Hier ein etwas ketzerischer Artikel – ich möchte meine gewohnte Zurückhaltung im Jahr 2026 etwas zurücknehmen, nachdem Kunden mehrfach geäußert hatten: „Dr. Hinner, das hätten Sie deutlicher sagen müssen“.
Eine kleine Vorgeschichte: Nach meinem Eindruck arbeiten in vielen US-Tech-Unternehmen – und es sind diese, die die Tech-Welt strukturieren, woran das liegt, steht auf einem anderen Blatt – vorwiegend junge, männliche, kinderlose und stark fokussierte (d.h.: kein Blick über den Tellerrand) Mitarbeiter.
Das ist an sich nicht schlecht, aber – wie auch bei Parlamenten – bin ich ein großer Freund einer gewissen Repräsentativität.
Wir sind inzwischen in USA bei – glaube ich – 1,4 Kinder pro „caucasian“ Frau und in Deutschland bei unter 1 (mit Dr. Hinner Korrekturfaktor). Das heißt, bei 2FA – und darum soll es hier gehen – werden die Belange von Familien mit Kindern kaum in Betracht gezogen und – durch die letztlich institutionelle Förderung der Jungen – Probleme mit „Senioren“ nicht adäquat berücksichtigt.
Nachdem ich jetzt wieder drei Fälle hatte, wo die „2FA“ nicht mehr anwendbar war, weil
- bei einem Todesfall offenbar die Mobilfunkrechnung nicht bezahlt wurde und die Mobilnummer „weg“ war (der Mobilfunkanbieter kann „nichts machen“).
- bei einer älteren Person das Telefon „abhandenkam“, gestohlen oder aus Versehen weggeworfen, man weiß es nicht.
- bei einer älteren Person im „Aufräumwahn“ das Mobiltelefon mit anderem „IT-Schrott“ zum „Wertstoffhof“ gegeben wurde
- bei einem älteren Geschäftsführer der Zettel mit den Passwörtern im Tresor war – und die Mitarbeiter, die den Tresorcode wußten, waren nicht da oder entlassen.
muß ich zusammenfassend konstatieren, daß ich keine Chance habe, die 2FA über die Mobilnummer wieder in Gang zu setzen. Auf den Zugang (z.B. Facebook [wobei es hier dann doch ging], „t-online“, „Microsoft-Konto“, „1und1“) kann ich z.B. als „IT-Nachlaßverwalter“ nicht mehr zugreifen.
Es gibt aber auch einen anderen Grund, warum ich schon immer davon abgeraten habe: Es ist ein weiteres Stück Technik, das funktionieren muß. Wenn man weiß, was im Hintergrund alles laufen muß, damit „2FA“ funktioniert, kommt einem bei „2FA“ der kalte Schweiß, wenn es um Mobilfunk geht.
Offenbar haben das inzwischen auch andere erkannt, denn jetzt kommen „E-Mail-Tokens“ offenbar immer mehr in Mode. Man loggt sich irgendwo ein und bekommt einen „Token“ per E-Mail. Den Code muß man dann eingeben.
Genau das gleiche: Wieder ein Stück Technik, das funktionieren muß – und gerade im Fall, daß es eben nicht „rund“ läuft, ist das fatal.
Auch „Apps“, die „2FA“ voraussetzen, können z.B. nicht mehr funktionieren, ein Update voraussetzen, das Update funktioniert dann wegen Speichermangel nicht oder „Sie benötigen mindestens iOS x“ oder das Hochhieven auf eine andere Version funktioniert nicht und dann fehlt erst der „Matrix-Code“ für die erneute Einrichtung, nach langer Zeit ist er gefunden, aber die Bank akzeptiert ihn nicht mehr, weil „zu alt“, ein neuer Code muß über Briefpost angefordert werden etc. pp.
Es ist sozusagen genau das Gegenteil von Redundanz. Es ist keine „parallelgeschaltete“ Sicherheit, sondern eine „serielle Sicherheit“. Das kann fatal sein.
Als Aufsichtsbehörde würde ich „2FA“ bei sicherheitskritischer Infrastruktur nicht fördern oder fordern, sondern glatt untersagen. Ich würde es auch entsprechend begutachten.
In meinen Augen ist in Deutschland zu viel „Schönwetter-Architektur“, es sind zu viele „Schönwetter-Kapitäne“ in Leitungspositionen und generell sind in Leitungspositionen durch die Bank in zu vielen Institutionen Personen, die da eigentlich nicht hingehören. Man kann von Donald Trump halten, was man will (ich habe ihn nicht gewählt), aber er macht das, was ich schon seit langem empfehle: Das Personal in Leitungspositionen nach Erfahrung und Loyalität auszuwechseln („merit based hiring“). Es wird nicht funktionieren, aus DEI-Gründen einen vielschichtigen Proporz in Führungspositionen umzusetzen, wenn dann im Ernstfall die Sirene nicht funktioniert, das Notstromaggregat nicht läuft oder der Löschwasserteich leer ist.
Ich bin auch ein großer Verfechter der „ABC-Analyse“ aus der BWL. Die „A“-Felder müssen absolute Chefsache sein, „B“ kann man selbst machen, aber auch delegieren, „C“ muß man delegieren oder aufschieben – es gibt in bestimmten Feldern „Micromanagement“-Chefs, das kann auch gut sein, aber in der Regel sind die meisten Führungskräfte dann überlastet.
Aber es wird sein wie bei:
- Siemens: Ich habe immer gefordert, Siemens nicht zu zerschlagen, die PC-, Halbleiter (DRAM) und Mobiltelefonproduktion in Deutschland zu stützen
- ISDN: Ich habe immer gefordert, daß ISDN nicht abgeschaltet wird, sondern als zweiter Kommunikationskanal bei kritischer Infrastruktur sogar vorgeschrieben wird
- Software: Ich habe immer gefordert, daß bei kritischer Infrastruktur US-Clouds untersagt sind, auch EU-Clouds – die Technik und das Wissen müssen im Land sein.
Und so wird es auch dieses Mal sein. Erst, wenn durch „2FA“ ein größerer Schaden entstanden sein wird, erst wenn die USA sich davon abwenden, erst, wenn die EU sich abwendet, wird mit einem oder zwei Jahren Verzögerung auch „2FA“ in Deutschland kritisch gesehen werden.
Somit bleibt nur, falls Sie dazu gezwungen werden, folgendes rate ich meinen Kunden:
- führen Sie eine eigene Dokumentation über Ihren „2FA“-Einsatz: Also bei welchem Dienst welche 2FA-Methode
- machen Sie dieses Thema zur Chefsache: Mobilnummern mit „2FA“ müssen monatlich kontrolliert werden (Guthaben bei „Prepaid“, Vertragssituation bei „Postpaid“)
- es sollten immer mindestens drei Mitarbeiter über „2FA“ informiert und geschult sein.