{"id":30889,"date":"2024-02-16T11:37:21","date_gmt":"2024-02-16T09:37:21","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30889"},"modified":"2024-02-16T11:37:21","modified_gmt":"2024-02-16T09:37:21","slug":"unexpected-login-codes-otp-2fa","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/unexpected-login-codes-otp-2fa\/30889\/","title":{"rendered":"Was zu tun ist, wenn du unerw\u00fcnschte Nachrichten mit Anmeldecodes erh\u00e4ltst"},"content":{"rendered":"

In den letzten Jahren haben wir uns daran gew\u00f6hnt, uns bei wichtigen Websites und Apps, beispielsweise f\u00fcr das Online-Banking, sowohl mit einem Passwort als auch mit einer anderen Best\u00e4tigungsmethode anzumelden. Dies kann ein Einmalpasswort (OTP) sein, das per SMS, E-Mail oder Push-Benachrichtigung gesendet wird, ein Code von einer Authentifizierungs-App<\/a> oder sogar ein spezielles USB-Ger\u00e4t (\u201eToken\u201c). Diese Anmeldemethode wird als Zwei-Faktor-Authentifizierung<\/a> (2FA) bezeichnet und erschwert das Hacken erheblich: Ein Passwort zu stehlen oder zu erraten reicht nicht mehr aus, um ein Konto zu kapern. Was aber tun, wenn du gar nicht versucht hast, dich irgendwo anzumelden, doch pl\u00f6tzlich einen Einmalcode oder eine Aufforderung zur Code-Eingabe erh\u00e4ltst?<\/p>\n

Es gibt drei Gr\u00fcnde, warum diese Situation auftreten kann:<\/p>\n

    \n
  1. Hacking-Versuch.<\/strong> Hacker haben dein Passwort in Erfahrung gebracht, erraten oder gestohlen und versuchen nun, mithilfe dieses Passworts auf dein Konto zuzugreifen. Du hast eine legitime Nachricht von dem Dienst erhalten, auf den sie zuzugreifen versuchen.<\/li>\n
  2. Vorbereitung f\u00fcr einen Hack.<\/strong> Hacker haben dein Passwort entweder in Erfahrung gebracht oder versuchen, dich dazu zu bringen, es preiszugeben. In diesem Fall handelt es sich bei der OTP-Nachricht um eine Form von Phishing. Die Nachricht ist gef\u00e4lscht, obwohl sie t\u00e4uschend echt aussehen kann.<\/li>\n
  3. Nur ein Fehler. <\/strong>Manchmal sind Online-Dienste so eingerichtet, dass zuerst ein Best\u00e4tigungscode aus einer SMS und dann ein Passwort abgefragt wird, oder die Authentifizierung erfolgt nur per Code. In diesem Fall k\u00f6nnte ein anderer Benutzer sich vertippt und deine Telefonnummer\/E-Mail-Adresse anstelle von seiner eingegeben haben\u00a0\u2013 und du erh\u00e4ltst den Code.<\/li>\n<\/ol>\n

    Wie du siehst, kann hinter dieser Nachricht also eine b\u00f6se Absicht stecken. Die gute Nachricht ist jedoch, dass zum jetzigen Zeitpunkt kein irreparabler Schaden entstanden ist und du mit den richtigen Ma\u00dfnahmen alle Probleme vermeiden kannst.<\/p>\n

    Was zu tun ist, wenn du eine Code-Anfrage erh\u00e4ltst<\/h2>\n

    Am wichtigsten ist, dass du nicht auf die Best\u00e4tigungsschaltfl\u00e4che klickst<\/strong>, wenn die Nachricht das Format \u201eJa\/Nein\u201c enth\u00e4lt, dich nirgendwo anmeldest<\/strong> und die erhaltenen Codes nicht an Dritte weitergibst<\/strong>.<\/p>\n

    Wenn die Nachricht zur Code-Anfrage Links enth\u00e4lt, klicke nicht darauf!<\/p>\n

    Dies sind die wichtigsten Regeln, die du befolgen musst. Solange du deine Anmeldung nicht best\u00e4tigst, ist dein Konto sicher. Es ist jedoch sehr wahrscheinlich, dass Angreifer das Passwort deines Benutzerkontos in Erfahrung gebracht haben. Als N\u00e4chstes musst du daher das Passwort f\u00fcr dieses Konto \u00e4ndern. Rufe den entsprechenden Dienst auf, indem du die Webadresse manuell eingibst. Klicke nicht auf einen Link. Gib dein Passwort ein, fordere einen neuen (dies ist wichtig!) Best\u00e4tigungscode an und gib ihn ein. Gehe dann in die Passworteinstellungen und lege ein neues, sicheres Passwort<\/a> fest. Wenn du dasselbe Passwort f\u00fcr andere Benutzerkonten verwendest, musst du das Passwort auch f\u00fcr diese Konten \u00e4ndern. Es w\u00e4re jedoch besser, f\u00fcr jedes Benutzerkonto ein einmaliges Passwort zu erstellen. Wir wissen, dass es schwierig ist, sich so viele Passw\u00f6rter zu merken, daher empfehlen wir dringend, sie in einem speziellen Passwort-Manager<\/a>\u00a0zu speichern.<\/p>\n

