2-Faktor-Authentifizierung (2FA): Warum SMS-Codes für Krypto-Accounts unsicher sind
SMS-2FA vs. Authenticator-App vs. Hardware-Key: Warum SIM-Swapping Krypto-Konten gefährdet und welche 2FA-Methode wirklich schützt.
2-Faktor-Authentifizierung (2FA): Warum SMS-Codes für Krypto-Accounts unsicher sind
Die Zwei-Faktor-Authentifizierung (2FA) gilt als eine der wirksamsten Einzelmaßnahmen zum Schutz digitaler Konten: Sicherheitsexperten beziffern, dass sie mehr als 99,9 Prozent automatisierter Kontoübernahmeversuche blockieren kann – selbst wenn das Passwort bereits kompromittiert ist. Doch nicht jede 2FA-Methode bietet denselben Schutz. Insbesondere die weitverbreitete SMS-basierte 2FA gilt bei Sicherheitsbehörden und Fachleuten inzwischen als die schwächste verbreitete Variante – mit gravierenden Konsequenzen gerade für Krypto-Konten, bei denen ein einziger erfolgreicher Angriff den vollständigen Vermögensverlust bedeuten kann. Dieser Leitfaden erklärt, warum SMS-Codes so verwundbar sind, wie SIM-Swapping-Angriffe konkret ablaufen und welche Alternativen tatsächlich zuverlässigen Schutz bieten.
Wie 2FA grundsätzlich funktioniert
Die Zwei-Faktor-Authentifizierung kombiniert zwei unterschiedliche Nachweise Ihrer Identität aus getrennten Kategorien:
- Etwas, das Sie wissen: Ihr Passwort.
- Etwas, das Sie besitzen: Ein Smartphone mit Authenticator-App, ein physischer Hardware-Schlüssel oder eine Telefonnummer für SMS-Codes.
Selbst wenn ein Angreifer Ihr Passwort durch ein Datenleck oder Phishing erbeutet, benötigt er zusätzlich Zugriff auf den zweiten Faktor, um sich tatsächlich anzumelden. Genau hier zeigt sich jedoch: Nicht jeder „zweite Faktor" ist gleich schwer zu kompromittieren.
Das Kernproblem: SIM-Swapping
Der Hauptgrund, warum SMS-basierte 2FA als unsicher gilt, ist eine Betrugsmasche namens SIM-Swapping (auch SIM-Hijacking genannt):
So funktioniert ein SIM-Swap-Angriff
- Datensammlung: Der Angreifer sammelt zunächst persönliche Informationen über das Opfer – häufig aus früheren Datenlecks, öffentlich zugänglichen Quellen oder gezieltem Social Engineering.
- Manipulation des Mobilfunkanbieters: Mit diesen Informationen kontaktiert der Angreifer den Mobilfunkanbieter des Opfers und gibt sich als dieses aus, oft unter dem Vorwand, das eigene Smartphone verloren zu haben.
- Die eigentliche „Swap": Durch Social Engineering, gefälschte Dokumente oder in einigen dokumentierten Fällen sogar durch direkte Bestechung von Mitarbeitern des Mobilfunkanbieters wird die Rufnummer des Opfers auf eine SIM-Karte im Besitz des Angreifers übertragen.
- Übernahme sämtlicher Codes: Ab diesem Moment verstummt das Smartphone des Opfers vollständig, während sämtliche Anrufe, SMS und – entscheidend – alle 2FA-Codes beim Angreifer landen.
- Kontenübernahme: Mit dem ersten abgefangenen Code lässt sich häufig eine ganze Kette weiterer Konten übernehmen, da viele Nutzer dieselbe Telefonnummer für mehrere Dienste hinterlegt haben.
Ein prominenter Präzedenzfall
Der bekannteste dokumentierte Fall betrifft den Krypto-Investor Michael Terpin, der 2018 durch einen SIM-Swap-Angriff Kryptowerte im Wert von 23,8 Millionen US-Dollar verlor. Ein Mitarbeiter des Mobilfunkanbieters AT&T war für die unautorisierte Rufnummernübertragung bestochen worden. Terpin klagte im Anschluss erfolgreich gegen AT&T – ein Fall, der seither als Referenz für die Haftungsfrage bei mangelhaften Identitätsprüfungen von Mobilfunkanbietern gilt. Auch im Umfeld weiterer bekannter Krypto-Persönlichkeiten wurden in der Folgezeit gezielte SIM-Swap-Angriffe dokumentiert, die sich systematisch gegen Personen mit erkennbar großen Krypto-Beständen richteten.
