Menü
Deutsch

Open Circle AG – Zürich
Freilagerstrasse 32
8047 Zürich

Open Circle AG – Bern
Lagerhausweg 30
3018 Bern

Deutsch
Zurück
Zurück
Zurück
Blog

Googles Zwei-Faktor-Authentifizierung: Wie sicher ist sie und welche Alternativen gibt es?

Person sitzt am Notebook und gibt zweiten Faktor über Smartphone ein

Die Zwei-Faktor-Authentifizierung (2FA) ist für viele Unternehmen ein gängiger Schutzmechanismus, um unbefugten Zugriff zu erschweren. Besonders in Branchen mit sensiblen Daten – etwa Finanzdienstleistungen, Immobilien, Bau, Technik oder Gesundheitswesen – ist 2FA längst Standard. Doch nicht jede 2FA-Lösung ist gleich sicher – im Gegenteil: Funktionen wie die Cloud-Synchronisierung des Google Authenticators können unerwartete Risiken mit sich bringen. Erfahren Sie in diesem Beitrag, welche Schwächen die Systeme bergen, wie sie im modernen Unternehmenskontext richtig genutzt werden und welche Alternativen Sie nutzen können.

Inhaltsverzeichnis

Das Wichtigste in Kürze

  • Nicht jede Zwei-Faktor-Authentifizierung (2FA) ist gleich sicher. Besonders bei Systemen, die mit einer Synchronisation über eine Cloud arbeiten, können Risiken entstehen.
  • Der Authenticator von Google wird von vielen Experten kritisiert, da er ohne Ende-zu-Ende-Verschlüsselung funktioniert, wodurch bei einem Zugriff auf das Konto 2FA-Codes kompromittiert werden können.
  • Unternehmen mit eigenen IT-Strukturen oder sensiblen Daten profitieren von Open-Source-Lösungen mit datenschutzfreundlicheren sowie kontrollierbareren Optionen.
  • Unternehmen sollten Sicherheitsrichtlinien definieren, private Accounts ausschliessen und Mitarbeiter schulen.

Warum die Zwei-Faktor-Authentifizierung essenziell ist

Der Sicherheitsmechanismus der Zwei-Faktor-Authentifizierung erfordert – neben einem herkömmlichen Passwort – eine zweite Methode zur Identitätsprüfung. Unternehmensdaten oder Onlinekonten sollen so mit einem Zusatzschritt abgesichert werden, um die Wahrscheinlichkeit für unbefugten Zugriff zu minimieren.

Inzwischen ist es dank ausgereifter Hacking-Tools möglich, dass einfache Passwörter leichter kompromittiert, also preisgegeben beziehungsweise herausgefunden, werden. Um dieses Problem zu umgehen, wurden verschiedene Arten von 2FA entwickelt:

  • SMS-Codes: Ein Schlüssel (Zahlen- oder Buchstabenkombination) wird per SMS an das Smartphone des Nutzers gesendet.
  • Authentifizierungs-Apps: Sie erzeugen neue, individuelle Codes in der Anwendung, der Google Authenticator ist ein Beispiel dafür. Apps wie diese sind weniger anfällig für Phishing, wie etwa traditionelle SMS-Codes. Bei der Anmeldung wird eine Nachricht gesendet.
  • Physische Sicherheitsschlüssel (Hardware-Token): Ein Sicherheitsschlüssel ist ein physisches Gerät, das in Kombination mit einer persönlichen PIN verwendet wird.
  • Biometrische Verfahren: Hierbei werden nicht nur Passwörter zur Identifikation verlangt, sondern auch ein Fingerabdruck oder das Scannen des Gesichts.
Sicherheitstoken, das zur Authentifizierung verwendet wird

Wie funktioniert das TOTP-Verfahren?

Bei diesem Verfahren werden zeitbasierte Einmalpasswörter kreiert. Die installierte 2FA-App sowie die Website, bei der Sie sich anmelden möchten, teilen sich einen Schlüssel – auch „Geheimnis“ genannt. Auf Basis dieses Schlüssels und der aktuellen Uhrzeit erzeugt die App alle 30 Sekunden einen neuen Anmeldecode. Damit die App mit dem jeweiligen Konto verbunden werden kann, müssen Sie meist einen QR-Code auf der Website scannen. Die 2FA mit TOTP ist entsprechend sicher – aber nur, wenn die Schlüssel lokal gespeichert werden.

