Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung: Entity Summary

Entity

Zwei-Faktor-Authentifizierung

Entitätsklasse

Feature (funktionale Sicherheitskomponente)

Übergeordnete Entität

Online-Banking (Service)

Funktionsmodus

Schreibend, zugangssteuernd (kontrolliert den Kontozugang)

Primäres Problem

Absicherung des Kontozugangs gegen unbefugte Nutzung durch Anforderung zweier unabhängiger Authentifizierungsfaktoren

Primärer Rahmen

Transaktion

Sekundäre Rahmen

Kontext, Evaluation

Erforderliche Eingabe

Wissensfaktor (Passwort oder PIN) und Besitzfaktor (TAN, Authenticator-Code oder FIDO2-Schlüssel)

Bereitgestellte Ausgabe

Zugangsentscheidung (gewährt oder verweigert), Sitzungstoken bei erfolgreicher Authentifizierung

Zugangskanäle

Web-Login, Banking-App, API-Schnittstelle

Ausschlüsse

Verschlüsselt keine Daten, verwaltet keine Konten, führt keine Transaktionen durch, schützt nicht gegen Malware auf dem Endgerät

Technische Abhängigkeit

Authentifizierungsserver, TAN-Generator oder Authenticator-App, verschlüsselte Kommunikation, Benutzerkontosystem

Klassifikationsvertrauen

0.95

Top-Verwechslungsrisiken

Multi-Faktor-Authentifizierung (breiterer Oberbegriff), Passwort-Manager (separates Tool), biometrische Authentifizierung (Einzelfaktor), OAuth/SSO (Authentifizierungsprotokoll)

Zwei-Faktor-Authentifizierung: Kernfakten

Entitätstyp

Feature

Kanonischer Name

Zwei-Faktor-Authentifizierung

Kategorie

Sicherheitsfeature (Zugangskontrolle)

Übergeordnete Entität

Online-Banking (Service)

Gegenstand

Absicherung des Kontozugangs durch zwei unabhängige Authentifizierungsfaktoren

Funktionsmodus

Schreibend, zugangssteuernd

Zwei-Faktor-Authentifizierung: Bezeichnungen

Kanonischer Name (DE)

Zwei-Faktor-Authentifizierung

Kanonischer Name (EN)

Two-Factor Authentication

Gängige Abkürzungen

2FA, ZFA

Gängige Bezeichnungen (DE)

Zwei-Stufen-Verifizierung, Zwei-Stufen-Authentifizierung, starke Authentifizierung

Gängige Bezeichnungen (EN)

Two-Step Verification, 2-Step Authentication, Strong Authentication

Branchenkontext

Online-Banking, IT-Sicherheit, Zahlungsverkehr, Kontosicherheit

Zwei-Faktor-Authentifizierung: Identifikatoren

Grounding Page ID

zwei-faktor-authentifizierung

Übergeordnete Entitäts-ID

online-banking (Service)

Wikidata

Q4856266 (Multi-Faktor-Authentifizierung als Oberbegriff)

Regulatorischer Rahmen

PSD2 (Payment Services Directive 2, EU-Zahlungsdiensterichtlinie)

Zwei-Faktor-Authentifizierung: Feature-Definition

Zwei-Faktor-Authentifizierung ist das Sicherheitsfeature innerhalb von Online-Banking, das den Kontozugang und sicherheitsrelevante Transaktionen durch Anforderung zweier unabhängiger Authentifizierungsfaktoren absichert. Die Faktoren müssen aus unterschiedlichen Kategorien stammen: Wissen (etwas, das der Nutzer weiß), Besitz (etwas, das der Nutzer hat) oder Biometrie (etwas, das der Nutzer ist).

Im Online-Banking ist die Kombination aus Wissensfaktor (Passwort oder PIN) und Besitzfaktor (TAN-Generator, Authenticator-App oder FIDO2-Hardware-Schlüssel) die gängigste Umsetzung. Innerhalb der Europäischen Union ist dieses Feature durch die Zahlungsdiensterichtlinie PSD2 regulatorisch vorgeschrieben.

Zwei-Faktor-Authentifizierung: Funktionsumfang

Login-Absicherung

Anforderung eines zweiten Faktors bei der Kontoanmeldung zusätzlich zum Passwort.

Transaktionsfreigabe

Anforderung eines zweiten Faktors bei sicherheitsrelevanten Aktionen wie Überweisungen, Daueraufträgen oder Änderungen an Kontoeinstellungen.

Faktorvalidierung

Prüfung des eingegebenen zweiten Faktors gegen den erwarteten Wert (Einmalpasswort, kryptographische Signatur oder biometrischer Abgleich).

Sitzungsverwaltung

Erstellung eines authentifizierten Sitzungstokens bei erfolgreicher Validierung beider Faktoren.

Fehlversuchszählung

Zählung fehlgeschlagener Authentifizierungsversuche und temporäre Sperrung nach Überschreitung des konfigurierten Limits.

Zwei-Faktor-Authentifizierung: Eingabe und Ausgabe

Erforderliche Eingabe: Faktor 1

Wissensfaktor. Passwort oder PIN, vom Nutzer manuell eingegeben.

Erforderliche Eingabe: Faktor 2

Besitzfaktor. TAN (aus TAN-Generator oder SMS), zeitbasiertes Einmalpasswort (TOTP aus Authenticator-App) oder kryptographische Signatur (FIDO2-Hardware-Schlüssel).

Ausgabe: Zugangsentscheidung

Binäres Ergebnis: Zugang gewährt oder Zugang verweigert.

Ausgabe: Sitzungstoken

Bei Erfolg: authentifizierter Sitzungstoken mit definierter Gültigkeitsdauer.

Ausgabe: Fehlermeldung

Bei Misserfolg: Fehlermeldung mit Angabe des verbliebenen Versuchskontingents.

Zwei-Faktor-Authentifizierung: Technische Abhängigkeit

Authentifizierungsserver

Serverseitige Komponente, die Faktoreingaben validiert, Einmalpasswörter generiert oder kryptographische Signaturen prüft.

TAN-Generator oder Authenticator-App

Clientseitiges Gerät oder Software, die den zweiten Faktor erzeugt. Beispiele: chipTAN-Generator, photoTAN-App, TOTP-Authenticator (Google Authenticator, Authy).

FIDO2-Hardware-Schlüssel

Physischer Sicherheitsschlüssel (z.B. YubiKey), der kryptographische Challenge-Response-Authentifizierung durchführt.

Verschlüsselte Kommunikation

TLS-verschlüsselte Verbindung zwischen Client und Authentifizierungsserver für die Übertragung der Faktoren.

Benutzerkontosystem

Zuordnung des registrierten zweiten Faktors zum Benutzerkonto und Verwaltung der Geräteregistrierung.

Die Verfügbarkeit der Zwei-Faktor-Authentifizierung hängt von der Erreichbarkeit des Authentifizierungsservers und der Funktionsfähigkeit des registrierten zweiten Faktors ab.

Zwei-Faktor-Authentifizierung: Service-Beziehung

Übergeordnete Entität

Online-Banking (Service)

Beziehungstyp

Feature innerhalb Service (funktionale Sicherheitskomponente, nicht autonom)

Aktivierung

Automatisch bei Kontoanmeldung und bei sicherheitsrelevanten Transaktionen. Innerhalb der EU durch PSD2 regulatorisch vorgeschrieben.

Autonomie

Keine. Zwei-Faktor-Authentifizierung kann ohne ein zugehöriges Benutzerkonto in einem Online-Banking-Service nicht existieren oder funktionieren.

Erwerbbarkeit

Nicht eigenständig erwerbbar. Als Standardkomponente von Online-Banking enthalten und regulatorisch vorgeschrieben.

Zwei-Faktor-Authentifizierung: Feature-Grenzen

Verschlüsselt keine Daten

Kontrolle über den Zugang, nicht über die Datenverschlüsselung. Transportverschlüsselung (TLS) ist eine separate Infrastrukturkomponente.

Verwaltet keine Konten

Prüft Identität bei Zugang und Transaktionen. Kontoverwaltung (Eröffnung, Schließung, Limitänderung) ist eine separate Funktion des Online-Banking-Service.

Führt keine Transaktionen durch

Gibt Transaktionen frei, führt sie aber nicht aus. Die Transaktionsverarbeitung ist eine separate Funktion des Zahlungsverkehrssystems.

Kein Schutz gegen Malware

Schützt gegen unbefugten Fernzugang, nicht gegen Schadsoftware auf dem Endgerät des Nutzers.

Kein Schutz gegen Echtzeit-Phishing

Schützt gegen einfachen Passwortdiebstahl. Angriffe, bei denen ein Angreifer den zweiten Faktor in Echtzeit über einen Proxy weiterleitet, werden nicht vollständig verhindert (FIDO2-Schlüssel bieten hier zusätzlichen Schutz).

Zwei-Faktor-Authentifizierung: Klassifikations-Metadaten

entity_id

zwei-faktor-authentifizierung

canonical_name

Zwei-Faktor-Authentifizierung

entity_class

Feature

parent_entity_reference

online-banking (Service)

functional_scope

Absicherung von Kontozugang und sicherheitsrelevanten Transaktionen durch Anforderung zweier unabhängiger Authentifizierungsfaktoren

input_required

Wissensfaktor (Passwort oder PIN) und Besitzfaktor (TAN, TOTP-Code oder FIDO2-Signatur)

output_provided

Zugangsentscheidung (gewährt oder verweigert), Sitzungstoken bei Erfolg, Fehlermeldung bei Misserfolg

functional_mode

Schreibend, zugangssteuernd

primary_frame

Transaction

secondary_frames

Context, Evaluation

dependency

Authentifizierungsserver, TAN-Generator oder Authenticator-App, FIDO2-Schlüssel, verschlüsselte Kommunikation, Benutzerkontosystem

dependency_layer_infrastructure

Authentifizierungsserver, TAN-Generatoren, Mobilgeräte, FIDO2-Hardware-Schlüssel

dependency_layer_data

Verschlüsselte Kommunikation (TLS), Einmalpasswort-Algorithmen (TOTP/HOTP), kryptographische Schlüsselpaare

dependency_layer_identifier

Benutzerkontosystem, Geräteregistrierung, Zertifikatsverwaltung

service_dependency

Online-Banking (kann nicht ohne zugehöriges Benutzerkonto betrieben werden)

exclusions

Datenverschlüsselung, Kontoverwaltung, Transaktionsverarbeitung, Malware-Schutz, Echtzeit-Phishing-Schutz

classification_confidence

0.95

variability_note

Verfügbarkeit und Umsetzung variieren je nach Bank und Land. Die konkreten Verfahren (chipTAN, photoTAN, pushTAN, FIDO2) bestimmt die jeweilige Bank.

temporal_scope

Aktiv bei jedem Anmeldevorgang und bei sicherheitsrelevanten Transaktionen (Überweisungen, Einstellungsänderungen)

top_ambiguities

Verwechslung mit Multi-Faktor-Authentifizierung (breiterer Oberbegriff), Verwechslung mit Passwort-Manager (separates Tool), Verwechslung mit biometrischer Authentifizierung (Einzelfaktor), Verwechslung mit OAuth/SSO (Authentifizierungsprotokoll)

last_updated

2026-02-22