nicht vom Verfahren, sondern vom Anbieter abhängig. Mögliche Mechanismen sind beispielsweise: E-Mail, Brief, (wiederverwendbarer) QR-Code, TAN-Listen. Bei den Wiederherstellungsmechanismen ist es grundsätzlich kritisch, wenn ein einstufiges Verfahren die Zwei-Faktor-Authentisierung ersetzt. Der Einsatz von einstufigen Wiederherstellungsmechanismen kann 2FA-Verfahren, die zur Etablierung eines höheren Schutzniveaus eingeführt wurden, erheblich schwächen. Angreifende können genau an dieser Schwachstelle ansetzen. Verbraucherinnen und Verbraucher sollten Dienstleister auswählen, deren Infrastrukturen geeignete Prozesse und Verfahren verwenden, also insbesondere zweistufige Wiederherstellungsmechanismen. Im besten Fall sollten die Verfahren eine Warnfunktion haben, um einen Angriff über den Wiederherstellungsmechanismus zu erkennen.

Zweistufige Wiederherstellungsmechanismen können durch technische oder organisatorische Maßnahmen sowie durch Mischformen gestaltet werden, z. B. eine E-Mail und ein weiterer Faktor wie eine Wissensabfrage oder das Vier-Augen-Prinzip (externe Personen bestätigen die Identität). Es gibt auch die Möglichkeit, den Wiederherstellungsmechanismus mittels eines Vertrauensdienstleisters durchzuführen. Fido sieht die Nutzung von zwei Hardware-Token vor, so dass die Wiederherstellung über den zweiten Token erfolgen kann.

Vertrauen in das Verfahren

Nutzen Sie bevorzugt

• Open-Source-Anwendungen bzw. Implementierungen oder
• standardisierte / zertifizierte Verfahren, Lösungen und Produkte

Bei diesen Verfahren lässt sich das Sicherheitsniveau durch Expertinnen und Experten gut einschätzen und bewerten. Sicherheitsbewertungen von ausgewählten "Open Source"-Token wurden durch das Fraunhofer AISEC (im Auftrag des BSI) durchgeführt.

Empfehlungen zur Verwendung einer 2-Faktor-Authentisierung

• Sofern der Diensteanbieter 2FA-Verfahren anbietet, sollten diese bei schützenswerten Konten auch verwendet werden.
• Nutzen Sie auch zur Wiederherstellung (Recovery) ein sicheres Verfahren.
• Scheuen Sie nicht die Verwendung eines für Sie noch unbekannten Verfahrens – mit regelmäßiger Nutzung werden Sie einen Erfahrungsschatz aufbauen.
• Nutzen Sie mehrere Geräte, z. B. die Push-TAN-App auf einem anderen Gerät als die Banking-Anwendung, so sind die Verfahren sicher anwendbar.