Zuletzt aktualisiert am 06.12.2025 4 Minuten Lesezeit

2FA

2FA (Zwei-Faktor-Authentifizierung) ist ein Sicherheitsverfahren, bei dem sich Benutzer mit zwei voneinander unabhängigen Faktoren identifizieren müssen, um Zugang zu einem System oder Konto zu erhalten.

Anstatt sich nur mit einem Passwort anzumelden, wird ein zusätzlicher Nachweis verlangt. Selbst wenn ein Angreifer dein Passwort kennt, kann er ohne den zweiten Faktor nicht auf dein Konto zugreifen. Laut Microsoft blockiert 2FA über 99,9 Prozent aller automatisierten Kontokompromittierungsangriffe.

Die drei Authentifizierungsfaktoren

Authentifizierungsfaktoren werden in drei Kategorien eingeteilt:

1. Wissen (etwas, das du weißt)

  • Passwörter
  • PINs
  • Sicherheitsfragen

2. Besitz (etwas, das du hast)

  • Smartphone mit Authenticator-App
  • Hardware-Token (z.B. YubiKey)
  • Bankkarte
  • SMS-TAN

3. Biometrie (etwas, das du bist)

  • Fingerabdruck
  • Gesichtserkennung
  • Iris-Scan

Für echte 2FA müssen die beiden Faktoren aus verschiedenen Kategorien stammen. Zwei Passwörter wären also keine 2FA, da beide zum Faktor "Wissen" gehören.

Alltägliche Beispiele

Das klassische Beispiel für 2FA ist das Geldabheben am Automaten: Du benötigst sowohl die Bankkarte (Besitz) als auch die PIN (Wissen). Beim Online-Banking gibst du erst Benutzername und Passwort ein und bestätigst Transaktionen dann mit einer TAN oder per App.

Gängige 2FA-Methoden in der IT

SMS-Codes

Ein Einmalcode wird per SMS an dein Smartphone gesendet. Diese Methode ist weit verbreitet, gilt aber als unsicher, da SMS-Nachrichten abgefangen werden können (z.B. durch SIM-Swapping).

Authenticator-Apps (TOTP)

Apps wie Google Authenticator, Microsoft Authenticator oder Authy generieren zeitbasierte Einmalpasswörter (TOTP = Time-based One-Time Password). Alle 30 Sekunden wird ein neuer sechsstelliger Code erzeugt.

Vorteile:

  • Funktioniert offline
  • Kann nicht über das Mobilfunknetz abgefangen werden
  • Kostenlos

Hardware-Token

Physische Sicherheitsschlüssel wie YubiKey oder Titan Security Key bieten die höchste Sicherheit. Sie kommunizieren per USB, NFC oder Bluetooth mit dem Computer und sind phishing-resistent, da die Authentifizierung an die spezifische Domain gebunden ist.

Push-Benachrichtigungen

Bei dieser Methode erhältst du eine Benachrichtigung auf deinem Smartphone und bestätigst die Anmeldung mit einem Klick. Sehr benutzerfreundlich, aber anfällig für "MFA-Fatigue"-Angriffe, bei denen Angreifer wiederholt Benachrichtigungen senden.

Unterschied zwischen 2FA und MFA

2FA bezeichnet spezifisch die Verwendung von genau zwei Faktoren. MFA (Multi-Faktor-Authentifizierung) ist der Oberbegriff für jede Authentifizierung mit mehr als einem Faktor.

Jede 2FA ist also eine Form von MFA, aber nicht jede MFA ist 2FA (es könnten auch drei Faktoren sein).

Sicherheitsrisiken und Schwachstellen

SIM-Swapping

Bei diesem Angriff überzeugt ein Angreifer den Mobilfunkanbieter, die Telefonnummer des Opfers auf eine andere SIM-Karte zu übertragen. Dadurch kann er SMS-basierte 2FA-Codes abfangen.

Phishing (AiTM-Attacken)

Bei Adversary-in-the-Middle-Angriffen positioniert sich der Angreifer zwischen Benutzer und echtem Dienst. Er fängt nicht nur Passwort und 2FA-Code ab, sondern auch die Session-Cookies nach erfolgreicher Anmeldung.

Schutz: Hardware-Token mit FIDO2/WebAuthn sind phishing-resistent, da sie die Domain prüfen.

Moderne Standards: FIDO2, WebAuthn und Passkeys

FIDO2 ist ein moderner Standard für sichere, phishing-resistente Authentifizierung. Er besteht aus:

  • WebAuthn: Browser-API für sichere Authentifizierung
  • CTAP2: Protokoll für die Kommunikation mit Hardware-Tokens

Passkeys sind die praktische Umsetzung dieser Standards. Statt eines Passworts wird ein kryptographisches Schlüsselpaar verwendet. Der private Schlüssel verlässt nie dein Gerät und wird durch Fingerabdruck oder PIN geschützt.

Große Anbieter wie Google, Apple und Microsoft unterstützen Passkeys bereits. Sie gelten als Zukunft der passwortlosen Authentifizierung.

Best Practices für IT-Auszubildende

  1. Aktiviere 2FA überall, wo es möglich ist (besonders E-Mail, Cloud-Dienste, GitHub)
  2. Bevorzuge Authenticator-Apps gegenüber SMS
  3. Speichere Backup-Codes sicher und offline
  4. Nutze Hardware-Token für besonders kritische Systeme
  5. Verwende einen Passwort-Manager, der 2FA unterstützt

Rechtliche Relevanz

Die DSGVO fordert "angemessene technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten. 2FA gilt als Best Practice. Die PSD2 (Zahlungsdiensterichtlinie) verlangt für Online-Banking sogar verpflichtend eine starke Kundenauthentifizierung mit zwei unabhängigen Faktoren.

Zurück zum Lexikon

Datenschutzhinweis

Keine Tracking-Cookies. Wir nutzen Fathom Analytics: cookieless, anonym und DSGVO-konform. YouTube-Videos werden über youtube-nocookie.com eingebunden.