Zum Inhalt

Passwörter & 2FA

Passwörter & Zwei-Faktor-Authentifizierung – Der Schlüssel zu allem

Das Passwort-Problem

Lass mich raten: Du hast ein Passwort, das du magst. Es ist lang genug, hat Groß- und Kleinbuchstaben, vielleicht eine Zahl. Und du verwendest es – mit kleinen Variationen – für mehrere Dienste. Weil du dir nicht für jeden Dienst ein neues Passwort merken kannst. Weil das unpraktisch ist. Weil es bisher ja gut gegangen ist.

Das ist menschlich. Und es ist eines der größten Sicherheitsrisiken im Alltag von Selbständigen.

Das Problem heißt Credential Stuffing: Wenn eine Website gehackt wird und Passwörter gestohlen werden – was ständig passiert – versuchen Angreifer diese Zugangsdaten automatisiert bei hunderten anderen Diensten. Wer dasselbe Passwort mehrfach verwendet, gibt Angreifern mit einem einzigen gestohlenen Datensatz Zugang zu allem.

Prüfe jetzt: Unter haveibeenpwned.com kannst du deine E-Mail-Adresse eingeben und sehen, ob sie in einem bekannten Datenleck aufgetaucht ist. Das Ergebnis ist oft ernüchternd.

Die Lösung: Ein Passwort-Manager

Ein Passwort-Manager ist ein Programm, das für jeden Dienst ein eigenes, langes, zufälliges Passwort generiert und speichert. Du musst dir nur noch ein einziges Passwort merken – das Master-Passwort für den Manager selbst. Den Rest übernimmt das Programm.

Das klingt wie ein Single Point of Failure – alles hängt an einem Passwort. In der Praxis ist es sicherer als das, was die meisten Menschen heute tun, weil: Das Master-Passwort kann lang und stark sein, du verwendest es nirgendwo sonst, und der Manager verschlüsselt alles lokal, bevor es in die Cloud synchronisiert wird.

Empfehlenswerte Passwort-Manager:

  • Bitwarden – Open Source, kostenlose Version reicht für die meisten aus, synchronisiert zwischen Geräten, kann selbst gehostet werden.
  • 1Password – Sehr gute Benutzeroberfläche, kostenpflichtig, bewährt für Selbständige und kleine Teams.
  • heylogin – Deutsches Unternehmen, passwortloser Ansatz: Anmeldungen werden über ein gekoppeltes Smartphone per Biometrie bestätigt. Interessant für alle, die auf europäische Lösungen setzen möchten, und für Teams mit mehreren Zugängen.
  • KeePassXC – Lokal, kein Cloud-Zwang, für alle, die ihre Daten nicht in fremde Hände geben wollen. Erfordert etwas mehr manuelle Pflege.

Tipp für den Einstieg: Fang nicht damit an, alle Passwörter auf einmal zu migrieren. Richte den Manager ein und ersetze Passwörter dann nach und nach – immer wenn du dich bei einem Dienst anmeldest, erzeuge ein neues, starkes Passwort und speichere es im Manager.

Zwei-Faktor-Authentifizierung (2FA)

Ein starkes, einzigartiges Passwort ist gut. Ein zweiter Faktor macht es deutlich sicherer. Die Idee dahinter: Selbst wenn jemand dein Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.

Der zweite Faktor ist typischerweise einer von drei Typen:

  • TOTP (Time-based One-Time Password): Eine App auf deinem Smartphone – zum Beispiel Google Authenticator oder Authy – erzeugt alle 30 Sekunden einen neuen sechsstelligen Code. Diesen Code gibst du beim Login zusätzlich zum Passwort ein. Viele moderne Passwort-Manager haben diese Funktion inzwischen integriert, sodass du keine separate App benötigst.
  • Hardware-Key (z. B. YubiKey): Ein physischer USB-Stick, den du beim Login einsteckst oder antippst. Sehr sicher, etwas aufwendiger in der Einrichtung.
  • SMS-Code: Ein Code wird per SMS gesendet. Praktisch, aber die schwächste 2FA-Variante – SMS können in seltenen Fällen abgefangen werden. Besser als nichts, aber wenn möglich durch TOTP ersetzen.

