Sendungshinweis
„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1 und als Podcast.
Angriffe auf Server, die von Unternehmen zur Verwaltung von Onlinekonten genutzt werden, gehören mittlerweile zum Alltag. Die Täterinnen und Täter erbeuten dabei die Anmeldeinformationen der Nutzerinnen und Nutzer. Das Login über Benutzernamen und Passwort ist zusehends unsicherer geworden, sagt der Leiter der auf Internetbetrug spezialisierten Watchlist Internet, Thorsten Behrens. Wer beispielsweise einfache oder oft dieselben Passwörter nutzt, läuft Gefahr, dass Kriminelle in den Besitz persönlicher und personenbezogener Daten gelangen.
E-Mail als Einladung für Hacker
Für viele Netzanwendungen ist die schon etwas sicherere Zweifaktorauthentifizierung (2FA) mittlerweile Vorschrift. Etwa bei Kreditkartenunternehmen. Das Problem: Als zweites Authentifizierungsmerkmal wird häufig ein Code eingesetzt, der mittels E-Mail versendet wird. E-Mails sind dafür aber denkbar ungeeignet, sagt Behrens. Die Textnachrichten werden in der Regel ungesichert durch das Netz geschickt, schließlich müssen sie überall auf der Welt empfangen und gelesen werden können. Eine Einladung für Hacker. Sie können E-Mails abfangen oder auch selbst versenden. Tatsächlich erfolgen die meisten Cyberattacken über E-Mail.
Zweifaktorauthentifizierung mit Authenticator-App
Sicherer sind sogenannte Authenticator-Apps (Authentifizierungs-Apps). Diese Programme können Anwenderinnen und Anwender beispielsweise auf das Smartphone laden und ihre Kontozugangsdaten eintragen. Beim Anmelden über die Zweifaktorauthentifizierung werden dann zufällige Einmal-Codes in die App gesendet, die auf der Webseite des Onlineportals zusätzlich zu Benutzernamen und Passwort eingegeben werden müssen. Diese Codes sind meist nur 30 Sekunden gültig und daher als zweiter Faktor weitgehend sicher.
Wer sich heutzutage bei einem Onlinekonto anmeldet, sollte wo immer möglich die 2FA nutzen, sagt Behrens. Den zweiten Faktor sollte man jedenfalls über eine Authenticator-App beziehen, die entsprechende Software wird beispielsweise von Unternehmen wie Microsoft, Authy oder LastPass angeboten.
Passkeys bieten bequemes Login
Eine weitere Variante, um sich auf Internetportalen gefahrlos einzuloggen, sind Passkeys. Dabei wird ein elektronisches Schlüsselpaar erstellt, nur wenn diese Schlüssel zusammenpassen, erhält man Zugang zum Konto. Eine Möglichkeit, um Passkeys beispielsweise auch am PC oder Laptop nutzen zu können, sind spezielle Hardwarebauteile, die meist so aussehen wie ein USB-Stick. Hardwaretokens wie der so genannte YubiKey werden dementsprechend am USB-Port angeschlossen. Um die Schlüsselabfrage auszulösen, muss man lediglich einen Button drücken und eine Pin eingeben. Viele Modelle haben auch einen Fingerabdrucksensor integriert, der die Pin-Eingabe ersetzen kann.
YubiKey mit Fingerabdrucksensor und NFC
Derzeit sind es vorwiegend große US-Unternehmen wie Apple, Google, Facebook oder PayPal, die die Möglichkeit anbieten, Passkeys auf ihren Portalen einzusetzen. Watchlist-Internet-Experte Behrens geht aber davon aus, dass sich die Technologie rasant verbreiten wird. Einmal eingerichtet, bieten Hardwaretokens wie der YubiKey einen komfortablen Weg, um sich online auszuweisen.
Die digitalen Schlüssel werden automatisch generiert, und anders als bei Benutzernamen und Passwort muss man sich diese nicht merken. Ein Druck auf den Button oder der Scan des Fingerabdrucks genügt, um sich zu identifizieren. Wer einen YubiKey in Kombination mit einem Smartphone nutzt, kann sich in der Regel auch kontaktlos über Near-Field-Communication (NFC) verbinden.
Reserveschlüssel und Backup schützen vor Datenverlust
Ein Nachteil ist natürlich, dass man den Token verlieren kann. Wenn das passiert, wären auch alle darauf gespeicherten Schlüsselkombinationen verloren, sagt Behrens. Wiederherstellen kann man diese nicht mehr, weil niemand die zufällig generierten Zeichenfolgen kennt. Ein Faktor, der auf der anderen Seite natürlich zur Sicherheit beiträgt. Um den Zugriff auf die Onlinekonten nicht zu verlieren, sollte man also in jedem Fall ein Backup anlegen. Grundsätzlich wird empfohlen, dass man zwei YubiKeys zur Verfügung hat, wobei einer zu Hause aufbewahrt werden sollte. Sozusagen als Reserveschlüssel.
Wenn ein YubiKey in die Hände von Kriminellen gelangt, sind die darauf registrierten Kontozugänge dennoch sicher, sagt Behrens. Da die Tokens mittels Pin oder Fingerabdruck ausgelöst werden, können die Täterinnen und Täter mit einem erbeuteten YubiKey in der Regel nichts anfangen. Wird beispielsweise die Pin-Nummer wiederholt falsch eingegeben, wird der Token in der Folge gesperrt, so der Watchlist-Internet-Chef. Nach Ansicht der meisten Experten können Passkeys nach derzeitigem Stand der Technik nicht gehackt werden.