Wie funktioniert der Google Authenticator?

Die Zwei-Faktor-Authentifizierung mit Google, in vielen Fällen über die hauseigene Google Authenticator App, ist eine Möglichkeit, Datenmissbrauch vorzubeugen. Haben Sie Ihr Google-Konto mit dem Smartphone verknüpft, wird Ihnen über die App ein sechsstelliger Code bereitgestellt, den Sie für die Anmeldung in ihre (Google-) Anwendungen benötigen.

Die App macht es Angreifern zunächst schwerer, auf Ihre Konten zuzugreifen, da selbst bei Bekanntwerden des Passwortes der Code aus der App notwendig ist, die sich lediglich auf Ihrem Handy befindet. Ausserdem funktioniert Googles Anwendung offline und macht sie auch ohne Empfang zuverlässig.

SMS-Code von Google

Was ist der Nachteil der Google-Authenticator-App? Fehlende Verschlüsselung in der Kritik

Im April 2023 führte Google dann eine Neuerung ein: Es ermöglichte ab sofort, die Google-Authenticator-Schlüssel in Ihrem Google-Konto zu sichern, sodass Sie den Google Authenticator auch auf zwei Geräten oder mehr auch von verschiedenen Geräten dazu befähigt sind, sich in Ihr Konto einzuloggen – beim Verlust des Smartphones kann das zum Beispiel hilfreich sein, um den Authenticator direkt auf einem neuen Gerät zu installieren.

Experten warnen allerdings vor grossen Sicherheitslücken, insbesondere für Menschen, die über sensible Daten, etwa Kundendetails, verfügen.

Denn sobald jemand Zugriff auf Ihr Google-Konto erhält, könnte er unter Umständen auch auf ihre 2FA-Codes stossen, da die Daten im Klartext übertragen und somit schnell einsehbar ist, wie Heise-Verlag in einem Selbsttest herausfand. Genauer gesagt: Es gibt zwar eine geschützte Übermittlung dank TLS (Transport Layer Security), allerdings keine Ende-zu-Ende-Verschlüsslung (E2E), sodass die Daten für Google – oder potenzielle Angreifer – sichtbar werden.

Vorteile der Cloud-Synchronisierung

Die Möglichkeit, Authenticator-Daten in der Cloud zu sichern, bringt grundsätzlich aber auch einen wichtigen Vorteil mit sich: Geht das Smartphone verloren oder wird es ausgetauscht, lassen sich die 2FA-Schlüssel unkompliziert auf einem neuen Gerät wiederherstellen – egal, ob auf dem Laptop, dem Tablet oder eben dem Smartphone. Das erhöht die Nutzerfreundlichkeit und minimiert Ausfallzeiten. In Unternehmen kann die Synchronisierung ausserdem über ein zentrales Konto die Verwaltung vereinfachen – vor allem bei der Einrichtung neuer Geräte oder bei Mitarbeiterwechseln.

Voraussetzung dafür ist jedoch, dass die gesicherten Daten zuverlässig verschlüsselt sind – idealerweise durch eine Ende-zu-Ende-Verschlüsselung, bei der nur Sie selbst Zugriff auf die Inhalte haben.

Die Cloud-Synchronisierung bietet wichtige Sicherheitsvorteile

Ende-zu-Ende-Verschlüsselung: Wichtige Sicherheitsmassnahme

Googles Produktmanager für Identity and Security Christiaan Brand gab in einem X-Post selbst an, die E2E-Verschlüsselung einrichten zu wollen. Allerdings blieb er standhaft: „Derzeit sind wir der Meinung, dass unser aktuelles Produkt für die meisten Nutzer das richtige Gleichgewicht darstellt und erhebliche Vorteile gegenüber der Offline-Nutzung bietet. Die Option, die App offline zu nutzen, wird jedoch eine Alternative für diejenigen bleiben, die ihre Backup-Strategie lieber selbst verwalten.“

Bislang wurde die Neuerung noch nicht nachgereicht.

