Wiederherstellung von MFA-geschützten Konten

Das Thema der mehrstufig geschützten Anmeldedaten nimmt rasant an Wichtigkeit zu, je mehr wir uns in der digitalen Welt bewegen. Was genau MFA oder 2FA bedeutet und wie es uns im Alltag dabei hilft, nicht nur unsere Daten sicher und geschützt zu halten, sondern im Ernstfall ein gesperrtes Konto wiederherzustellen, werde ich somit gerne im nachfolgenden Beitrag etwas näher erläutern.

1. Was ist überhaupt eine Multifaktor-Authentifizierung (MFA / 2FA)?

Die Multifaktor-Authentifizierung (MFA) oder Zweifaktor-Authentifizierung (2FA) ist im Grunde schon seit langer Zeit in verschiedenen Ausprägungsformen im Einsatz. Als erstes setzten es die Banken für das Onlinebanking ein. Zu Anfang kam diese in Form einer Streichliste, welche eine Vielzahl von einmal verwendbaren Zahlencodes («OneTimePassword» – OTP Prinzip) auf Papier enthielt, zum Einsatz.

Später folgte die erste digitale Version in Form von TAN-Generatoren. Darunter versteht man einen kleinen Rechner, der auf digitalem Weg einen OTP-Code generiert und so für jede Login-Transaktion eine neue, einzigartige Transaktionsnummer* (TAN) ausspuckt.

* Wie die verschiedenen Arten genau funktionieren, wird in folgendem Beitrag von Chip.de anschaulich erklärt: https://praxistipps.chip.de/so-funktioniert-ein-tan-generator-einfach-erklaert_99957

Als nächstes folgte das Zweistufen-Anmeldeverfahren mittels OTP-Code via SMS auf das Handy.

Heute wird das 2FA weitverbreitet mittels entsprechender App auf dem Smartphone eingesetzt. Der Vorteil von dieser Variante ist, dass sich ein Hacker auch dann nicht ohne die zweite Sicherheitsstufe einloggen kann, wenn ihm der Benutzername und das Kennwort in die Hände gelangen. Nicht zuletzt auch deshalb, da sich zusätzlich aktivierte Sicherheits-Stufen Apps meistens nur mit Geschichtserkennung oder einem separaten Login-Code öffnen lassen.

Inzwischen bieten viele Dienste diese Sicherheitsfunktion an. Seien es Onlineshops, Krankenkassen oder andere Betreiber von Onlinediensten wie Google, Samsung usw. Und natürlich auch sämtliche Microsoft 365-Dienste.

2. Soll ich MFA überhaupt einsetzen?

Wer den Fokus auf den Schutz und die Sicherheit seiner Daten und persönlichen Informationen im Netz legt, sollte sich diese Frage gar nicht erst stellen, denn rund um das Thema Sicherheit gilt folgende Grundregel: Eigentlich solltest du bei sämtlichen Portalen, die eine MFA-Login-Möglichkeit anbieten, immer diese Variante nutzen.

Auch wenn eine zweite Stufe im Anmeldeverfahren wohl etwas hindernd erscheinen mag, erhöht sich dabei die Sicherheit Deiner Daten um ein Vielfaches! Und ausserdem ist die entsprechende Einrichtung meistens kinderleicht und die Nutzung recht komfortabel.

3. Was passiert, wenn ich mein Smartphone mit der MFA-App verliere oder die zweite Authentifizierungsstufe nicht mehr vorhanden ist?

Dieses Szenario ist im richtigen Anwendungsfall absolut kein Beinbruch. Wichtig ist einfach, dass man sich bereits vorgängig Gedanken über die Möglichkeiten macht. Denn im schlimmsten Fall könnte es sonst tatsächlich passieren, dass man sich aussperrt.

Am besten ist es daher immer, wenn du mehrere Möglichkeiten für eine zweite Authentifizierung einrichtest und ausserdem die Notfall-Wiederherstellungsmöglichkeiten prüfst und aktivierst. In der Regel kann man dies problemlos festlegen.

