Kann eine Authenticator-App gehackt oder manipuliert werden?
- Grundprinzip und Sicherheit von Authenticator-Apps
- Potenzielle Angriffsvektoren
- Technische Einschränkungen und Schutzmaßnahmen
- Fazit zur Sicherheit von Authenticator-Apps
Grundprinzip und Sicherheit von Authenticator-Apps
Authenticator-Apps, die häufig zur Zwei-Faktor-Authentifizierung (2FA) verwendet werden, generieren zeitlich begrenzte Einmal-Codes (TOTP – Time-based One-Time Password). Sie basieren auf einem geheimen Schlüssel, der bei der Einrichtung zwischen dem Dienstanbieter und der App geteilt wird. Dieser Schlüssel wird lokal sicher in der App gespeichert und dient als Grundlage zur Berechnung der Codes nach einem standardisierten Algorithmus. Die Sicherheit hängt maßgeblich davon ab, dass dieser geheime Schlüssel nicht abgefangen oder kompromittiert wird. Prinzipiell sind Authenticator-Apps so konzipiert, dass die Codes nur auf dem Gerät selbst generiert werden, ohne dass sie über das Internet übertragen werden, was sie gegenüber Phishing oder Man-in-the-Middle-Angriffen widerstandsfähiger macht als SMS-basierte 2FA.
Potenzielle Angriffsvektoren
Trotz der hohen Sicherheit sind Authenticator-Apps nicht vollkommen immun gegen Angriffe oder Manipulationen. Ein Angriff auf die App selbst ist in der Regel nur möglich, wenn Angreifer physischen Zugriff auf das Gerät haben oder wenn das Gerät durch Malware kompromittiert wurde. In einem solchen Fall könnten Angreifer den geheimen Schlüssel auslesen oder die App manipulieren, um die generierten Codes abzufangen oder umzukehren. Ein weiterer Angriffsvektor ist der Diebstahl oder das Backup des geheimen Schlüssels während der Einrichtung – beispielsweise wenn dieser Schlüssel per Screenshots, unsicheren Notizen oder ungeschützten Cloud-Sicherungen gespeichert wurde. Außerdem können Angreifer versuchen, Nutzer durch Social Engineering dazu zu verleiten, ihnen den einmaligen Code oder den QR-Code zur Einrichtung preiszugeben, wodurch sie selbst Zugriff erhalten könnten.
Technische Einschränkungen und Schutzmaßnahmen
Authenticator-Apps selbst speichern die geheimen Schlüssel meist sicher verschlüsselt im geschützten Speicher des Betriebssystems. Moderne Smartphone-Betriebssysteme bieten Sicherheitsmechanismen, die den Zugriff auf solche Daten erschweren. Dennoch kann rooten oder jailbreaken eines Geräts die Sicherheit einschränken und Angreifern ermöglichen, auf gespeicherte Authentifizierungsdaten zuzugreifen. Zudem gibt es bislang wenige direkte Schwachstellen in den populären Authenticator-Apps selbst, da sie relativ simple Algorithmen verwenden und keinen Serverkontakt benötigen. Der größte Schwachpunkt ist oft das Endgerät und dessen physische oder softwareseitige Sicherheit.
Fazit zur Sicherheit von Authenticator-Apps
Authenticator-Apps sind eine sehr sichere Methode zur Zwei-Faktor-Authentifizierung und bieten deutlich mehr Schutz als viele alternative Verfahren wie SMS-Verifizierung. Ein "Hacken" oder Manipulieren der App setzt in der Regel voraus, dass das Endgerät bereits kompromittiert ist oder der geheime Schlüssel bei der Einrichtung offengelegt wurde. Um die Sicherheit zu erhöhen, sollten Nutzer ihr Gerät regelmäßig auf Malware prüfen, Softwareupdates installieren, keine unsicheren Backups des geheimen Schlüssels anfertigen und den Zugang zum Gerät bestmöglich schützen (z. B. durch eine Bildschirmsperre und biometrische Verfahren). Insgesamt sind Authenticator-Apps daher eine sehr zuverlässige Komponente in einem umfassenden Sicherheitskonzept.