Golem.de berichtet über ein Gerichtsurteil, das die Wirksamkeit der Zwei-Faktor-Authentifizierung (2FA) bei Push-TAN-Verfahren anzweifelt, da dieser zweite Faktor nicht über separate Kommunikationswege erfolgt. Konkret heißt es da:
Das sog. pushTAN-Verfahren, in dem die TAN auf dem Mobiltelefon in einem anderen Programm (App) angezeigt wird, als demjenigen, das den Bankzugang ebenfalls mittels auf demselben Smartphone installierter BankApp (SecureGo-App) vermittelt, weist ein erhöhtes Gefährdungspotential auf, da eine Verwendung nur noch zweier Apps auf einem Gerät statt Nutzung getrennter Kommunikationswege erfolgt. […] Es liege deshalb keine Authentifizierung aus wenigstens zwei voneinander unabhängigen Elementen […] vor, weshalb die für die Annahme eines Anscheinsbeweises für die Autorisierung einer Zahlungsanweisung […] erforderliche sehr hohe Sicherheit nicht bejaht werden kann.
Golem.de
Eigentlich… wow! Noch im Juli habe ich hier einen Artikel von 1Password zitiert, in dem sogar diese Trennung in Frage gestellt wurde. Konkret ging es bei 1Password darum, ob es sicher sei, Logindaten und den zweiten Authentifizierungsweg in einer App zu speichern, und – natürlich, der Artikel kam ja von 1Password – war die Antwort: Ja (mit einer Ausnahme).
Nun lese ich im Golem.de-Artikel, dass die Antwort, hier allerdings mit verstärktem Anspruch an Sicherheit und vor allem Nachweisbarkeit, doch auch ein klares Nein sein kann und – zumindest nach deutschem Recht – garantiert sein muss, dass eine Zwei-Faktor-Authentifizierung auch auf getrennten (!) Kommunikationswegen erfolgt. Wie das umsetzbar sein soll, wo in der Praxis mittlerweile wirklich alles miteinander synchronisiert und abgeglichen wird, ist mir ein Rätsel, denn da macht auch der getrennte Kommunikationsweg keinen Unterschied mehr. Die Wiedereinführung von Tokens und Nummergeneratoren wird auf wenig Gegenliebe stoßen und SMS als von Push-Notifications getrennter Kommunikationsweg sind ja auch längst passé, oder?
Jedenfalls entnehme ich dem Golem-Artikel, dass das Problem der Zwei-Faktor-Authentifizierung und seiner technischen Umsetzung die eine Sache ist. Das viel größere Problem scheint aber die Schulung der Userinnen und User zu sein, denn es muss erst zu der Situation kommen, in der die Zwei-Faktor-Authentifizierung, die dem regulären Login nachgereiht ist, zur Anwendung kommt. Und hier hat schon einiges nicht geklappt, wie alle im Artikel gebrachten Beispiele beweisen. Und das aber nicht nur aufseiten der Userinnen und User! Gerade der letzte Abschnitt deutet auf teilweise Sicherheitsmängel bei den Banken selbst hin. Ein Umstand, der natürlich jegliche Mechanismen zur Authentifizierung in ihrer theoretischen Wirkmächtigkeit massiv einschränken (sprich: nahezu obsolet machen) kann.
Ich betrachte 2FA wie meinen Schlüsselbund, auf dem sowohl Haus- als auch Wohnungsschlüssel drauf ist. Der eigentliche Schutz besteht darin, dass ich 2x interagieren und somit 2x entscheiden muss, wie ich handeln möchte.
Wenn es jemand schaffen sollte, mich zu überzeugen, mir Zugang zu meiner Wohnung zu gewähren, dann öffne ich sie ihm. Egal, wie die Schlüssel verteilt sind.
Ich kann das Urteil nicht nachvollziehen, da durch technische Maßnahmen die Pflicht zur Sorgfalt nicht ersetzt werden kann.
Gerade der letzte Satz ist auch mein Bedenken gegenüber diesem Urteil. Und wenn man sich den Artikel durchliest, dann wird auch klar, dass das Sicherheitsversprechen der 2FA doch nicht so ganz einfach ist, wie man denkt.