Beispiele von variablen Zwei-Stufen-Authentifizierungen:
• Zusätzliche alternative E-Mail-Adresse
• SMS-Code auf dein Smartphone
• Telefonanruf auf ein Telefon nach Wahl
• Beantwortung von Sicherheits-Fragen* wie zum Beispiel der Geburtstag, Schulort oder der Name Deines Haustiers

* Um bei der letzten Variante jedoch die Hürde für etwelche Hacker etwas zu erhöhen, empfiehlt es sich natürlich, mit leicht veränderten oder fiktiven Antworten zu arbeiten, damit diese nicht brandaktuell aus Deinen Social Media Kanälen herausgelesen werden können.

Wichtig ist einfach, dass du die Infos zu den zusätzlichen Stufen irgendwo aufschreibst oder abspeicherst. Sonst weisst du am Ende nicht mehr, welche alternativen Kanäle und Informationen du wo genau angegeben hast.

Ich persönlich nutze dazu meine Passwort-Manager-Software. Davon werden zahlreiche Varianten und Apps angeboten, welche zum Teil nicht nur auf dem Handy selbst funktionieren, sondern auch via direkter Web-Anwendung genutzt werden können, um flexibler zu sein. Denn so sind die entsprechenden Informationen jederzeit komplett orts- und geräteunabhängig abrufbar. Wichtig ist in diesem Fall nur, dass für diese Software / App ein extrem starkes und nirgends sonst verwendetes Passwort verwendet wird.

Ausserdem kann man die Infos zusätzlich auch ganz einfach ausdrucken und an einem sicheren Ort in Papierform ablegen, falls sonst Mal kein Zugang möglich wäre.

Was ich definitiv nicht empfehle, ist das Anlegen eines Word- oder Exceldokuments, das dann unverschlüsselt auf dem PC/Notebook liegt oder gar in der Cloud abgespeichert wird.

4. Authentifizierungs-Möglichkeiten

Nachfolgend gebe ich dir ein paar Inputs zu Authentifizierungsmöglichkeiten – aufgeschlüsselt nach verschiedenen, bekannten Anbietern. Die Liste ist natürlich absolut nicht abschliessend.

Microsoft Authenticator
Diese App ist ein Multifunktionstool. Darüber kann man nicht nur Microsoft 365-Konten absichern, sondern etliche andere Anbieter (wie Konten von Google, TeamViewer, Synology, Samsung, Microsoft privat-Konten, Onlineshopping-Anbieter usw.). Ich persönlich habe über 10 Konten verschiedenster Anbieter darüber abgesichert. So hat man nicht für jedes Konto eine eigene App.
Daher ist es sicher das Wichtigste, dass man diese App nochmals zusätzlich sichert. Dies bietet auch die Microsoft Authenticator App an. Diese Zusatz-Stufe empfehle ich wärmstens, denn mit dieser Absicherung werden keine Kennwörter in die Cloud gesichert, was das System sicher macht.

Mehr Informationen hierzu findest Du unter folgendem Link: https://support.microsoft.com/de-de/account-billing/microsoft-authenticator-app-verwenden-9783c865-0308-42fb-a519-8cf666fe0acc

Microsoft 365 – Geschäfts oder Schulaccount
Hier ist es so, dass in der Regel dein IT-Partner dir weiterhelfen kann. Wir von der TurnKey können für unsere Kunden das MFA pro Benutzer zurücksetzen und neu einrichten.

Natürlich geht die Wiederherstellung des Microsoft Authenticators auch, wenn du diesen über die Cloud-Sicherungsfunktion gesichert hast.

Microsoft Privat-Konto
Neben dem M365-Business und Schulkonto gibt’s bei Microsoft noch das sog. «Microsoft Konto» für den privaten Bereich. Hier kannst du auch eine alternative Mail-Adresse oder ein SMS-Kontakt abgeben. Weiter bekommst du bei der Einrichtung der MFA mehrere Einmalcodes. Mit diesen Einmalcodes kannst du im schlimmsten Fall dich wieder einloggen, wenn alle anderen Stricke reissen.
Drucke diese Codes z.B. aus und lege sie an einem sicheren Ort ab.