Weitere strukturelle Schwächen von SMS-2FA
Über das SIM-Swapping hinaus weist die SMS-basierte 2FA mehrere grundlegende technische Schwachstellen auf:
- Unverschlüsselte Übertragung: SMS-Nachrichten sind grundsätzlich nicht Ende-zu-Ende verschlüsselt und können unter bestimmten Bedingungen abgefangen werden.
- SS7-Protokoll-Schwachstellen: Das zugrunde liegende Signalisierungsprotokoll des globalen Mobilfunknetzes (SS7) wurde ursprünglich für die Telekommunikation entwickelt, nicht für kryptografische Sicherheit, und weist bekannte, ausnutzbare Schwachstellen auf.
- Echtzeit-Phishing (Adversary-in-the-Middle): Bei dieser fortgeschrittenen Angriffsmethode fragt eine gefälschte Login-Seite sowohl Passwort als auch SMS-Code ab und leitet beide innerhalb weniger Sekunden an die echte Website weiter – noch bevor der Code abläuft. Eine Authenticator-App schützt hiergegen nur bedingt, ein Hardware-Schlüssel oder Passkey hingegen vollständig.
- Smishing: SMS-basiertes Phishing, bei dem Betrüger gezielt gefälschte Nachrichten versenden, um Nutzer zur Preisgabe ihres aktuellen Codes zu bewegen.
- Fehlende Kontrolle über den Zustellort: Es gibt keine technische Möglichkeit zu verhindern oder zu steuern, an welches physische Gerät eine SMS letztlich zugestellt wird, sobald die Rufnummer kompromittiert ist.
- Großzügige Ablaufzeiten: SMS-Codes sind oft länger gültig als App-basierte Codes, was Angreifern zusätzliches Zeitfenster für einen Missbrauch verschafft.
Die Hierarchie der 2FA-Methoden im Überblick
Stufe 1 (schwächste Option): SMS-Codes
SMS-basierte 2FA ist zweifellos besser als gar keine 2FA, gilt jedoch branchenweit als das schwächste verbreitete Verfahren. Sie sollte für Krypto-Konten nach Möglichkeit vollständig vermieden und nur genutzt werden, wenn ein Anbieter keine bessere Alternative anbietet.
Stufe 2: Authenticator-Apps (TOTP)
Apps wie Google Authenticator, Microsoft Authenticator oder datenschutzfreundliche Alternativen wie Aegis (Android) und Ente Auth (plattformübergreifend) generieren zeitbasierte Einmalcodes (TOTP – Time-based One-Time Password) direkt und lokal auf dem eigenen Gerät:
- Der Code wechselt üblicherweise alle 30 Sekunden und wird über einen beim Einrichten per QR-Code übertragenen Geheimschlüssel berechnet.
- Da der Code lokal erzeugt wird und das Gerät nicht verlässt, ist diese Methode vollständig immun gegen SIM-Swapping.
- Wichtige Einschränkung: TOTP-Codes schützen nicht vollständig vor Echtzeit-Phishing, da ein Nutzer den korrekten Code theoretisch auch auf einer gefälschten Website eingeben könnte.
- Für die meisten Privatanleger mit einem Krypto-Vermögen bis etwa 5.000 € gilt eine Authenticator-App als angemessener Kompromiss aus Sicherheit und Alltagstauglichkeit.
Stufe 3: Hardware-Sicherheitsschlüssel (FIDO2/U2F)
Physische Schlüssel wie der YubiKey oder der in Deutschland gefertigte Nitrokey gelten als der aktuelle Goldstandard der Kontosicherheit:
- Diese Schlüssel bestätigen eine Anmeldung kryptografisch und prüfen dabei automatisch, ob die tatsächliche Domain der aufgerufenen Website mit der ursprünglich hinterlegten übereinstimmt.
