2FA
In den letzten Jahren haben wir uns daran gewöhnt, uns bei wichtigen Websites und Apps, beispielsweise für das Online-Banking, sowohl mit einem Passwort als auch mit einer anderen Bestätigungsmethode anzumelden. Dies kann ein Einmalpasswort (OTP) sein, das per SMS, E-Mail oder Push-Benachrichtigung gesendet wird, ein Code von einer Authentifizierungs-App oder sogar ein spezielles USB-Gerät („Token“). Diese Anmeldemethode wird als Zwei-Faktor-Authentifizierung (2FA) bezeichnet und erschwert das Hacken erheblich: Ein Passwort zu stehlen oder zu erraten reicht nicht mehr aus, um ein Konto zu kapern. Was aber tun, wenn du gar nicht versucht hast, dich irgendwo anzumelden, doch plötzlich einen Einmalcode oder eine Aufforderung zur Code-Eingabe erhältst?
Es gibt drei Gründe, warum diese Situation auftreten kann:
- Hacking-Versuch. Hacker haben dein Passwort in Erfahrung gebracht, erraten oder gestohlen und versuchen nun, mithilfe dieses Passworts auf dein Konto zuzugreifen. Du hast eine legitime Nachricht von dem Dienst erhalten, auf den sie zuzugreifen versuchen.
- Vorbereitung für einen Hack. Hacker haben dein Passwort entweder in Erfahrung gebracht oder versuchen, dich dazu zu bringen, es preiszugeben. In diesem Fall handelt es sich bei der OTP-Nachricht um eine Form von Phishing. Die Nachricht ist gefälscht, obwohl sie täuschend echt aussehen kann.
- Nur ein Fehler. Manchmal sind Online-Dienste so eingerichtet, dass zuerst ein Bestätigungscode aus einer SMS und dann ein Passwort abgefragt wird, oder die Authentifizierung erfolgt nur per Code. In diesem Fall könnte ein anderer Benutzer sich vertippt und deine Telefonnummer/E-Mail-Adresse anstelle von seiner eingegeben haben – und du erhältst den Code.
Wie du siehst, kann hinter dieser Nachricht also eine böse Absicht stecken. Die gute Nachricht ist jedoch, dass zum jetzigen Zeitpunkt kein irreparabler Schaden entstanden ist und du mit den richtigen Maßnahmen alle Probleme vermeiden kannst.
Was zu tun ist, wenn du eine Code-Anfrage erhältst
Am wichtigsten ist, dass du nicht auf die Bestätigungsschaltfläche klickst, wenn die Nachricht das Format „Ja/Nein“ enthält, dich nirgendwo anmeldest und die erhaltenen Codes nicht an Dritte weitergibst.
Wenn die Nachricht zur Code-Anfrage Links enthält, klicke nicht darauf!
Dies sind die wichtigsten Regeln, die du befolgen musst. Solange du deine Anmeldung nicht bestätigst, ist dein Konto sicher. Es ist jedoch sehr wahrscheinlich, dass Angreifer das Passwort deines Benutzerkontos in Erfahrung gebracht haben. Als Nächstes musst du daher das Passwort für dieses Konto ändern. Rufe den entsprechenden Dienst auf, indem du die Webadresse manuell eingibst. Klicke nicht auf einen Link. Gib dein Passwort ein, fordere einen neuen (dies ist wichtig!) Bestätigungscode an und gib ihn ein. Gehe dann in die Passworteinstellungen und lege ein neues, sicheres Passwort fest. Wenn du dasselbe Passwort für andere Benutzerkonten verwendest, musst du das Passwort auch für diese Konten ändern. Es wäre jedoch besser, für jedes Benutzerkonto ein einmaliges Passwort zu erstellen. Wir wissen, dass es schwierig ist, sich so viele Passwörter zu merken, daher empfehlen wir dringend, sie in einem speziellen Passwort-Manager zu speichern.
Dieser Schritt – das Ändern der Passwörter – ist nicht so dringend. Es besteht kein Grund zur Eile, aber du solltest es auch nicht zu lange aufschieben. Bei wertvollen Konten (z. B. Bankkonten) können Angreifer versuchen, das OTP abzufangen, wenn es per SMS gesendet wird. Dies erfolgt durch einen SIM-Tausch (Registrierung einer neuen SIM-Karte für deine Nummer) oder einen Angriff über das Dienstnetz des Betreibers, der eine Lücke im Kommunikationsprotokoll SS7 ausnutzt. Daher ist es wichtig, das Passwort zu ändern, bevor die Angreifer einen solchen Angriff starten. Im Allgemeinen sind Einmalcodes, die per SMS gesendet werden, weniger zuverlässig als Authentifizierungs-Apps und USB-Token. Wir empfehlen, immer die sicherste verfügbare 2FA-Methode zu verwenden. Eine Übersicht über die verschiedenen Methoden der Zwei-Faktor-Authentifizierung findest du hier.