Google Konto
Jeder der ein Android Smartphone hat (z.B. Samsung, Sony usw.) hat automatisch ein Google Konto. Auch hier gibt’s neben der Google-eigenen Authentication App die Möglichkeiten zur Absicherung via Microsoft-Authenticator, da diese – zumindest im Moment – der Google Authentication App sowohl sicherheitstechnisch als auch in Bezug auf die Bedienerfreundlichkeit noch einen Schritt voraus ist.

Eine Wiederherstellung ist auch via alternative Mail-Adresse oder SMS-Mobile-Nummer möglich. Oder man definiert ein anderes Android Gerät (z.B. ein zusätzliches Android Tablet, welches dasselbe Google Konto hat), als MFA-Bestätigungsgerät. Versagen all diese Methoden, bekommst du bei der Einrichtung ebenfalls mehrere Einmalcodes zum Ausdrucken bereitgestellt.

Apple ID Konto
Die Absicherung für eine Apple ID Wiederherstellung kann grundsätzlich (ab iOS 15) auf zwei Weisen in den persönlichen Konto-Einstellungen des Geräts unter «Anmeldung und Sicherheit / Accountwiederherstellung» eingerichtet werden:

• Via einen speziellen Kontakt:
durch die Hinterlegung und somit Sicherheits-Verknüpfung mit einem bestimmten Kontakt wird eine einzigartige Vertrauensstellung in der Apple ID erstellt. Dabei kann der hinterlegte Kontakt im Notfall auf seinem Gerät einen Code generieren, den Du dann für die Wiederherstellung Deines Kontos nutzen kannst.

• Via Wiederherstellungsschlüssel:
Durch die Aktivierung dieser Sicherheitsvariante erhälts Du einen zufällig generierten 28-stelligen Code, mit welchem Du im Notfall Deinen Apple ID Account wiederherstellen könntest. Bei dieser Variante ist es extrem wichtig, dass der generierte Wiederherstellungsschlüssel sicher aufbewahrt wird, weil dadurch der standardmässige Wiederherstellungs-Prozess von Apple deaktiviert wird und sie bei Verlust dieses Schlüssels keinerlei Chancen mehr haben, den Account wieder herzustellen.

Weitere Infos hierzu findest Du unter folgendem Link: https://support.apple.com/de-ch/102608#:~:text=%C3%96ffne%20%22Einstellungen%22%2C%20und%20tippe,Tippe%20auf%20%22Wiederherstellungscode%20anfordern%22.

Samsung Konto
Da viele User ein Samsung Smartphone haben, ist neben dem Google-Konto meist ein Samsung Konto hinterlegt. Auch hier gibt’s wieder die üblichen Möglichkeiten wie oben beim Google Konto erwähnt.

Banken / Versicherungen
Da Finanz- und Gesundheitsdaten besonders schützenswert sind, muss man in diesen Bereichen zwingend MFA einsetzen. Hier setzen die meisten auf eine eigenständige MFA-App. Bei einem Verlust des Smartphones oder Neuinstallation der App muss man in der Regel eine neue MFA-Kennung anfordern, die dann per Brief zugestellt wird (inkl. der Anleitung wie man dies macht). Dieser Prozess dauert dann aber in der Regel 1-3 Tage, bis man wieder Zugriff auf sein Konto bekommt.

5. Fazit

In der heutigen digitalen Welt ist es unabdingbar, dass die Zugangsdaten bis zum Maximum geschützt sind. Und damit im Notfall ein gesperrtes Konto einfach wiederhergestellt werden kann, ist die Mehrstufen-Authentifizierung nicht nur sinnvoll, sondern auch extrem hilfreich.

Ich hoffe, dass ich dir einen Einblick geben konnte in die Möglichkeiten und Finessen in diesem Thema – falls du Unterstützung brauchst beim Absichern von Konten via MFA / 2FA, komme auf uns zu. Wir helfen dir gerne.