Anbieter und Hersteller zu IT-Sicherheit verpflichten

• Fremdzugriffe auf Online-Accounts können zu Datenmissbrauch und finanziellen Schäden führen.
• 2-Faktor-Authentisierung wird laut vzbv-Untersuchung ohne gesetzliche Pflicht nicht flächendeckend von Anbietern und Herstellern angeboten.
• vzbv: Anbieter digitaler Dienste und Produkte müssen verpflichtet werden, Schutzmaßnahmen wie z. B. 2-Faktor-Authentisierung standardmäßig anzubieten.

Ob Online-Shopping oder Social-Media-Profile: Verbraucher:innen haben oft mehrere digitale Accounts. Wird einer dieser Zugänge gehackt, besteht die Gefahr, den Zugriff und die Kontrolle über den eigenen Account zu verlieren. Finanzielle Schäden und der Missbrauch persönlicher Daten können die Folge sein. Die 2-Faktor-Authentisierung – eine Identitätsprüfung über zwei unterschiedliche, unabhängige Verfahren – bietet einen wirksamen Schutz gegen solche Fremdzugriffe. Der Verbraucherzentrale Bundesverband (vzbv) hat untersucht, wie verbreitet diese Methode zur Sicherung digitaler Zugänge ist und an welchen Stellen nachgebessert werden muss.

„Es ist für mich unverständlich, warum manche Anbieter digitaler Dienste und Produkte ihren Kundinnen und Kunden nicht ermöglichen, ihre Daten und Profile wirksam zu schützen. Ein standardisiert zweistufiges Anmeldeverfahren wäre dafür ein wichtiger Schritt“, sagt Jutta Gurkmann, Vorständin des vzbv. „Sicherheit in der digitalen Welt ist ein Thema, das schnell überfordert und bei dem man sich auf die Angaben der Anbieter und Hersteller verlassen muss. Gleichzeitig können Sicherheitslücken zu erheblichen Schäden führen. Daher sollten Hersteller und Anbieter auf europäischer Ebene verpflichtet werden, digitale Sicherheitsanforderungen zu integrieren, sie voreinzustellen und über die Vorteile geschützter Produkte und Profile aufzuklären. Dies muss über den von der Europäischen Kommission angekündigten Cyber Resilience Act umgesetzt werden.“

Der vzbv hat über 200 digitale Dienste aus 16 Branchen untersucht, um zu prüfen, welche Arten der 2-Faktor-Authentisierung es gibt, welche Unternehmen diese anbieten und wie sicher die einzelnen Verfahren sind. Das Ergebnis: Lediglich in wenigen branchenspezifischen Bereichen, die bereits reguliert sind, werden flächendeckend Möglichkeiten zur 2-Faktor-Authentisierung angeboten.

Selbst in Bereichen, in denen sensible Daten verarbeitet werden, wird laut Untersuchung nur bedingt die Absicherung mit einem zweiten Faktor bei der Anmeldung angeboten. So ermöglicht beispielsweise keine der untersuchten Versandapotheken und nur zwei der dreizehn untersuchten Fitness-Tracker ein solches Verfahren. Auch keiner der betrachteten deutschen Online-Shops bietet die Möglichkeit, sich in einem zweistufigen Verfahren beim Nutzerkonto anzumelden.

Die Untersuchung zeigt aber auch, dass selbst wenn ein sicheres Anmeldeverfahren angeboten wird, Verbraucher:innen dieses oft nicht nutzen – selbst wenn sie die Daten als schützenswert empfinden: So nutzen laut einer Umfrage des Instituts hopp Marktforschung im Auftrag des vzbv aus dem Jahr 2021 lediglich 17 Prozent der Verbraucher:innen ein zweistufiges Verfahren bei der Anmeldung zu ihrem E-Mail-Konto. Gleichzeitig gaben 61 Prozent ihr E-Mail-Postfach als besonders schützenswert an. „Diese Diskrepanz zeigt: Anbieter sollten die 2-Faktor-Authentisierung auch besser erklären und bewerben und als Voreinstellung hinterlegen. Unternehmen sollten die bestmöglichen Voraussetzungen dafür schaffen, dass Verbraucherinnen und Verbraucher ihre Online-Accounts gut schützen können“, sagt Jutta Gurkmann.

Um Verbraucher:innen bestmöglich vor Datendiebstahl und finanziellen Schäden zu schützen, muss IT-Sicherheit von den Herstellern digitaler Produkte und Anbietern digitaler Dienstleistungen verpflichtend berücksichtigt werden. Dafür müssen digitale Produkte über ihren gesamten Lebenszyklus – vom Produktdesign bis hin zum Recycling – festgelegten IT-Sicherheitsanforderungen unterliegen. Ein verpflichtendes Angebot der 2-Faktor-Authentisierung zur Anmeldung ist hierfür ein wichtiger Baustein. Darüber hinaus müssen digitale Produkte während der gesamten Lebensdauer mit Sicherheitsupdates versorgt werden.

Verbraucher:innen müssen sich zudem verlässlich und vertrauensvoll über die Sicherheit ihrer Geräte und digitalen Dienste informieren können. Ein verpflichtendes europäisches Sicherheitskennzeichen könnte, ergänzend zur Verpflichtung der Hersteller, bestimmte Sicherheitsanforderungen in ihre Produkte zu integrieren, eine gute Orientierung bieten.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die Verwendung einer Zwei-Faktor-Authentisierung und hat eine Bewertung der verschiedenen Verfahren vorgenommen. Mit dieser können sich Verbraucher:innen über das für sie passende Verfahren informieren.
 

Methoden: Eigene Erhebung des vzbv. Untersucht wurde für insgesamt 16 Branchen, wie häufig digitale Dienste ihren Nutzer:innen 2-Faktor-Authentisierung-Lösungen anboten und ob diese optional / voreingestellt / verpflichtend waren. Erhebungszeitraum: 18. Januar bis 1. Februar 2022.

Online-Befragung. Grundgesamtheit: Internetnutzer ab 16, die bereits 2FA-Verfahren kennen. Stichprobengröße: 2.014 Befragte. Erhebungszeitraum: 27. April bis 7. Mai 2021. Statistische Fehlertoleranz: max. +/- 2 Prozentpunkte in der Gesamtstichprobe. Institut: hopp Marktforschung.