Zum Hauptinhalt springen

Was ist 2FA? Leitfaden zur Zwei-Faktor-Authentifizierung

Was ist 2FA? Wie Zwei-Faktor-Authentifizierung funktioniert, die fünf Arten von 2FA und wie Sie sie auf Ihren wichtigsten Konten aktivieren.

Zuletzt aktualisiert: 5. April 2026

Passwörter allein reichen nicht aus, um Ihre Online-Konten zu schützen. Datenlecks legen jedes Jahr Milliarden von Anmeldedaten offen, und selbst starke Passwörter können durch Phishing, Keylogger oder Brute-Force-Angriffe kompromittiert werden. Zwei-Faktor-Authentifizierung (2FA) fügt eine zweite Verteidigungsebene hinzu — selbst wenn jemand Ihr Passwort stiehlt, kann er ohne den zweiten Faktor immer noch nicht auf Ihr Konto zugreifen. Dieser Leitfaden erklärt, was 2FA ist, wie jede Methode funktioniert, welche Typen am sichersten sind und wie Sie es auf Ihren wichtigsten Konten einrichten. Es ist einer der einzeln effektivsten Schritte, die Sie unternehmen können, um Ihr digitales Leben zu schützen.

Arten der Zwei-Faktor-Authentifizierung

SMS-Codes

Ein Einmalcode wird per SMS an Ihre Telefonnummer gesendet. Sie geben diesen Code nach Ihrem Passwort ein, um die Anmeldung abzuschließen. SMS 2FA ist die am weitesten verbreitete Methode — fast jeder Dienst unterstützt sie und sie erfordert keine zusätzlichen Apps oder Hardware. Sie ist jedoch die schwächste Form von 2FA aufgrund der Anfälligkeit für SIM-Swapping-Angriffe (bei denen ein Angreifer Ihren Anbieter überzeugt, Ihre Telefonnummer auf seine SIM-Karte zu übertragen) und SS7-Protokoll-Exploits, die SMS abfangen können.

  • Vorteile: Weit verbreitet unterstützt, keine App nötig, funktioniert auf jedem Telefon
  • Nachteile: Anfällig für SIM-Swapping, SS7-Abfangen und Social-Engineering-Angriffe auf Telefonanbieter

Authentifizierungs-Apps (TOTP)

Zeit-basierte Einmalpasswort (TOTP) Apps generieren alle 30 Sekunden einen neuen 6-stelligen Code unter Verwendung eines gemeinsamen Geheimnisses und der aktuellen Zeit. Beliebte Apps sind Google Authenticator, Authy, Microsoft Authenticator und Ente Auth. TOTP ist deutlich sicherer als SMS, da Codes lokal auf Ihrem Gerät generiert werden — es gibt keinen Übertragungskanal zum Abfangen. Die Codes funktionieren offline und sind nicht an Ihre Telefonnummer gebunden. Dies ist die empfohlene 2FA-Methode für die meisten Menschen, die starke Sicherheit mit Benutzerfreundlichkeit ausbalanciert.

  • Vorteile: Sicher, offline-fähig, kostenlose Apps verfügbar, nicht an Telefonnummer gebunden
  • Nachteile: Verlust Ihres Geräts ohne Backup-Codes sperrt Sie aus; Phishing-Sites können Codes immer noch in Echtzeit erfassen

Hardware-Sicherheitsschlüssel

Physische Geräte wie YubiKey, Google Titan und SoloKeys werden in Ihren USB-Anschluss gesteckt oder über NFC angetippt, um zu authentifizieren. Hardware-Schlüssel verwenden den FIDO2/WebAuthn-Standard, der von Natur aus phishing-resistent ist — der Schlüssel verifiziert kryptografisch die Domain der Website vor der Authentifizierung, was es Phishing-Sites unmöglich macht, abzufangen. Google verlangt, dass alle Mitarbeiter Hardware-Schlüssel verwenden, und meldete null erfolgreiche Phishing-Angriffe seit der Implementierung. Schlüssel kosten $25-70 und sind die sicherste verfügbare 2FA-Methode.

  • Vorteile: Stärkste Sicherheit, phishing-resistent, keine Batterien, funktioniert offline, langlebig
  • Nachteile: Kostet $25-70, kann verloren oder vergessen werden, nicht von allen Diensten unterstützt

Biometrie

Fingerabdruckscanner (Touch ID), Gesichtserkennung (Face ID) und Iris-Scanner verwenden Ihre physischen Eigenschaften als Authentifizierungsfaktor. Biometrie ist bequem — Sie haben sie immer bei sich und sie kann nicht vergessen werden. Sie funktionieren als zweiter Faktor neben Passwörtern auf vielen Geräten und Diensten. Biometrie kann jedoch nicht geändert werden, wenn sie kompromittiert ist (im Gegensatz zu einem Passwort), und kann in vielen Gerichtsbarkeiten von Strafverfolgungsbehörden erzwungen werden. Die Qualität variiert erheblich zwischen Geräten.