Nicht nur Google: Auch andere Authenticator-Dienste kämpfen mit Datenlecks

Beim Passwort-Manager LastPass hatte mit Produktfehlern zu kämpfen und Firmenrechner wurden angegriffen, wodurch es zu Datenlecks kam. Auch Twilio, Betreiber der Authenticator-App „Authy“ gab Mitte 2024 bekannt, dass sensible Daten, unter anderem angeblich 33 Millionen Telefonnummern, nach aussen gelangt waren.

Das Unternehmen Retool schilderte Ende August 2023 einen ähnlichen Fall. Mehrere Mitarbeitende erhielten gezielte SMS-Nachrichten, in denen behauptet wurde, ein Mitglied der IT-Abteilung werde sich wegen eines Kontoproblems melden.

Immer wieder gelangen sensible Daten nach aussen

Der Zeitpunkt der Nachrichten fiel mit einer kürzlich angekündigten Login-Umstellung zusammen. Die enthaltene URL war so gestaltet, dass sie dem internen Identitätsportal des Unternehmens täuschend ähnlich sah. Zwar reagierte der Grossteil der Belegschaft nicht auf die Nachricht, doch ein Mitarbeiter meldete sich über den von den Angreifern bereitgestellten Link an – was den Phishing-Angriff erfolgreich machte, wobei sogar Stimmen aus dem IT-Team mittels Deepfakes nachgeahmt wurden. Mitunter möglich machte das auch die Synchronisation eines Google-Kontos des Mitarbeiters auf mehreren Geräten. Der Zugriff auf das Konto verschaffte dem Angreifer somit Zugang zu all seinen MFA-Codes.

Sichere Alternativen zum Google Authenticator für Unternehmen?

Wer seine sensiblen Zugangsdaten mit dem Google Authenticator schützt, gewinnt zwar an Sicherheit, riskiert aber gleichzeitig Abhängigkeiten und mögliche Schwachstellen durch Cloud-Synchronisierungen. Gerade dann, wenn Mitarbeiter private Google Accounts nutzen oder es keine übergreifenden Unternehmensrichtlinien gibt. Welcher Authenticator ist aber nun der sicherste? Das hängt von Ihren Präferenzen ab. Hier sind die besten Alternativen.

  • Passwort-Manager von Open Circle: Der OPEN CIRCLE Passwort-Manager bietet nicht nur die Möglichkeit, Passwörter einfach abzuspeichern, sondern auch direkt die entsprechenden TOTP-Schlüssel zu hinterlegen. Somit wird für das Login kein zweites Gerät benötigt, der Passwort-Manager allein reicht für die MFA aus.
  • FreeOTP: Bei dieser kostenlosen Open-Source-Applikation (erhältlich im Google Play Store und im App Store) wird dafür gesorgt, eine „zweite Sicherheitsebene für Ihre Online-Konten“ einzurichten, wie es der Entwickler RedHat beschreibt. Tests zufolge erfasst die App keine Daten für Dritte, wie es bei anderen Anwendungen der Fall ist.

Empfehlung für KMU: 2FA richtig implementieren und absichern

Um den sichersten Weg zu gehen und Firmen- sowie Kundendaten zu schützen, sollten Sie von Beginn an über den Einsatz passender Sicherheitslösungen nachdenken. Dazu gehören nicht nur geeignete Passwortmanager, sondern auch die Wahl der richtigen Authentifizierungsmethode. Wenn Sie eine Zwei-Faktor-Authentifizierung (2FA) einführen möchten, sollten Sie folgende Aspekte berücksichtigen – sie beeinflussen massgeblich die Sicherheit und Nutzbarkeit des gewählten Verfahrens.

