Zwei-Faktor-Authentifizierung über SMS gilt seit Jahren als unsicher — eingesetzt wird sie trotzdem überall. Warum SMS-TAN heute eher Schein-Sicherheit als echter Schutz ist und was an ihre Stelle gehört.
Zwei-Faktor-Authentifizierung ist zur Mindest-Anforderung jeder vernünftigen Sicherheitsarchitektur geworden. Soweit, so gut. Das Problem: der mit Abstand verbreitetste zweite Faktor ist gleichzeitig der schwächste. SMS-TAN sind 2026 keine Sicherheits-Komponente mehr, sondern Theater.
Warum SMS strukturell unsicher ist
Drei Angriffsvektoren machen SMS-TAN praktisch nutzlos gegen entschlossene Angreifer:
- SIM-Swapping. Ein Anrufer beim Mobilfunkanbieter, eine plausible Geschichte, eine neue SIM. In dokumentierten Fällen dauert das von der Identitätsübernahme bis zum Zugriff auf das Bankkonto unter einer Stunde. Die Schwachstelle sitzt nicht bei Ihnen, sondern beim Callcenter Ihres Providers.
- SS7-Schwächen. Das Signalisierungs-Protokoll der Mobilfunknetze stammt aus den achtziger Jahren. Wer Zugang zu einem SS7-Knoten hat — und das ist auf Schwarzmärkten käuflich — kann SMS umleiten, ohne dass der Empfänger es bemerkt.
- Phishing-Toolkits in Echtzeit. Moderne Reverse-Proxy-Phishing-Seiten leiten Eingaben in Sekundenbruchteilen an die echte Anwendung weiter — inklusive SMS-TAN. Sobald der Nutzer den Code eingibt, ist die Session des Angreifers authentifiziert.
Keiner dieser Angriffe ist theoretisch. Sie passieren täglich, in jedem Branchen-Segment.
Warum SMS-TAN trotzdem überall steht
Die Antwort ist unbequem: SMS-TAN sind billig, breit verfügbar und seit Jahren in Compliance-Dokumenten verankert. Wer sich darauf beruft, kann nachweisen, “etwas getan zu haben” — auch wenn der Schutz weniger wert ist als ein gutes Passwort mit Passwort-Manager.
Dazu kommt ein Wahrnehmungs-Problem: viele Anwender empfinden die SMS-Nachricht als sicher, weil sie zusätzlich zum Passwort kommt. Aus Sicht der Angreifer ist es ein berechenbarer, gut etablierter Workflow.
Was an die Stelle gehört
Drei Alternativen sind heute praxistauglich und einer SMS überlegen:
- TOTP über Authenticator-Apps — Aegis, Google Authenticator, 1Password. Generiert lokal, keine Mobilfunk-Abhängigkeit, kein Angriffsfenster über das Provider-Callcenter. Schwäche: nach wie vor anfällig für Reverse-Proxy-Phishing.
- Push-basierte Bestätigung mit Number-Matching — wie sie bei modernen Cloud-Plattformen Standard ist. Der Nutzer sieht eine Zahl auf der Login-Seite und muss sie in der App bestätigen. Schützt zuverlässig gegen Push-Spam.
- Hardware-Security-Keys nach FIDO2/WebAuthn — YubiKey, Token2, Solokey. Phishing-resistent durch kryptographische Bindung an die Domain. Wer einmal damit gearbeitet hat, will nicht zurück. Für sensible Konten — Admin-Zugänge, Banking, E-Mail-Postfächer mit Reset-Funktion — ist das der Stand der Technik.
Passkeys als Weiterentwicklung machen vieles davon noch einfacher: ein einziger phishing-resistenter Faktor, gespeichert im Smartphone oder Hardware-Key, ohne Passwort-Eingabe. Die Verbreitung wächst, die Lücken werden kleiner — Anwendungen, die Passkeys bereits unterstützen, sollten sie auch als bevorzugte Methode anbieten.
Wo Sie heute anfangen sollten
Für jede Organisation gilt dieselbe Reihenfolge:
- Admin-Accounts zuerst — Cloud-Verwaltung, Domain-Registrare, E-Mail-Provider, Banking. Hier ist ein Hardware-Key keine Kür, sondern Pflicht.
- Privileged Users im Anschluss — alle, die produktive Daten verändern können.
- Standard-Nutzer mit TOTP oder Passkeys, falls die Anwendung das hergibt.
Nichts davon kostet substanziell mehr Geld als die bestehende SMS-Lösung. Was es kostet, ist eine bewusste Entscheidung und einmal Aufwand bei der Umstellung.
Unser Fazit
SMS-TAN waren vor zehn Jahren ein Fortschritt. Heute sind sie eine bekannte Schwachstelle, die nur deshalb noch flächendeckend steht, weil ihr Austausch nirgendwo prioritär auf der Agenda stand. Wer es 2026 ernst mit Authentifizierung meint, beginnt mit dem schrittweisen Abschied — und zwar diese Woche, nicht nächstes Quartal.