Mehrmals täglich loggen wir uns in verschiedene Online-Konten ein. Dabei ist uns natürlich die Sicherheit unserer Daten ganz besonders wichtig. Ein komplexes Passwort allein reicht heutzutage kaum noch aus. Wir erklären dir, wie du deine Konten wirklich schützen kannst, und klären, welche Methoden nicht mehr funktionieren.
Das Wichtigste in Kürze
- Ein starkes Passwort allein genügt 2026 nicht mehr. Wegen Phishing, Datenlecks und SIM-Swapping werden Passwörter angreifbar.
- BSI empfiehlt die 2-Faktor-Authentifizierung als Standard für wichtige Konten, bevorzugt per Authenticator-App und nicht per SMS.
- Passkeys sind die neueste Stufe (FIDO2/WebAuthn). Logins per Face-/Touch-ID oder PIN sind phishing-resistent. Apple, Google, Microsoft, Amazon und GitHub unterstützen diese.
- Zuerst E-Mail-Hauptkonto absichern (wer das hat, hat alles), dann Banking, Cloud-Speicher, Social Media und – falls vorhanden – Webseiten-Admin.
- Wer eine eigene WordPress-Seite betreibt, sichert sie über ein 2FA-Plugin wie WP 2FA oder die integrierte Wordfence-Funktion ab – eine ausführliche Schritt-für-Schritt-Anleitung gibt es bei HostPress.
Warum ein starkes Passwort heutzutage nicht mehr reicht
Große Datenlecks sorgen dafür, dass jedes Jahr Millionen von privaten Passwörtern im Netz landen. Mittlerweile gibt es sogar Websites (z. B. „Have I Been Pwned“), auf denen du checken kannst, ob du selbst betroffen bist. Durch täuschend echte Phishing-Mails fallen selbst erfahrene Nutzerinnen und Nutzer auf den Betrug herein. Auch das sogenannte SIM-Swapping erlaubt Angreifern, SMS-Codes beim Anmelden oder Prüfen von wichtigen Aufträgen, etwa beim Online-Banking, abzufangen. Oftmals, vor allem bei sensiblen Konten, gilt die SMS-2FA also gar nicht mehr als sicher.
Daraus resultiert: Selbst sehr lange Passwörter helfen wenig, wenn sie durch ein Datenleck in fremde Hände geraten. Deshalb empfehlen Sicherheitsbehörden wie das BSI heute, alle wichtigen Konten zusätzlich per zweitem Faktor abzusichern.
Die Sicherheits-Pyramide für deine Online-Konten
Die beste Möglichkeit, um Online-Konten abzusichern, ist eine Sicherheits-Pyramide. Diese besteht aus insgesamt vier Stufen, die die jeweils vorige untermauern. Stufe 1 gilt dabei als Pflicht: ein Passwortmanager mit langen, einzigartigen Passwörtern pro Dienst. Als zweite Stufe gilt der zweite Faktor per Authenticator-App, er ist der eigentliche Grundstein für „echte“ Sicherheit. Stufe 3, Passkeys, gehören mittlerweile zum neuen Standard, der neue Passwörter künftig ersetzen soll. Passkeys nutzen ein Schlüsselpaar auf dem Gerät und sind phishing-resistent, weil es nichts mehr gibt, das Angreifer abfangen könnten. Stufe 4 ist der physische Hardware-Schlüssel, der vor allem für besonders kritische Konten sinnvoll ist.
| Stufe | Methode | Wie es funktioniert | Aufwand | Sicherheit |
|---|---|---|---|---|
| 1 | Starkes Passwort + Passwortmanager | Einzigartiges, langes Passwort pro Konto; ein Passwortmanager merkt sie sich | Niedrig (einmaliges Setup) | Grundschutz |
| 2 | 2FA mit Authenticator-App (TOTP) | Zusätzlicher 6-stelliger Code, der alle 30 Sek. in der App neu generiert wird | Niedrig | Hoch |
| 3 | Passkeys (FIDO2/WebAuthn) | Schlüsselpaar wird auf dem Gerät gespeichert; Login per Face/Touch ID oder PIN. Phishing-resistant | Niedrig | Sehr hoch |
| 4 | Hardware-Sicherheitsschlüssel (z. B. YubiKey) | Physischer USB-/NFC-Stick, der zum Login eingesteckt oder antippt wird | Mittel (Kauf + Backup-Key) | Höchste |
Mythen entkräftet: Was nicht mehr hilft
Manche Sicherheits-Mythen halten sich hartnäckig. Wir räumen auf:
- SMS-Codes als alleiniger zweiter Faktor: besonders anfällig für SIM-Swapping. Angreifer übernehmen die Mobilfunknummer und können die SMS abfangen. Das BSI rät bei sensiblen Konten von SMS-2FA ab. Besser: Authenticator-Apps oder Passkeys.