  • Analysieren Sie, welche Systeme besonders schützenswert sind. Geschäftskritische Anwendungen, sensible Daten und zentrale IT-Infrastruktur sind attraktive Ziele für Cyberangriffe – genau hier ist ein zusätzlicher Schutz durch 2FA besonders sinnvoll. Deshalb ist es wichtig, zunächst alle genutzten Systeme, Plattformen und Geräte zu erfassen: Welche Anwendungen sind für den täglichen Geschäftsbetrieb unerlässlich? Gibt es veraltete Systeme, die ein Sicherheitsrisiko darstellen? Welche Hardware benötigt ein Update oder regelmässiges Backup? Nur mit einem vollständigen Überblick lässt sich gezielt entscheiden, wo 2FA implementiert werden sollte – und wie gross der Aufwand dafür ist.
  • Lassen Sie sich beraten, etwa von Open Circle, um Ihre IT-Strukturen sicherer und unabhängiger aufzustellen. Unsere IT-Experten analysieren Ihre bestehende Systemlandschaft, identifizieren mögliche Schwachstellen und zeigen auf, wie Sie Ihre IT-Sicherheit verbessern können.

Darüber hinaus sollten Sie auch intern beobachten, welche Prozesse optimiert werden könnten:

  • Definieren Sie zentrale Sicherheitsrichtlinien und legen Sie verbindlich fest, welche Authentifizierungsmethoden verwendet werden sollten.
  • Stellen Sie sicher, dass Mitarbeitende keine privaten Konten für berufliche Zugänge verwenden und unterbinden Sie die Nutzung beliebiger Apps zur Anmeldung in Unternehmenssysteme.
  • Denken Sie darüber nach, Schulungen einzuplanen, um allen Mitarbeitern einen sicheren Umgang mit 2FA gewährleisten zu können.
Eine Analyse, welche Systeme besonders schützenswert sind, ist sinnvoll

Backup-Funktion der Google Authenticator App deaktivieren

Wenn Ihr Unternehmen derzeit die Google Zwei-Faktor-Authentifizierung verwendet, sollten Sie prüfen, ob die Synchronisierung der 2FA-Codes mit den Google-Konten aktiv ist. Deaktivieren Sie dazu die Cloud-Backup-Funktion in den Einstellungen der App und setzen Sie auf lokale Backup-Verfahren.

Nutzende, die die Backup-Funktion bereits aktiviert haben, wird empfohlen, diese zunächst zu deaktivieren. Anschliessend sollten die Zwei-Faktor-Seeds aller über die Authenticator-App verwalteten Konten zurückgesetzt werden, um die Vertraulichkeit der Anmeldedaten wiederherzustellen.

Fazit: Mehr Kontrolle, weniger Risiko bei der Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung ist ein unverzichtbarer Baustein moderner IT-Sicherheit – auch für KMU. Allerdings schützt nicht jede Lösung auf gleiche Weise. Insbesondere die Cloud-Synchronisierung, wie sie etwa beim Google Authenticator greift, birgt Risiken. Setzen Sie auf 2FA, doch denken Sie vor allem darüber nach, wie sie diese implementieren. Open-Source-Lösungen wie der Passwort-Manager von Open Circle oder FreeOTP bieten mehr Kontrolle und Sicherheit. Gleichzeitig gilt: Nur mit klaren Richtlinien, gezielter Schulung und regelmässigem Monitoring lässt sich 2FA wirklich effektiv und verantwortungsvoll einsetzen.

Autor

Pascal Mages

Chief Technology Officer

Das könnte Sie auch interessieren

16. Juli 2024 Bildschirm sperren: Kleiner Aufwand, grosse Wirkung! Erfahren Sie wie Sie Ihren Bildschirm sperren und entsperren können, um Ihre Daten vor unbefugten Zugriffen zu schützen. Zum Beitrag IT-Sicherheit & Zugriff, Arbeitsplatzlösungen
27. November 2023 RFID und NFC: So nutzen Sie sie und schützen Ihre Daten Wie uns unsichtbare Chips den Alltag erleichtern – von kontaktlosem Bezahlen bis zur smarten Logistik. Zum Beitrag IT-Sicherheit & Zugriff, Arbeitsplatzlösungen
14. Oktober 2023 Backup-Methoden für Ihr Unternehmen Backup-Methoden – Erfahren Sie alles Wissenswerte zum Thema Backup-Strategien für Unternehmen. Zum Beitrag IT-Sicherheit & Zugriff, Server & Backup
Beraten lassen