Mehr Sicherheit durch Security-Token

Beim Kurznachrichtendienst Twitter wurden Telefonnummern und E-Mail-Adressen für die Zwei-Faktor-Authentifizierung (2FA) missbräuchlich dazu verwendet, Werbung zu personalisieren. Doch das ist laut Experten kein Einzelfall.

"Es ist nicht nur bei Twitter eine verbreitete Unsitte, dass Nutzer unentwegt aufgefordert werden, ihre Handynummer anzugeben", kritisiert die Piratenpartei. Schon bei einem ähnlichen Fall in Zusammenhang mit Facebook hatte sie "datensparsamere Alternativen zur anonymen Nutzung von Online-Diensten" gefordert.

Oft sei die Bekanntgabe der Handynummer bei neuen Verträgen Voraussetzung dafür, diese überhaupt aktivieren zu können. Dass hier das Vertrauen der Nutzer, die sich eigentlich mehr Sicherheit für ihre Accountdaten versprachen, quasi ins Gegenteil verkehrt wurde, müsse Konsequenzen haben.

Weil viele Nutzer längst meist das Smartphone verwenden, um auf Social-Media-Dienste zuzugreifen, ist laut der Piraten der Sicherheitsgewinn einer SMS-Authentifizierung, die über das selbe Gerät empfangen wird, eher fragwürdig. Eine sicherere und datenschutzfreundlichere Lösung seien separate U2F-Security-Tokens, die über USB oder NFC mit dem Endgerät kommunizieren.

Ähnliche sieht es bei der neuen EU-Zahlungsdiensterichtlinie PSD2 aus, die Banktransaktionen besser absichern soll. Viele Banken setzen hier laut der Experten vor allem auf das mTAN-Verfahren, bei dem die Kunden TANs per SMS erhalten. Realitätsfern sei dabei, dass Online-Banking und der Empfang SMS-TAN auf dem gleichen Gerät aus Sicherheitsgründen nicht gestattet sind, der Hinweis dazu aber meist tief in den Allgemeinen Geschäftsbedingungen versteckt ist.

Die Konsequenz: Smartphone-Nutzer, die nur ein einzelnes Gerät für das Online-Banking benutzen, verstoßen regelmäßig gegen die Bedingungen der Banken und müssen im Missbrauchsfall damit rechnen, auf ihrem Schaden sitzen zu bleiben.