28. Dez 2020   Business Finanz Recht Tools

Neues Handy? Vorsicht Falle durch „sichere Anmeldung“

©ejn

User-Konten. Lag ein neues Smartphone unter dem Christbaum? Geben Sie das alte noch nicht weg – Sie brauchen es, um das neue für Banking, Online-Shops u.a. freizuschalten.

Zahlreiche Online-Dienste verlangen heutzutage für die Anmeldung die 2-Faktor-Authentifizierung: Beim Einloggen wird ein TAN auf das Smartphone gesendet oder die Anmeldung muss dort mittels einer eigenen App bestätigt werden. Die Bandbreite reicht von Banking-Apps wie der „s Identity App“ (Erste Group / Sparkassen) über das Online-Shopping (z.B. Amazon) bis zu virtuellen Software-Shops und Gaming-Plattformen wie Steam.

Für viele Anbieter insbesondere in der Finanzbranche ist diese Form der Anmeldung sogar inzwischen gesetzlich vorgeschrieben. Andere setzen auf sanften Druck in diese Richtung, z.B. Handy-Hersteller Apple oder Android-Systemlieferant Google. Und zweifellos ist sie bei richtiger Anwendung sicherer als der herkömmliche Weg, der nur auf die Passwort-Eingabe setzt. Schlüsselfaktor ist dabei die Verfügbarkeit eines zweiten Geräts, über das ein potenzieller Angreifer nicht verfügt.

Genau dies kann aber zur Falle werden, wenn Sie als legitimer Besitzer plötzlich ebenfalls nicht mehr über das berechtigte Gerät verfügen. So macht etwa die Erste Bank derzeit auf ihrer Website prominent auf diese Gefahr aufmerksam. „Neues Smartphone oder neuer Computer zu Weihnachten? Bitte denken Sie daran, dass Sie für Ihr neues Gerät auch einen neuen s Identity-Aktivierungs-Code benötigen“, heißt es dort: „Wichtig: Löschen Sie die Verknüpfung mit dem alten Gerät erst danach.“

Schritt für Schritt zum Neustart

Der Umstieg vom alten auf das neue Smartphone (oder auch Notebook, Tablet, etc.) ist ein kritischer Augenblick in der ansonsten gut durchdachten Sicherheitskette der 2-Faktor-Authentifizierung. Die Grundproblematik gleicht sich von Anbieter zu Anbieter stark. Zwar sind Banken typischerweise strenger als z.B. Software-Shops, Fallen lauern aber überall.

Wenn Sie beispielsweise über ein Konto bei der Gaming-Plattform Steam verfügen, so müssen Sie ein neues Gerät bei der ersten Inbetriebnahme zunächst legitimieren. Dazu erzeugen Sie auf Ihrem – bereits vorher legitimierten – Smartphone einen einmalig verwendbaren Code, den Sie beim neuen Gerät eingeben. Ab diesem Augenblick können Sie sich dort nach Belieben an- und abmelden, für Steam ist es nun ein akzeptables Gerät.

Zwar ist es möglich, diesen Zwang zum Einmalcode abzuschalten – doch das Problem ist klar: Haben Sie sich von Ihrem alten Smartphone bereits getrennt, so verfügen Sie über keine Möglichkeit mehr, ein neues Gerät zu legitimieren. Daher können Sie Ihr neues Gerät nicht verwenden, geschweige denn dort den Zwang zum Einmalcode abschalten.

Eigentlich ist diese Gefahr ja offensichtlich, aber manchmal schlägt sie trotzdem zu, und wenn man draufkommt, ist es bereits zu spät. Ganz besonders fatal ist die Situation, wenn Sie z.B. Ihr altes iPhone hergeben, bevor Sie dort den Code generiert haben, mit dem Sie sich auf dem neuen Handy erstmalig bei Apple anmelden können…

So steigen Sie richtig auf das neue Smartphone um

Wenn Sie sich den Zugang zu Ihren diversen Online-Accounts bewahren möchten, so empfiehlt sich ein Umstieg mit Sicherheitsnetz: Geben Sie Ihr altes Gerät nicht gleich her, führen Sie keine Neuinstallation („Zurücksetzen“ des Smartphones) durch und melden Sie sich auch noch nicht von Ihren diversen Accounts ab, sondern legitimieren Sie zunächst Ihr neues Gerät für alle benötigten Dienste.

Teilweise besteht die Möglichkeit, die installierten Apps auf das neue Gerät zu übertragen, was aber vielfach trotzdem eine Neuanmeldung bei den einzelnen Apps erforderlich machen wird. In jedem Fall sollten Sie nach erfolgtem Umstieg alle Ihre Lieblings-Apps durchgehen, bis Sie sicher sind, dass alle gewünschten Accounts am neuen Handy funktionieren.

Ist ein solcher vorsichtiger Wechsel nicht möglich, so schalten sie die 2-Faktor-Authentifizierung zeitweise ab, steigen Sie auf das neue Gerät um, und schalten Sie sie dann wieder ein. Bei Banken und anderen Finanzdienstleistern wird Ihnen das allerdings nicht gelingen – die Unternehmen dürfen die Möglichkeit schlicht nicht anbieten. Und die 2-Faktor-Authentifizierung wird künftig auch bei anderen kommerziellen Online-Präsenzen gesetzliche Pflicht sein.

Im Fall des Falles

Für den Fall, dass man sich trotz aller Vorsicht doch permanent von einem Dienst ausgesperrt hat, bleibt meistens nur der Gang zum Kundendienst – bei einer Bank die nächstgelegene Filiale – bzw. die Kontaktaufnahme mit dem Online-Support.

Die Bankiers, Shop-Betreiber & Co müssen Sie dann halt durch diverse Identitätsnachweise überzeugen, dass Sie auch wirklich Sie sind. Das können je nach Anbieter Ausweiskopien, ev. auch Kaufbelege o.ä. sein. Es wird Ihnen wohl gelingen, kostet aber möglicherweise viel Zeit. Der erhoffte gemütliche Video-Abend mit Netflix oder Amazon Prime ist da schnell verpasst. Und wer 5 Minuten vor Schluss noch rasch eine dringende Buchung vornehmen oder eine Gebühr bezahlen muss, kann durch die missglückte 2-Faktor-Authentifizierung in ernsthafte Bedrängnis geraten.

Aufräumen am Schluss

Übrigens sollten Sie am Ende in jedem Fall ihr altes Gerät ent-legitimieren, wenn Sie es verkaufen, verschenken oder entsorgen wollen. Das bedeutet, dass Sie sich dort von allen Konten abmelden – inklusive Apple, Google, Microsoft und andere Herstellerkonten – und es zurücksetzen, wobei Sie unbedingt die Option der kompletten Löschung des Geräts wählen sollten.

 

    Weitere Meldungen:

  1. Living Standards Award 2021: Die Preisträger
  2. Steuerberater: Neue Partner bei LBG, Mazars und Rabel
  3. Erste Corona-Fälle: Grand Hotel unter dem Hammer
  4. Healthcare-Deals bei CMS, Gleiss Lutz und mehr