Main - Blog Banking - "Wie du mit Multi-Faktor-Authentifizierung deine Konten schützt"

Hast du dir schon einmal die Frage gestellt: Wie sähe unser Leben - privat und geschäftlich - heute wohl ohne Internet aus? Könnten wir überhaupt noch ohne leben? Während die älteren Generationen unter uns sicherlich noch einige Punkte finden würden, dass es früher ja auch ohne geklappt hat, können sich die Jüngeren dagegen das so gar nicht mehr vorstellen. Schule ohne Google? Homeoffice ohne Zoom? Verabreden ohne Handy? Shoppen während Lockdown oder nach Geschäftsschluss? Bankgeschäfte am Wochenende oder im Urlaub?

Es gibt so vieles, was ohne Internet nicht mehr funktionieren würde. Und das ist gut so, denn es hat in vielen Lebensbereichen eine enorme Erleichterung und viel Fortschritt gebracht. Aber wie in so vielen Bereichen ist das Internet neben Segen auch Fluch zugleich. Denn unser immer digitaler werdendes Leben öffnet auch Tür und Tor für viele Arten an Kriminalität. Auch als Cyber-Kriminalität bezeichnet.

Hier versuchen Kriminelle an unsere sensiblen persönlichen Daten wie Passwörter, Kontonummern oder sogar unsere gesamte Internet-Identität zu gelangen, um die meist ahnungslosen Nutzer zu betrügen, die Konten leerzuräumen oder Daten an andere Kriminelle weiterzuverkaufen. Nur um einige Risiken zu nennen.

ITler und Sicherheitsexperten versuchen deswegen unser "Leben im Internet" immer sicherer zu machen und uns Nutzer vor den illegalen Machenschaften zu schützen. Also, beispielsweise den Login für unser Bankkonto sicherer zu machen. Ein Weg ist die Multi-Faktor-Authentifizierung, auch MFA genannt. Sie ist der Überbegriff für mehrere Stufen dieser Sicherheitsmethode. Wir haben die wichtigsten Aspekte zusammen gestellt. 

Allgemeines 

Zunächst noch eine kleine Begriffserklärung. Die beiden Begriffe "Authentisierung" und "Authentifizierung" werden in Bezug auf unser heutiges Thema fälschlicherweise oft gleichbedeutend verwendet. Das liegt wohl daran, dass beide flüchtig betrachtet zu dem selben Thema gehören - nämlich die Prüfung einer Identität und die Zugriffserlaubnis. Dennoch beschreiben beide verschiedene Stufen in einem Anmeldeprozess und das macht dann den Unterschied aus: Die Authentisierung ist der Vorgang, bei dem man sich mit den persönlichen Anmeldedaten wie zum Beispiel mit PIN, Passwort oder einer Chipkarte in einem System anmeldet und sich so als die richtige Person authentisiert. Der zweite Schritt ist dann die Überprüfung der Richtigkeit der verwendeten Anmeldedaten, das heißt das System authentifiziert den Nutzer. 

Es passiert immer häufiger, dass also sensible Login-Daten in falsche Hände gelangen. Das liegt teils daran, dass Nutzer aus Unwissenheit, Unbekümmertheit und auch Gutgläubigkeit leichtfertig mit ihren Daten und in ihrem Verhalten im Internet umgehen beziehungsweise zu einfache Passwörter wählen - so ist es für Kriminelle ein Leichtes Anmelde-Informationen unbemerkt abzugreifen. Aber auch ausreichend gesicherte Systeme und Datenbanken können von Angreifern gehackt werden und so wird es möglich, zig Tausend Nutzer- und Zugangsdaten zu klauen und dann zum Beispiel im Darknet weiter zu verkaufen. 

Bei einer eingerichteten Multi-Faktor-Authentifizierung können Kriminelle mit dem Benutzernamen und dem Passwort allein dann aber nicht mehr wirklich viel anfangen, da über die MFA zusätzliche Sicherheitsfaktoren (MFA-Schlüssel) eingerichtet sind. 

