Zwei-Faktor-Authentifizierung bedeutet: dein Login braucht zwei Dinge, nicht eines. Das erste ist meistens dein Passwort, das zweite ist ein zusätzlicher Nachweis dass wirklich du am Gerät sitzt. Ein Code aus einer App, ein SMS, ein kleiner Stick. Wenn jemand dein Passwort kennt (aus einem Datenleck, durch Phishing, durch Erraten), kommt er ohne den zweiten Faktor trotzdem nicht rein.
2FA stoppt nach Studien rund 99 Prozent der automatisierten Angriffe auf Logins. Das ist die mit Abstand wirksamste Einzelmassnahme, die du in deinem digitalen Leben treffen kannst. Aber: nicht jede Methode bietet diesen Schutz gleich gut. Und die Unterschiede sind grösser, als die meisten denken.
Die häufigste Variante: du loggst dich ein, ein Code kommt per SMS, du tippst ihn ein. Bequem, weil jeder ein Handy hat. Bekannt, weil viele Schweizer Banken jahrelang nichts anderes anboten.
Das Problem: SMS war nie als Sicherheitsmechanismus gebaut. Das Mobilfunknetz vertraut der SIM-Karte, und die SIM-Karte ist nicht so eng an dich gebunden, wie du denkst. Ein Angreifer kann eine neue SIM auf deine Nummer ausstellen lassen, dann landen alle deine SMS bei ihm. Diese Methode heisst SIM-Swapping, und sie ist in der Schweiz keine Theorie.
Der Angriff läuft so. Der Angreifer kennt dich genug aus öffentlichen Quellen oder Datenlecks: deinen Namen, dein Geburtsdatum, deine Adresse, vielleicht eine alte Sozialversicherungsnummer. Damit ruft er bei deinem Mobilfunkanbieter an oder geht in einen Shop und gibt sich als du aus. Er erzählt, sein Handy sei kaputt oder verloren, er brauche eine neue SIM auf seine alte Nummer. Wenn der Anbieter nicht streng prüft, bekommt der Angreifer eine SIM auf dein Konto.
Ab dem Moment läuft dein Handy ins Leere, und alle SMS gehen an ihn. Innerhalb von Minuten kann er sich in deine wichtigsten Konten einloggen, weil er das Passwort schon hat und jetzt auch den SMS-Code abfangen kann.
In der Schweiz gab es 2024 mehrere bekannte Fälle, in denen Privatpersonen so fünf- bis sechsstellige Beträge verloren haben. Salt, Swisscom und Sunrise haben die Prozesse seither verschärft, aber das Risiko ist nicht null.
Die nächste Stufe sind Authenticator-Apps. Google Authenticator, Microsoft Authenticator, Authy, oder eingebaut in dein iPhone und Android. Die App zeigt dir alle 30 Sekunden einen neuen sechsstelligen Code, den du beim Login eingibst.
Der entscheidende Unterschied zu SMS: der Code wird auf deinem Gerät selbst berechnet, mit einem Geheimnis, das beim Einrichten einmal übertragen wurde. Es geht kein Code durch das Mobilfunknetz, kein SMS, nichts was abgefangen werden kann.
Was dich noch treffen kann: Phishing in Echtzeit. Wenn du auf einer gefälschten Login-Seite landest und dort dein Passwort und den App-Code eingibst, kann der Angreifer beide sofort an die echte Seite weiterleiten und sich einloggen. Das ist seltener als SIM-Swapping, kommt aber vor. Schutz: Passwort-Manager benutzen, die nur auf der echten Domain ausfüllen.
Für fast alle Konten ist die Authenticator-App heute der goldene Mittelweg. Sicherer als SMS, bequemer als Hardware-Sticks.
Schweizer Banken nutzen mittlerweile fast alle ihre eigene App-basierte 2FA mit Push-Benachrichtigung. UBS Key, Raiffeisen-App, ZKB-Token in der ZKB-App, PostFinance-App. Du loggst dich am Browser ein, das Handy klingelt, du bestätigst mit Fingerabdruck oder Gesicht, fertig.
