Viele beliebte Webdienste unterstützen keine 2FA

Die Login-Experten von Dashlane haben überprüft, welche Webseiten die Anmeldung zu Onlinekonten via Zwei-Faktor-Authentifizierung (2FA) unterstützen. Über drei Viertel (77 Prozent) der untersuchten Webseiten fallen beim Test durch, darunter namhafte Unternehmen wie Payback, GMX oder Zalando.

Die insgesamt 43 häufig genutzten Webseiten (national sowie international) wurden nach drei wesentlichen 2FA-Kriterien untersucht. Je nach zur Verfügung stehenden 2FA-Optionen vergaben die Experten entsprechend viele Punkte. Für die Identifikation via SMS oder E-Mail sowie für die Authentifizierung per Software-Token gab es einen Zähler. Drei Punkte wurden hingegen für Hardware-Token wie zum Beispiel YubiKey oder die U2F-Auththentifizierung gezählt. Im Optimalfall unterstützen Anbieter sämtliche 2FA-Optionen und erreichen damit eine Maximalpunktzahl von fünf Zählern.

Das Ergebnis von Dashlane fiel durchaus unbefriedigend aus: Lediglich 10 (23 Prozent) der 43 getesteten Anbieter bekamen die Bestnote verliehen: Bank of America, Bitcoin.de, Dropbox, E*Trade, Facebook, Google, Posteo, Stripe, Twitter sowie Wells Fargo.

Am unteren Ende des Rankings befinden sich zahlreiche bekannte Marken wie etwa dm, GMX, Notebooksbilliger.de, Otto, Payback, Web.de oder Zalando. Aus den USA bekamen Best Buy, NextDoor, TaskRabbit und ZocDoc keinen einzigen Punkt zugesprochen. All diese Anbieter stellen den Nutzern keinerlei 2FA-Optionen auf ihren Webseiten zur Verfügung.

Aber auch Webseiten, die 2FA anbieten, kommunizieren die Funktion oft nicht ausdrücklich. «Aufgrund dieser mangelnden Transparenz aufseiten der Anbieter ist davon auszugehen, dass viele Verbraucher die ihnen zur Verfügung stehenden Sicherheitsmöglichkeiten zum Schutz ihrer Identität im Netz gar nicht voll ausschöpfen können», so Emmanuel Schalit, CEO von Dashlane.

Diese Aussage scheint gerade in Anbetracht der jüngsten Datenskandale durchaus den Tatsachen zu entsprechen. Facebook etwa verfügt zwar über alle üblichen 2FA-Optionen und bekam deshalb die volle Punktzahl verliehen. Würden jedoch alle Nutzer wenigstens eine Variante davon verwenden, wären nicht rund 30 Millionen Profile des sozialen Netzwerks von Hackern geknackt worden.

Eine 2FA-Option erschwert Angreifern einen unberechtigten Login in Onlinekonten. Entsprechend sollte die Funktionalität von allen Seitenbetreibern mit Nutzerkonten angeboten werden. Diese Schutzmassnahme ist allerdings nur dann sinnvoll, wenn die Nutzer davon auch wissen und diese verhältnismässig einfach anwenden können.