Bajorat Media
Was ist Zwei-Faktor-Authentifizierung (2FA)?
Zwei-Faktor-Authentifizierung schützt Logins zusätzlich zum Passwort mit einem zweiten Sicherheitsfaktor.
Zwei-Faktor-Authentifizierung, kurz 2FA, ist ein zusätzlicher Schutz für Logins. Neben dem Passwort wird ein zweiter Faktor benötigt, zum Beispiel ein Einmalcode aus einer Authenticator-App, ein Sicherheitsschlüssel oder eine Bestätigung auf einem vertrauenswürdigen Gerät. Dadurch reicht ein gestohlenes Passwort allein nicht mehr aus, um auf ein Konto zuzugreifen.
Welche Faktoren gibt es bei 2FA?
Bei der Zwei-Faktor-Authentifizierung werden zwei unterschiedliche Nachweise kombiniert. Typische Kategorien sind:
| Faktor | Beispiel |
|---|---|
| Wissen | Passwort oder PIN |
| Besitz | Smartphone, Authenticator-App, Hardware-Sicherheitsschlüssel |
| Biometrie | Fingerabdruck oder Gesichtserkennung |
Das BSI spricht häufig von Zwei-Faktor-Authentisierung. Im Alltag wird oft „Authentifizierung” gesagt. Für Website-Betreiber ist die praktische Bedeutung entscheidend: Der Login wird nicht mehr nur durch ein Passwort geschützt.
Warum ist 2FA für Websites wichtig?
Viele Angriffe auf Websites beginnen nicht mit einer komplizierten Sicherheitslücke, sondern mit einem kompromittierten Zugang. Passwörter können durch Phishing, Datenlecks, Wiederverwendung oder unsichere Geräte bekannt werden. Besonders kritisch sind Administrationszugänge, Hosting-Logins, E-Mail-Konten, Google-Konten, Zahlungsanbieter und WordPress-Benutzer mit hohen Rechten.
Bei einer WordPress-Wartung gehört 2FA deshalb zu den wichtigsten organisatorischen Sicherheitsmaßnahmen. Sie ersetzt keine Updates, keine Backups und keine Rechteprüfung, aber sie reduziert ein sehr häufiges Risiko: den unbefugten Login mit gültigen Zugangsdaten.
Welche 2FA-Verfahren sind sinnvoll?
Nicht jedes Verfahren ist gleich stark. SMS-Codes sind besser als gar kein zweiter Faktor, können aber durch SIM-Swapping oder abgefangene Nachrichten riskanter sein. Authenticator-Apps sind für viele Unternehmen ein guter Einstieg, weil sie relativ einfach einzuführen sind. Hardware-Sicherheitsschlüssel wie FIDO2/WebAuthn sind besonders robust, erfordern aber etwas mehr organisatorische Vorbereitung.
Für Unternehmenswebsites sind diese Punkte wichtig:
- Administrationszugänge sollten 2FA nutzen.
- Gemeinsame Benutzerkonten sollten vermieden werden.
- Backup-Codes müssen sicher abgelegt werden.
- Zugänge ehemaliger Mitarbeiter sollten sofort entfernt werden.
- Rollen und Rechte sollten regelmäßig geprüft werden.
Wann wird 2FA im Website-Alltag relevant?
2FA ist besonders relevant, wenn mehrere Personen an Website, Shop, CRM oder Kampagnenkonten arbeiten. Ein einzelnes kompromittiertes Konto kann ausreichen, um Inhalte zu ändern, Kundendaten einzusehen, Weiterleitungen zu setzen oder Zahlungs- und Tracking-Einstellungen zu manipulieren.
Auch beim WordPress-DSGVO- und Datenschutz-Setup spielt Login-Sicherheit eine Rolle, weil technische und organisatorische Maßnahmen nicht nur externe Besucher betreffen. Wer personenbezogene Daten verarbeitet, sollte auch den administrativen Zugriff angemessen absichern.
Was sollten Website-Betreiber konkret tun?
Der pragmatische Einstieg ist klar: 2FA zuerst für alle Administratoren aktivieren, dann für Redakteure, Agenturzugänge und wichtige Drittsysteme ausrollen. Parallel sollten Passwortmanager, eindeutige Benutzerkonten, minimale Rechte und ein dokumentierter Offboarding-Prozess eingesetzt werden.
Eine gute Sicherheitsstrategie besteht nicht aus einer einzelnen Maßnahme. Zwei-Faktor-Authentifizierung ist aber eine der effektivsten Grundlagen, weil sie ein verbreitetes Angriffsszenario deutlich erschwert: den Zugriff über gestohlene oder erratene Passwörter.
