Die Verwendung von Zwei-Faktor-Authentifizierung (2FA) wird weithin als eine robuste Methode zur Absicherung von Online-Konten anerkannt. Allerdings sind auch diese Systeme nicht unfehlbar.

Traditionelle Passwörter bieten alleine keine ausreichende Sicherheit mehr gegen den Missbrauch von Online-Konten, da zu viele Datensätze mit kompromittierten Zugangsdaten im Umlauf sind. 2FA bietet zwar einen höheren Sicherheitsstandard, kann jedoch unter bestimmten Umständen umgangen werden.

Methoden der Angreifer und Schutzmaßnahmen

• Phishing durch gefälschte Websites: Eine verbreitete Taktik von Cyberkriminellen ist das Phishing, indem sie Nutzer auf gefälschte Webseiten locken und dort nach Anmeldedaten fragen. Diese Daten werden dann unbemerkt auf der echten Seite eingegeben. Um sich zu schützen, sollten Nutzer die URL sorgfältig prüfen und auf Antivirensoftware setzen, die solche Betrugsversuche erkennen kann.
• Der Admin-Trick: Bei dieser Methode geben sich Angreifer als Administratoren aus und versuchen, die Nutzer dazu zu bewegen, 2FA-Codes herauszugeben, indem sie behaupten, dies sei für den Login notwendig. Der effektivste Schutz hierbei ist die Vorsicht bei ungebetenen Anrufen und die Verwendung eines Passwort-Managers, der vor im Darknet veröffentlichten Passwörtern warnt.
• Verlust des Smartphones vortäuschen: Kriminelle könnten versuchen, sich als der legitime Nutzer auszugeben und bei Support-Hotlines den Verlust des für 2FA genutzten Smartphones melden. Wichtig ist hierbei die Stärkung des Passworts, da die IT-Abteilungen normalerweise nicht gleichzeitig Passwort und 2FA zurücksetzen würden.
• SIM-Karten-Swap: Eine besonders komplexe Methode, bei der Cyberkriminelle eine Kopie der SIM-Karte des Opfers erstellen, um 2FA-Anfragen umzuleiten. Nutzer sollten darauf achten, welche Informationen sie öffentlich teilen und eine Sicherheits-App auf ihrem Smartphone nutzen.

Jede dieser Methoden zeigt, dass trotz der Stärken von 2FA, Wachsamkeit und fortlaufende Bildung über Cybersicherheitsbedrohungen wesentliche Komponenten des persönlichen Online-Schutzes sind. Das wichtigste: Schulen Sie Ihre Mitarbeiter!