Eine klassische SMS verschicken, machen viele schon lange nicht mehr. Wenn es um die Zwei-Faktor-Authentifizierung (2FA) geht, setzen viele Onlineportale noch auf den SMS-Code beim Login. Aber selbst der hat langsam ausgedient. Aus Gründen.
Ob Online-Banking, Mailkonto oder Shoppingportal: Wer sich verifizieren soll, bekommt dafür häufig einen SMS-Code aufs Handy. Stichwort: Zwei-Faktor-Authentifizierung (2FA). Immer mehr Internetdienste streichen aber die Möglichkeit, den eigenen Account per SMS-Code zu bestätigen. Dazu gehört jetzt auch Google mit seinen Gmail-Konten.
Google verabschiedet sich von der SMS
"Die Umstellung wird wohl in den kommenden Monaten für viele von uns spürbar, denn bislang ist bei Google-Diensten der SMS-Code zur Passwort-Wiederherstellung oder Zwei-Faktor-Authentifizierung (2FA) weit verbreitet", sagt Deutschlandfunk-Nova-Netzreporter Andreas Noll. Die Idee dahinter: Ein zusätzliches Sicherheitsmerkmal bietet besseren Schutz als lediglich das eine Passwort. So erklärt es ein Gmail-Sprecher.
Der Schritt erfolgt aus Sicht unseres Netzreporters vor allem aus Sicherheitsgründen: "Am Rande mögen auch Kostenaspekte oder Komfortfragen eine Rolle gespielt haben, aber das scheint mir untergeordnet."
"Das Problem ist zum Beispiel, dass SMS-Codes unverschlüsselt übertragen werden und damit anfällig für diverse Angriffsformen sind, wie das Abfangen der Nachrichten über kompromittierte Mobilfunknetze."
Erst vor wenigen Wochen wurde in den USA ein folgenschwerer Cyberangriff bekannt, bei dem chinesische Hacker offenbar Zugriff auf SMS-Nachrichten in den USA erhalten haben. Die US-Cybersecurity-Behörde hat in diesem Zusammenhang noch einmal auf die Gefahren hingewiesen und zum Einsatz verschlüsselter Chat-Apps wie Signal geraten. Von der Behörde heißt es dazu: "Ein Angreifer, der Zugriff auf ein Telekommunikationsnetzwerk hat, kann diese Nachrichten – also SMS – abfangen und lesen."
Betrug mit SIM-Swapping nimmt zu
Es gibt aber noch weitere Gefahren: dazu gehört das SIM-Swapping. Eine Betrugsform, die in letzter Zeit zugenommen hat. Dabei verschaffen sich Kriminelle durch Phishing zunächst Zugang zum Mobilfunkkonto einer Person. Dann bestellen sie von dort eine neue eSIM und installieren sie auf einem eigenen Gerät. "Einmal mit unserer Handynummer ausgestattet übernehmen die Betrüger*innen dann die Kontrolle über das Online-Banking, Email-Konten und andere Dienste. Und dann haben sie natürlich auch Zugang zu den SMS", erklärt unser Netzreporter.
QR-Codes Alternative zur SMS
Als Ersatz für die SMS sind offenbar QR-Codes geplant, so Andreas Noll. Google spricht dabei von einem "innovativen Ansatz". Der so aussieht: Statt sechs Zahlen aus einer SMS in ein Formular einzutippen, müsste man mit dem Handy einen QR-Code vom Bildschirm scannen. Für unseren Netzreporter "auf jeden Fall ein Schritt zu mehr Sicherheit für das eigene Postfach".
"Ich sehe jetzt keinen Grund, warum man der Bestätigungs-SMS eine Träne nachweinen müsste."
Auch der zusätzliche Aufwand sei übersichtlich, sagt Andreas Noll: "Da man den QR-Code einfach mit der Kamera-App fotografieren kann. Man wird aber eventuell auch die Authenticator-App benötigen, die viele schon kennen, weil sie auch für andere Dienste zum Login gebraucht wird."
Google setzt damit wie andere große Plattformen und Dienste auf sichere Alternativen, weil das System SMS zu anfällig ist,. sagt unser Netzreporter: "Viele Unternehmen wie Microsoft, Apple oder auch Meta drängen die User verstärkt dazu, Passkeys oder App-basierte Authentifizierung zu verwenden. Bei den Banken ist auch die TAN-SMS auf dem Rückzug."
Für die kommenden Jahre rechnet Andreas Noll damit, dass die biometrische Authentifizierung über Face ID oder Fingerabdruck weiter zunehmen wird.