Alte Telefonnummern bei 2FA: das Sicherheitsleck, das niemand bemerkt

Viele KMU-Konten hängen noch an Telefonnummern ehemaliger Mitarbeiter oder einer Nummer, die vor drei Jahren abgemeldet wurde. So räumen Sie das an einem Nachmittag auf.

Zwei-Faktor-Authentifizierung (2FA) ist inzwischen überall: bei Ihrer Bank, Ihrem Buchhaltungsprogramm, Microsoft 365, Ihrer Webshop-Plattform. Gut so. Aber es gibt eine Hintertür, die bei vielen KMU-Unternehmen jahrelang offensteht: die Telefonnummer, die Sie irgendwann als Ersatznummer oder für SMS-Codes hinterlegt haben. Und diese Nummer gehört oft nicht mehr Ihnen — oder nicht mehr der Person, der sie gehören sollte.

Warum das ein Problem ist

Eine Mobilnummer, die Sie abmelden, verschwindet nicht einfach. Nach einer Wartezeit (in der Regel 3 bis 6 Monate bei deutschen Anbietern) wird sie zurück in den Pool gegeben und neu vergeben. Der neue Inhaber empfängt dann auch Ihre SMS-Nachrichten — einschließlich Anmeldecodes und Links zur Passwortwiederherstellung.

Konkret begegnen uns bei KMU-Kunden häufig diese Situationen:

• Die Nummer des ehemaligen Buchhalters ist im Buchhaltungsprogramm noch als Notfallnummer hinterlegt.
• Ein Diensthandy wurde abgegeben, die Nummer wechselte ins Privatleben des Mitarbeiters — und der ist inzwischen ausgeschieden.
• Der Geschäftsführer hat eine zweite Nummer privat, hat sie einmal „nur kurz" für eine Wiederherstellungs-SMS genutzt und das längst vergessen.
• Die allgemeine Nummer des Empfangs ist überall als Backup hinterlegt, während das Gerät irgendwo herumliegt.

Die Folge: Jemand mit dem richtigen Timing und der richtigen Nummer kann über „Passwort vergessen" + SMS-Code eindringen. Kein Hacking nötig.

Das zweite Problem: SMS ist ohnehin die schwächste 2FA-Methode

Abgesehen von alten Nummern ist SMS-2FA an sich die unsicherste Variante. SIM-Swapping (bei dem sich jemand bei Ihrem Anbieter als Sie ausgibt und eine neue SIM-Karte beantragt) kommt oft genug vor, um es ernst zu nehmen. Eine App-basierte Code-Generierung (Microsoft Authenticator, Google Authenticator, 1Password) oder ein Hardware-Schlüssel ist immer die bessere Wahl.

Trotzdem ist SMS häufig noch die einzige Option — bei Banken, bei manchen Behördenportalen, bei älteren Systemen. Dann ist es umso wichtiger, dass die hinterlegte Nummer wirklich der richtigen Person gehört.

Die Aufräumaktion: so gehen Sie an einem Nachmittag vor

1. Erstellen Sie eine Liste aller Konten mit 2FA

Nicht nur Microsoft 365 oder Google Workspace. Denken Sie auch an:

• Buchhaltungsprogramm (Exact, Moneybird, Twinfield)
• Bankportale und Kreditkartenumgebungen
• Webshop / CMS (Shopify, WooCommerce, WordPress)
• Domainregistrar und Hosting-Anbieter
• E-Mail-Marketing (Mailchimp, Spotler)
• Cloud-Speicher (Dropbox, OneDrive, Google Drive)
• CRM und Projektsoftware
• Unternehmens-Profile in sozialen Netzwerken

Ein Passwort-Manager gibt Ihnen oft mit einem Klick den vollständigen Überblick.

2. Melden Sie sich an und prüfen Sie bei jedem Konto den Bereich „Sicherheit"

Sie suchen nach drei Dingen:

• Welche Telefonnummern sind als 2FA-Methode oder Wiederherstellungsoption hinterlegt?
• Welche E-Mail-Adressen sind als Wiederherstellungsoption hinterlegt?
• Welche Backup-Codes wurden jemals generiert — und haben Sie diese noch sicher aufbewahrt?

3. Entfernen Sie alles, was Sie nicht zuordnen können

Zweifeln Sie an einer Nummer? Weg damit. War sie wichtig, fügen Sie sie neu hinzu. Ein kurzer Umweg ist besser, als eine unbekannte Leitung offenzulassen.

4. Ersetzen Sie SMS durch eine Authenticator-App, wo immer möglich

Bei nahezu allen großen Diensten können Sie die SMS-Methode deaktivieren, sobald eine Authenticator-App oder ein Hardware-Schlüssel aktiv ist. Tun Sie das konsequent — sonst bleibt SMS ein Fallback, der alles untergräbt.

5. Dokumentieren Sie, wer welche Methode nutzt

Eine einfache Übersicht in einer Tabelle (oder am besten als Notiz in Ihrem Passwort-Manager) reicht: pro Konto der Verantwortliche, die 2FA-Methode und die Nummer oder E-Mail-Adresse als Backup. Beim Offboarding eines Mitarbeiters ziehen Sie diese Liste zu Rate — genau wie bei einer Tresor-Übergabe.

Was bei jedem Personalwechsel zu tun ist

Machen Sie „2FA-Nummern prüfen" zu einem festen Bestandteil Ihrer Offboarding-Checkliste — zusammen mit dem Entziehen von Zugängen und der Übergabe von Passwörtern. Es kostet fünf Minuten, wenn Sie es strukturiert erledigen, und Stunden, wenn Sie es nach einem Vorfall rückwirkend aufklären müssen.

Tipp: Tun Sie dies auch bei einem internen Rollenwechsel. Ein Mitarbeiter, der von der Finanzabteilung ins Marketing wechselt, sollte nicht länger als Wiederherstellungskontakt für das Bankportal hinterlegt sein.

Die jährliche Überprüfung

Blocken Sie einmal im Jahr (zum Beispiel bei der Sommerreinigung oder im Januar) einen halben Tag, um alle 2FA-Einstellungen durchzugehen. Kombinieren Sie dies mit Ihrer Zugangsprüfung und der Bereinigung verwaister Konten. So decken Sie drei Risiken auf einmal ab.

Brauchen Sie Unterstützung?

Sie kommen nicht weiter beim Ermitteln aller betroffenen Konten oder sind unsicher, ob Ihre 2FA-Einrichtung wirklich solide ist? Wir helfen KMU-Unternehmen regelmäßig dabei — über unsere 2FA-Implementierung und eine umfassendere Zugangsprüfung. Keine langen Projekte — meist ein paar Stunden Arbeit, und Sie wissen wieder, wo Sie stehen.