Für welche Dienste ist 2FA Pflicht?

Mindestens für: E-Mail-Konto, Domain-Registrar, Cloud-Speicher (Microsoft 365, Google Drive, Dropbox), Passwort-Manager, Banking und alle Dienste, über die du Zahlungen abwickelst.

Der 2FA-Fallstrick: Was passiert, wenn das Smartphone weg ist?

Das ist die Frage, die viele vergessen. Du richtest 2FA ein – sehr gut. Dann verlierst du dein Smartphone oder es geht kaputt. Und plötzlich kommst du selbst nicht mehr in deine Konten.

Die Lösung: Backup-Codes. Fast jeder Dienst, der 2FA anbietet, generiert beim Einrichten eine Liste mit Einmal-Backup-Codes. Diese Codes kannst du verwenden, wenn dein zweiter Faktor nicht verfügbar ist. Drucke sie aus oder speichere sie sicher – nicht auf demselben Gerät, das den 2FA-Code erzeugt.

Zusätzlich: Wenn du eine 2FA-App wie Authy verwendest, bietet diese eine verschlüsselte Cloud-Sicherung deiner Codes an. Das ist ein sinnvoller Kompromiss zwischen Sicherheit und Komfort.

Pro-Tipp: TOTP auf mehreren Geräten gleichzeitig einrichten

Die meisten Nutzer richten TOTP über einen QR-Code ein – scannen, fertig. Das Problem: Der QR-Code wird nur einmal gezeigt, und damit ist genau ein Gerät als zweiter Faktor registriert. Geht dieses Gerät verloren, ist man ausgesperrt.

Es geht anders: Statt den QR-Code zu scannen, wählst du beim Einrichten die Option „manuell hinzufügen" oder „Code manuell eingeben". Der Dienst zeigt dir dann einen alphanumerischen Secret-Code – das ist derselbe Schlüssel, der hinter dem QR-Code steckt. Diesen Code kannst du nicht nur einer App übergeben, sondern beliebig vielen.

In der Praxis bedeutet das: Du trägst denselben Secret-Code in deine Authenticator-App auf dem Smartphone ein – und zusätzlich in die TOTP-Funktion deines Passwort-Managers (1Password, Bitwarden und heylogin unterstützen das) oder in eine zweite App auf einem anderen Gerät. Alle erzeugten Codes sind identisch und gültig, weil sie denselben Schlüssel verwenden.

Das Ergebnis: Ein Geräteverlust sperrt dich nicht aus. Du kannst dich über ein anderes Gerät oder deinen Passwort-Manager anmelden – und danach in Ruhe den verlorenen Zweifaktor ersetzen.

Account-Recovery – die unterschätzte Hintertür

Ein starkes Passwort und 2FA schützen den Haupteingang. Aber fast jeder Dienst hat eine Hintertür: den Passwort-Reset. Und diese Hintertür ist oft das schwächste Glied in der ganzen Kette.

Die häufigsten Angriffswege über Account-Recovery:

Recovery-E-Mail-Adresse: Die meisten Dienste erlauben es, ein vergessenes Passwort über eine hinterlegte E-Mail-Adresse zurückzusetzen. Wenn diese Recovery-Adresse ein altes, schlecht gesichertes Konto ist – oder wenn jemand Zugang zu dieser Adresse hat –, kann er darüber das Hauptkonto übernehmen, ohne das Passwort oder den zweiten Faktor zu kennen. Das Recovery-Konto ist damit genauso wertvoll wie das Hauptkonto selbst.