  • Vorteile: Bequem, immer verfügbar, schnelle Authentifizierung, schwer zu replizieren
  • Nachteile: Kann nicht geändert werden, wenn kompromittiert, kann rechtlich erzwungen werden, Qualität variiert je nach Gerät

Passkeys

Passkeys sind der neueste Authentifizierungsstandard, der entwickelt wurde, um Passwörter vollständig zu ersetzen. Basierend auf FIDO2/WebAuthn verwenden Passkeys Public-Key-Kryptografie — Ihr Gerät speichert einen privaten Schlüssel und der Dienst speichert den entsprechenden öffentlichen Schlüssel. Die Authentifizierung erfolgt über den biometrischen Sensor oder die PIN Ihres Geräts, ohne Passwort zum Eingeben, Phishing oder Stehlen. Apple, Google und Microsoft haben Passkey-Unterstützung in ihre Betriebssysteme integriert. Passkeys synchronisieren sich über Geräte hinweg über iCloud Keychain, Google Password Manager oder andere Anbieter und kombinieren die Sicherheit von Hardware-Schlüsseln mit dem Komfort der Biometrie.

  • Vorteile: Phishing-resistent, keine Passwörter zu merken, synchronisiert über Geräte, schnell
  • Nachteile: Relativ neu, noch nicht universell unterstützt, Plattform-Lock-in-Bedenken bei synchronisierten Passkeys

2FA-Best-Practices

  1. Aktivieren Sie 2FA zuerst auf Ihrem E-Mail-Konto — es ist der Hauptschlüssel zu all Ihren anderen Konten. Wenn jemand Ihre E-Mail kompromittiert, kann er Passwörter bei jedem damit verbundenen Dienst zurücksetzen. Ihre E-Mail ist das wichtigste einzelne Konto, das Sie mit 2FA schützen sollten.
  2. Verwenden Sie eine Authentifizierungs-App anstelle von SMS, wann immer möglich. TOTP-Apps sind immun gegen SIM-Swapping und SS7-Angriffe. Wenn ein Dienst nur SMS-basierte 2FA anbietet, verwenden Sie sie trotzdem — SMS 2FA ist immer noch dramatisch besser als gar keine 2FA.
  3. Bewahren Sie Backup-Codes an einem sicheren, separaten Ort auf. Speichern Sie sie in einem Passwort-Manager (anders als der durch 2FA geschützte), drucken Sie sie aus und bewahren Sie sie in einem Safe auf oder schreiben Sie sie auf Papier, das sicher aufbewahrt wird. Speichern Sie Backup-Codes niemals in einer unverschlüsselten Notiz auf demselben Gerät wie Ihren Authenticator.
  4. Erwägen Sie einen Hardware-Sicherheitsschlüssel für Ihre kritischsten Konten — E-Mail, Banking, Cloud-Speicher und Passwort-Manager. Ein YubiKey 5 NFC ($50) funktioniert mit USB-A, USB-C und NFC und deckt praktisch jedes Gerät ab. Registrieren Sie zwei Schlüssel pro Konto, damit Sie ein Backup haben.
  5. Auditieren Sie regelmäßig, welche Konten 2FA aktiviert haben. Verwenden Sie einen Passwort-Manager, um den Überblick zu behalten. Prioritätsreihenfolge: E-Mail, Bank- und Finanzdienstleistungen, Cloud-Speicher, soziale Medien, Shopping-Sites mit gespeicherten Zahlungsmethoden und alle Arbeits- oder Berufskonten.

So richten Sie 2FA ein

Die Einrichtung von 2FA dauert pro Konto weniger als fünf Minuten. Hier ist der Prozess für 2FA basierend auf einer Authentifizierungs-App, die für die meisten Menschen die empfohlene Methode ist:

  1. Sicherheitseinstellungen öffnen:Navigieren Sie zu den Sicherheitseinstellungen Ihres Kontos. Suchen Sie nach "Zwei-Faktor-Authentifizierung," "Bestätigung in zwei Schritten," oder "Anmeldesicherheit." Bei Google gehen Sie zu myaccount.google.com > Security > 2-Step Verification. Bei Apple gehen Sie zu Settings > [Ihr Name] > Sign-In & Security.
  2. 2FA-Methode wählen:Wählen Sie Ihre 2FA-Methode. Wählen Sie "Authenticator App" für das beste Gleichgewicht zwischen Sicherheit und Komfort. Installieren Sie eine TOTP-App, falls Sie noch keine haben — Google Authenticator, Authy oder Ente Auth sind alle solide Optionen. Authy und Ente Auth bieten verschlüsseltes Cloud-Backup Ihrer Codes.
  3. QR-Code scannen:Scannen Sie den auf dem Bildschirm angezeigten QR-Code mit Ihrer Authentifizierungs-App. Die App generiert einen 6-stelligen Code, der alle 30 Sekunden aktualisiert wird. Geben Sie den aktuellen Code ein, um zu überprüfen, ob die Einrichtung korrekt funktioniert.
  4. Backup-Codes speichern:Speichern Sie Ihre Backup-Codes sofort. Die meisten Dienste stellen Einmal-Wiederherstellungscodes bereit, mit denen Sie wieder Zugriff erhalten, falls Sie Ihr Authentifizierungsgerät verlieren. Speichern Sie diese in einem Passwort-Manager, drucken Sie sie aus oder schreiben Sie sie auf und bewahren Sie sie an einem sicheren Ort getrennt von Ihren Geräten auf. Ohne Backup-Codes könnte der Verlust Ihres Telefons Sie dauerhaft aus Ihrem Konto aussperren.