Das ist technisch in derselben Liga wie eine Authenticator-App, manchmal sogar besser, weil der Server die Domain mitschickt und du in der App siehst, wo du dich gerade einloggst. Auch hier gilt: nur bestätigen, wenn du selbst gerade einen Login gestartet hast. Wenn das Handy mitten am Tag aus dem Nichts nach Bestätigung fragt, ist das ein klares Warnsignal. Ablehnen und der Bank melden.
Die höchste Sicherheits-Stufe sind kleine Hardware-Sticks. YubiKey ist der bekannteste Hersteller, es gibt auch Nitrokey aus Deutschland und ein paar andere. Du steckst den Stick in den USB-Port oder hältst ihn ans Handy, der Stick beweist deine Identität kryptographisch.
Warum das stark ist: der Stick prüft die Webadresse mit. Wenn du auf einer Phishing-Seite landest, die wie deine Bank aussieht, aber unter einer anderen Domain läuft, weigert sich der Stick einzuspielen. Damit ist Phishing in Echtzeit gegen Hardware-Schlüssel praktisch wirkungslos.
Ein Stick kostet zwischen 25 und 70 Franken. Klingt viel für einen kleinen Plastik-Klumpen, ist aber im Vergleich zu dem, was er schützt, ein Schnäppchen. Profis und Personen mit hohem Risiko (Journalisten, Aktivisten, Geschäftsleitungen) nutzen Hardware-Sticks seit Jahren als Standard.
Nachteil: du musst den Stick dabei haben. Wenn er verloren geht und du keinen Backup-Stick hast, kommst du nicht mehr in deine Konten. Deshalb: immer zwei Sticks kaufen, einer am Schlüsselbund, einer zu Hause im Tresor.
Seit etwa zwei Jahren breiten sich Passkeys aus. Das ist Technik aus derselben Familie wie Hardware-Schlüssel, nur dass dein Telefon oder dein Computer den Schlüssel speichert, nicht ein separater Stick.
Du meldest dich an mit Fingerabdruck oder Gesicht, der Rest passiert im Hintergrund. Kein Code, kein Stick, kein SMS. Und genauso Phishing-resistent wie ein Hardware-Schlüssel, weil die Domain mitgeprüft wird.
Google, Apple, Microsoft und immer mehr Schweizer Dienste unterstützen Passkeys. Bei einigen ersetzen sie sogar das Passwort komplett, du brauchst nicht mehr beides. Wenn ein Dienst dir ein Passkey-Angebot macht: nimm es. Es ist sicherer als Passwort plus Code, und bequemer.
Nicht jedes Konto braucht denselben Schutz. Hier mein Vorschlag.
Top-Konten (Mail, E-Banking, Identität): Hardware-Schlüssel wenn möglich, sonst die App-2FA der Bank. SMS-2FA hier ablehnen, falls das Konto Alternativen bietet. Dein Mail-Konto ist besonders wichtig, weil über die Passwort-Reset-Funktion fast alle anderen Konten dranhängen.
Mittlere Konten (Social Media, Cloud-Speicher, Streaming): Authenticator-App reicht. Passkey nutzen, wo angeboten.
Niedrige Konten (Foren, Bonusprogramme, alte Konten): SMS-2FA ist immer noch besser als gar nichts. Wenn du es nicht aktiviert hast, jetzt nachholen.
Und: überall den Backup-Code speichern, wenn die Plattform einen vergibt. Sonst stehst du draussen, wenn du dein Handy verlierst.
Erstens, schalte SMS-2FA für dein Mail-Konto und deine Bank ab und nutze die App-2FA. Das schliesst SIM-Swapping als Risiko aus.
Zweitens, wenn du irgendwo ein Passkey-Angebot siehst, nimm es. Bequem und sicher gleichzeitig, das gibt es selten.
Drittens, für Konten, die im Schadensfall richtig wehtun (E-Banking, Mail, Hauptkonten), denk über zwei Hardware-Schlüssel nach. Einer am Schlüsselbund, einer im Tresor. Das ist die Profi-Liga, und sie ist nicht mehr teuer.
Druckfertige Cybersecurity-Checklisten und Notfallpläne: gratis, sofort verwendbar.
Vorlagen herunterladen →