Wie sicher sind Apps im Vergleich zur SMS? Ein Faktencheck

Tom Wannenmacher, 17. Februar 2022

Jahrelang wurde die 2FA-SMS als unsichere Lösung bezeichnet – Doch sie ist besser als ihr Ruf.

Keine Woche ohne Cyberattacken. Und trotzdem gelten Apps als sicherste Lösung zur 2-Faktor-Authentifizierung. Das Schweizer Unternehmen SMSup http://smsup.de hat den Faktencheck gewagt und räumt gängige Vorurteile über die 2FA-SMS aus.

2FA-SMS hat einen unverdient schlechten Ruf

Während die 2-Faktor-Authentifizierung auf dem Vormarsch ist, gerät der Code per SMS immer mehr in den Hintergrund. Dabei punktet die 2FA-SMS mit unbestreitbaren Vorteilen – auch in Fragen der Sicherheit.
Die Hauptargumente gegen die SMS-Lösung sind bekannt: Trojaner könnten die Nachrichten abfangen, jemand könnte beim Empfang über die Schulter sehen und den Code lesen, Kriminelle könnten sich eine SIM-Karte beim Provider erschleichen.
Zwei dieser 3 Punkte lassen sich leicht entkräften: 1. Der Aufwand, um sich eine SIM-Karte zu einer bestimmten Telefonnummer zu besorgen, ist enorm. Und der Versuch ist – zumindest im deutschsprachigen Raum – aufgrund diverser Sicherheitsvorkehrungen der Mobilfunkanbieter höchstwahrscheinlich zum Scheitern verurteilt. 2. Wenn eine andere Person den gerade gesendeten Sicherheitscode sehen kann, hilft ihr das nicht weiter. Denn all diese Codes sind nur einmal gültig – und nur für wenige Minuten. Beim nächsten Login-Versuch wird ein neuer Code generiert.
Bleibt noch Punkt 3, der Trojaner auf dem Smartphone – wenn das geschieht, kann die 2FA-SMS natürlich ausgelesen werden. Doch auch Apps sind nicht vor Trojanern sicher. Und sie bergen noch viele weitere Risiken, die nicht thematisiert werden.

Vorteile der 2-Faktor-Authentifizierung via SMS

Während eine App alle Daten übers Internet überträgt, werden SMS über das Mobilfunknetz übertragen. Diese Übertragungen sind selbstverständlich geschützt und können im Gegensatz zu Internet-Übertragungen kaum von Cyberkriminellen abgefangen werden. Ein weiterer Vorteil: Mit einer SMS werden keine persönlichen Daten mitgesendet, die im Falle einer App in den riesigen Datenbanken von Datenkraken landen.

Ein weiteres Sicherheitsrisiko ergibt sich aus den Endgeräten

Viele User verwenden ältere Smartphones, für die keine Sicherheitsupdates mehr verfügbar sind. Das macht die Geräte angreifbar – und wenn tatsächlich ein Trojaner installiert wird, kann dieser alle Zugangsdaten und auch den 2FA-Key aus der App abgreifen.

Zwei-Faktor-Authentifizierung soll die Sicherheit erhöhen

Tatsache ist, dass 2FA für mehr Sicherheit beim Login sorgen soll. Um das zu erreichen, muss sie auch für jedermann verständlich und verfügbar sein. 2FA-Apps bieten diesen Vorteil nicht. Denn viele Menschen verzichten auf Smartphones, können also keine App installieren. Oder sie haben ältere Modelle, deren Betriebssysteme mit den Apps nicht mehr kompatibel sind. Und wieder andere fühlen sich schlichtweg überfordert, wenn sie eine 2FA-App installieren und in Betrieb nehmen sollen – und verzichten so darauf, die Zwei-Faktor-Authentifizierung einzurichten.
Nicht zuletzt bleiben viele ältere Mitbürger auf der Strecke, die ihre Mobiltelefone tatsächlich nur für SMS und Telefonie verwenden. Nichtsdestotrotz benutzen auch diese Menschen Onlinebanking und bestellen im Internet. Die 2FA-SMS bietet auch dieser Personengruppe die Möglichkeit, sich beim Login vor Betrügern zu schützen.

Warum 2FA-Apps nicht mehr Sicherheit bieten als SMS

In den letzten Jahren wurden unzählige Server von namhaften Unternehmen gehackt. Und in fast allen Fällen wurden höchst sensible Userdaten gestohlen und im Darknet angeboten.
Dasselbe Risiko besteht selbstverständlich bei den Datenbanken der Anbieter von 2FA-Apps. Denn es werden dieselben Verschlüsselungsmethoden eingesetzt und Hacker werden immer gewiefter. Sobald Hacker Zugriff haben, können sie alle Keys auslesen – dazu diverse persönliche Daten – und haben uneingeschränkten Zugriff auf diverse Online-Accounts. Denn diese Keys sind natürlich auch in den Handys der Betroffenen gespeichert, sonst könnten die Apps nicht mit den Servern kommunizieren.
Dazu kommt das Risiko eines Man-in-the-middle-Angriffs, wenn User einen öffentlichen Hotspot nutzen, um sich in ein Konto einzuloggen. Hier ist die SMS natürlich eindeutig im Vorteil. Denn der übermittelte Code gilt ein einziges Mal und für einen sehr kurzen Zeitraum, es gibt keine gespeicherten Keys und die Übertragung erfolgt nicht über das Internet, sondern über das wesentlich sicherere Mobilfunknetz.
Weitere Informationen finden Sie auf: https://smsup.de/2fa
Über SMSup
SMSup ist ein Schweizer SMS-Dienstleister mit Hauptaugenmerk auf KMU. Unternehmen können mit der anwenderfreundlichen, intuitiven SMS-Plattform ganz einfach Terminerinnerungen, Benachrichtigungen, Marketing-SMS und 2FA-SMS versenden und ihr Kundenkonto per Mausklick mit ihrem Google- oder Outlook-Kalender verknüpfen. Für IT-affine Unternehmen und Softwareentwickler steht eine umfangreiche API zur Verfügung.

Quelle: pressetext.com


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama