Anbieter und Hersteller zu IT-Sicherheit verpflichten

Ob Online-Shopping oder Social-Media-Profile: Verbraucher*innen haben oft mehrere digitale Accounts. Wird einer dieser Zugänge gehackt, besteht die Gefahr, den Zugriff und die Kontrolle über den eigenen Account zu verlieren. Finanzielle Schäden und der Missbrauch persönlicher Daten können die Folge sein. Die Zwei-Faktor-Authentisierung – eine Identitätsprüfung über zwei unterschiedliche, unabhängige Verfahren – bietet einen wirksamen Schutz gegen solche Fremdzugriffe.

14. April 2022

Bild von einer weißen Sicherheitskamera an einem Gebäude, Anbieter und Hersteller zu IT-Sicherheit verpflichten Quelle: Unsplash/Srhhrbch

Die Zwei-Faktor-Authentisierung (2FA) stellt als mehrschrittiges Anmeldeverfahren einen wichtigen Baustein für den digitalen Verbraucherschutz dar. Der Verbraucherzentrale Bundesverband (vzbv) hat untersucht, wie verbreitet diese Methode zur Sicherung digitaler Zugänge ist und an welchen Stellen nachgebessert werden muss.

Es ist für mich unverständlich, warum manche Anbieter digitaler Dienste und Produkte ihren Kundinnen und Kunden nicht ermöglichen, ihre Daten und Profile wirksam zu schützen. Ein standardisiert zweistufiges Anmeldeverfahren wäre dafür ein wichtiger Schritt. Sicherheit in der digitalen Welt ist ein Thema, das schnell überfordert und bei dem man sich auf die Angaben der Anbieter und Hersteller verlassen muss. Gleichzeitig können Sicherheitslücken zu erheblichen Schäden führen. Daher sollten Hersteller und Anbieter auf europäischer Ebene verpflichtet werden, digitale Sicherheitsanforderungen zu integrieren, sie voreinzustellen und über die Vorteile geschützter Produkte und Profile aufzuklären. Dies muss über den von der Europäischen Kommission angekündigten Cyber Resilience Act umgesetzt werden.“

Jutta Gurkmann, Vorständin des vzbv

Der vzbv hat über 200 digitale Dienste aus 16 Branchen untersucht, um zu prüfen, welche Arten der Zwei-Faktor-Authentisierung es gibt, welche Unternehmen diese anbieten und wie sicher die einzelnen Verfahren sind. Das Ergebnis: Lediglich in wenigen branchenspezifischen Bereichen, die bereits reguliert sind, werden flächendeckend Möglichkeiten zur Zwei-Faktor-Authentisierung angeboten.

Verpflichtende IT-Sicherheit gefordert

Selbst in Bereichen, in denen sensible Daten verarbeitet werden, wird laut Untersuchung nur bedingt die Absicherung mit einem zweiten Faktor bei der Anmeldung angeboten. So ermöglicht beispielsweise keine der untersuchten Versandapotheken und nur zwei der dreizehn untersuchten Fitness-Tracker ein solches Verfahren. Auch keiner der betrachteten deutschen Online-Shops bietet die Möglichkeit, sich in einem zweistufigen Verfahren beim Nutzerkonto anzumelden.

Die Untersuchung zeigt aber auch, dass selbst wenn ein sicheres Anmeldeverfahren angeboten wird, Verbraucher*innen dieses oft nicht nutzen – selbst wenn sie die Daten als schützenswert empfinden: So nutzen laut einer Umfrage des Instituts hopp Marktforschung im Auftrag des vzbv aus dem Jahr 2021 lediglich 17 Prozent der Verbraucher*innen ein zweistufiges Verfahren bei der Anmeldung zu ihrem E-Mail-Konto. Gleichzeitig gaben 61 Prozent ihr E-Mail-Postfach als besonders schützenswert an. „Diese Diskrepanz zeigt: Anbieter sollten die 2-Faktor-Authentisierung auch besser erklären und bewerben und als Voreinstellung hinterlegen. Unternehmen sollten die bestmöglichen Voraussetzungen dafür schaffen, dass Verbraucherinnen und Verbraucher ihre Online-Accounts gut schützen können“, sagt Jutta Gurkmann.

Um Verbraucher*innen bestmöglich vor Datendiebstahl und finanziellen Schäden zu schützen, muss IT-Sicherheit von den Herstellern digitaler Produkte und Anbietern digitaler Dienstleistungen verpflichtend berücksichtigt werden. Dafür müssen digitale Produkte über ihren gesamten Lebenszyklus – vom Produktdesign bis hin zum Recycling – festgelegten IT-Sicherheitsanforderungen unterliegen. Ein verpflichtendes Angebot der 2-Faktor-Authentisierung zur Anmeldung ist hierfür ein wichtiger Baustein. Darüber hinaus müssen digitale Produkte während der gesamten Lebensdauer mit Sicherheitsupdates versorgt werden.

Verbraucher*innen müssen sich zudem verlässlich und vertrauensvoll über die Sicherheit ihrer Geräte und digitalen Dienste informieren können. Ein verpflichtendes europäisches Sicherheitskennzeichen könnte, ergänzend zur Verpflichtung der Hersteller, bestimmte Sicherheitsanforderungen in ihre Produkte zu integrieren, eine gute Orientierung bieten.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Verwendung einer Zwei-Faktor-Authentisierung und hat eine Bewertung der verschiedenen Verfahren vorgenommen. Mit dieser können sich Verbraucher*innen über das für sie passende Verfahren informieren.
 

Methoden: Eigene Erhebung des vzbv. Untersucht wurde für insgesamt 16 Branchen, wie häufig digitale Dienste ihren Nutzer:innen 2-Faktor-Authentisierung-Lösungen anboten und ob diese optional / voreingestellt / verpflichtend waren. Erhebungszeitraum: 18. Januar bis 1. Februar 2022.

Online-Befragung. Grundgesamtheit: Internetnutzer ab 16, die bereits 2FA-Verfahren kennen. Stichprobengröße: 2.014 Befragte. Erhebungszeitraum: 27. April bis 7. Mai 2021. Statistische Fehlertoleranz: max. +/- 2 Prozentpunkte in der Gesamtstichprobe. Institut: hopp Marktforschung.