- Landet ein Nutzer auf einer Phishing-Seite, die eine Krypto-Börse lediglich optisch imitiert, verweigert der Hardware-Schlüssel die Authentifizierung automatisch – selbst ein korrekt abgetipptes Passwort hilft dem Angreifer dann nicht weiter.
- Interne Tests großer Technologieunternehmen zeigten, dass Hardware-Schlüssel nahezu 100 % automatisierter Bot-Angriffe, nahezu 100 % breit angelegter Massen-Phishing-Angriffe und rund 99 % gezielter Angriffe erfolgreich blockieren konnten.
- Ein YubiKey 5 NFC kostet etwa 55 € und funktioniert wahlweise über USB-A, USB-C oder NFC mit dem Smartphone.
- Für Anleger mit einem Krypto-Vermögen ab etwa 5.000 € gilt die Anschaffung eines Hardware-Schlüssels als eine der sinnvollsten Sicherheitsinvestitionen überhaupt.
Stufe 4: Passkeys
Passkeys basieren auf demselben kryptografischen FIDO2/WebAuthn-Standard wie Hardware-Schlüssel, sind jedoch direkt in das genutzte Gerät integriert (z. B. Face ID auf dem iPhone, Fingerabdrucksensor unter Android, Windows Hello):
- Der private Schlüssel verlässt das Gerät niemals und wird durch Biometrie oder eine Geräte-PIN geschützt; der öffentliche Schlüssel verbleibt beim jeweiligen Dienst.
- Passkeys sind ebenfalls resistent gegen Phishing, da die Authentifizierung fest an die tatsächliche Web-Origin gebunden ist.
- Laut der FIDO Alliance verfügten bereits 2024 über 13 Milliarden Nutzerkonten weltweit über Passkey-Unterstützung – die Technologie ist 2026 längst Alltag, nicht mehr Zukunftsmusik.
- Passkeys sind bei einigen großen Krypto-Börsen (u. a. Coinbase, Binance) bereits im Einsatz, jedoch noch nicht flächendeckend bei allen Anbietern verfügbar.
Aktuelle Entwicklungen: Die Branche bewegt sich weg von SMS
Die zunehmende Erkenntnis über die Schwächen von SMS-2FA hat 2026 bereits konkrete Konsequenzen bei etablierten Finanzdienstleistern ausgelöst: Das Finanzunternehmen FSMOne stellte SMS-Codes für Privatkonten am 5. Februar 2026 vollständig ein und wechselte auf sicherere App-basierte Tokens. Parallel wird die Zwei-Faktor-Authentifizierung ab 2026 für sämtliche Google-Dienste verpflichtend – ein Signal für die branchenweit zunehmende Bedeutung robuster Authentifizierungsverfahren, auch außerhalb des reinen Krypto-Bereichs.
Die zunehmende Verfügbarkeit umfangreicher, im Umlauf befindlicher Datenlecks verschärft die Lage zusätzlich: Anfang 2026 wurde eine Datenbank mit fast 150 Millionen gestohlenen Zugangsdaten öffentlich entdeckt, darunter zahlreiche E-Mail-Konten. Solche Datensätze liefern Angreifern das Rohmaterial, um gezielte SIM-Swapping- und Phishing-Angriffe vorzubereiten – ein Trend, der die Bedeutung phishing-resistenter 2FA-Methoden weiter erhöht.
Praktische Anleitung: 2FA auf einer Krypto-Börse einrichten
Der grundsätzliche Einrichtungsprozess ist bei den meisten seriösen Krypto-Börsen nahezu identisch:
- Rufen Sie die Sicherheitseinstellungen Ihres Kontos auf.
- Wählen Sie die Option „2FA aktivieren" und entscheiden Sie sich für die gewünschte Methode (idealerweise eine Authenticator-App oder ein Hardware-Schlüssel, nicht SMS).
- Scannen Sie den angezeigten QR-Code mit Ihrer Authenticator-App, um die Verknüpfung herzustellen.
- Geben Sie den von der App generierten sechsstelligen Code zur Bestätigung ein.
- Sichern Sie die angezeigten Backup-Codes an einem sicheren, physischen Ort – idealerweise ausgedruckt und getrennt vom Smartphone, etwa zusammen mit Ihren Ausweispapieren.