Häufig gestellte Fragen

Deshalb sind Backup-Codes unerlässlich. Wenn Sie 2FA einrichten, stellen die meisten Dienste Wiederherstellungscodes bereit — Einmal-Codes, die 2FA umgehen. Verwenden Sie einen, um wieder Zugriff zu erhalten, und richten Sie dann 2FA auf Ihrem neuen Gerät erneut ein. Wenn Sie Authy oder Ente Auth verwenden, werden Ihre Codes in verschlüsseltem Cloud-Speicher gesichert und können auf einem neuen Gerät wiederhergestellt werden. Google Authenticator unterstützt nun auch Cloud-Backup. Wenn Sie keine Backup-Codes und keine Wiederherstellungsmethode haben, müssen Sie den Kontowiederherstellungsprozess des Dienstes durchlaufen, was Tage oder Wochen dauern und Identitätsverifizierung erfordern kann.

Absolut ja. Trotz ihrer Anfälligkeit für SIM-Swapping und SS7-Angriffe blockiert SMS 2FA die überwältigende Mehrheit der automatisierten Angriffe. Googles Forschung zeigte, dass sie 100% der automatisierten Bots und 96% der Massen-Phishing-Angriffe stoppt. Das realistische Bedrohungsmodell für die meisten Menschen umfasst kein gezieltes SIM-Swapping — das ist hauptsächlich ein Risiko für hochwertige Ziele wie Kryptowährungsinhaber und öffentliche Personen. Wenn ein Dienst nur SMS 2FA anbietet, aktivieren Sie es. Jede 2FA ist dramatisch besser als keine 2FA.

Keine 2FA-Methode ist zu 100% unknackbar, aber die Schwierigkeit variiert enorm. SMS-Codes können über SIM-Swapping abgefangen werden. TOTP-Codes können in Echtzeit mit ausgeklügelten Angriffen geph!sht werden, die Codes an die echte Anmeldeseite weiterleiten. Hardware-Sicherheitsschlüssel, die FIDO2 verwenden, sind jedoch von Natur aus phishing-resistent — der Schlüssel verifiziert die Domain der Website kryptografisch, was Phishing unmöglich macht. Passkeys erben denselben Schutz. Für die meisten Menschen bietet TOTP-basierte 2FA mehr als ausreichenden Schutz vor realistischen Bedrohungen.

Idealerweise ja, aber priorisieren Sie strategisch. Ihr E-Mail-Konto ist das kritischste — es ist der Wiederherstellungsmechanismus für alles andere. Als nächstes aktivieren Sie 2FA bei Bank- und Finanzdienstleistungen, Cloud-Speicher (Google Drive, iCloud, Dropbox), sozialen Medien, jedem Konto mit gespeicherten Zahlungsinformationen und Ihrem Passwort-Manager. Niedrig priorisierte Wegwerf-Konten ohne persönliche Daten können übersprungen werden, wenn Sie überfordert sind, aber das Ziel sollte 2FA überall sein.

Hardware-Sicherheitsschlüssel (YubiKey, Google Titan), die den FIDO2/WebAuthn-Standard verwenden, sind die sicherste verfügbare Form von 2FA. Sie sind von Natur aus phishing-resistent, erfordern physischen Besitz und haben keine Codes zum Abfangen oder Weiterleiten. Passkeys bieten ähnliche Sicherheit mit dem zusätzlichen Komfort der Cloud-Synchronisation. TOTP-Authentifizierungs-Apps sind die nächstbeste Option — deutlich sicherer als SMS. SMS ist die schwächste 2FA, aber immer noch weitaus besser als nur passwortbasierte Authentifizierung.

Ja, das ist ihre Designabsicht. Passkeys kombinieren das Passwort und den zweiten Faktor in einem einzigen, phishing-resistenten Authentifizierungsschritt. Anstatt ein Passwort einzugeben und dann einen Code einzugeben, authentifizieren Sie sich einfach mit dem biometrischen Sensor oder der PIN Ihres Geräts. Die zugrunde liegende FIDO2-Kryptografie bietet stärkere Sicherheit als Passwort + TOTP kombiniert. Die Passkey-Akzeptanz wächst jedoch noch — nicht alle Dienste unterstützen sie. In der Übergangszeit verwenden Sie weiterhin traditionelle 2FA (Authentifizierungs-App oder Hardware-Schlüssel) bei Diensten, die noch keine Passkeys unterstützen.