Online-Accounts: Besser geschützt durch zweistufiges Anmeldeverfahren

• Zweistufige Authentisierung schützt Online-Accounts besser vor Fremdzugriffen und Datenmissbrauch
• Anbieter digitaler Dienste sollten Verbraucher:innen eine Möglichkeit bieten, ihre Online-Accounts mit einer sicheren 2-Faktor-Authentisierung abzusichern
• Das BSI empfiehlt, biometrische 2-Faktor-Authentisierung unter anderem mit einer Fälschungserkennung auszustatten

Ob für Online-Banking, Shopping oder auf Social Media: Überall benötigen Verbraucher:innen Online-Accounts. Sie enthalten persönliche, zum Teil sensible Informationen über die Nutzer:innen. Um diese Informationen zu schützen, sollte die Anmeldung über zwei voneinander unabhängige Verfahren erfolgen, eine 2-Faktor-Authentisierung (2FA). Der Verbraucherzentrale Bundesverband (vzbv) hat gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) untersucht, welche Rolle biometrische Merkmale, wie Fingerabdruck oder Gesichtsscan, bei der Sicherung von Nutzerkonten spielen. Das Ergebnis: Verbraucher:innen finden biometrische 2FA-Verfahren sowie Codes über SMS einfach zu bedienen und halten sie für sicher.

Um zu prüfen, ob und wie Anbieter digitaler Dienste zweistufige Authentisierungsverfahren anbieten, hat der vzbv Anbieter aus 13 verschiedenen Branchen analysiert. 46 Prozent der untersuchten digitalen Dienste bieten auch biometrische Verfahren zur 2-Faktor-Authentisierung an. Dabei konzentriert sich das Angebot biometrischer 2FA auf Passwort-Manager und die Branchen, in denen die Unternehmen verpflichtet sind, eine Form der 2-Faktor-Authentisierung anzubieten, wie zum Beispiel Finanzinstitute und Krankenkassen.

Laut einer internetrepräsentativen Befragung im Auftrag des vzbv sprechen die Verbraucher:innen dem biometrischen Verfahren Fingerabdruck (82 Prozent eher oder sehr einfach) und dem Code über SMS (77 Prozent eher oder sehr einfach) die höchste Anwendungsfreundlichkeit zu. Zudem schätzen Verbraucher:innen die Sicherheit bei diesen Verfahren am höchsten ein: 80 Prozent finden das Fingerabdruck-Verfahren, 78 Prozent die SMS-Bestätigung besonders sicher.  

Damit Unternehmen biometrische 2FA sicher umsetzen können, empfiehlt das BSI, biometrische Systeme unter anderem mit einer Fälschungserkennung auszustatten. Zudem sollte eine Rückfall-Option auf einen anderen zweiten Faktor angeboten werden.

Nach Ansicht des vzbv sollten Nutzer:innen die Möglichkeit haben, zwischen verschiedenen sicheren Verfahren zu wählen. Der vzbv unterstützt daher die Position des BSI, dass Anbieter digitaler Dienste Konten der Verbraucher:innen auch mit einer sicheren 2-Faktor-Authentisierung schützen sollten.

Bereits im März 2022 veröffentlichten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Verbraucherzentrale Bundesverband (vzbv) die ersten Ergebnisse einer gemeinsamen Untersuchung zum Stand der 2-Faktor-Authentisierung (2FA) in Deutschland. Dabei wurde ein teilweise deutliches Missverhältnis zwischen der Nutzungsabsicht und der tatsächlichen Nutzung einer 2FA festgestellt – und das bei nahezu jeder Produktkategorie. In dieser Folgeuntersuchung widmen sich BSI und vzbv der Verwendung biometrischer Verfahren in der 2-Faktor-Authentisierung.

Marktcheck: Untersucht wurde für insgesamt 121 Anbieter aus 13 Branchen, wie häufig digitale Dienste ihren Nutzer:innen eine 2-Faktor-Authentisierung (2FA) anboten und ob diese optional / voreingestellt / verpflichtend war. Zudem wurde erfasst, ob die Anbieter in ihren Smartphone-Anwendungen (Android / iOS) die Möglichkeit einer biometrischen 2FA anboten, also die Eingabe des zweiten Faktors mittels Fingerabdruck oder Gesichtsscan möglich war. Erhebungszeitraum: 11. bis 15. Januar 2024.

Online-Befragung: Grundgesamtheit: Internetnutzer:innen ab 16 Jahren, die aktuell eine Form der 2FA nutzen. Stichprobengröße: 1.007 2FA-Anwender:innen. Erhebungszeitraum: 16. bis 22. Juni 2023. Statistische Fehlertoleranz: max. ± 3 Prozentpunkte. Institut: eye square GmbH.