Die Bundes-Cybersicherheitsbehörde in Deutschland fordert die großen Webmail-Anbieter auf, die Zwei-Faktor-Authentifizierung standardmäßig einzuschalten. Die Leitlinien stammen vom Bundesamt für Sicherheit in der Informationstechnik, das ein neues Whitepaper veröffentlicht hat, das weitreichende Lücken im Verbraucherschutzschutz beschreibt. Laut der Behörde sind viele Authentifizierungsfunktionen erst sichtbar, wenn man mehrere Menüs durchsucht hat, und die meisten bleiben deaktiviert, es sei denn, die Nutzer aktivieren sie aktiv.
Aktuelle Umfragedaten, die vom BSI zitiert wurden, zeigen, dass nur etwa 34 % der Nutzer die Zwei-Faktor-Authentifizierung auf ihren E-Mail-Konten aktiviert haben. Die Behörde hält die Zahl angesichts der Häufigkeit von Kontoübernahmen im Zusammenhang mit Phishing, der Weiterverwendung von Zugangsdaten und schwachen Passwörtern für zu niedrig. Webmail-Konten bleiben ein Hauptziel für Angreifer, da sie oft als Wiederherstellungskanäle für eine Vielzahl von Online-Diensten dienen.
BSI-Empfehlungen für den Standardschutz
Im Whitepaper empfiehlt das BSI, dass Anbieter standardmäßig starke Authentifizierungsmethoden aktivieren, anstatt sich auf Nutzerhandlungen zu verlassen. Die vorgeschlagenen Methoden umfassen Zwei-Faktor-Authentifizierung, Passschlüssel und biometrische Login-Optionen. Anbieter sollen außerdem sicherstellen, dass Passwortregeln den aktuellen Sicherheitsstandards entsprechen und dass Wiederherstellungsmechanismen Versuchen von Angreifern, gespeicherte Informationen zu manipulieren, standhalten können. Die Behörde hebt die Notwendigkeit klarer Anweisungen, vorhersehbare Schritte und mehrerer Wiederherstellungskanäle hervor.
Der BSI stellte fest, dass Wiederherstellungsprozesse häufig ausfallen, wenn Angreifer Kontaktdaten oder verknüpfte Informationen verändern. Um dieses Risiko zu begegnen, rät die Behörde den Anbietern, Wiederherstellungsflüsse zu entwerfen, die die Identität durch zuverlässige Signale verifizieren und nicht ausschließlich auf veraltete Kontaktinformationen setzen. Das Ziel ist es, sowohl eine Kontosperre als auch unautorisierten Zugriff zu verhindern.
Caroline Krohn, Leiterin des digitalen Verbraucherschutzes beim BSI, sagte, dass sichere E-Mail-Systeme grundlegend für die digitale Teilhabe sind. Sie erklärte, dass Schutzmaßnahmen nur dann wirksam sind, wenn sie verständlich, interoperabel und für den Alltag geeignet sind.
Der Ruf nach Standardschutzmaßnahmen steht im Zusammenhang mit umfassenderen Bemühungen innerhalb Deutschlands, die Cybersicherheitsanforderungen in digitalen Diensten zu stärken. Das BSI stellte fest, dass sichtbare Sicherheitsmerkmale dazu beitragen, Vertrauen aufzubauen und das zu unterstützen, was Beamte als digitale Souveränität bezeichnen. Sicherheitsforscher sagten, dass kompromittierte E-Mail-Konten es Angreifern ermöglichen, weitere Eindringlinge zu starten, indem sie Passwörter zurücksetzen, Spam verbreiten oder erbeuteter Zugangsdaten plattformübergreifend wiederverwenden.
Die Behörde räumte ein, dass die Standardaktivierung der starken Authentifizierung Herausforderungen für Anbieter darstellen kann, die Sicherheit und Benutzerfreundlichkeit in Einklang bringen müssen. Einige Nutzer könnten zusätzliche Anmeldeschritte als Unannehmlichkeit ansehen. Sicherheitsanalysten argumentieren, dass diese Bedenken von den Vorteilen einer Erhöhung des Grundschutzes für alle Nutzer überwiegt werden. Angreifer zielen weiterhin auf E-Mail-Konten ab, weil diese wertvolle Zugänge zu persönlichen und finanziellen Daten bleiben.
Verbraucher werden ermutigt, die Zwei-Faktor-Authentifizierung auf allen wichtigen Konten zu aktivieren, selbst bevor Anbieter ihre Standardeinstellungen anpassen. Nutzern wird außerdem geraten, zu überprüfen, dass die Kontaktdaten der Wiederherstellung korrekt sind, Konten auf ungewöhnliche Weiterleitungsregeln zu überwachen und sich nicht ausschließlich auf SMS-Codes zu verlassen, die abgefangen werden können.
Die Empfehlungen des BSI dienen als Bezugspunkt für laufende Diskussionen über verpflichtende Sicherheitsmerkmale in Europa. Wie Anbieter reagieren, wird entscheiden, ob die Standard-Zwei-Faktor-Authentifizierung für E-Mail-Dienste in der gesamten Region zur Standarderwartung wird.