Vor unter anderem diesen Angriffen kann eine Multi-Faktor-Authentifizierung schützen: 

Phishing: Hier versuchen Angreifer an sensible Login-Daten, wie z.B. für Online-Banking- und Bezahl-Dienste, zu gelangen. Zu diesem Zweck werden so genannte Phishing-Mails (Spam-Mails) an Nutzer verschickt, die meist einen Link enthalten, den der Nutzer aus irgendeinem Grund (oft zur angeblichen Kontodatenüberprüfung oder ähnliches) anklicken soll. Dieser Link führt dann auf gefälschte Seiten, die teilweise, aber nicht immer, den Originalseiten sehr ähnlich sehen. Klickt der Nutzer diesen Link an und gibt auf der gefälschten Seite seine Daten ein, haben die Betrüger direkten Zugriff. 

Malware: Hier schmuggelt sich eine Schadsoftware in das System des Nutzers, die er sich ebenfalls über Spam-Mails (mit "infizierten" links) oder auf manipulierten (gefälschten) Webseiten einfängt. Darüber gelangen so genannte Keylogger auf den Computer, die alles, was über die Tastatur eingegeben wird, aufzeichnen. Darüber können Angreifer unter anderem auch Login-Daten erhalten.  

Brute Force: Hinter diesem Angriff verbirgt sich das Knacken von Passwörtern. Hier werden mit der Zeit Logins durch die wiederholte Eingabe von Nutzer-Passwort-Kombinationen herausgefunden. Mit bestimmten darauf ausgerichteten Tools lassen sich Anmeldedaten knacken. Und je einfacher die Login-Daten sind, desto schneller klappt das.  

Credential Cracking funktioniert über so genannte Bots. Das sind Programme, die weitestgehend automatisch sich wiederholende Aufgaben ausführen. Deswegen eignen sie sich perfekt für Angriffe, weil sie im Hintergrund laufen und der Anwender davon nichts mitbekommt. Eingesetzt werden sie zum Beispiel um Online-Banking-Daten abzugreifen. Wissen die Kriminellen z.B. den Benutzernamen eines Bankkunden für ein Konto dieser Bank, kennen aber die PIN oder das Passwort nicht, kommen diese Bots zum Einsatz, die Passwörter automatisiert testen. Finden sie es heraus, erhalten sie  Zugriff aufs Konto. 

Was ist Multi-Faktor-Authentifizierung genau?

Bei vielen Online-Diensten ist es seit den Anfängen des Internets auch heute noch Gang und Gäbe zum Login lediglich den Benutzernamen und das Passwort einzugeben. Das wundert aktuell doch sehr, denn schon 2015/2016  gingen 63 Prozent aller unerlaubten Netzwerkzugriffe auf zu einfache oder geklaute Passwörter zurück. Haben es Cyber-Kriminelle geschafft, Nutzernamen und Passwort zu knacken, haben sie sozusagen freie Fahrt und können dein Internet-Konto übernehmen.

Bei der MFA kommt zusätzliche Sicherheit durch eine Kombination von zwei oder mehr Berechtigungsnachweisen (Faktoren) zur Prüfung deiner Identität zum Tragen. Damit lässt sich das Anmeldeverfahren absichern und Transaktionen verifizieren und schützen. Durch die MFA wird ein etwaiger Identitätsdiebstahl also signifikant erschwert. 

Welche Möglichkeiten gibt es?

Bei der MFA geht es konkret um voneinander unabhängige Faktoren zur Identitätsprüfung, indem verschiedene Faktoren miteinander kombiniert werden. Anhand dieser Kombinationen kann die  Identität des Nutzers verlässlich nachgewiesen werden. Diese Faktoren gibt es: 

• das so genannte "Knowlegde", sprich Wissen, das ist etwas, das in der Regel nur der Nutzer weiß (z.B. Passwort oder spezielle Sicherheitsfragen). 
• das so genannte "Ownership", das ist etwas, das in der Regel nur der Nutzer besitzt beziehungsweise das zu ihm gehört (z.B. das Smartphone oder ein Hardware-Security-Token in Form eines USB-Sticks).
•  die so genannte "Inherence", sprich Inhärenz, dazu zählen die biometrischen Daten wie der Fingerabdruck oder Gesichts- und Spracherkennung.
• die "Location", sprich der Standort, an dem der Nutzer sich befindet. 

