Wenn du 2FA nutzt, fühlst du dich wahrscheinlich auf der sicheren Seite. Schließlich soll diese zusätzliche Sicherheitsschicht verhindern, dass Fremde auf deine Konten zugreifen, selbst wenn sie dein Passwort kennen. Doch jetzt zeigt ein neuer Bericht, dass genau diese Sicherheitsmaßnahme massiv unterlaufen wurde: Etwa eine Million Zwei-Faktor-Authentifizierungscodes, die per SMS verschickt wurden, sind abgefangen worden. Und das nicht von irgendwelchen Hackern, sondern über ein legales Mobilfunkunternehmen mit Verbindungen zu Geheimdiensten und Überwachungsfirmen. Hier erfährst du, was passiert ist – und wie du dich besser schützen kannst.
Zwei-Faktor-Authentifizierung (2FA) funktioniert so: Du gibst dein Passwort ein und erhältst zusätzlich einen Code – meistens einen sechsstelligen – der deine Identität bestätigen soll. Der Code kann per SMS kommen oder über eine App generiert werden. Das Ziel: Mehr Sicherheit. In der Theorie gut. In der Praxis zeigt sich aber immer wieder, dass SMS als Übertragungsweg unsicher ist. SMS-Nachrichten sind nicht verschlüsselt, sie reisen offen durchs Mobilfunknetz. Wer Zugriff auf bestimmte Netzwerktechnik hat, kann diese Nachrichten mitlesen. Genau das ist passiert.
Was genau passiert ist: Eine Million 2FA-SMS abgefangen
Laut einem Bericht von Bloomberg Businessweek und Lighthouse Reports wurden im Juni 2023 rund eine Million SMS mit 2FA-Codes abgefangen. Ein Branchen-Insider hat Telefonverbindungsdaten übermittelt, aus denen hervorgeht, dass alle diese Nachrichten über eine Firma namens Fink Telecom Services geleitet wurden. Dieses Unternehmen sitzt in der Schweiz, ist aber international tätig und hat in der Vergangenheit mit staatlichen Geheimdiensten und Unternehmen aus der Überwachungsbranche zusammengearbeitet. Die abgefangenen Nachrichten enthielten Sicherheitscodes von einer Vielzahl großer Unternehmen, darunter Google, Meta (Facebook, Instagram & WhatsApp), Amazon, Signal, Snapchat, Tinder, Binance und mehrere europäische Banken.
Überwachung im Hintergrund: 2FA-SMS gezielt umgeleitet
Die Codes wurden an Nutzer in über 100 Ländern auf fünf Kontinenten verschickt. Dabei handelte es sich nicht um einen zufälligen Einzelfall, sondern um eine systematische Umleitung und Analyse von SMS-Nachrichten mit hoher Sensibilität. Laut Bericht war Fink Telecom Services für das Routing der Nachrichten verantwortlich – also dafür, wie die SMS über internationale Netzwerke zum Empfänger gelangen. Der Finanzchef des Unternehmens behauptet, Fink biete lediglich technische Infrastruktur an und sei nicht aktiv in Überwachung verwickelt. Sicherheitsexperten widersprechen: Sie haben Fink in der Vergangenheit mit Fällen in Verbindung gebracht, bei denen genau solche SMS-Codes abgefangen und später für Hacks genutzt wurden.
Warum SMS-Codes so leicht abgefangen werden können
Das große Problem bei SMS liegt in der fehlenden Verschlüsselung. Wenn du eine SMS erhältst, wird diese ungeschützt durch das Mobilfunknetz übertragen. Das macht es für Angreifer möglich, die Nachrichten abzufangen – besonders dann, wenn sie Zugriff auf Routingpunkte oder internationale Vermittlungsstellen haben. Und genau dort kommt Fink Telecom Services ins Spiel. Das Unternehmen betreibt solche Vermittlungsstellen und ist dadurch in der Lage, auf große Mengen von SMS-Daten zuzugreifen. Die Sicherheitslücke ist also kein Zufall, sondern ein strukturelles Problem im Mobilfunknetz – besonders bei grenzüberschreitenden Nachrichten. Die Kombination aus technischer Infrastruktur, alten Protokollen und fehlender Verschlüsselung macht es möglich, dass externe Akteure mitlesen können, was eigentlich vertraulich bleiben sollte.
Welche Anbieter betroffen waren
Betroffen waren Unternehmen, die 2FA-Codes standardmäßig per SMS verschicken. Dazu gehören:
- Google (z. B. für Gmail oder Google-Konten)
- Meta (Facebook, Instagram)
- Amazon.com
- Signal und WhatsApp (obwohl diese Apps verschlüsselt kommunizieren, laufen ihre 2FA-SMS außerhalb der App)
- Binance (Kryptobörse)
- Tinder, Snapchat
- Mehrere große europäische Banken
Die meisten dieser Anbieter bieten auch Alternativen zur SMS-basierten 2FA – nutzen aber weiterhin SMS als Standardoption oder als Fallback, wenn Nutzer keine App verwenden.
Wie du dich schützen kannst
Die wichtigste Maßnahme: Verwende keine SMS für 2FA mehr, wenn du es vermeiden kannst. Stattdessen solltest du auf Authentifizierungs-Apps umsteigen. Diese generieren den sechsstelligen Code direkt auf deinem Smartphone, ohne dass er über ein Netzwerk geschickt wird. Beliebte Apps sind:
- Authy
- Google Authenticator
- Microsoft Authenticator
- als Apple-Nutzer kannst du auch die Passwörter-App mit ihrem eigenen 2FA-System verwenden
Eine noch sicherere Methode ist die Nutzung von sogenannten Passkeys. Damit entfällt der Code komplett – stattdessen bestätigst du deine Identität lokal auf deinem Gerät, zum Beispiel mit Face ID oder Touch ID. Der Login wird kryptografisch abgesichert, ein Passwort oder SMS-Code ist nicht mehr nötig.
- Apple Account Passwort vergessen? So bekommst du Zugriff
- Apple-Konto schützen: Wiederherstellungskontakt einrichten
SMS-2FA ist nicht mehr zu retten
Die Abfangaktion zeigt deutlich, wie angreifbar SMS-2FA ist. Selbst mit aktiviertem Zwei-Faktor-Schutz bist du nicht sicher, wenn die zweite Komponente – also der Code – über ein unsicheres System übertragen wird. Du solltest daher alle deine Konten überprüfen und möglichst schnell auf App-basierte Authentifizierung oder Passkeys umstellen. Das kostet dich ein paar Minuten – aber es schützt dich langfristig besser vor genau solchen Angriffen. Wenn du auf Nummer sicher gehen willst: Nutze keine SMS mehr für Sicherheitscodes. Niemals. (Bild: Shutterstock / May_Chanikran)
- WhatsApp startet Werbung: Diese Daten nutzt Meta dafür
- iOS 18.6: Apple startet neue Beta mit Fokus auf Stabilität
- Apple stellt klar: Musik ist Kunst, kein Werbeträge
