SMS-Verifizierung erklärt: So funktioniert es

Im Juli 2024 wurden beim größten Passwort-Leck der Geschichte über 10 Milliarden Passwörter von Nutzern auf der ganzen Welt veröffentlicht. Auch wenn nicht jedes Passwort für die Hacker wertvoll war, ist der Cyberangriff doch ein Weckruf dafür, wie anfällig herkömmliche passwortbasierte Sicherheitssysteme sein können. Tatsächlich sind mehr als 80 % der Sicherheitsverletzungen auf schwache, wiederverwendete oder gestohlene Passwörter zurückzuführen.

Für Unternehmen ist klar: Sich auf herkömmliche Passwörter zu verlassen, reicht nicht mehr aus, und es ist an der Zeit, stärkere, mehrschichtige Verifizierungsmethoden wie die Zwei-Faktor-Authentifizierung einzuführen, um Sicherheitsbedrohungen einen Schritt voraus zu sein.

Hier kommt die SMS-Verifizierung ins Spiel – eine einfache, aber hocheffektive Authentifizierungslösung, die für Nutzer auf der ganzen Welt zugänglich ist.

Im Folgenden erfahren Sie mehr über die Grundlagen der SMS-Verifizierung, ihre Funktionsweise und wie sie Ihr Unternehmen vor Cybersecurity-Risiken im Zusammenhang mit kompromittierten Anmeldedaten schützen kann.

Die SMS-Verifizierung bzw. SMS-Authentifizierung ist ein Sicherheitsverfahren, das SMS-Nachrichten nutzt, um die Identität eines Endbenutzers bei Online-Transaktionen, Kontoanmeldungen oder anderen sensiblen Aktivitäten zu bestätigen. Sie wird häufig von Websites, Apps, Banken und sozialen Netzwerken verwendet, um die Identität eines Nutzers zu überprüfen.

Das Hauptziel der SMS-Verifizierung besteht darin, mehr Sicherheit zu bieten als nur ein Nutzername und Passwort und Unternehmen dabei zu helfen, das Risiko von unberechtigtem Zugriff, Identitätsdiebstahl und anderen digitalen Bedrohungen zu verringern.

Im Zusammenhang mit der SMS-Authentifizierung werden unterschiedliche Begriffe verwendet, die verschiedene Aspekte der SMS-basierten Validierung beschreiben:

• Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA) beziehen sich auf das Hinzufügen zusätzlicher Sicherheitsebenen.

• Einmalpasswörter bzw. OTPs (One-Time Passwords) sind Codes zur einmaligen Verwendung, die beispielsweise per WhatsApp oder per SMS versendet werden können.

• Die SMS-Authentifizierung umfasst die breitere Verwendung von SMS zur Bestätigung der Identität eines Benutzers.

Aus der Sicht des Endnutzers läuft die SMS-Verifizierung wie folgt ab:

1. Code erhalten: Nach Eingabe seines Nutzernamens und Passworts erhält der Nutzer einen numerischen, nur kurze Zeit gültigen, einmaligen SMS-Code.

2. Code eingeben: Der Nutzer öffnet die SMS und gibt den Code auf einer Website, App oder einer anderen digitalen Plattform ein. Dieser Schritt bestätigt, dass er der rechtmäßige Kontoinhaber ist.

3. Zugang bekommen: Nach Eingabe der korrekten Nummer wird die Identität des Nutzers im System bestätigt, und er erhält Zugang zum Konto.

Die SMS-Verifizierung ist einfach, schnell und sicher. Aber seien Sie vorsichtig: Sollten Sie jemals einen SMS-Validierungscode erhalten, den Sie nicht angefordert haben, bleiben Sie wachsam, denn es könnte sich um einen Betrugsversuch handeln.

Ist die SMS-Authentifizierung sicher?

SMS ist zwar nicht verschlüsselt, bietet aber dennoch ein solides Maß an Sicherheit und ist besser als gar kein Schutz. SMS-OTPs sind in der Regel kostengünstig und weithin zugänglich, was sie für viele Nutzer zu einer vertrauten und bequemen Option macht.

Auch wenn die SMS-Authentifizierung nicht narrensicher ist, so ist sie doch ein guter erster Schritt, um Online-Konten und digitale Interaktionen sicherer zu machen.

Eine sichere Alternative zur SMS-Authentifizierung kann die Verwendung mobiler Authentifizierungs-Apps wie Google Authenticator oder Microsoft Authenticator sein. Diese Apps erfordern jedoch eine separate Einrichtung und Verwaltung und sind möglicherweise nicht so weithin verfügbar wie SMS.

