Pixabay.com / TShirtEmpire
Know-Your-Customer-Dienste (KYC) sind das digitale Nadelöhr für Identitätsprüfungen, ob bei Banken, Kryptobörsen, Online-Casinos oder Fintech-Plattformen. Gerade weil hier besonders sensible Daten wie Ausweiskopien, Selfies und Adressnachweise verarbeitet werden, sind diese Portale ein bevorzugtes Ziel für Phishing-Angriffe. Ein kompromittierter KYC-Account kann ziemlich üble Folgen haben. Von Identitätsdiebstahl bis hin zu finanziellen Schäden ist alles denkbar. Glücklicherweise können Sie sich schützen, angefangen beim richtigen Wissen über Phishing-Angriffe und Authentifizierungen.
Das Problem und die Lösung
Die Zwei-Faktor-Authentifizierung ist aktiviert? Ja, dann ist ja alles super. Häufig wiegen wir uns in Sicherheit, wobei leider nicht alle 2FA-Verfahren gleich sicher sind. SMS-basierte Codes können zum Beispiel durch SIM-Swapping abgefangen werden. Sogar TOTP-Apps wie Google Authenticator oder Microsoft Authenticator bieten keinen wirklich vollständigen Schutz gegen Phishing. Eine Phishing-resistente Authentifizierung muss daher her. Sie ist kryptografisch an die Domain des echten Dienstes gebunden. Sogar auf gefälschten Websites klappt’s mit der Anmeldung nicht. Angreifer kriegen also nichts Brauchbares von Ihnen. Die beiden wichtigsten Technologien in diesem Bereich werden von den Experten von Time2play.com vorgestellt. Es sind FIDO2/WebAuthn und die darauf aufbauenden Passkeys.
Methode 1: Hardware-Sicherheitsschlüssel – Der Goldstandard
Hardware-Sicherheitsschlüssel sind kleine USB-Geräte (oder NFC-/Bluetooth-fähige Tokens), die nach dem FIDO2-Standard arbeiten. Die bekanntesten Hersteller sind Yubico (YubiKey), Google (Titan Security Key) und Nitrokey. Diese Geräte speichern Ihre kryptographischen Schlüssel in einem manipulationssicheren Chip, der selbst bei physischem Zugriff nicht ausgelesen werden kann. Moderne YubiKeys ab Serie 5 funktionieren nahtlos mit Windows Hello for Business und bieten native Integration ins Betriebssystem. Sie können den Schlüssel für die Windows-Anmeldung, BitLocker-Entsperrung und domänenbasierte Authentifizierung nutzen. Außerdem lässt sich das Ganze super unkompliziert einrichten. Unter Windows 10 ab Version 1903 und Windows 11 ist die FIDO2-Unterstützung bereits eingebaut, es werden keine Treiber benötigt. Sie stecken den Schlüssel ein, bestätigen mit einem Fingerabdruck oder per Tastendruck … fertig.
Methode 2: Passkeys – Die Zukunft der Authentifizierung
Unter Windows werden Passkeys standardmäßig über Windows Hello verwaltet und sind mit Ihrem Microsoft-Konto synchronisiert. So sind sie auf allen Ihren Windows-Geräten verfügbar. Passkeys benötigen keine zusätzliche Hardware. Ihr Windows-PC mit TPM-Chip oder Smartphone wird zum Sicherheitsschlüssel. Die geräteübergreifende Synchronisation mit Ihrem Microsoft-Konto oder Passwort-Managern wie 1Password sorgt dafür, dass Passkeys automatisch auf all Ihren Geräten verfügbar sind. Die Entsperrung erfolgt biometrisch per Fingerabdruck, Gesichtserkennung oder über Ihre Windows Hello PIN, was deutlich komfortabler ist als das manuelle Einstecken eines Hardware-Schlüssels. Geht mal ein Gerät verloren, dann können Sie die Daten über Cloud-Wiederherstellung oder Passkeys zurückholen. Bei Hardware-Schlüsseln geht dagegen nichts ohne Ihren physischen Backup-Schlüssel.
Methode 3: Push-Benachrichtigungen mit Domänenprüfung
Einige Authenticator-Apps bieten Push-Benachrichtigungen, die die anfordernde Domain anzeigen. Der Microsoft Authenticator zeigt beispielsweise bei Anmeldeversuchen die Website-Adresse an, von der die Anfrage kommt. Sie müssen dann aktiv bestätigen, ob diese Domain korrekt ist. Diese Methode ist aber leider nicht vollständig phishing-resistent. Hier reicht es schon, etwas unaufmerksamer zu sein und die Domain nicht so genau zu betrachten, ehe man Benachrichtigungen bestätigt.
Ergänzende Sicherheitsmaßnahmen
Selbst mit phishing-resistenter Authentifizierung sollten Sie zusätzliche Schutzschichten implementieren. Ein guter Passwort-Manager wie Bitwarden, 1Password oder KeePassXC bietet einen entscheidenden Vorteil: Die Auto-Fill-Funktion funktioniert nur auf der exakt korrekten Domain. Auf einer Phishing-Seite (z. B. cryptoexchange-login.com statt cryptoexchange.com) bleibt das Passwortfeld leer … ein klares Warnsignal. Aktivieren Sie außerdem die Browser-Extension Ihres Passwort-Managers, um diesen Schutz zu nutzen.
Moderne Browser wie Chrome, Edge und Firefox haben eingebauten Phishing-Schutz (Safe Browsing bzw. SmartScreen). Diese Features gleichen besuchte Websites mit Datenbanken bekannter Phishing-Seiten ab. Deaktivieren Sie diese Funktionen niemals, auch wenn sie gelegentlich False-Positives erzeugen. Zusätzlich können Sie Extensions wie uBlock Origin installieren, die auch vor bösartigen Werbenetzwerken und Malware-verteilenden Websites schützen.
DNS-over-HTTPS verschlüsselt Ihre DNS-Anfragen und verhindert, dass Ihr Internetprovider oder Angreifer im Netzwerk sehen können, welche Websites Sie besuchen. Unter Windows 11 aktivieren Sie DoH über Einstellungen → Netzwerk & Internet → Ethernet/WLAN → DNS-Servereinstellungen. Wählen Sie “Manuell” und tragen Sie einen vertrauenswürdigen DNS-Server ein, etwa 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google). Aktivieren Sie “DNS over HTTPS”. Melden Sie sich bei KYC-Diensten niemals über öffentliche WLAN-Netzwerke an, es sei denn, Sie nutzen ein VPN. In Flughafen-WLANs, Cafés oder Hotels könnten Angreifer Man-in-the-Middle-Angriffe durchführen. Müssen Sie auch mal unterwegs auf KYC-Dienste zugreifen? Dann sollten Sie am besten das Smartphone mit mobilen Daten oder auch ein VPN einsetzen.