Die Angst geht wieder um unter Millionen Internetnutzern. Laut New York Times, die sich wiederum auf das amerikanische Sicherheitsunternehmen Hold Security beruft, wurden rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile gestohlen. Dabei handelt es sich jeweils um den Benutzernamen und das dazugehörige Passwort. Wenn die vollständigen Zugangsdaten gestohlen wurden, helfen auch die einschlägigen Tipps für die Wahl eines guten Kennworts nicht weiter. Denn die Hacker hätten in diesem Fall Zugänge zu den Servern der betroffenen Webseiten und könnten auch ein geändertes Passwort abermals abgreifen.

Man kann jedoch in solchen Fällen des Identitätsdiebstahls etwas tun. Das Stichwort lautet „Zwei-Faktor-Authentifizierung“. Hinter dem sperrigen Begriff steckt eine kombinierte mehrfache Absicherung. Am Geldautomaten benötigt man die Bankkarte und die Pin-Nummer. Wer sich in sein Unternehmens-Netz einwählt, verwendet die Login-Daten und ein Sicherheits-Token, eine kreditkartengroße Karte, die auf ihrem Display einen Code anzeigt, der alle fünf Minuten wechselt. Selbst wenn der Token in falsche Hände gerät, kann er für den unerlaubten Zugriff nicht missbraucht werden, weil für den Zugriff auch die Login-Informationen benötigt werden.

Die Idee bei der Zwei-Faktor-Authentifizierung ist dabei immer die gleiche. Die geheimen Daten werden auf zwei verschiedenen Geräten angefordert. Auf dem Computer oder dem Tablet fragt das Internetportal den Benutzernamen und das Passwort. Das ist dann sozusagen der erste „Weg“ oder „Faktor“. In einem zweiten Schritt folgt eine weitere Abfrage nach einem Zahlencode. Diese Kombination wird erst in diesem Moment generiert. Und zwar mit Hilfe einer App, einer Token-Karte oder einem Foto-Tan-Generator. Wäre ein Hacker in Besitz des Benutzernamens und Passwortes, wüsste er nicht den Code. Denn dieser wird erst generiert.

Auch der neue Personalausweis kann für eine Zwei-Wege-Verfahren verwendet werden. Anbieter können sich beim Bundesverwaltungsamt anmelden und werden gegebenenfalls berechtigt, den Ausweis als „zweiten Faktor“ nutzen zu dürfen. Der Perso fungiert dabei als Token wie die EC-Karte. Er muss mit einem Kartenlesegerät und passender Software verwendet werden. Der integrierte RFID-Chip ist mit 256 Bit verschlüsselt.

Keine Zwei-Faktor-Authentifizierung bei deutschen Anbietern

Auch wer sein elektronisches Postfach besser schützen will, kommt um den Einsatz des zweistufigen Verfahrens nicht herum. Und es ist bezeichnend, dass deutsche Anbieter wie die Telekom, GMX oder Web.de zwar plakativ mit „Sicherheit“ werben, aber diese grundlegende Technik nicht einmal gegen Entgelt anbieten. In Deutschland bietet nur Mailbox.org dieses Verfahren an.

Für höchsten Schutz muss man also, ob man sie nun mag oder nicht, fast ausschließlich auf amerikanische Anbieter wie Google, Microsoft, Yahoo wechseln. Die erste Möglichkeit besteht darin, zusätzlich das Handy für die erweiterte Authentifizierung einzusetzen. Die entsprechenden Menüs zur Einrichtung heißen „Bestätigung in zwei Schritten“, „Zweite Anmeldeüberprüfung“ oder „Sicherheitsschlüssel“.

Auch wenn es sich kompliziert anhört: Die Zwei-Faktor-Authentifizierung sollte man zumindest bei jenen E-Mail-Konten aktivieren, über die Bestellungen oder gar geschäftliche Transaktionen laufen. Somit lassen sich auch die Zugänge zu Internetportalen generell schützen - sofern die Unternehmen das anbieten. Davon gibt es bereits einige. Facebook und Twitter sowie die Konten bei Apple, Dropbox, Ebay und Paypal lassen sich auf diese Weise schützen.

Bei Apple zum Beispiel startet man ein Anmeldeverfahren, das erst nach ein paar Tagen abgeschlossen werden kann. Man bekommt dann eine Mail, die den Antrag bestätigt und die Zwei-Wege-Authentifizierung zulässt. Bei Google und anderen Unternehmen geht es schneller. Der Nutzer gibt seine eigene Rufnummer an, und nach jedem erfolgreichen ersten Schritt mit Login-Name und Kennwort wird automatisch ein mehrstelliger Zahlencode per SMS ans Telefon geschickt. Erst nachdem dieser Zusatzcode ebenfalls eingegeben wurde, ist der Weg zum Konto frei.