Gefahr durch 2Faktor-Authentifizierung

Die 2Faktor-Authentifizierung ist, das scheint mir inzwischen Usus zu sein, der „neue“ Standard sicherer Log-ins. Dabei kann ich in meiner Rolle als Verteidiger nur davor warnen, ich sehe erhebliche Gefahren für Individuen und die digitale Gesellschaft – aber in technischer Hinsicht auch einen Trend, der in ein paar Jahren die neue Version von „bitte ändern Sie Ihr Passwort“ sein wird. Dass nun Google ankündigt, massenhaft User umzustellen, sollte nur noch mehr Sorgen machen.

Google will Millionen Nutzer umstellen

Unter der Überschrift „Getting people enrolled in 2SV“ kündigt Google nun stolz an, man stehe seit Jahren an der Spitze „der Innovation im Bereich der zweistufigen Verifizierung (2SV), einer der zuverlässigsten Methoden, um unbefugten Zugriff auf Konten und Netzwerke zu verhindern“. Die 2SV sei natürlich am stärksten, wenn sie sowohl „etwas, das Sie wissen“ (wie ein Passwort) als auch „etwas, das Sie haben“ (wie Ihr Telefon oder ein Sicherheitsschlüssel) kombiniert. Dann folgt:

2SV ist ein zentraler Bestandteil der Sicherheitspraktiken von Google, und heute machen wir es unseren Nutzern mit einer Google-Eingabeaufforderung leicht, die ein einfaches Antippen Ihres Mobilgeräts erfordert, um zu beweisen, dass Sie es wirklich sind, der sich anmelden möchte. Und da wir wissen, dass unsere Nutzer am besten geschützt sind, wenn wir unsere Sicherheitsvorkehrungen standardmäßig aktivieren, haben wir damit begonnen, die Konten unserer Nutzer automatisch in einen sichereren Zustand zu versetzen. Bis Ende 2021 planen wir, weitere 150 Millionen Google-Nutzer automatisch bei 2SV anzumelden und 2 Millionen YouTube-Ersteller dazu zu verpflichten, es zu aktivieren.

Brandgefahr 2Faktor

Nun komme ich daher und schimpfe über die tolle neue 2Faktor-Authentifizierung (2FA). Man mag schelmisch grinsen, dass ausgerechnet jemand eines Berufsstands, der bis heute auf das Fax schwört, an so etwas herummäkelt, mag ja jedes Klischee bedienen. Doch so einfach ist es nicht, in der Tat bevorzuge auch ich 2FA, nur eben zu meinen Spielregeln.

Zum einen ist es sicherlich kein Zufall, dass jetzt Google reagiert: Dies jetzt kommt nur wenige Wochen nachdem Microsoft einen passwortlosen Mechanismus eingeführt hat, der es Nutzern ermöglicht, ohne ein Passwort auf ihre Konten zugreifen. Und was bieten beide Unternehmen: eine App. Bei Microsoft heißt sie „Microsoft Authenticator“ bei Google – Überraschung – „Google Authenticator“. Zum Glück, noch, bieten beide Alternativen an, um einen zweiten Faktor zu nutzen.

Die 2FA klappt, wenn man sie ungeplant einsetzt, solange gut, wie man seinen zweiten Faktor zur Hand hat. So profan es klingt: Smartphones gehen kaputt oder verloren. Und wer glaubt, dass das eine Binsenweisheit ist, mag die Stimmen verzweifelter User lesen, die nicht mehr weiterwissen, nachdem der zweite Faktor weg ist.

Wenn die Polizei sucht …

Und damit kommen wir zu meinem Job: Ich muss nicht lange nach diesen Stimmen suchen, sie sitzen vor mir. Woche für Woche habe ich betroffene Nutzer, die eifrig eine 2FA nutzen (nicht selten, wie bei Apple, unfreiwillig) und nach einem ungewollten Besuch der Polizei plötzlich nicht mehr an ihre Daten kommen.

Fast alle eint dabei eine Gemeinsamkeit: Sie haben nie mit einer Hausdurchsuchung und diesem Problem gerechnet. Das ist zum einen Sinn einer Hausdurchsuchung, zum anderen aber auch Ausdruck eines kindlichen Denkens, das in der Gesellschaft tief verwurzelt ist: „Bei mir doch nicht, warum sollte die Polizei ausgerechnet zu mir kommen“. Der Tatort vermittelt schließlich jeden Sonntag aufs neue, wie emsig und gut unsere Polizei arbeitet und sich nur den schwersten der Schwerverbrecher aufopferungsvoll widmet.

Die aber nehmen alles mit, was einen Stecker hat. Da wird dann etwa der Yubikey mitgenommen, mit dem man nichts anfangen kann, weil man ernsthaft die Hoffnung hat, man muss den nur in den Rechner einstecken – und die voll verschlüsselte Festplatte öffnet sich wie von Geisterhand. Oder das iPhone wird als Standardmaßnahme einkassiert – und der Betroffene merkt plötzlich, dass er jetzt nicht mehr in seine iCloud kommt.

Und wenn dann nun der zweite Faktor weg ist? Dann wird hektisch überlegt … in der Tat gibt es Wege sich vorzubereiten, doch faktisch tut das keiner. Dass 2FA „sicher“ ist, suggeriert Sicherheit leider an der falschen Stelle, denn es ist (natürlich) auch sicher vor dem ausgesperrten berechtigten Nutzer.

Vorsorgen!

Der Rat kann nur sein: Sorgen Sie vor. Dringend. Sie müssen den Fall des Verlustes des zweiten Faktors fest einplanen in ihren Alltag – und wenn dafür keine Lösung vorhanden ist, haben Sie ein Problem. Das ist vielleicht jetzt noch nicht aufgetreten, es wird aber irgendwann akut werden. Harte Backups der Keys sind da der erste Schritt.

Gesellschaftlich muss man ohnehin überlegen, ob das alles so geschickt ist. Wenn man 2FA-Lösungen fest an Techriesen hängt, kann man sich die Rufe nach der Begrenzung der Macht von Technologiekonzernen gleich ganz schenken. Wenn wir nach der Monopolisierung von Informationen als Nächstes großen Konzernen die Macht über unsere Log-ins überlassen, bleibt nicht mehr viel Freiraum übrig. Nextcloud etwa bietet eigene 2FA-Ansätze und man sollte endlich überlegen, sich eine eigenständige Lösung zuzulegen, anstelle in der US-Cloud zu sichern.

Langfristig dürfte sich die ganze Technik ohnehin überleben, in einem Blockchain-basierten dezentralen Netzwerk sind Lösungen wie die von Civic mehr wert.

Fachanwalt für IT-Recht Jens Ferner