    Dieser Schritt\u00a0\u2013 das \u00c4ndern der Passw\u00f6rter\u00a0\u2013 ist nicht so dringend. Es besteht kein Grund zur Eile, aber du solltest es auch nicht zu lange aufschieben. Bei wertvollen Konten (z. B. Bankkonten) k\u00f6nnen Angreifer versuchen, das OTP abzufangen, wenn es per SMS gesendet wird. Dies erfolgt durch einen SIM-Tausch<\/a> (Registrierung einer neuen SIM-Karte f\u00fcr deine Nummer) oder einen Angriff \u00fcber das Dienstnetz des Betreibers<\/a>, der eine L\u00fccke im Kommunikationsprotokoll SS7 ausnutzt. Daher ist es wichtig, das Passwort zu \u00e4ndern, bevor die Angreifer einen solchen Angriff starten. Im Allgemeinen sind Einmalcodes, die per SMS gesendet werden, weniger zuverl\u00e4ssig als Authentifizierungs-Apps und USB-Token. Wir empfehlen, immer die sicherste verf\u00fcgbare 2FA-Methode zu verwenden. Eine \u00dcbersicht \u00fcber die verschiedenen Methoden der Zwei-Faktor-Authentifizierung findest du hier<\/a>.<\/p>\n

    Was zu tun ist, wenn du viele OTP-Anfragen erh\u00e4ltst<\/h2>\n

    Um dich zur Best\u00e4tigung der Anmeldung zu zwingen, k\u00f6nnten Hacker dich mit Codes bombardieren. Sie versuchen immer wieder, sich bei dem Konto anzumelden, in der Hoffnung, dass du entweder einen Fehler machst und auf \u201eBest\u00e4tigen\u201c klickst oder dich bei dem Dienst einloggst und die 2FA-Funktion vor lauter \u00c4rger deaktivierst. Es ist wichtig, einen k\u00fchlen Kopf zu bewahren und nichts davon zu tun. Gehe am besten wie oben beschrieben auf die Website des Dienstes (\u00f6ffne die Website manuell, nicht \u00fcber einen Link) und \u00e4ndere schnell das Passwort; dazu musst du jedoch dein eigenes, legitimes OTP anfordern und eingeben. F\u00fcr einige Authentifizierungsanfragen (z. B. Warnungen \u00fcber die Anmeldung bei Google-Diensten) gibt es eine separate Schaltfl\u00e4che \u201eNein, das war ich nicht\u201c. Diese Schaltfl\u00e4che bewirkt normalerweise, dass automatisierte Systeme auf Dienstseite den Angreifer und alle neuen 2FA-Anfragen automatisch blockieren. Eine andere, wenn auch nicht die bequemste M\u00f6glichkeit w\u00e4re, das Telefon f\u00fcr etwa eine halbe Stunde lautlos zu stellen oder sogar in den Flugmodus zu schalten, bis die Welle von Codes nachl\u00e4sst.<\/p>\n

    Was zu tun ist, wenn du die Anmeldung eines Fremden versehentlich best\u00e4tigt hast<\/h2>\n

    Das ist das Worst-Case-Szenario, da du wahrscheinlich einem Angreifer Zugang zu deinem Konto gew\u00e4hrt hast. Da Angreifer die Einstellungen und Passw\u00f6rter schnell \u00e4ndern, musst du aufholen und dich mit den Folgen des Hacks auseinandersetzen. Wir haben hier<\/a> Tipps f\u00fcr dieses Szenario zusammengestellt.<\/p>\n

    Wie kannst du dich sch\u00fctzen?<\/h2>\n

    Die beste Verteidigungsmethode besteht in diesem Fall darin, den Angreifern einen Schritt voraus zu sein: si vis pacem, para bellum<\/a>. Hier kann unsere Sicherheitsl\u00f6sung<\/a>\u00a0helfen. Sie verfolgt Datenlecks bei deinen Konten, die sowohl mit E-Mail-Adressen als auch mit Telefonnummern verkn\u00fcpft sind, auch im Darknet. Du kannst die Telefonnummern und E-Mail-Adressen deiner ganzen Familie hinzuf\u00fcgen. Wenn Kontodaten \u00f6ffentlich werden oder in Datenbanken durchgesickert sind, wird Kaspersky Premium<\/a>\u00a0dich alarmieren und dir Ratschl\u00e4ge geben, was zu tun ist.<\/p>\n

