So schützen Sie sich vor Angreifern

Erst kürzlich berichteten wir über einen tückischen Phishing-Angriff auf Google-Nutzer – mit Phishing-Mails versuchen Kriminelle, an die Google-Zugangsdaten ihrer Opfer zu gelangen. Das Tückische dabei: Die gefälschte Anmeldeseite liegt auf den Servern von Google und lässt sich kaum als Fälschung entlarven. Mit den Google-Zugangsdaten können die Kriminellen einiges anstellen: So können sie damit nicht nur auf die Daten des Opfers zugreifen, sondern beispielsweise auch Einkäufe im Google Play Store tätigen.

In diesem Beispiel lässt sich zwar der Diebstahl des Benutzernamens und des Passworts nur schwer vermeiden. Aber es lässt sich zumindest verhindern, dass die Kriminellen die geklauten Zugangsdaten nutzen und sich damit bei Google anmelden.

Dazu nutzt man eine so genannte Zwei-Faktor-Authentifizierung: Das bedeutet, dass man sich bei einem Dienst mit zwei verschiedenen Identitätsnachweisen authentifiziert. Der eine Identitätsnachweis ist die klassische Kombination aus Benutzername und Passwort. Als zweiter Identitätsnachweis eignet sich zum Beispiel das Smartphone: Der Online-Dienst sendet Ihnen beim Anmelden einen einmaligen Code per Kurzmitteilung, App oder Sprachanruf auf Ihr Mobiltelefon. Sie können sich erst dann anmelden, wenn sie auf der Anmeldeseite zusätzlich diesen einmaligen Code eingegeben haben.

Mittlerweile bieten fast alle großen Online-Dienste eine Anmeldung mit einer Zwei-Faktor-Authentifizierung an. Dazu gehören unter anderem Apple, Dropbox, Facebook und Google. Fast alle Dienste nutzen dabei die einfachste Möglichkeit und versenden einen einmaligen Code per SMS.

Eine Liste der wichtigsten Dienste und ob diese eine Zwei-Faktor-Authentifizierung anbieten, finden Sie auf der Webseite www.twofactorauth.org.

Die Einrichtung einer Zwei-Faktor-Authentifizierung ist bei allen Diensten schnell erledigt. Im folgenden Beispiel zeigen wir die Einrichtung anhand eines Google-Kontos.

Wechseln Sie in die Kontoeinstellungen von Google und darin in den Bereich „Sicherheit“. Unter „Passwort“ klicken Sie neben „Bestätigung in zwei Schritten“ auf „Einrichten“. Klicken Sie auf der nächsten Seite auf „Einrichtung starten“ und geben Sie zur Sicherheit noch einmal Ihr Google-Passwort ein. 

Im nächsten Schritt geben Sie die Rufnummer Ihres Mobiltelefons ein oder bestätigen eine bereits hinterlegte Rufnummer. Unter „Wie sollen wir Ihnen Codes senden?“ wählen Sie aus, ob Sie den Einmalcode künftig per SMS oder Sprachanruf erhalten. Eine SMS dürfte meist die praktischere Lösung sein. Bestätigen Sie mit „Code senden“. Sie erhalten nun einen sechsstelligen Code per Kurzmitteilung, den Sie auf der folgenden Seite eingeben.

Vertrauenswürdige Computer: Damit Sie den Einmalcode auf Ihrem eigenen Computer nicht bei jedem Anmelden bei Google eingeben müssen, gibt es die Möglichkeit, einen Computer als vertrauenswürdig einzustufen. Den Code muss man dann nur eingeben, wenn man sich auf einem anderen Computer anmeldet. Um einen Rechner nach dem Anmelden als vertrauenswürdig einzustufen, markieren Sie bei der Nachfrage die Einstellung „Diesen Computer als vertrauenswürdig einstufen“.

Der Empfang des Einmalcodes von Google per Kurzmitteilung ist zwar praktisch – aber mitunter teuer. Denn: Wenn Sie sich zum Beispiel im Urlaub bei Google anmelden, dann erhalten Sie die SMS von Google zwar auch im Ausland, bezahlen aber in der Regel für jede erhaltene Kurzmitteilung. Google bietet eine kostenlose App an, die einen Einmalcode generiert. Die App benötigt keinen Internetzugang, so dass auch keine teuren Gebühren für den Datenverkehr auf dem Smartphone anfallen.

So konfigurieren Sie den Empfang des Codes per App: Melden Sie sich in Ihrem Google-Konto an und wechseln Sie in den Kontoeinstellungen in den Bereich „Sicherheit“. Klicken Sie neben „Bestätigung in zwei Schritten“ auf „Einstellungen“.

Auf der Registerkarte „Bestätigungscodes“ klicken Sie unter „Codes stattdessen über mobile App abrufen“ auf „Zu App wechseln“.

Wählen Sie aus, ob Sie ein Android-Smartphone, ein iPhone oder ein Blackberry-Gerät nutzen. Installieren Sie die App Google Authenticator entsprechend der angezeigten Anleitung für Ihr Gerät – aus dem Google Play Store oder dem Apple App Store.

Starten Sie die App auf Ihrem Smartphone. Wählen Sie „Einrichtung starten“. Scannen Sie den im Browser angezeigten Barcode mit dem Smartphone oder geben Sie den angezeigten Code ein. Anschließend zeigt Ihnen die App einen sechsstelligen Code an, den Sie im Browser am Computer eingeben. Fortan lassen sich die von der App generierten Codes zum Anmelden nutzen.

Sie fahren ohne Smartphone in den Urlaub oder möchten für den Fall vorsorgen, dass Ihr Mobiltelefon verloren geht? Dazu bietet Google Einmalcodes zum Ausdrucken an.

Wechseln Sie hierfür in den Einstellungen Ihres Google-Kontos in den Bereich „Sicherheit“. Klicken Sie neben „Bestätigung in zwei Schritten“ auf „Einstellungen“. Klicken Sie auf der Registerkarte „Bestätigungscodes“ unter „Ersatzcodes“ auf „Drucken oder herunterladen“.