Ab diesem Zeitpunkt wird bei jedem Login und jeder Auszahlung zusätzlich zum Passwort der Code aus der gewählten 2FA-Methode abgefragt – ein Vorgang, der wenige Sekunden dauert, aber vor dem häufigsten Angriffsweg im Krypto-Bereich schützt.
Die Bedeutung von Backup-Codes
Ein Detail entscheidet im Ernstfall über erheblichen zusätzlichen Ärger: das Backup. Verlieren Sie Ihr Smartphone und hatten Ihre 2FA-Codes ausschließlich dort gespeichert, können Sie sich unter Umständen von sämtlichen damit gesicherten Konten selbst aussperren. Ohne gültige Backup-Codes müssen Sie in diesem Fall den Support der jeweiligen Börse kontaktieren und sich erneut vollständig verifizieren – ein Prozess, der Tage bis Wochen in Anspruch nehmen kann. Empfehlenswert ist daher:
- Nutzen Sie eine Authenticator-App mit verschlüsseltem Backup (z. B. Ente Auth oder Aegis mit einer exportierten, passwortgeschützten Sicherung).
- Drucken Sie die bei der Einrichtung angezeigten Wiederherstellungscodes aus und bewahren Sie diese getrennt vom Smartphone auf.
Empfehlungen des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bewertet hardwaregestützte Authentifizierungsverfahren als die sichersten verfügbaren Methoden und empfiehlt grundsätzlich, für den zweiten Faktor stets ein separates Gerät zu nutzen – in der Praxis meist ein Smartphone mit installierter Authenticator-App oder einen dedizierten Hardware-Schlüssel.
Zusätzlicher Schutz gegen SIM-Swapping selbst
Unabhängig von der gewählten 2FA-Methode lohnt sich zusätzlicher Schutz gegen die zugrunde liegende SIM-Swap-Gefahr:
- Zusätzliche Service-PIN beim Mobilfunkanbieter: Viele Anbieter ermöglichen die Einrichtung eines separaten Kundenkennworts, ohne das keine SIM-Übertragung durchgeführt werden kann.
- Warnsignale ernst nehmen: Ein plötzlicher, unerklärlicher Verlust des Mobilfunkempfangs ist das klassische erste Warnzeichen eines laufenden SIM-Swap-Angriffs.
- Sofortiges Handeln: Kontaktieren Sie bei einem solchen Verdacht umgehend über ein anderes Telefon Ihren Mobilfunkanbieter und lassen Sie die betroffene Nummer sperren.
Fazit
- Die Zwei-Faktor-Authentifizierung blockiert nach Expertenschätzungen über 99,9 % automatisierter Kontoübernahmeversuche – ist jedoch nur so sicher wie die gewählte Methode selbst.
- SMS-Codes gelten branchenweit als die schwächste verbreitete 2FA-Variante, da sie durch SIM-Swapping, SS7-Protokollschwächen und Echtzeit-Phishing verwundbar sind – dokumentiert unter anderem durch den Fall Michael Terpin mit einem Verlust von 23,8 Millionen US-Dollar.
- Authenticator-Apps (TOTP) sind vollständig immun gegen SIM-Swapping und stellen für die meisten Privatanleger einen praktikablen Sicherheitsstandard dar.
- Hardware-Sicherheitsschlüssel nach dem FIDO2-Standard bieten durch automatische Domain-Prüfung echten Phishing-Schutz und gelten als Goldstandard, insbesondere ab einem Krypto-Vermögen von etwa 5.000 €.
- Passkeys verbinden dieselbe kryptografische Sicherheit mit deutlich höherem Bedienkomfort und setzen sich 2026 zunehmend als Standard bei großen Plattformen durch.
- Unabhängig von der gewählten Methode sollten Backup-Codes stets offline und getrennt vom Smartphone aufbewahrt werden, um sich nicht selbst vom eigenen Konto auszusperren.
Dieser Beitrag dient der allgemeinen Sicherheitsaufklärung und stellt keine individuelle Beratung dar. Prüfen Sie die verfügbaren 2FA-Optionen stets direkt bei Ihrer genutzten Krypto-Börse oder Wallet.
Weiter in Sicherheit & Wallets
Alle Artikel dieser Kategorie →