Erst wenn der Nutzer zwei verschiedene Faktoren aus den oben genannten Gruppen beim Login eingibt, ist der Zugang zu seinem Account möglich. In der Regel wird ein Sicherheitscode abgefragt, den der Anwender entweder per SMS, E-Mail, Sprachanruf oder mittel einer App im Smartphone bekommt und der für eine bestimmte Zeitspanne gültig ist. 

Bei diesem Verfahren handelt es sich um die so genannte Zwei-Faktor-Authentifizierung (2FA), die eine Stufe/Form der Multi-Faktor-Authentifizierung ist. Bei der Zwei-Faktor-Authentifizierung wird dein Account also nicht mehr nur durch deinen Benutzernamen bzw. E-Mail-Adresse und ein Passwort geschützt, sondern durch eine zusätzliche weitere Abfrage.

Wird also die Richtigkeit deines Passwortes bestätigt, gelangst du aber nicht direkt zum aufgerufenen Internetkonto, sondern zu einer weiteren Sicherheitsschranke – dem so genannten zweiten Faktor. Die 2FA ist dementsprechend sicherer, weil zum Beispiel die Kategorie Wissen mit Besitz oder den biometrischen Daten kombiniert werden. 

Im geschäftlichen Umfeld kommen sowohl die 2FA als auch Verfahren mit drei und mehr verschiedenen Faktoren zum Einsatz. Und wie aus den Namen schon ersichtlich, spricht man von der Drei-Faktor-Authentifizierung (3FA), wenn mindestens ein Merkmal aus jeder der drei Gruppen benötigt wird. Demzufolge erfordert die Vier-Faktor-Authentifizierung (4FA) die Abfrage eines vierten Merkmals, indem zusätzlich der Standort des Nutzers überprüft wird, wie zum Beispiel ob er sich aus dem bekannten Netzwerk anmeldet.

Multi-Faktor-Authentifizierung bei Banken und Online-Diensten

Während beim Geld abheben am Automaten lediglich die Bankkarte und eine PIN benötigt wird, braucht es beim Online-Banking (zum Beispiel am Computer zuhause) einen weiteren Faktor. Zum Beispiel eine Kombination aus Login-Daten (Benutzername und PIN) und einer so genannten Transaktionsnummer (TAN), die du auf deinem Smartphone über eine SMS (smsTAN) oder die Banking-App (pushTAN) erhältst.

Dazu ist die Voraussetzung, dass du vorher dein Konto mit der Authentifizierungs-App verknüpft hast. Eine TAN ist nur einmalig und meist für einen begrenzten Zeitraum gültig. Es gibt auch die Möglichkeit, eine TAN über einen TAN-Generator und eine Chipkarte selbst zu generieren (chipTAN). 

Bei der 2FA gibt es also verschiedene Verfahren zur Generierung eines zweiten Faktors, zum Beispiel: 

• TAN/OTP: Damit gemeint sind so genannte einmalige, ereignis- oder zeitbasierte Kennwörter wie eine Transaktionsnummer (TAN) oder ein "One-Time-Password" ( OTP), die als zweiter Faktor in Frage kommen. Früher hast du wahrscheinlich für Bankinggeschäfte noch eine TAN-Liste aus Papier bekommen, der du bei jedem Vorgang eine TAN entnehmen musstest, um den Vorgang zu verifizieren.
  Doch dieses Verfahren entsprach irgendwann nicht mehr den geltenden Sicherheitsrichtlinien, deswegen wurden TAN-Generatoren und Authenticator-Apps entwickelt. 
• TOTP/HOTP: Dahinter verbirgt sich das "Time-based One-Time Password", das kryptografisch mittels der TOTP-Software generiert wird (meist über eine App) und ebenfalls nur einmalig zum Einsatz kommt.  

H2 Wie du eine Multi-Faktor-Authentifizierung einrichten kannst

Wenn du eine Multi-Faktor-Authentifizierung einrichten möchtest, kannst du das in der Regel über das Menü Sicherheitseinstellungen des jeweiligen Dienstes durchführen. Meist gibt es mehrere Auswahlmöglichkeiten, wie du dir deinen jeweiligen Authentifizierungscode mitteilen lassen möchtest: mittels einer SMS, per E-Mail, Sprachanruf oder über eine spezielle App.