Unser Customer Connections Report 2024 zeigt, dass 61 % der Verbraucher erwarten, dass 2FA-Nachrichten in einer Minute oder weniger ankommen. Und da SMS in der Regel sofort zugestellt werden, sind sie der ideale Kanal, um diese Erwartungen zu erfüllen.

Die 2-Faktor-Authentifizierung per SMS bietet eine gute zusätzliche Sicherheitsebene für Transaktionen und Anmeldungen, kann aber nicht unter allen Umständen Angriffe erfolgreich abwehren. Die Anfälligkeit für Probleme wie SIM-Swapping und Smishing kann Einfallstore für raffinierte Angriffe öffnen.

Im Folgenden möchten wir einige Vor- und Nachteile der SMS-Verifizierung zusammenfassen.

Vorteile der SMS-Verifizierung	Nachteile der SMS-Verifizierung
Sicherer als die Verwendung herkömmlicher Anmeldeoptionen mit Nutzernamen und Passwort	Schwachstellen wie SIM-Swapping und Hacking können Konten gefährden
Verhindert gängige Betrugstaktiken wie einfache Bot-Angriffe	Möglichkeit von Phishing-Angriffen über Einmal-Zugangscodes
Vertraut und benutzerfreundlich, da viele Nutzer wissen, wie man SMS und Verifizierung verwendet	Die SMS-Sicherheit hat Einschränkungen, es gibt z. B. keine Ende-zu-Ende-Verschlüsselung
Von nahezu allen Smartphones unterstützt, keine zusätzliche Hardware erforderlich	Wenn Geräte synchronisiert werden, führt dies dazu, dass Personen Einmal-Zugangscodes auf mehreren Geräten empfangen können, und die Nachrichten können abgefangen werden
Kostengünstig auf vielen Märkten	Kann auf anderen Märkten teuer sein
Einfache Implementierung für Unternehmen aufgrund der Einfachheit und der breiten Kompatibilität von SMS	Menschen verlieren häufig ihre Geräte, was die Sicherheit gefährden kann.

Darüber hinaus müssen Unternehmen auf ausgefeiltere Arten von SMS-Betrug achten, wie z. B. Artificially Inflated Traffic (AIT), der zu hohen Kosten führen kann, wenn Betrüger OTPs per SMS versenden.

Nachdem wir nun wissen, was die SMS-Verifizierung ist und wie sie eingesetzt wird, wollen wir uns einige Beispiele aus der Praxis ansehen, bei denen Unternehmen diese Methode zur Kontoverifizierung im Bankwesen, im Technologiebereich und bei der Lebensmittellieferung einsetzen.

SMS-Verifizierungscodes im Bankwesen

In der Welt des Bank- und Finanzwesens fügen SMS-Verifizierungscodes eine zusätzliche Sicherheitsebene hinzu, die Banken benötigen, um Vertrauen aufzubauen – ein Muss in der heutigen digitalen Welt.

Mit der SMS-Verifizierung gewährleistet die Triodos Bank, ein weltweit führendes Unternehmen für nachhaltiges Banking, die Sicherheit der Kundenkonten. Jedes Mal, wenn jemand versucht, sich in das Online-Konto oder die mobile App eines Nutzers einzuloggen, sendet die Triodos Bank ein OTP an die registrierte Mobilfunknummer des Nutzers. Dies ist eine einfache Möglichkeit, Identitäten zu überprüfen und die Sicherheit zu gewährleisten.

SMS-Verifizierung in SaaS und Technologie

SaaS- und Technologieunternehmen sind oft darauf angewiesen, schnell und pünktlich Benachrichtigungen senden zu können, um die Nutzer auf dem Laufenden zu halten und positive Kundenerlebnisse zu gewährleisten.

Die EasyPark Group, ein weltweit führendes Technologieunternehmen im Bereich Parken, nutzt die SMS-Verifizierung, um Kunden rechtzeitig zu benachrichtigen und sie darauf hinzuweisen, dass ihre Parkzeit in Kürze abläuft. Dadurch wird eine zusätzliche Sicherheitsebene im Anmeldeprozess der App geschaffen und sichergestellt, dass die Nachrichten die richtige Person erreichen.

Dies war ein unglaublich wichtiger Teil der Kundenkommunikationsstrategie des Unternehmens. Durch die Integration der Verifizierung in die App konnte die Konversionsrate – d. h. die Zahl der Personen, die erfolgreich den richtigen OTP-Code eingegeben haben – um etwa 7 % gesteigert werden.

