ADVERTORIAL

Zwei Faktoren – und warum SMS-Codes das schwache Glied sind

25. Juni 2026 · 3 Minuten Lesezeit · Kommentare

Dieser Artikel enthält Affiliate-Links. Wenn Sie über sie einkaufen, erhalten wir möglicherweise eine Provision – ohne zusätzliche Kosten für Sie.

Die Zwei-Faktor-Authentifizierung ist eine der effektivsten Sicherheitsverbesserungen, die Sie vornehmen können. Aber nicht alle zwei Faktoren sind gleich – und die häufigste Version, die von den meisten Diensten standardmäßig verwendet wird, weist eine spezifische, gut dokumentierte Schwachstelle auf, von der die meisten Menschen nichts wissen.

Die Zwei-Faktor-Authentifizierung erfordert etwas, das Sie wissen (Ihr Passwort) und etwas, das Sie haben (normalerweise einen Code). Selbst wenn jemand Ihr Passwort stiehlt, kann er sich ohne den zweiten Faktor nicht anmelden. Es ist wirklich gut. Die Frage ist, was „etwas, das man hat“ bedeutet.

Das Problem mit SMS-Codes

SMS-Codes werden an Ihre Telefonnummer gesendet. Ihre Telefonnummer wird von Ihrem Mobilfunkanbieter kontrolliert. Und Netzbetreiber können manipuliert werden – manchmal durch Social Engineering, manchmal durch direkte Bestechung von Mitarbeitern –, um Ihre Nummer auf eine SIM-Karte zu übertragen, die der Angreifer kontrolliert. Dies wird als SIM-Tausch bezeichnet.

Sobald Ihre Nummer übertragen wurde, gelangt jeder an „Ihr“ Telefon gesendete SMS-Code an das Gerät des Angreifers. Ihr Passwort und alle SMS-basierten Zwei-Faktor-Passwörter gehören jetzt ihnen. Hochwertige Ziele – Personen mit bedeutenden Kryptowährungen, Führungskräfte, Journalisten – werden auf diese Weise regelmäßig kompromittiert.

Zwei-Faktor-Methoden – relative Stärke
Method
Strength
Vulnerable to
SMS code
Weak
SIM swap, SS7 attacks, phishing
Authentifizierungs-App (TOTP)
Good
Echtzeit-Phishing (wenn der Angreifer schnell handelt)
Hardwareschlüssel (Passkey)
Strong
Physischer Diebstahl des Schlüssels

Was stattdessen verwendet werden sollte

Eine Authentifizierungs-App generiert zeitbasierte Codes auf Ihrem Gerät. Sie werden nicht über das Telefonnetz übertragen – kein SIM-Swap kann sie abfangen. Apps wie Google Authenticator oder Authy funktionieren auf diese Weise. NordPass verfügt außerdem über einen integrierten Authentifikator, was bedeutet, dass Ihre 2FA-Codes und Passwörter im selben sicheren Tresor gespeichert sind.

Selbst in seiner schwächsten Form lohnt es sich, den Zwei-Faktor zu haben. SMS 2FA ist deutlich besser als kein 2FA. Wenn Sie es jedoch verwenden möchten, dauert das Upgrade von SMS auf eine Authentifizierungs-App pro Konto etwa zwei Minuten – und die Lücke beim Schutz ist erheblich.

Häufig gestellte Fragen

What is credential stuffing?+

Beim Credential Stuffing nehmen Angreifer E-Mail- und Passwortkombinationen, die bei einem Verstoß offengelegt wurden, und versuchen sie automatisch gegen andere Dienste auszuprobieren. Wenn Sie Passwörter wiederverwenden, erhalten Angreifer durch einen Verstoß an einer Site Zugriff auf alle Konten mit denselben Anmeldeinformationen.

Is it safe to store all your passwords in one place?+

Ja, wenn Sie einen seriösen Passwort-Manager verwenden. Der verschlüsselte Tresor ist weitaus sicherer als wiederverwendete oder schwache Passwörter. Passwortmanager wie NordPass verwenden eine Zero-Knowledge-Architektur – das heißt, selbst das Unternehmen kann Ihre gespeicherten Passwörter nicht sehen.

What is two-factor authentication and should I use it?+

Die Zwei-Faktor-Authentifizierung (2FA) erfordert neben Ihrem Passwort einen zweiten Verifizierungsschritt – normalerweise einen Code aus einer App. Verwenden Sie eine Authentifizierungs-App (Google Authenticator, Authy) anstelle von SMS-Codes, die anfällig für SIM-Swap-Angriffe sind.

Passwörter und 2FA-Codes in einem sicheren Tresor
NordPass speichert Ihre Passwörter und generiert Ihre Authentifizierungscodes. Eine App, ein Master-Passwort, alles wird auf Ihren Geräten synchronisiert.
⭐ 4,5/5 · Millionen von Passwörtern geschützt
Try NordPass →

Sam Feldman
Sam Feldman
„Ein gutes Banner hat keine feste Form und keine inhärente Bedeutung.“
Austin, TX · https://sams.blog/weekly
RELATED READING
Die Passwort-Katastrophe, an die niemand denkt
Sie verwenden ein Passwort wieder. Die Hacker rechnen damit.
Passwort-Manager, erklärt für normale Leute
Sie sind dabei, genau das Sicherheits-Setup zu erhalten, das ich für meine eigenen Eltern erstellt habe – das, das tatsächlich funktioniert

Die meisten Menschen haben eine Schutzschicht. Drei fehlen ihnen.

  • The 3-layer setup I’d never skip — stripped to what matters.
  • Who’s really watching you — your browser, your provider, and the “free” tools selling your data. How to shut them out.
  • A 30-second leak check — most people’s passwords are already out there. See if yours are, and what to do.
  • Pull your info back — data brokers are selling your address and number right now. Here’s how to get removed.

20 Minuten, von Anfang bis Ende – dann läuft es im Hintergrund. Geben Sie Ihre E-Mail-Adresse ein und ich sende sie Ihnen zu.

Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
Sie sind dabei – schauen Sie in Kürze in Ihrem Posteingang nach.
100 % vertraulich. Abmelden jederzeit möglich.