Meine digitale Identität
Eine lange Zeit der Weigerung
Lange Zeit hatte ich kein wirkliches System, wenn es um Authentifizierung und zusätzliche Sicherheitsmechanismen ging. Dinge wie Authenticator-Apps, Zwei-Faktor-Authentifizierung oder später auch Passkeys waren für mich eher etwas, das man mitnimmt, wenn man muss, nicht etwas, das man bewusst einsetzt. Ich habe mich dem Thema nicht aktiv verweigert, aber ich habe es auch nicht wirklich an mich herangelassen.
Das lag weniger daran, dass ich Sicherheit grundsätzlich infrage gestellt hätte. Mir war schon klar, dass das sinnvoll ist. Was mich eher abgeschreckt hat, war diese diffuse Mischung aus Unklarheit und mangelnder Erklärung. Irgendwann taucht einfach die Aufforderung auf, man müsse jetzt einen Authenticator installieren. Punkt. Ohne Kontext, ohne echte Erklärung, ohne eine Einordnung, was da eigentlich passiert, warum das notwendig ist und welche Folgen das im Alltag haben kann.
Wenn es sich nicht umgehen ließ, habe ich den Microsoft Authenticator genutzt. Nicht aus Überzeugung, sondern aus Pragmatismus. Gleichzeitig blieb immer dieses ungute Gefühl: Was passiert eigentlich, wenn ich den Zugriff darauf verliere? Wenn das Handy weg ist oder kaputtgeht? Sind meine Zugänge dann einfach verloren? Und unabhängig davon: Wie sicher sind meine Daten dort überhaupt? Diese Fragen wurden nie wirklich beantwortet. Sie waren einfach da.
Irgendwann hat mich weniger der zusätzliche Schritt bei der Anmeldung genervt als dieses permanente Gefühl, etwas zu nutzen, das ich nicht wirklich verstehe und dem ich nicht ganz traue. Also habe ich angefangen, mich intensiver damit zu beschäftigen – nicht, weil ich plötzlich besonders sicherheitsaffin geworden wäre, sondern weil ich gemerkt habe, dass mir Kontrolle und Verständlichkeit fehlen.
Was ich suchte, war eigentlich ziemlich klar: eine Lösung, die ich selbst in der Hand habe. Möglichst lokal. Nicht an ein einzelnes Gerät gebunden. Und idealerweise etwas, das sich konsistent für verschiedene Dienste nutzen lässt, ohne dass ich für alles eine andere App oder ein anderes Konzept brauche.
Dabei musste ich an meine Zeit bei Amazon denken. Dort haben wir sogenannte Zukeys verwendet – physische Sicherheitsschlüssel, die man einfach per USB an den PC anschließt. Ich erinnere mich noch, dass ich das damals als erstaunlich unkompliziert empfunden habe. Also habe ich mich umgesehen, was es heute in diese Richtung gibt, und bin relativ schnell bei den YubiKey 5 NFC gelandet.
Was mich daran überzeugt hat, war vor allem, dass sich damit vieles bündelt. Zwei-Faktor-Authentifizierung, Passkeys, klassische Sicherheitsmechanismen – alles in einem Gerät. Vor allem aber ist diese Lösung nicht an ein bestimmtes Endgerät gebunden. Ob ich den Rechner wechsle, ein neues Handy habe oder unterwegs bin, spielt keine Rolle. Am Smartphone funktioniert das Ganze über NFC, am PC oder Laptop über USB. Der eigentliche Schlüssel ist nicht mehr das Gerät oder eine App, sondern dieser physische YubiKey.
Auch das Sicherheitsmodell dahinter hat für mich einen Unterschied gemacht. Bei vielen softwarebasierten Lösungen liegen geheime Schlüssel letztlich irgendwo im System des Endgeräts. Theoretisch sind sie dort auch angreifbar. Beim YubiKey werden die privaten kryptografischen Schlüssel direkt im gesicherten Chip des Geräts erzeugt und verlassen ihn nicht. Sie werden dort auch verarbeitet. Selbst wenn ein Rechner kompromittiert wäre, kann eine normale Malware diesen Schlüssel nicht einfach auslesen oder kopieren. Das verschiebt das Risiko deutlich. Natürlich ist auch das kein absoluter Schutz gegen jeden denkbaren Angriff, aber das Bedrohungsmodell ist ein anderes; und für meinen Alltag ein deutlich realistischeres.
Überrascht war ich davon, wie unkompliziert die Einrichtung letztlich war. Ich hatte mit mehr Aufwand gerechnet. Inzwischen nutze ich den YubiKey überall dort, wo es möglich ist, und verwende klassische Passwörter nur noch selten. Ich habe mir direkt zwei Keys gekauft und beide überall als Zugangsmöglichkeit hinterlegt. Fällt einer aus oder geht verloren, bleibt der Zugriff bestehen. Allein das sorgt für eine spürbare Ruhe.
Was mir im Nachhinein fast mehr auffällt als der technische Gewinn, ist die schlechte Aufklärung rund um das Thema. Nutzer werden sehr schnell in die Pflicht genommen; „du musst jetzt einen Authenticator nutzen“, „du musst einen Passkey einrichten“, aber selten wirklich abgeholt. Kaum jemand erklärt, was das konkret bedeutet, warum das eingeführt wird, welche Alternativen es gibt oder was im schlimmsten Fall passiert. Aus meiner Sicht ist das einer der Hauptgründe, warum viele Menschen solchen Mechanismen misstrauen oder sie gar nicht erst nutzen. Laut einigen Untersuchungen nutzen teilweise weniger als 10% eine 2FA-Methode.
Für mich war der Schritt zum YubiKey am Ende weniger ein technisches Upgrade als eine bewusste Entscheidung für Kontrolle und Verständnis. Ich weiß heute besser, was passiert, warum es passiert und was ich tun kann, wenn etwas schiefläuft.