Was zu tun ist, wenn du viele OTP-Anfragen erhältst
Um dich zur Bestätigung der Anmeldung zu zwingen, könnten Hacker dich mit Codes bombardieren. Sie versuchen immer wieder, sich bei dem Konto anzumelden, in der Hoffnung, dass du entweder einen Fehler machst und auf „Bestätigen“ klickst oder dich bei dem Dienst einloggst und die 2FA-Funktion vor lauter Ärger deaktivierst. Es ist wichtig, einen kühlen Kopf zu bewahren und nichts davon zu tun. Gehe am besten wie oben beschrieben auf die Website des Dienstes (öffne die Website manuell, nicht über einen Link) und ändere schnell das Passwort; dazu musst du jedoch dein eigenes, legitimes OTP anfordern und eingeben. Für einige Authentifizierungsanfragen (z. B. Warnungen über die Anmeldung bei Google-Diensten) gibt es eine separate Schaltfläche „Nein, das war ich nicht“. Diese Schaltfläche bewirkt normalerweise, dass automatisierte Systeme auf Dienstseite den Angreifer und alle neuen 2FA-Anfragen automatisch blockieren. Eine andere, wenn auch nicht die bequemste Möglichkeit wäre, das Telefon für etwa eine halbe Stunde lautlos zu stellen oder sogar in den Flugmodus zu schalten, bis die Welle von Codes nachlässt.
Was zu tun ist, wenn du die Anmeldung eines Fremden versehentlich bestätigt hast
Das ist das Worst-Case-Szenario, da du wahrscheinlich einem Angreifer Zugang zu deinem Konto gewährt hast. Da Angreifer die Einstellungen und Passwörter schnell ändern, musst du aufholen und dich mit den Folgen des Hacks auseinandersetzen. Wir haben hier Tipps für dieses Szenario zusammengestellt.
Wie kannst du dich schützen?
Die beste Verteidigungsmethode besteht in diesem Fall darin, den Angreifern einen Schritt voraus zu sein: si vis pacem, para bellum. Hier kann unsere Sicherheitslösung helfen. Sie verfolgt Datenlecks bei deinen Konten, die sowohl mit E-Mail-Adressen als auch mit Telefonnummern verknüpft sind, auch im Darknet. Du kannst die Telefonnummern und E-Mail-Adressen deiner ganzen Familie hinzufügen. Wenn Kontodaten öffentlich werden oder in Datenbanken durchgesickert sind, wird Kaspersky Premium dich alarmieren und dir Ratschläge geben, was zu tun ist.
Kaspersky Passwort Manager ist im Abonnement enthalten und warnt dich vor kompromittierten Passwörtern, hilft dir bei deren Änderung und generiert neue Passwörter, die nicht zu knacken sind. Du kannst auch Token für die Zwei-Faktor-Authentifizierung hinzufügen oder diese ganz einfach mit wenigen Klicks von Google Authenticator übertragen. Bei der sicheren Aufbewahrung deiner persönlichen Dokumente werden deine wichtigsten Dokumente und Dateien, z. B. Passscans oder persönliche Fotos, in verschlüsselter Form so geschützt, dass nur du darauf zugreifen kannst.
Darüber hinaus sind deine Anmeldedaten, Passwörter, Authentifizierungscodes und gespeicherten Dokumente von jedem deiner Geräte aus verfügbar – Computer, Smartphone oder Tablet. Das heißt, selbst wenn du dein Telefon aus irgendeinem Grund verlierst, verlierst du weder deine Daten noch den Zugriff und kannst die Daten einfach auf einem neuen Gerät wiederherstellen. Und um auf alle deine Daten zuzugreifen, musst du dir nur ein Passwort merken – das Hauptpasswort –, das nur in deinem Kopf gespeichert wird und für die AES-Datenverschlüsselung nach dem Bankenstandard verwendet wird.
Gemäß dem „Zero-Disclosure-Prinzip“ kann niemand auf deine Passwörter oder Daten zugreifen – nicht einmal Mitarbeiter von Kaspersky. Die Zuverlässigkeit und Wirksamkeit unserer Sicherheitslösungen wurden durch zahlreiche unabhängige Tests bestätigt. Ein aktuelles Beispiel dafür ist, dass unsere Sicherheitslösungen für Privatanwender bei den Tests des unabhängigen europäischen Testlabors AV-Comparatives die höchste Auszeichnung – Produkt des Jahres 2023 – erhalten haben.
Tipps