Phishing-Mails und andere Formen von Passwortdiebstahl sind eine große Bedrohung für den Da-tenschutz, wenn Passwörter der einzige Sicherheitsfaktor sind. Neben einer höheren Passwort-stärke und Alternativen wie Passkeys wird daher regelmäßig die Zwei-Faktor-Authentifizierung (2FA) empfohlen, um den Zugangsschutz deutlich zu erhöhen.
Inzwischen häufen sich jedoch Warnungen, dass auch eine 2FA nicht vollkommen sicher ist – so etwa in einem aktuellen Sicherheitshinweis des Landeskriminalamts (LKA) Niedersachsen.
Wie kann das sein, dass eine Zwei-Faktor-Authentifizierung überwunden wird? Und lohnt sich 2FA dann überhaupt noch? Hier helfen keine voreiligen Schlussfolgerungen, sondern fundierte Informationen.
Es geht um den Diebstahl von Session-Cookies
Bei einer Zwei-Faktor-Authentifizierung wird zusätzlich zum Passwort ein zweiter Sicherheitsfaktor verwendet, bei-spielsweise ein Hardware-Token, ein Fingerabdruck oder ein Einmalpasswort (OTP). Internetkriminelle versuchen jedoch nicht, sowohl Passwort als auch zweiten Faktor zu stehlen – das wäre in der Praxis viel zu aufwendig.
Stattdessen greifen sie Session-Cookies an. Ein Session-Cookie ist eine kleine Textdatei, die im Browser oder in einer App gespeichert wird und bestätigt, dass sich die Nutzerin oder der Nutzer erfolgreich mit beiden Sicherheitsfaktoren angemeldet hat. So muss die 2FA während einer Sitzung nicht ständig wiederholt werden.
Diese Cookies funktionieren wie digitale Ausweise für eine laufende Sitzung. Werden sie gestohlen, kann ein Angreifer die Sitzung übernehmen, ohne sich selbst mit 2FA anmelden zu müssen. Denn die erfolgreiche doppelte Anmeldung hat das Opfer bereits durchgeführt – und der Cookie dient als Nachweis.
Wissen Sie, wie sicher Ihre Zwei-Faktor-Authentifizierung tatsächlich ist?
Die Lösungen finden Sie am Ende des Beitrags.
Frage 1: Ist eine Zwei-Faktor-Authentifizierung absolut sicher?
1. Nein, Cyberkriminelle können unter Umständen auch eine 2FA überwinden.
2. Ja, denn an den zweiten Sicherheitsfaktor (wie einen Hardware-Token) kommt niemand heran.
Frage 2: Ist 2FA unsicher, weil Hardware-Tokens verloren gehen können?
1. Nein, denn auch wenn Tokens verloren gehen oder gestohlen werden, reicht das allein nicht aus – zusätzlich ist das Passwort nötig.
2. Ja, daher sollte man Tokens nicht verwenden.
Wichtig: Nicht auf 2FA verzichten
Dass Kriminelle Session-Cookies stehlen können, bedeutet nicht, dass man auf 2FA verzichten sollte – darin ist sich auch das LKA Niedersachsen einig.
Zum einen arbeiten nicht alle 2FA-Verfahren mit Session-Cookies, zum anderen bietet 2FA immer einen zusätzlichen Schutz, auch wenn dieser nicht unüberwindbar ist.
Diese klare Empfehlung lautet weiterhin: Überall dort, wo es möglich ist, 2FA aktivieren.
Und hier die Lösungen für die Quizfragen:
Lösung Frage 1: Antwort 1 ist richtig. Werden bei einem 2FA-Verfahren Session-Cookies verwendet, können diese gestohlen und zur Sitzungsübernahme missbraucht werden. Dadurch kann der starke Zugangsschutz ausgehebelt werden.
Lösung Frage 2: Auch hier ist Antwort 1 korrekt. Zwar können Tokens verloren gehen oder gestohlen werden, doch der Angreifende bräuchte zusätzlich das zugehörige Passwort. Bei Session-Cookies hingegen reicht das Cookie selbst aus, da darin gespeichert ist, dass beide Faktoren erfolgreich eingegeben wurden. Die Übernahme des Cookies ermöglicht dann den Zugriff auf die Sitzung – und damit auf die Daten.