    Kaspersky Passwort Manager<\/a>\u00a0ist im Abonnement enthalten und warnt dich vor kompromittierten Passw\u00f6rtern, hilft dir bei deren \u00c4nderung und generiert neue Passw\u00f6rter, die nicht zu knacken sind. Du kannst auch Token f\u00fcr die Zwei-Faktor-Authentifizierung hinzuf\u00fcgen oder diese ganz einfach mit wenigen Klicks von Google Authenticator \u00fcbertragen. Bei der sicheren Aufbewahrung deiner pers\u00f6nlichen Dokumente werden deine wichtigsten Dokumente und Dateien, z. B. Passscans oder pers\u00f6nliche Fotos, in verschl\u00fcsselter Form so gesch\u00fctzt, dass nur du darauf zugreifen kannst.<\/p>\n

    Dar\u00fcber hinaus sind deine Anmeldedaten, Passw\u00f6rter, Authentifizierungscodes und gespeicherten Dokumente von jedem deiner Ger\u00e4te aus verf\u00fcgbar \u2013 Computer, Smartphone oder Tablet. Das hei\u00dft, selbst wenn du dein Telefon aus irgendeinem Grund verlierst, verlierst du weder deine Daten noch den Zugriff und kannst die Daten einfach auf einem neuen Ger\u00e4t wiederherstellen. Und um auf alle deine Daten zuzugreifen, musst du dir nur ein Passwort merken \u2013 das Hauptpasswort \u2013, das nur in deinem Kopf gespeichert wird und f\u00fcr die AES-Datenverschl\u00fcsselung nach dem Bankenstandard verwendet wird.<\/p>\n

    Gem\u00e4\u00df dem \u201eZero-Disclosure-Prinzip\u201c kann niemand auf deine Passw\u00f6rter oder Daten zugreifen \u2013 nicht einmal Mitarbeiter von Kaspersky. Die Zuverl\u00e4ssigkeit und Wirksamkeit unserer Sicherheitsl\u00f6sungen wurden durch zahlreiche unabh\u00e4ngige Tests<\/a> best\u00e4tigt. Ein aktuelles Beispiel daf\u00fcr ist, dass unsere Sicherheitsl\u00f6sungen f\u00fcr Privatanwender bei den Tests des unabh\u00e4ngigen europ\u00e4ischen Testlabors AV-Comparatives<\/a> die h\u00f6chste Auszeichnung \u2013 Produkt des Jahres 2023<\/a> \u2013 erhalten haben.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    Einmalcodes und Zwei-Faktor-Authentifizierung sch\u00fctzen dich sicher vor Kontodiebstahl. Wenn du einen Anmeldecode oder eine Aufforderung zur Code-Eingabe erh\u00e4ltst, w\u00e4hrend du nicht angemeldet bist, kann es sich um einen Versuch handeln, sich in dein Benutzerkonto zu hacken.<\/p>\n","protected":false},"author":2722,"featured_media":30890,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[10],"tags":[1617,274,2721,125,53,20,4072,1654,1990],"class_list":{"0":"post-30889","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"tag-2fa","9":"tag-bedrohungen","10":"tag-otp","11":"tag-passworter","12":"tag-phishing","13":"tag-sms","14":"tag-textnachrichten","15":"tag-tips","16":"tag-zwei-faktor-authentifizierung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/unexpected-login-codes-otp-2fa\/30889\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/unexpected-login-codes-otp-2fa\/27058\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/22368\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/11408\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/29724\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/unexpected-login-codes-otp-2fa\/27230\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/27031\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/unexpected-login-codes-otp-2fa\/29635\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/unexpected-login-codes-otp-2fa\/28527\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/unexpected-login-codes-otp-2fa\/36946\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/unexpected-login-codes-otp-2fa\/12049\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/unexpected-login-codes-otp-2fa\/50526\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/unexpected-login-codes-otp-2fa\/21519\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/unexpected-login-codes-otp-2fa\/22235\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/unexpected-login-codes-otp-2fa\/35805\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/unexpected-login-codes-otp-2fa\/27439\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/unexpected-login-codes-otp-2fa\/33240\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/unexpected-login-codes-otp-2fa\/32863\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30889","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=30889"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30889\/revisions"}],"predecessor-version":[{"id":30893,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/30889\/revisions\/30893"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/30890"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=30889"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=30889"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=30889"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}