Natürlich können diese Möglichkeiten je nach Dienst variieren. Um alles zu verifizieren, musst du zum Schluss oft nochmals einen Sicherheitscode eingeben. In diesem Vorgang wird in der Regel auch ein so genannter Wiederherstellungscode generiert, den du dir unbedingt aufschreiben und aufheben solltest. Denn falls du zum Beispiel mal Schwierigkeiten mit der App hast oder dein Handy verlierst, behältst du anhand dieses Wiederherstellungscodes Zugang zu deinem Konto. 

Wenn doch einmal ein Angriff statt gefunden hat, ist es eventuell zu spät - gerade wenn es dein Business betrifft. Hast du dir schon einmal Gedanken über die entsprechenden Versicherungen gemacht? Hier kannst du mehr darüber erfahren: Wie du Risiken als Selbständiger oder im eigenen Unternehmen wirksam versicherst - betriebliche Versicherungen.. 

Fazit - Welche Sicherheit bieten Authentifizierungsmethoden?

Es lässt sich festhalten, dass dich eine Multi-Faktor-Authentifizierung wesentlich besser schützt als  die alleinige Verwendung eines Passwortes. Aber auch bei der MFA gibt es natürlich Aspekte, die du beachten solltest. Denn nur wenn deine Geräte (Computer, Tablet, Smartphone) frei von Spam, Viren und Malware sind, ist die Nutzung sicher. Außerdem raten Experten zu einer Authentifizierungs-App.  

In Praxistests hat sich gezeigt, dass die MFA mittels Hardware-Security-Token in Form eines USB-Sticks oder einer Chipkarte den höchsten Schutz bietet. Der Stick ist an den Computer anzuschließen. Für die Verwendung einer Chip-Karte benötigst du ein spezielles Lesegerät. Aber durch beide Varianten wird deine Identität zweifelsfrei erkannt, und durch weitere Faktoren zusätzlich abgesichert, wie per Fingerabdruck und PIN. 

Multi-Faktor-Authentifizierung bei Kontist

Wenn du alle Möglichkeiten rund ums das Kontist-Geschäftskonto und beim Zahlungsverkehr nutzen möchtest, benötigst du zunächst die aktuellste Version der Kontist-App (Verion 2.1.44 vom 28.01.2021). Du findest diese sowohl im Apple als auch im Google Play Store. 

Du musst dein Gerät nur einmal mit deinem Konto verbinden und deinen Login einmalig mit einer SMS-TAN bestätigen. Dann ist dein Smartphone dauerhaft als vertrauenswürdiges Gerät für das Kontist Banking gespeichert (man spricht hier auch von Gerätebindung) und du musst dich bei allen weiteren Logins nicht mehr extra mit deinem Konto verbinden. Eine neuerliche Eingabe einer TAN ist nur nötig, wenn du dich von einem anderen (neuen) Gerät einloggen möchtest.

Bei Kontist wird Sicherheit groß geschrieben - über die App sind deine Daten und dein Geld bestmöglich geschützt. Wir legen besonderen Wert auf:

• Sicheren Login mit Passwort, Gesichtserkennung oder Fingerabdruck. 
• Automatische Informationen durch Push-Nachrichten auf dein Smartphone bei jeder Kontobewegung oder dem Einsatz deiner Visa Karte. 
• Sicherheit vor Angreifern und Spähern, wenn du zwischen verschiedenen Apps hin und her wechselst, wird das Vorschaubild von Kontist verschleiert, damit niemand wichtige Daten sehen kann. 
• Sichere Karten, über die Kontist-App kannst du rund um die Uhr deine Karten als gestohlen melden, sperren und entsperren oder deine PIN ändern.

Als Kontist-Kunde bist du stets über die Zwei-Faktor-Authentifizierung geschützt, das heißt jede deiner Zahlungen und Transaktionen wird über diese Methode verifiziert. Wir bieten dabei folgende Faktoren an: Wissen (z.B. PIN), Besitz (z.B. Smartphone) und Inhärenz (z.B. Fingerabdruck). 

Wenn du mehr zur Kontoeröffnung bei Kontist erfahren möchtest, in diesem Video erfährst du alles Wichtige. Klicke doch gleich hier So funktioniert die Kontoeröffnung bei Kontist.