Wir bei sipgate haben für unsere Kund:innen seit Anfang März die Zwei-Faktor-Authentifizierung live gestellt. Gern hätten wir das schon ein wenig eher getan, aber vorher mussten wir noch einige technische Altlasten loswerden – und zum Beispiel alte APIs abschalten. Unser Tipp an euch: Aktiviert die Zwei-Faktor-Authentifizierung! Und das am besten nicht nur in eurem sipgate Account.
Schwächelnde Passwörter
Die Schwachstelle in den Accounts heißt Login. Da, wo sipgate Kund:innen sich mit Mailadresse und Passwort anmelden, gibt es auch die meisten Angriffspunkte. Zum Beispiel unsichere Passwörter. Die können nämlich mit überschaubarem technischen Aufwand geknackt und anschließend veräußert werden. Einer, der sich in der Materie auskennt, ist Steffen, seines Zeichens Entwickler und bei uns gemeinsam mit einigen Kollegen für die IT-Sicherheit zuständig. “Der Login ist das Einfallstor für Betrüger und Betrügerinnen. Accounts von Kund:innen, die schwache, wenig komplexe Passwörter vergeben haben, sind dann besonders begehrt.” Ein schwaches Passwort ist der eine Punkt, “der andere ist”, so Steffen, “dass Menschen oftmals ein Passwort für viele ihrer Accounts nutzen. Wenn dann deren Benutzernamen und Passwort geleakt wurden, tritt der Schaden gleich an mehreren Stellen auf und ist entsprechend groß.”
Experten-Tipp: Passwort-Manager nutzen!
Steffens Kollege Jan rät daher dringend zur Nutzung eines Passwort-Managers. “Man sollte für jeden seiner Accounts ein unterschiedliches und komplexes Passwort haben. Da bietet sich die Nutzung eines Passwort-Managers unbedingt an, denn keiner kann sich für alle seine Accounts unterschiedliche, komplexe Passwörter merken. Diese Manager machen es einem sehr viel einfacher und erhöhen die Sicherheit.” Leider, so seine Erfahrung, nutzen die wenigsten User:innen einen solchen Manager. Und damit sind wir wieder beim Punkt. Ungeschützte, oder besser: unzureichend geschützte, Accounts sind mitunter leichte Beute.
Guthaben fleißig leer telefonieren
Ja, aber was wollen die Betrüger:innen denn um alles in der Welt mit so einem Account anstellen, wenn sie ihn mal gekapert haben? Och, da gibt es so einige Szenarien. Das häufigste: Betrüger:innen telefonieren fleißig die Guthaben der Accounts leer. So lange, bis der Betrug aufgefallen ist. Auch gerne gemacht: Menschen rufen einige dieser absurd teuren Rufnummern an. Das dabei erbeutete Geld wird sich dann ganz brüderlich/schwesterlich mit dem/derjenigen geteilt, der/die diese Nummer aufgesetzt hat.
In wenigen Fällen geht es auch einfach um die persönlichen Informationen und Daten, die in so einem Account liegen. Der Weg der kriminellen Verwertungskette ist meistens so, dass zuvor gehijackte Accounts in diesem ominösen Darknet zum Kauf angeboten werden. Die Käufer:innen melken den jeweiligen Account dann so lange, bis der Betrug auffällt. Was Dank unserer aufmerksamen Mitarbeiter:innen immer schnell geschieht. Trotzdem: Ihr als Kund:innen, die ihr ja für die Sicherheit eures Accounts selber zuständig seid, habt zumindest mal Sorgen und Verwaltungsaufwand.
Höhere Hürden für Betrüger:innen
Grund genug also, es den Betrüger:innen nicht zu einfach zu machen. reCAPTCHA war ein erster dieser Schritte (Mehr zum Thema gibt es in dem Blogbeitrag zu reCAPTCHA). Einen zweiten, wichtigen, sind wir Anfang des Monats gegangen. Da haben wir nämlich die Zwei-Faktor-Authentifizierung für unsere Kund:innen auf live gesetzt. Und sind damit nicht nur einem länger gehegten Wunsch aus der Kundschaft nachgekommen, sondern haben auch ein Feature umgesetzt, was auf unserer sipgate Wunschliste stand. Denn, auch wenn man sich mit der Zwei-Faktor-Authentifizierung nicht aller Angriffe final entledigt. Die Hürde, Accounts auf relativ einfachem Wege zu kapern, ist dadurch eine sehr viel höhere geworden. “Die Zwei-Faktor-Authentifizierung löst nicht alle Probleme, macht die Accounts unserer Kund:innen aber sehr viel sicherer”, weiß auch Cenk aus dem IT-Security-Team.
So geht’s
Was müssen Sie als Kund:innen tun? Cenk zählt die Schritte auf: “Zwei-Faktor-Authentifizierung im Account freischalten, Authenticator-App zum Beispiel auf dem Handy installieren, QR-Code einscannen, im Account einloggen, sechsstelligen Code aus der App ablesen und eintippen, abschicken, fertig.” Klingt ein wenig kompliziert, ist aber wirklich intuitiv und mit einem Mini-Aufwand eingerichtet und umgesetzt. “Das ist wirklich die verbreitetste und am einfachsten zu verstehende Lösung aktuell”, bestätigt auch Jan. Eine detaillierte Beschreibung zur Zwei-Faktor-Authentifizierung gibt es in unserem Hilfecenter.
Offene Fragen
Bleiben noch ein paar Fragen:
- Warum Authenticator-App und nicht SMS? Die SMS bietet sich für die Authentifizierung nicht an. Die Zustellung dauert mitunter, man muss Mobilfunk-Netzempfang haben und der Zustellungsprozess ist unsicher. Zumal die Authenticator-App auch für eure anderen Dienste genutzt werden kann.
