KtoZvonil

Сменить язык

SMS-Codes, Authenticator-Apps oder Passkeys: Was schützt wirklich?

Опубликовано 10 июля 2026

Viele Online-Konten lassen sich zusätzlich zum Passwort per SMS-Code absichern. Das ist besser als gar keine Zwei-Faktor-Authentifizierung (2FA), hat aber Schwachstellen, die Betrüger gezielt ausnutzen. Wer versteht, wie SMS-Codes, Authenticator-Apps und Passkeys funktionieren, kann seine Konten deutlich besser schützen und typische Betrugsmaschen erkennen.

Warum SMS-Codes angreifbar sind

Ein Einmalcode per SMS scheint sicher, weil er nur an dein Telefon geschickt wird. Das Problem: Die SMS selbst ist nicht verschlüsselt und die Telefonnummer lässt sich unter Umständen von Dritten übernehmen oder abfangen.

  • SIM-Swapping: Betrüger überzeugen deinen Mobilfunkanbieter mit gefälschten oder gestohlenen Daten davon, deine Nummer auf eine neue SIM-Karte zu übertragen. Danach erhalten sie deine SMS-Codes statt du selbst.
  • Phishing in Echtzeit: Auf gefälschten Login-Seiten wirst du aufgefordert, Benutzername, Passwort und den gerade erhaltenen SMS-Code einzugeben. Die Betrüger nutzen diesen Code sofort auf der echten Seite, oft bevor er abläuft.
  • Social Engineering: Anrufer geben sich als Bank- oder Kundenservice-Mitarbeiter aus und bitten dich, den soeben erhaltenen Code „zur Verifizierung“ vorzulesen.
  • Unsichere Weiterleitung: In manchen Netzen können SMS unter bestimmten technischen Voraussetzungen abgefangen werden, auch wenn dies seltener vorkommt als die oben genannten Methoden.

Das Grundproblem ist: SMS-Codes hängen an deiner Telefonnummer, nicht an deinem Gerät selbst. Wer die Nummer kontrolliert, kontrolliert den zweiten Faktor.

Authenticator-Apps: ein deutlicher Fortschritt

Apps, die zeitbasierte Einmalcodes (TOTP) erzeugen, sind an dein konkretes Gerät gebunden, nicht an deine Telefonnummer. Der Code entsteht lokal auf dem Smartphone, ganz ohne Mobilfunknetz oder SMS.

  • Ein SIM-Swap bringt Angreifern hier nichts, da sie keinen Zugriff auf die App auf deinem physischen Gerät haben.
  • Die Codes werden nicht über ein Netzwerk übertragen und können daher nicht unterwegs abgefangen werden.
  • Allerdings schützt eine Authenticator-App nicht vor Echtzeit-Phishing: Wenn du den Code auf einer gefälschten Seite eingibst, können Betrüger ihn genauso missbrauchen wie einen SMS-Code.

Wichtig ist deshalb, die Backup-Codes beim Einrichten einer Authenticator-App sicher zu speichern, da ein Verlust des Smartphones sonst den Zugang zum Konto erschweren kann.

Passkeys: Phishing-resistent von Grund auf

Passkeys sind ein neuerer Standard, der Passwörter und Einmalcodes ganz ersetzen soll. Statt eines Codes wird ein kryptografischer Schlüssel verwendet, der fest an die jeweilige Webseite oder App gebunden ist und lokal auf deinem Gerät gespeichert bleibt, meist geschützt durch Fingerabdruck, Gesichtserkennung oder Geräte-PIN.

  • Da der Schlüssel an die exakte Webadresse gebunden ist, funktioniert er auf einer gefälschten Phishing-Seite schlicht nicht, selbst wenn diese täuschend echt aussieht.
  • Es gibt keinen Code, der abgetippt, vorgelesen oder abgefangen werden könnte.
  • Passkeys werden über die Geräte eines Nutzers synchronisiert, sodass ein Diebstahl des Smartphones allein in der Regel nicht ausreicht, um Zugriff zu erlangen, solange Bildschirmsperre und biometrische Sperre aktiv sind.

Noch bieten nicht alle Dienste Passkeys an, aber die Verbreitung nimmt zu, gerade bei großen Anbietern von E-Mail, Cloud-Speicher und Online-Banking.

Praktische Empfehlungen

  • Nutze, wo verfügbar, Passkeys oder Authenticator-Apps statt SMS-Codes für wichtige Konten wie E-Mail, Online-Banking und Cloud-Speicher.
  • Falls ein Dienst nur SMS-2FA anbietet, ist das immer noch besser als gar keine Absicherung – bleib aber wachsam bei unerwarteten Codes oder Anrufen.
  • Gib niemals einen erhaltenen Code am Telefon weiter, egal wie dringend oder offiziell der Anruf klingt. Seriöse Stellen fragen niemals danach.
  • Richte bei deinem Mobilfunkanbieter, falls möglich, einen zusätzlichen Schutz gegen SIM-Swapping ein, etwa eine separate PIN für Änderungen am Vertrag.
  • Bewahre Backup-Codes für Authenticator-Apps an einem sicheren, nicht digitalen Ort auf.
  • Prüfe bei Login-Seiten immer genau die Webadresse, bevor du Zugangsdaten oder Codes eingibst.

Was tun bei Verdacht auf Missbrauch

Wenn dein Smartphone plötzlich kein Netz mehr hat, obwohl du nichts geändert hast, kann das ein Hinweis auf SIM-Swapping sein. Kontaktiere in diesem Fall umgehend deinen Mobilfunkanbieter über eine dir bekannte, offizielle Nummer. Hast du einen Code weitergegeben oder auf einer verdächtigen Seite eingegeben, ändere sofort dein Passwort und informiere den betroffenen Dienst sowie bei Bankangelegenheiten deine Bank über die Nummer auf deiner Karte. Melde verdächtige Anrufe oder Nachrichten zusätzlich deinem nationalen Verbraucherschutz oder einer Anti-Betrugs-Meldestelle, damit andere gewarnt werden können.

Kein Sicherheitsverfahren ist zu hundert Prozent unüberwindbar, aber der Umstieg von SMS-Codes auf Authenticator-Apps oder Passkeys erhöht den Aufwand für Betrüger erheblich – und macht dich damit zu einem deutlich unattraktiveren Ziel.

Поделиться:

Читайте также

Последние комментарии

Все →
  1. +7 927 792-41-97

    Мошенники хотят код от карты!

  2. +7 958 825-35-87

    *** ебанное

  3. +380 95 881 65 35

    М. Харків, Чоловік назвався на імя Юра, він шахрай, тримає дівчаток для утіх чих-пих, фото на сайті зовсім інші, приїзж…

  4. +380 63 911 30 00

    Машенник.Харьков. Псевдомастер пневмоподвески. Берёт машину на обслуживание специально что-то в ней ломает или меняет н…

  5. +380 68 989 61 24

    Эти жильцы Юля и Сергей не заплатили долг за 2 месяца аренды квартиры, после чего сбежали без расчёта. Квартира и имуще…

Недавно просмотренные

Недавние поиски номера

сейчас

Как связаться?

Нашли ошибку, хотите удалить отзыв или предложить сотрудничество? Напишите нам — отвечаем в течение суток.

Пожаловаться

Опишите, что не так. Мы прочитаем каждую жалобу — обычно отвечаем в течение суток.

Причина