SSP Editorial Team

Mobile 2FA: richtig und falsch gemacht

·8 Min. Lesezeit·Von SSP Editorial Team
SSP-Academy-Titelbild für einen Leitfaden zur mobilen Zwei-Faktor-Authentifizierung, mit Wallet-, Schlüssel- und Schild-Symbolen auf dunklem Hintergrund.

Die Zwei-Faktor-Authentifizierung (2FA) ist eine der wirkungsvollsten Sicherheitsverbesserungen überhaupt — aber nur, wenn du die richtige Variante nutzt. Für Krypto-Nutzer ist der Unterschied zwischen starker und schwacher 2FA der Unterschied zwischen einem Konto, das einem entschlossenen Angreifer standhält, und einem, das es nicht tut. Der Haken: Die häufigste Form von 2FA — ein Einmalcode per SMS — ist zugleich die schwächste. Dieser Leitfaden sortiert die Optionen von der schlechtesten zur besten, erklärt das Warum und gibt dir einen konkreten Plan, um die Konten rund um deine Wallet aufzurüsten.

Eine Einordnung vorweg: Das Sicherheitsmodell von SSP ist überhaupt keine "2FA" im Sinne von Einmalcodes. SSP nutzt multisig — zwei unabhängige Signaturschlüssel auf zwei Geräten. Warum dieser Unterschied wichtig ist, kommt gleich. Zuerst die Codes.

Warum SMS-2FA Krypto-Nutzer im Stich lässt

Ein Einmalcode per SMS fühlt sich nach Sicherheit an: Du gibst dein Passwort ein, eine sechsstellige Zahl kommt an, du tippst sie ein. Das Problem ist, dass der zweite Faktor — die Kontrolle über deine Telefonnummer — viel leichter zu stehlen ist, als die meisten annehmen.

Zwei Angriffsarten richten den Schaden an:

  • SIM-Swapping. Ein Angreifer überredet (oder besticht) deinen Mobilfunkanbieter, deine Nummer auf eine SIM zu portieren, die er kontrolliert. Sobald ihm die Nummer gehört, landen alle SMS-Codes bei ihm. Krypto-Halter sind ein bevorzugtes Ziel, gerade weil die Beute groß und die Transaktionen unumkehrbar sind.
  • SS7-Abhören. SS7 ist das jahrzehntealte Signalisierungsprotokoll, mit dem Telekommunikationsnetze Anrufe und Nachrichten weiterleiten. Bekannte Schwächen erlauben es gut ausgestatteten Angreifern, SMS-Nachrichten abzufangen, ohne deine SIM überhaupt zu berühren.

Das ist keine Randsorge. Das US-amerikanische National Institute of Standards and Technology stuft SMS in NIST SP 800-63B als "eingeschränkten" Authenticator ein und rät ausdrücklich von dessen Einsatz in neuen Systemen ab. Wenn die Behörde, die digitale Identität definiert, dir sagt, dass ein Verfahren auf dem Rückzug ist, nimm das als Signal.

SMS-2FA ist immer noch besser als gar keine 2FA. Aber für jedes Konto, das dein Geld berührt, sollte sie deine letzte Wahl sein, nicht der Standard.

TOTP-Authenticator-Apps: die praktische Basis

Die praktische Basis für Krypto-Nutzer ist eine TOTP-Authenticator-App — die Sorte, die einen rotierenden sechsstelligen Code zeigt, der sich alle 30 Sekunden ändert. TOTP ist in RFC 6238 definiert und aus einem strukturellen Grund ein echter Fortschritt gegenüber SMS: Es gibt keine Telefonnummer, die man kapern kann. Der Code wird auf deinem Gerät aus einem gemeinsamen Geheimnis erzeugt, sodass SIM-Swapping und SS7-Abhören schlicht nicht greifen.

Ein paar Regeln machen TOTP deutlich stärker:

  • Nutze eine App, nicht SMS, wo immer ein Dienst beides anbietet. Die meisten Börsen und E-Mail-Anbieter unterstützen Authenticator-Apps.
  • Sichere das Einrichtungsgeheimnis, nicht nur die Codes. Bewahre beim Einrichten den Wiederherstellungsexport so auf, wie du jede andere sensible Zugangsinformation schützt.
  • Halte es nach Möglichkeit getrennt von dem Gerät, mit dem du dich anmeldest, damit eine einzige kompromittierte Maschine nicht beide Faktoren besitzt.

TOTP ist nicht perfekt. Das gemeinsame Geheimnis liegt auf dem Telefon, sodass ein kompromittiertes Gerät — oder ein unsicheres Cloud-Backup davon — dieses Geheimnis preisgeben kann. Und entscheidend: Ein TOTP-Code kann immer noch in Echtzeit abgephisht werden: Eine überzeugende gefälschte Login-Seite leitet dein Passwort und deinen frischen sechsstelligen Code direkt in die Sitzung des Angreifers weiter, bevor der Code abläuft. Genau diese Lücke schließt die nächste Stufe. Wenn du solche gefälschten Seiten erkennen willst, lies unsere Erklärung zu Phishing-Angriffen auf Krypto-Nutzer.

Passkeys und Hardware-Schlüssel: phishing-resistent

FIDO2/WebAuthn-Passkeys und Hardware-Sicherheitsschlüssel sind die erste Stufe, die wirklich phishing-resistent ist, und der Grund ist elegant: Der Berechtigungsnachweis ist kryptografisch an den Ursprung der Website gebunden. Dein Authenticator meldet sich nur bei der echten Domain an, für die er registriert wurde. Eine täuschend ähnliche Phishing-Seite hat einen anderen Ursprung, also verweigert der Passkey schlicht die Antwort — es gibt keinen sechsstelligen Code zum Weiterleiten, weil es gar keinen Code gibt.

Diese Eigenschaft wiegt schwerer als jede andere auf der Liste. SMS und TOTP setzen beide darauf, dass ein Mensch eine Zahl liest und irgendwo eintippt; Passkeys beseitigen das von Menschen kopierbare Geheimnis vollständig. Ein Angreifer, der einen pixelgenauen Klon deines Börsen-Logins baut, bekommt nichts, weil die kryptografische Aufgabe von Hardware beantwortet wird, die den Ursprung für dich prüft.

Hardware-Sicherheitsschlüssel — die physischen, die du antippst oder einsteckst — und Plattform-Passkeys, die im Secure Element deines Telefons oder Computers gespeichert sind, setzen das beide um. Für hochwertige Konten ist ein Hardware-Schlüssel der stärkste breit verfügbare zweite Faktor, den du kaufen kannst.

SSP Key ist ein Mitunterzeichner, kein Code

Hier ist die Unterscheidung, über die viele stolpern: Die Sicherheit von SSP ist überhaupt keine "2FA" im Sinne von Einmalcodes. Sie ist multisig.

Eine Standard-2FA schützt die Konto-Anmeldung. SSP schützt die Transaktion selbst. SSP nutzt ein 2-von-2-Schema: Ein Schlüssel liegt in der Browser-Erweiterung, der andere ist der SSP Key auf deinem Telefon. Beide müssen unabhängig signieren, bevor sich Guthaben bewegen lässt. SSP Key ist ein kryptografischer Mitunterzeichner — keine sechsstellige Zahl, die du eintippst, sondern ein eigenes Gerät mit einem eigenen Schlüssel, das eine echte Signatur leistet.

Die Folge ist struktureller Natur. Angenommen, ein Angreifer kompromittiert deine Browser-Erweiterung vollständig — phisht sie oder übernimmt die Maschine, auf der sie läuft. Mit einem sechsstelligen Code auf App-Ebene kann diese eine Kompromittierung genügen. Mit SSP nicht: Guthaben zu bewegen erfordert weiterhin eine unabhängige Freigabe auf deinem Telefon, wo du die Transaktionsdetails siehst und mit dem zweiten Schlüssel signierst. Die Browser-Seite allein kann nichts senden. Diese zweite, unabhängige Signaturfläche ist das, was ein sechsstelliger Code nie sein kann — ein Schlüssel, den der Angreifer ebenfalls kompromittieren muss, auf einem anderen Gerät, zur selben Zeit.

Um genau zu sein, was das leistet und was nicht: SSP schützt den Akt des Ausgebens. Es ersetzt keine gute Hygiene bei den Konten rund um deine Wallet. Wenn du neu im Modell bist, richte deine erste SSP-Wallet ein und sieh dir den Freigabeablauf mit zwei Geräten selbst an.

Die Konten rund um deine Wallet absichern

Deine Wallet ist keine Insel. Die Konten drumherum — E-Mail, Börsen-Logins, Cloud-Backups, Passwortmanager — sind oft der weichste Weg zu deinem Guthaben. Ein Angreifer, der deine E-Mail übernimmt, kann von dort die Hälfte deiner übrigen Logins zurücksetzen.

Wende dieselbe Staffelung auf jedes davon an:

  • E-Mail: Passkey oder Hardware-Schlüssel, falls angeboten; sonst TOTP. Niemals nur SMS. Deine E-Mail ist der Hauptschalter zum Zurücksetzen für alles andere.
  • Börsen: Hardware-Schlüssel oder Passkey für den Login; verlasse dich nie auf SMS und deaktiviere die SMS-Wiederherstellung, wenn die Börse es zulässt.
  • Cloud und Passwortmanager: mindestens TOTP, Passkey, wo verfügbar.
  • Mobilfunkanbieter: Richte eine Portierungs-PIN oder Kontosperre ein, um SIM-Swapping-Versuche auszubremsen.

Da dein Telefon zunehmend sowohl deinen Authenticator als auch deinen SSP Key beherbergt, behandle es als eigene Sicherheitsgrenze — starke Bildschirmsperre, aktuelles Betriebssystem, keine quergeladenen Apps. Mehr dazu, worin eine telefonzentrierte Wallet gut ist und worin nicht, findest du unter mobile Krypto-Wallets: worin sie gut sind. Und wenn du bereit bist, alles in einem Durchgang zu härten, arbeite die Selbstverwahrungs-Checkliste für deine ersten 1.000 $ durch.

Ein Plan zum Aufrüsten deiner 2FA

Du musst nicht alles auf einmal erledigen. Arbeite von oben nach unten, nach Wert:

  1. Bestandsaufnahme. Liste jedes Konto auf, das dein Geld berühren oder ein anderes Konto zurücksetzen kann: zuerst E-Mail, dann Börsen, danach Cloud und Passwortmanager.
  2. Schluss mit Nur-SMS. Überall, wo SMS dein einziger zweiter Faktor ist, füge eine stärkere Methode hinzu und entferne SMS als Wiederherstellungsweg, wo der Dienst es zulässt.
  3. Füge überall TOTP hinzu, wo es angeboten wird. Das ist deine Basis; sie schließt die SIM-Swapping- und SS7-Lücken sofort.
  4. Rüste deine wichtigsten Konten auf Passkeys oder einen Hardware-Schlüssel auf. E-Mail und Börsen zuerst — das sind die Konten, die eine Phishing-Seite am meisten will.
  5. Sperre den Anbieter ab. Setze eine Portierungs-PIN, damit ein Fremder deine Nummer nicht verschieben kann.
  6. Prüfe vierteljährlich nach. Authentifizierungsoptionen ändern sich; ein Dienst, der letztes Jahr nur SMS hatte, unterstützt vielleicht jetzt Passkeys.

Das Programm "Secure Our World" der CISA veröffentlicht klar verständliche Hinweise, die sich lohnen, mit weniger technikaffinen Familienmitgliedern zu teilen — siehe CISA.

Mach weiter

Starke 2FA ist eine Schicht. Sie schützt die Türen rund um deine Wallet; das multisig von SSP schützt das Ausgeben selbst. Zusammen beseitigen sie die einzelnen Schwachstellen, an denen die meisten scheitern.

Bau von hier aus weiter:

Diesen Artikel teilen

Verwandte Artikel

Schritt-für-Schritt-Illustration einer SSP-Wallet, die auf einem Smartphone und in einem Browser eingerichtet wird

Deine erste SSP-Wallet einrichten

Schritt-für-Schritt-Anleitung für SSP Wallet: App und Erweiterung installieren, zwei Geräte pairen, 2-of-2-Wallet erstellen und erste Transaktion senden.

6 min read
SSP-Academy-Titelbild für einen Einsteigerleitfaden zu mobilen Krypto-Wallets und SSP Key

Mobile Krypto-Wallet: Stärken, Risiken und SSP Key

Was mobile Krypto-Wallets gut können — stets griffbereit, biometrische Entsperrung, QR-Scan —, wo ihre Grenzen liegen und wie SSP Key dazu passt.

7 min read
SSP-Sicherheitscover mit Wallet-, Schlüssel-, Schild- und Chip-Symbolen als Illustration eines Leitfadens zu Krypto-Phishing-Angriffen.

Phishing-Angriffe auf Krypto-Nutzer (und wie man sie erkennt)

Krypto-Phishing zielt auf dich ab, nicht auf die Kryptografie. Lerne die Muster: Wallet Drainer, Approval-Phishing, Address Poisoning – und wie SSP hilft.

7 min read