- Sicherheitsfragen („Name deiner Grundschule?“): Antworten kann man googeln oder aus Social Media ableiten
- Häufiges Passwortwechseln: Nutzer wählen tendenziell eher schwächere Passwörter, wenn sie häufig wechseln müssen. BSI empfiehlt stattdessen lange, einzigartige Passwörter in Kombination mit 2FA.
- Ein „starkes“ Passwort für alle Konten: Wenn ein Anbieter gehackt wird, können alle anderen Konten gleich mitfallen. Besser: Passwortmanager mit individuellen Passwörtern pro Dienst.
Use-Case für Betreiber eigener Websites
Wenn du eine eigene Webseite betreibst, beispielsweise über WordPress, solltest du auch dort eine 2FA einrichten. Denn WordPress-Logins sind heutzutage eines der häufigsten Angriffsziele für Brute-Force und Phishing-Attacken. Ein kompromittierter Admin-Zugang kann zu Malware, SEO-Schäden oder gar dem Verlust der kompletten Website führen.
Über ein Plug-in wie WP 2FA oder die bereits integrierte 2FA-Funktion von Wordfence kannst du den Login innerhalb von wenigen Minuten zusätzlich absichern. Eine ausführliche Schritt-für-Schritt-Anleitung, einen Plug-in-Vergleich und Tipps für Backup-Codes, hat der Managed-WordPress-Hoster HostPress auf seinem Blog zusammengestellt.
Welche Online-Konten du zuerst absichern solltest
Bei der Kontensicherung, ist es wichtig, dass du dein E-Mail-Hauptkonto als allererstes absicherst. Wer Zugriff auf dieses Konto hat, kann bei allen anderen Diensten, bei denen du dich mit der E-Mail-Adresse angemeldet hast, Passwort-Resets auslösen und diese zurücksetzen.
| Konto-Typ | Warum besonders kritisch? | Empfohlene Methode |
|---|---|---|
| E-Mail Hauptkonto | Mit Zugang zu deinem E-Mail-Konto, kann man alle anderen Passwörter zurücksetzen | Authenticator-App oder Passkey |
| Online-Banking | Zugriff auf deine Finanzen | Bank-eigene App (PSD2-konform) oder TAN-Verfahren |
| Cloud-Speicher | Zugriff auf private Fotos, Dokumente, oft auch Schlüssel zu anderen Diensten | Authenticator-App + Passkey (wenn verfügbar) |
| Social Media | Identitätsdiebstahl, Imagenutzung für Betrug | Authenticator-App oder Passkey |
| Webseiten-Admin (z.B. WordPress) | Manipulation, Malware-Verbreitung, SEO-Schaden | Plugin-basierte 2FA, siehe HostPress-Anleitung |
Häufig gestellte Fragen
Was ist sicherer: SMS-Code oder Authenticator-App?
Authenticator-Apps wie Google Authenticator, Microsoft Authenticator oder Aegis sind deutlich sicherer als SMS-Codes. SMS lassen sich über sogenanntes SIM-Swapping abfangen – Angreifer übernehmen dabei deine Mobilfunknummer und bekommen die Codes auf ihr eigenes Gerät. Das BSI rät bei sensiblen Online-Konten ausdrücklich von SMS als alleinigem zweiten Faktor ab und empfiehlt stattdessen Authenticator-Apps oder Passkeys.
Was sind Passkeys und wie unterscheiden sie sich von 2FA?
Passkeys sind die neueste Generation der Login-Sicherheit und ersetzen Passwörter komplett. Statt eines Passworts speichert dein Gerät ein kryptografisches Schlüsselpaar; den Login bestätigst du per Face-ID, Touch-ID oder Geräte-PIN. Passkeys sind phishing-resistent, weil es nichts mehr gibt, das ein Angreifer auf einer gefälschten Webseite abfragen könnte. Apple, Google, Microsoft, Amazon, GitHub und viele weitere Dienste unterstützen Passkeys bereits.
Welches Konto sollte ich als Erstes mit 2FA absichern?
Dein E-Mail-Hauptkonto. Wer Zugriff auf dein Postfach hat, kann bei fast allen anderen Diensten Passwort-Resets auslösen und damit nach und nach Banking, Cloud-Speicher, Social Media und alles andere übernehmen. Danach folgen in der Reihenfolge: Online-Banking, Cloud-Speicher, Social Media und – falls vorhanden – der Admin-Zugang zu deiner eigenen Webseite.