- Was passiert, wenn ich mein Handy verliere? Kann ich mich dann nicht mehr einloggen? Doch, das geht auch dann noch. In solchen Fällen kann der Admin des Accounts die Zwei-Faktor-Authentifizierung für den jeweiligen User temporär deaktivieren. Geht das aus irgendwelchen Gründen nicht, könnt ihr jederzeit unsere Kundenbetreuung kontaktieren. Die findet ganz sicher eine Lösung!
- Ist die Zwei-Faktor-Authentifizierung barrierefrei? In der Theorie ist sie das. Wir sind da aber noch in der Erprobungsphase. Wir freuen uns aber auf jeden Fall über eure Anregungen und Rückmeldungen.
- Wie viele Menschen haben ihren sipgate Account schon mit dem zweiten Faktor abgesichert? Stand 10. März waren es rund 320 Accounts. Dazu muss man sagen, dass der Livegang im Stillen passiert ist und wir mit diesem Blogpost erst beginnen, das Ganze offensiv öffentlich zu machen.
Ist das der Weisheit letzter Schritt? Nö, ist es nicht. Unser Security-Team wird jetzt nicht die Hände in den Schoß legen. Denen schwebt schon eine noch sicherere, weiter entwickelte Lösung vor. Aktuell werden Köpfe zusammengesteckt und Pläne geschmiedet. Wir halten euch wie immer auf dem Laufenden!
16 Kommentare
Werner:
Ich habe meine beiden Sipgate Free Accounts bereits umgestellt auf die Google Authifikations App als ich davon gelesen habe. Ich habe mich schon gefragt, wann hier ein Artikel dazu erscheinen wird.
Vielleicht gibt es ja noch sicherere Möglichkeiten wie die verschiedenen Authifikations Apps, allerdings sind mir diese Möglichkeiten dann nicht geläufig, nicht bekannt.
Es sollte für jeden selbstverständlich sein einen Passwort Manager mit einem Passwort Generator zu nutzen.
Es sollte aber auch selbstverständlich sein, dass es überall die Möglichkeit gibt mit den Authifiikations Apps sich bei allen Anmeldungen die zusätzliche Sicherheit nutzen zu können. Leider gibt es noch viele zu viele die SMS dafür nutzen. SMS sind nicht sicher genug. Das sollte eigentlich überall bekannt sein finde ich.
Roga Hagen:
Noch sicherer als eine Authentication App wäre eine hardwarebasierte Lösung mit einem USB Key wie zb. von Yubikey https://www.yubico.com/der-yubikey/
Stefan:
FIDO2 wär‘ ’ne gute Sache. Das ginge dann mit Windows Hello (PIN oder Fingerabdruck).
Tobias:
„Was passiert, wenn ich mein Handy verliere? Kann ich mich dann nicht mehr einloggen? Doch, das geht auch dann noch. In solchen Fällen kann der Admin des Accounts die Zwei-Faktor-Authentifizierung für den jeweiligen User temporär deaktivieren.“
Wer ist denn „der Admin des Accounts“ – wenn nicht der Account-Inhaber selbst?
steffen:
Hallo Tobias,
da ging es um das Szenario eines Business-Accounts samt Admin und Webusern. In deinem Fall müsstest du sich dann bitte direkt an unser Kundenbetreuung wenden.
Roga Hagen:
Gleiches gilt, wenn sich der Admin selbst aussperrt, weil es zur Zeit keine recovery codes gibt.
steffen:
Hi Roga,
das haben wir auf dem Schirm und da sind wir dran. Update dazu gibt es bald.
uwe:
Hatte mal ein kaputtes Smartphone und die „Google Authifikations App“ für mein PayPal Konto benutzt. Hat gut 2 Wochen und gefühlt tausend Telefonate gedauert, bis ich wieder an mein PayPal Account kam. Seitdem: Nie wieder und wenn dann die älteste Technik, SMS eben. Die geht auch beim nächsten Telefon.
Solange die „Google Authifikations App“ meine Zugänge nicht mit der mobilen Nummer verknüpfen ist das alles blödsinn für mich.
Tobias:
Vielleicht mal ein Backup der Einträge in der Authenticator-App machen?
Thomas:
1. Backup der Einrichtungscodes
2. Alternativ die 2-Faktor-Codes in eine Passwortverwaltung eintragen
Matthias:
Bei den Business Accounts wäre es aus meiner Sicht sinnvoll, wenn der Administrator 2FA für alle Benutzer(konten) aktivieren könnte, so dass nur er den Nutzern mit seiner Authenticator-App den Zugang zum Account gewähren kann.
anonym:
Eine Google APP zur Absicherung, ein aus meiner Sicht ganz schlechter Scherz,
Lieber Chip-TAN mit Code Karte, das ist unabhängig vom Smartphone und Wirklich Sicher.
Schaut euch mal Rainer SCT an.
anonym:
Du kannst auch jede andere TOTP App benutzen.
Sam Jost:
Kann ich die 2FA mit meinen FIDO2-Keys verwenden?
Das wäre mir deutlich lieber als irgendwelche Apps, die ja auch nur wieder so sicher sind wie das Handy.
steffen:
Moin Sam, das geht leider noch nicht. Wir arbeiten am Thema und liefern das bald. Wenn es soweit ist, geben wir Bescheid.
anonym:
Du kannst den TOTP Schlüssel übergangsweise auf einem yubikey speichern, solltest du einen haben.