Neue 2-Schritt-Authentifikationsprozesse versprechen mehr Sicherheit für Internet-Accounts. Sind diese aber wirklich immer die bessere Zugangskontrolle?

1 min.

Wie funktioniert die 2-Schritt Authentifizierung?

Normalerweise gibt man bei der Anmeldung – beispielsweise beim E-Mail-Client GMX – seinen Benutzernamen und das dazugehörige Passwort ein.

Dieses Verfahren besteht nur aus einem Schritt (Eingabe von Benutzernamen und Passwort).

Bei der 2-Schritt Authentifizierung tritt noch eine weiterer Schritt dazu: Neben Benutzernamen und Passwort fragt das System nach einer Handynummer (auch Verifikationssnummer genannt). Anschließend erhält man eine SMS mit einem Zugangs- bzw. Bestätigungscode. Dieser wird nach Benutzernamen und Passwort als zusätzliche Authentifizierung eingegeben.

Aber warum ein so aufwendiges Verfahren?

Durch die Verifikation mit der Telefonnummer soll sichergestellt werden, dass es sich tatsächlich um die Person handelt, zu der auch der Benutzername und das entsprechend gewählte Passwort gehören – es sich dabei also nicht um einen Unberechtigten handelt, der zum Beispiel durch Hacking an Benutzernamen und Passwort gelangte.

 

Wer bietet das Verfahren an?

Der E-Mail-Dienst Yahoo bietet die Möglichkeit einer 2-Schritt-Verifikation an. Wer aber nicht unbedingt auf die neue 2-Schritt-Lösung umstellen möchte – der muss auch nicht – Yahoo zwingt seine Nutzer nicht; es steht jedem frei dieses Verfahren zu nutzen oder eben auch nicht.

Beispiel 2-Schritt-Kontensicherung Bild 2

Beispiel der 2-Schritt-Authentifizierung beim Anbieter Yahoo

 

Damit der Dienst nun die SMS mit der Verifikationsnummer zusenden kann, benötigt er natürlich zunächst erst einmal die Handynummer.

An diesem Punkt beginnt die datenschutzrechtliche Problematik. Sicherheit geht hier grundsätzlich auf Kosten des Datenschutzes. Mit der Preisgabe der Handynummer verfügt der Dienst über ein weiteres persönliches Datum und könnte dieses Datum auch anderweitig nutzen, als nur den Account besser abzusichern – kurz: Es besteht die Gefahr des Missbrauchs.

Hier muss der Nutzer also selbst zwischen der Sicherheit seines Accounts und der Preisgabe eines weiteren personenbezogenen Datums – der persönlichen Handynummer  – abwägen.

 

Empfehlung

Sollte der Dienst die Handynummer aus irgendwelchen Gründen bereits besitzen, wird das Risiko eines Missbrauchs durch die Benennung der Mobilnummer (um die Funktionalität der 2-Schritt-Authentifizierung nutzen zu können) nicht erheblich steigen.
Anders, wenn der Dienst die Nummer noch nicht kennt. Dann sollte man sich wirklich überlegen, ob eine erhöhte Sicherheit die Offenbarung der Rufnummer rechtfertigt.

Geht es um Dienste, wie Facebook, Google o.ä., also Anbieter, die ihr Geld fast ausschließlich mit Werbung verdienen, ist Vorsicht geboten und im Zweifel die Nummer nicht preiszugeben.

Handelt es sich um einigermaßen geschlossene Systeme im eigenen Unternehmen zB. also Dienste, die ihr Geld nicht in erster Linie mit der Verwertung Ihrer persönlichen Daten Geld verdienen, dann spricht weniger dagegen, die Handynummer zur Erlangung eines Mehr an Sicherheit, herauszugeben.

Wer hat bei wem schon sich zu einer 2-Schritt Authentifizierung angemeldet?

Ich bin auf Ihre Erfahrungsberichte gespannt.

__

Über den Autor

Mein Name ist Julius S. Schoor. Ich bin Rechtsanwalt und spezialisiert auf IT-Vertragsrecht. Seit 2011 bin ich als Datenschutzbeauftragter TÜV-zertifiziert und bereits für mehrere Unternehmen als solcher offiziell bestellt.

Kommentieren Sie diesen Beitrag!

Die Daten werden nur dafür verarbeitet, die Kommentarfunktion des Blogs zu ermöglichen.
Soweit Sie mir eine persönliche Nachricht schreiben wollen, nutzen Sie bitte die Seite Kontakt.
Im Übrigen gelten meine Datenschutzhinweise.