SIM-Swap: Beim SIM-Swap überzeugt ein Angreifer den Mobilfunkanbieter, die Telefonnummer des Opfers auf eine neue SIM-Karte zu übertragen – zum Beispiel durch Social Engineering beim Kundenservice. Sobald die Nummer auf seiner SIM aktiv ist, empfängt er alle SMS-Codes, die für die Zwei-Faktor-Authentifizierung oder den Passwort-Reset an diese Nummer gesendet werden. Das ist einer der Gründe, warum SMS-basierte 2FA schwächer ist als TOTP.

Sicherheitsfragen: „Name deines ersten Haustieres?" – Sicherheitsfragen sind oft keine Sicherheit, sondern eine Schwachstelle. Die Antworten sind häufig öffentlich recherchierbar oder erratbar. Wer Sicherheitsfragen beantworten muss, sollte zufällige, nicht erratbare Zeichenfolgen als Antworten verwenden – und diese im Passwort-Manager speichern.

Was du konkret tun solltest:

Prüfe für deine kritischen Konten – E-Mail, Domain-Registrar, Cloud-Dienste, Banking – welche Recovery-Optionen hinterlegt sind:

  • Welche E-Mail-Adresse ist als Recovery-Adresse eingetragen? Ist das Konto dieser Adresse genauso gut gesichert wie das Hauptkonto?
  • Welche Telefonnummer ist hinterlegt? Ist SMS-basierter Reset aktiviert – und ist das bewusst gewählt?
  • Gibt es Sicherheitsfragen? Wenn ja, sind die Antworten zufällig und im Passwort-Manager gespeichert?

Merksatz: Ein Konto ist nur so sicher wie sein schwächster Wiederherstellungsweg. Wer ein starkes Passwort und TOTP hat, aber als Recovery-Adresse ein altes Gmail-Konto ohne 2FA eingetragen hat, hat trotzdem eine offene Hintertür.

Notfall-Zugänge: Der Generalschlüssel

Es gibt Dienste, bei denen ein gesperrter Zugang existenzbedrohend wäre – dein E-Mail-Konto, dein Domain-Registrar, dein wichtigster Cloud-Dienst. Für diese Dienste solltest du dokumentieren:

  • Wo liegt das Konto (URL des Login-Bereichs)?
  • Welche E-Mail-Adresse ist hinterlegt?
  • Wo liegt das Passwort (im Passwort-Manager – welcher Eintrag)?
  • Sind Backup-Codes vorhanden – und wo?
  • Gibt es eine Wiederherstellungs-Telefonnummer oder -E-Mail?

Diese Informationen gehören in dein Notfalldokument – das wir in Teil 5 ausführlich besprechen.

Checkliste: Passwörter & 2FA

  • Ich nutze einen Passwort-Manager für alle wichtigen Dienste.
  • Jeder Dienst hat ein eigenes, starkes Passwort – kein Passwort wird mehrfach verwendet.
  • Ich habe meine E-Mail-Adresse auf haveibeenpwned.com geprüft.
  • Für E-Mail, Domain-Registrar und Cloud-Dienste ist 2FA aktiviert.
  • Ich nutze TOTP (App) statt SMS als zweiten Faktor, wo immer möglich.
  • Beim Einrichten von TOTP nutze ich den manuellen Secret-Code statt des QR-Codes, damit ich ihn auf einem zweiten Gerät oder im Passwort-Manager hinterlegen kann.
  • Backup-Codes für alle 2FA-geschützten Dienste sind sicher aufbewahrt – nicht nur auf dem Smartphone.
  • Die Recovery-E-Mail-Adresse meiner kritischen Konten ist selbst gut gesichert (starkes Passwort, 2FA).
  • Ich nutze keine SMS-basierte Recovery für kritische Konten, wo TOTP verfügbar ist.
  • Sicherheitsfragen sind mit zufälligen, nicht erratbaren Antworten belegt – im Passwort-Manager gespeichert.
  • Die wichtigsten Zugangsdaten sind in meinem Notfalldokument dokumentiert.