← RatgeberIT-News
2-Faktor-Authentifizierung 2026: Warum SMS nicht mehr reicht
Die SMS-Methode hat seit 2017 öffentlich bekannte Sicherheitslücken — trotzdem ist sie Standard. Was die drei realistischen Alternativen unterscheidet, welche wirklich schützt und welche Theater ist.
Marcel Pötschke
Freiberuflicher Webentwickler
7 Min
Wenn Sie 2-Faktor-Authentifizierung benutzen, gehören Sie zur sicherheitsbewussten Minderheit. Aber innerhalb dieser Minderheit gibt es einen Unterschied, den fast niemand kennt: Nicht alle 2FA-Methoden schützen gleich gut. Eine davon ist seit 2017 öffentlich gebrochen — und wird trotzdem noch von den meisten großen Anbietern als Standard angeboten.
Dieser Beitrag schaut sich die drei realistischen 2FA-Methoden an: SMS-Code, TOTP-App, Hardware-Key beziehungsweise Passkey. Wer welche Methode aktiviert hat, entscheidet, ob 2FA ein echter Schutz ist oder ein wohliges Sicherheitsgefühl.
Methode 1 — SMS-Code (gebrochen seit 2017)
Sie loggen sich ein, ein Code kommt per SMS, Sie tippen ihn ab. Das ist die häufigste 2FA-Variante — und die schwächste.
Das Problem heißt SIM-Swapping. Ein Angreifer ruft Ihren Mobilfunkanbieter an, gibt sich mit zusammengesuchten Daten als Sie aus, beantragt eine neue SIM-Karte. Sobald die aktiviert ist, bekommt der Angreifer alle SMS — auch die mit Ihrem 2FA-Code. Innerhalb weniger Minuten kann er sich in Ihr E-Mail-Konto, Online-Banking oder Crypto-Börse einloggen und das Passwort ändern, bevor Sie merken, dass Ihr Handy plötzlich kein Netz mehr hat.
Das ist kein hypothetisches Szenario. Das US-NIST hat SMS-2FA bereits 2017 in seinen Sicherheitsrichtlinien herabgestuft. Promi-Hacks, Crypto-Diebstähle in Millionenhöhe und gezielte Angriffe auf Geschäftsleute laufen seit Jahren genau so.
Trotzdem ist SMS überall Standard, weil:
- Es kein App-Setup braucht
- Es ein Vertrautheits-Gefühl beim Nutzer erzeugt
- Service-Anbieter das Verlust-Risiko (Account-Lockout) niedriger einschätzen als das Angriffsrisiko
Wenn Sie irgendwo nur SMS-2FA aktivieren können — besser als nichts, aber kein echter Schutz.
Methode 2 — TOTP-Apps (Google Authenticator, Authy, 2FAS)
TOTP steht für „Time-based One-Time Password“. Eine App auf Ihrem Handy erzeugt alle 30 Sekunden einen neuen 6-stelligen Code, der nur Ihnen und dem Service bekannt ist. Beim Login tippen Sie den aktuellen Code ein.
Das funktioniert, weil:
- Keine Telefon-Infrastruktur involviert ist (kein SIM-Swapping möglich)
- Der Code nur 30 Sekunden gültig ist (Phishing-Versuche müssen sehr schnell sein)
- Der gemeinsame Schlüssel beim Setup einmal übertragen wird und danach nie wieder
Empfehlenswerte Apps: 2FAS, Aegis Authenticator (Android), Bitwarden Authenticator. Google Authenticator kann es auch, hatte aber lange kein Backup — wenn Ihr Handy weg war, waren auch alle 2FA-Codes weg. Authy bietet Cloud-Backup, was bequem ist, aber das Sicherheitsmodell etwas auflockert.
TOTP ist der vernünftige Mindeststandard. Wenn ein Service mehr als nur SMS anbietet, aktivieren Sie das.
Methode 3 — Hardware-Keys und Passkeys
Hardware-Keys sind kleine USB- oder NFC-Sticks (YubiKey ist der bekannteste Hersteller). Beim Login stecken Sie den Key ein und bestätigen mit einem Tipp. Passkeys sind die Software-Variante davon, gespeichert auf Ihrem Smartphone oder im Browser.
Was sie technisch besser machen:
- Phishing-Schutz auf Protokoll-Ebene: Der Key signiert nur, wenn die Domain stimmt. Lockt ein Angreifer Sie auf „google.evil.de“, weigert sich der Key. Bei TOTP würden Sie den Code reflexartig eintippen.
- Keine geteilten Geheimnisse: Der private Schlüssel verlässt nie den Hardware-Chip
- Nicht klonbar: Ein gestohlener Code-Generator kann woanders weiterlaufen, ein gestohlener Key kann nur dort verwendet werden, wo er physisch steckt
Wo Hardware-Keys den größten Hebel haben:
- E-Mail-Konto — das wichtigste Konto im Leben, weil andere Konten darüber zurückgesetzt werden
- Online-Banking, Steuerberater-Portal
- Adminzugang zur Webseite, Hosting, Domain-Registrar
- Crypto-Börsen
Passkeys sind das Konsumenten-Pendant: gleiche Sicherheit, aber statt Hardware-Stick ist das Smartphone selbst der Faktor. Apple, Google und Microsoft haben sie seit 2023 in iOS, Android und Windows tief integriert — sie sind der Standard, der SMS langfristig ablösen wird.
E-Mail-Codes — kein 2FA, sondern Recovery
Manche Services schicken nach dem Passwort-Login einen Code per E-Mail. Das ist kein zweiter Faktor — es ist der erste Faktor zweimal.
Wenn ein Angreifer Ihr E-Mail-Konto kompromittiert hat, hat er ohnehin Zugriff auf den Code. E-Mail-2FA ist Theater, das das Sicherheitsgefühl erhöht, ohne den realen Schutz zu erhöhen.
Was Sie heute tun sollten
Priorisierte Liste, von oben nach unten:
- E-Mail-Konto: Hardware-Key oder Passkey aktivieren. Wenn das verloren geht, kann jemand mit Ihrem Mail-Reset alles andere zurücksetzen.
- Domain-Registrar (1&1, Strato, GoDaddy etc.): Hardware-Key oder TOTP. Verlust einer Geschäftsdomain ist katastrophal.
- Hosting / Webseiten-Admin: TOTP minimum.
- Banking, Steuern: nutzen Sie das, was die Bank anbietet — bei der Sparkasse oft chipTAN, das ist ähnlich sicher wie Hardware-Key.
- Social Media, Marketing-Tools: TOTP.
Und überall, wo aktuell SMS aktiv ist und eine bessere Methode verfügbar ist: wechseln. Das dauert pro Konto fünf Minuten und ist die beste sicherheitstechnische Stunde, die Sie in diesem Jahr investieren können.
Sicherheits-Setup einmal gemeinsam durchgehen?
Ich schaue mir mit Ihnen Ihre wichtigsten Konten an — E-Mail, Domain, Hosting, Banking — und priorisiere, was wirklich kritisch ist. Eine Stunde, in der Sie ruhiger schlafen.