Schrift:
Ansicht Home:
Netzwelt

Schutz vor fremdem Zugriff

Deutsche Onlinedienste schwächeln bei der Account-Absicherung

Zalando, Otto, GMX: Viele bekannte Onlinedienste bieten ihren Kunden nach wie vor keine Zwei-Faktor-Authentifizierung an, zeigt eine Übersicht der Stiftung Warentest. Doch es geht voran.

Getty Images/ Hero Images

Smartphone-Nutzerin

Mittwoch, 13.03.2019   10:43 Uhr

Starke, einmalig verwendete Passwörter sind gut. Noch besser ist es aber, wichtige Accounts per Zwei-Faktor-Authentifizierung zusätzlich abzusichern. Denn so kommt ein Angreifer auch dann nicht in ein Onlinekonto, wenn er das zugehörige Passwort erbeutet - etwa durch einen Datenleak. (Was genau die Zwei-Faktor-Authentifizierung ist und wie sie funktioniert, können Sie hier nachlesen .)

Die Stiftung Warentest hat nun - wie im April 2017 schon einmal - untersucht, welche bekannten Webdienste Zwei-Faktor-Verfahren zur Kontensicherung anbieten und welche nicht.

Das Ergebnis ist einerseits erfreulich: So fanden die Tester die freiwillig nutzbare Option bei immerhin 34 von 45 geprüften Angeboten, darunter Instagram, Amazon und Dropbox. 2017 wurden die Tester nur in 15 von 42 Fällen fündig.

Allgemein variiert die Bandbreite an Optionen für den Nutzer stark: So ist die Zwei-Faktor-Authentifizierung meistens nur mit einem Code-Versand per SMS möglich (etwa bei LinkedIn) und nur manchmal lassen sich auch spezielle USB-Sicherheitsschlüssel einsetzen (etwa bei Gmail).

Deutsche Dienste mit Versäumnissen

Ernüchternd ist das Auswertungsergebnis vor allem, was Anbieter aus Deutschland angeht. So sucht man die Zwei-Faktor-Authentifizierung laut den Testern etwa bei folgenden, teils sehr beliebten Diensten vergebens:

Fündig in Form jeweils zumindest eines Verfahrens wurden die Tester dagegen bei Xing, TeamViewer und Verimi. Beachtenswert ist auch noch, dass die Stiftung Warentest einige auf Datenschutz bedachte deutsche Anbieter wie die E-Mail-Dienste Mailbox.org und Posteo nicht geprüft hat - sie hätten Zwei-Faktor-Lösungen im Angebot gehabt und das Gesamtbild so weniger düster aussehen lassen. Auch GMX und Web.de haben übrigens zumindest angekündigt, in nächster Zeit Zwei-Faktor-Systeme einführen zu wollen.

Die ganze Übersicht der Stiftung Warentest, die auf den Februar 2019 datiert ist und alle 45 Dienste nennt, ist unter test.de/2fa verfügbar.

Lesetipp

Sie haben sich entschieden, auf eine Zwei-Faktor-Authentifizierung umzustellen? Wie das bei WhatsApp, Facebook, Google, Apple und Twitter funktioniert, zeigen wir in den folgenden Fotostrecken:

Fotostrecke

Zwei-Faktor-Authentifizierung: So geht es bei WhatsApp

Fotostrecke

Zwei-Faktor-Authentifizierung: So geht es bei Facebook

Fotostrecke

Zwei-Faktor-Authentifizierung: So geht es bei Google

Fotostrecke

Zwei-Faktor-Authentifizierung: So geht es bei Apple

Fotostrecke

Zwei-Faktor-Authentifizierung: So geht es bei Twitter

mbö

insgesamt 6 Beiträge
GoaSkin 13.03.2019
1. das eigentlich schlimme ist allgegenwärtiger Account-Zwang
Heutzutage soll man sich für jede Belanglosigkeit einen Account im Internet anlegen. Egal, ob man einmalig etwas bestellen möchte, kostenlose Software herunterladen oder einfach nur etwas lesen - es ist zur Unsitte geworden, [...]
Heutzutage soll man sich für jede Belanglosigkeit einen Account im Internet anlegen. Egal, ob man einmalig etwas bestellen möchte, kostenlose Software herunterladen oder einfach nur etwas lesen - es ist zur Unsitte geworden, dass immer mehr Betreiber erwarten, dass sich die Nutzer ein Login zulesen sollen. Dabei ist ein Account eigentlich völlig unnötig und auch für Online-Bestellungen wäre die Angabe der Adressdaten ohne Account möglich. Doch man wird nicht nur überall zum Anlegen von Accounts gezwungen. Oftmals ist es dann noch nicht einmal vorgesehen, seinen Account wieder löschen zu können. So hat der durchschnittliche Internet-Nutzer hunderte Benutzerkonten und weiss noch nicht einmal mehr, wo.
Marvin__ 13.03.2019
2. Warum diese Clickbait-Überschrift?
Im Artikel geht es nicht um Online-Sicherheit, sondern um eine Datenklaumasche namens Zwei-Faktor-Authentifizierung, die - Gottseidank - viele Plattformbetreiber hierzulande noch nicht mitmachen. Indem Facebook, Google und [...]
Im Artikel geht es nicht um Online-Sicherheit, sondern um eine Datenklaumasche namens Zwei-Faktor-Authentifizierung, die - Gottseidank - viele Plattformbetreiber hierzulande noch nicht mitmachen. Indem Facebook, Google und Apple ihren Nutzern Handynummern abnötigen, im Namen einer angeblichen "Sicherheit", bekommen sie zunächst einmal Handynummern - die dann, siehe Facebook, gleich gewinnbringend weiterverkauft werden - und zum anderen - verifizierte Kunden: Anonyme Nutzerkonten sind bei 2FA Geschichte. Und welche "Sicherheit" bekommt man im Gegenzug? Bricht wirklich die Welt zusammen, wenn man ein Email-oder Facebook-Account gehackt wird? Und haben die Online-Händler nicht schon eine Zwei-Faktor-Authentifizierung? Wer einen Otto-Account hackt, kann zwar möglicherweise Lieferhistorie einsehen und sich Produkte anschauen. Bei einer Bestellung mit Lieferung an eine neue Adresse müssen jedoch erst einmal die Zahlungsdaten neu eingegeben werden - voila, Zwei-Faktor-Authentifizierung. Wenn es drauf ankommt. Statt eines Propandaartikels zugunsten einer fragwürdigen Datenklaumethode hätte man sich Informationen gewünscht zur tatsächlichen Datensicherheit: Kommen bei deutschen Anbietern öfter Daten abhanden? Wird dort öfter eingebrochen? Und welche Schäden entstehen?
rst2010 13.03.2019
3. "Denn so kommt ein Angreifer auch dann nicht in ein Onlinekonto, wenn
... er das zugehörige Passwort erbeutet - etwa durch einen Datenleak." die einzige Gelegenheit, um ein Klartextpasswort abzugreifen, ist der user selber; in den Datenbanken dürfen Passworte nur gehasht abgespeichert [...]
... er das zugehörige Passwort erbeutet - etwa durch einen Datenleak." die einzige Gelegenheit, um ein Klartextpasswort abzugreifen, ist der user selber; in den Datenbanken dürfen Passworte nur gehasht abgespeichert werden; auch wenn manche Firmen meinen, das braucht man für Passwortrecovery; aber Klartext Passworte abzuspeichern widerspricht der DSGVO.
heinrich20 13.03.2019
4. @GoaSkin: schonmal etwas von anderen Verfahren gehört?
Es muss nicht die Mobilfunknummer verwendet werden, es gibt auch noch sicherere andere Verfahren wie "FreeOTP". Aber Hauptsache erstmal schimpfen und weiterhin glücklich ohne jegliche Sicherheit! [...]
Es muss nicht die Mobilfunknummer verwendet werden, es gibt auch noch sicherere andere Verfahren wie "FreeOTP". Aber Hauptsache erstmal schimpfen und weiterhin glücklich ohne jegliche Sicherheit! Zwei-Faktor-Authentifizierung sollte für schlaue Nutzer Standard werden. Sensibilisiert sind wir doch seit langem - sollte man denken!
Newspeak 13.03.2019
5. ....
Die Postbank bietet das an. Aber nur für Besitzer eines Smartphones mit deutscher Vorwahl. Wenn man als Deutscher im Ausland lebt, kann man es also vergessen. Es wird viel zu oft nicht auf Kundenbefürfnisse eingegangen. Nicht [...]
Die Postbank bietet das an. Aber nur für Besitzer eines Smartphones mit deutscher Vorwahl. Wenn man als Deutscher im Ausland lebt, kann man es also vergessen. Es wird viel zu oft nicht auf Kundenbefürfnisse eingegangen. Nicht jeder hat ein Smartphone. Und nicht jede vermeintliche Sicherheitsmassnahme erhöht tatsächlich die Sicherheit. Wenn man Pech hat verliert man damit sogar den Zugriff auf seine Daten. Es sei jedem mal empfohlen sich von einem ausländischen Rechner bei Google einzuloggen. Da akzeptiert man teilweise nicht einmal die Sicherheitsfrage. Es funktioniert alles immer toll für die 80% Normalos. Seien sie mal einer von den 20%.

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP