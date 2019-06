Ein E-Mail-Konto zu kapern, kann sehr simpel sein - sofern es nur per Passwort geschützt ist. Dann reicht schlimmstenfalls ein Datenleak oder simples Kennwort-Raten, und schon ist man im Account. Mehr Sicherheit verspricht ein System namens Zwei-Faktor-Authentifizierung (2FA), bei dem zusätzlich zum Passwort ein zweites Sicherheitsmerkmal abgefragt wird, etwa ein per Handy-App generierter Zahlencode. Ein Angreifer bräuchte dann das Passwort UND den auch nur für 30 Sekunden gültigen Code, um einen Account zu knacken.

GMX Code-Eingabe-Seite bei GMX

Dass die 2FA einen Extra-Schutz gegen kriminelle Hacker oder vielleicht auch böswillige Ex-Partner bietet, dürften auch die Nutzer des E-Mail-Dienstes GMX wissen, von denen es in Deutschland, Österreich und der Schweiz angeblich 18 Millionen gibt. Im GMX-eigenen Nachrichtenangebot tauchte in den vergangenen Jahren mehrfach der Tipp auf, bei Online-Diensten die 2FA zu aktivieren. Blöd daran war: GMX selbst bot eine solche Sicherheitsfunktion nicht, obwohl der Dienst als E-Mail-Angebot viele sehr private Daten beherbergen dürfte.

An diesem Mittwoch nun hat GMX, das zu 1&1 gehört, endlich die 2FA ausgerollt - lange nach Diensten wie Gmail und Posteo, aber immerhin noch vor den Maildiensten von T-Online und Freenet. Von denen heißt es auf SPIEGEL-Anfrage, eine Einführung der Funktion sei erst im Laufe des Jahres geplant. Somit dürfte ihnen auch noch die GMX-Schwesterseite Web.de zuvorkommen, die 1&1 noch im Juni, also in den kommenden Wochen, mit der Zwei-Faktor-Option ausstatten will.

Wer seinen Account durch die 2FA besser sichern will, muss in der Regel selbst aktiv werden und sie einrichten - so ist es auch bei GMX. Infoseiten und ein Einrichtungsassistent des Dienstes helfen dabei.

Zwei Dinge sollten Nutzer vorab wissen:

Für die 2FA brauchen Sie eine Authentifizierungs-App auf Ihrem Smartphone, über die Zahlencodes ausgeliefert werden, wie etwa den Google Authenticator, Microsoft Authenticator oder Authy. Ohne jene sogenannte OTP-App beziehungsweise deren Codes können selbst Sie nicht allein mit dem Passwort auf Ihren Account zugreifen.

Für die 2FA will GMX Ihre Handynummer wissen, außerdem als Notfalloption Ihre Postadresse. Sollten Sie den Dienst bislang mit Fake-Daten nutzen, sollten Sie wissen, dass falsche Angaben an diesen Stellen zu Problemen führen dürften, wenn die entsprechenden Daten wirklich mal gebraucht werden: GMX könnte dann schließlich Ihre Identität prüfen wollen.

GMX 2FA GMX Web GeheimschluÌssel Kopie

Das Einrichten der 2FA führt bei GMX so zu etwas mehr Aufwand beim Einloggen und womöglich zur Herausgabe weiterer Kontaktdaten. Die zusätzliche Sicherheit aber sollte Ihnen das wert sein, falls Sie Ihr Postfach nicht ohnehin ausschließlich als Spam-Müllhalde nutzen.

Zur Einrichtung der 2FA gehen Sie folgendermaßen vor:

Loggen Sie sich zunächst in Ihr GMX-Postfach ein, wahlweise per PC, Mac, Smartphone oder Tablet. Dann gehen Sie auf "Mein Account" und auf "Sicherheit". Dort scrollen Sie zu "Zwei-Faktor-Authentifizierung" und klicken dann auf "Zwei-Faktor-Authentifizierung aktivieren". Danach klicken Sie auf "Jetzt Einrichtung starten", woraufhin erneut Ihr Passwort abgefragt wird.

Als nächstes wird die Mobilfunknummer verifiziert. GMX schickt per SMS einen sechsstelligen Zahlencode, den Sie auf der Website eingeben.

Danach öffnen Sie Ihre bevorzugte Authentifizierungs-App und scannen damit den von GMX gezeigten QR-Code. Anschließend geben Sie den in der Authentifizierungs-App gezeigten sechsstelligen Zahlencode weiter unten auf der GMX-Seite ein. Haben Sie sich noch nicht für eine Authentifizierungs-App entschieden, hilft GMX weiter, wenn Sie auf "Noch keine Authentifizierungs-App?" klicken.



GMX Code-Scannen während der 2FA-Einrichtung

Im nächsten Schritt wird ein 20-stelliger Geheimschlüssel angezeigt, mit dem sich die 2FA im Notfall umgehen lässt, falls Sie mal Ihr Smartphone verlieren oder aus Versehen die Authentifizierungs-App löschen. GMX spricht vom "Notfallzugang ins Postfach". Sie können sich den Schlüssel ausdrucken oder ihn auch händisch notieren - wichtig ist, dass Sie ihn gut versteckt aufbewahren. Wird der Geheimschlüssel eingegeben, wird dadurch die 2FA bis auf Weiteres deaktiviert.



GMX Eingabeseite für den Geheimschlüssel

Danach werden Sie noch gebeten, Ihre Adressdaten zu bestätigen. Für den Fall, dass Sie sich aus Ihrem Postfach ausgeschlossen und Ihren Geheimschlüssel verlegt haben, bietet GMX an, Ihnen per Post einen neuen Geheimschlüssel zu schicken. Zuvor muss sich der Nutzer beim Kundenservice als Postfachinhaber ausweisen, heißt es.

Zuletzt klicken Sie noch einmal auf "Jetzt aktivieren".

Falls Sie GMX mit Programmen wie Outlook oder Thunderbird nutzen, müssen Sie für diese Programme jetzt noch "anwendungsspezifische Passwörter" erstellen: Mehr dazu erklärt GMX, wenn Sie auf der letzten Seite der 2FA-Einrichtung auf den Begriff "Anwendungsspezifisches Passwort" klicken.

Künftig werden Sie bei jedem Log-in nicht mehr nur nach Ihrem Passwort, sondern auch nach dem Zahlencode aus der verbundenen Authentifizierungs-Apps gefragt. Einzige Ausnahme: die GMX-App auf Smartphones und Tablets. Da müssen Sie den Zahlencode nur beim ersten Anmelden eingeben.

In dieser Hinsicht unterscheidet sich die 2FA-Lösung von GMX von der in Gmail. Google erlaubt es nämlich, den zweiten Faktor auf jedem Gerät nur einmal eingeben zu müssen. Erst beim Log-in von einem neuen Gerät aus erscheint die zusätzliche Abfrage wieder. Die Grundannahme lautet: Ein Hacker würde in der Regel versuchen, sich von seinem eigenen Rechner in den fremden Account einzuloggen. Vor allem vor diesem Szenario soll die 2FA schützen.