SMS zur Reduzierung von Kontobetrug

Waren Sie schon einmal in der Situation, dass Ihre Marke neuen Nutzern Rabatte oder Anreize anbietet und Sie feststellen müssen, dass Personen mehrere gefälschte Konten erstellen, um Rabattcodes mehr als einmal zu nutzen? Genau dieses Problem ist der Grund, warum aiqfome, eine der größten Plattformen für Essenslieferungen in Brasilien, beschlossen hat, die SMS-Verifizierung über Android und iOS einzuführen.

Jetzt kann aiqfome alle neuen App-Registrierungen verifizieren. Jeder neue Kontonutzer erhält bei der Anmeldung in Echtzeit einen Verifizierungscode per SMS, was sicherstellt, dass die Mobiltelefonnummer nur einmal verwendet werden kann.

Diese Vorgehensweise kann Unternehmen helfen, die Zahl der gefälschten und doppelten Konten deutlich zu verringern. Für aiqfome war es von entscheidender Bedeutung, um Einnahmen zu sichern, die seinem Netzwerk von Partner-Restaurants entgangen waren.

Es gibt einige Situationen, in denen sich Unternehmen eher für andere Methoden als die SMS-Verifizierung entscheiden werden. Verschiedene andere Verifizierungsmethoden stehen zur Verfügung:

• Schnellanrufe: Diese Methode wird häufig in Märkten eingesetzt, in denen SMS-Kosten sehr hoch sind. Dabei wird ein automatischer Anruf an das Smartphone oder Mobilgerät eines Nutzers getätigt und eine zufällig generierte Nummer als einmaliger Code zur schnellen und einfachen Validierung durchgegeben. Erfahren Sie mehr über Sinch-Flash-Anrufe.

• Datenverifizierung: Bei der Datenverifizierung wird die Telefonnummer des Endnutzers mit einem speziellen Code oder Token verglichen, der mit seiner mobilen Datensitzung verknüpft ist. Diese Art der Verifizierung nutzt die Teilnehmerdaten der Mobilfunkbetreiber und verifiziert die Identität eines Nutzers, ohne dass dieser einen PIN-Code oder private Informationen eingeben muss. Stattdessen erfolgt die Überprüfung im Hintergrund, wodurch das Risiko von Fehlern und Social Engineering entfällt. Erfahren Sie mehr über die Datenverifizierung über Sinch.

• Sprachverifizierung: Bei der Sprachverifizierung erhält der Nutzer einen eingehenden Sprachanruf, der durch eine Text-to-Speech-Software übermittelt wird. Der Nutzer gibt den erhaltenen Code in eine Plattform oder ein System ein, um Zugang zu erhalten. Erfahren Sie mehr über die Telefonanrufverifizierung über Sinch.

• Verifizierung über andere Messaging-Kanäle: Andere Messaging-Kanäle wie Rich Communication Services (RCS) und WhatsApp eignen sich ebenfalls für das Senden von Verifizierungscodes. Wenn Unternehmen RCS-OTPs oder WhatsApp-OTPs senden, stammen ihre Nachrichten von einem Unternehmensprofil, was das Vertrauen der Nutzer stärkt. Und mit einem Anbieter wie Sinch können Sie einrichten, dass automatisch auf SMS zurückgegriffen wird, wenn Ihr Empfänger eine schlechte Datenverbindung hat, sodass Ihre OTPs immer ankommen.

• E-Mail-Verifizierung: Auch bei der E-Mail-Verifizierung wird ein Verifizierungslink oder -code zur Bestätigung an die angegebene E-Mail-Adresse des Nutzers gesendet. Dieser Service ist über Mailgun Optimize verfügbar, die E-Mail-Lösung von Sinch auf Enterprise-Niveau.

Sinch bietet für Schnellanrufe sowie Daten-, Sprach- und SMS-Verifizierung eine einheitliche Lösung namens Verifizierungs-API. Mit der Failover-Funktionalität schaltet die Lösung automatisch auf eine andere Verifizierungsmethode um, wenn eine fehlschlägt.

_{Magnus Lundstedt, Produktmanager für Sinch Verification, beschreibt die Vor- und Nachteile der verschiedenen Verifizierungsmethoden.}

Was ist der Unterschied zwischen SMS- und E-Mail-Verifizierung?

SMS- und E-Mail-Verifizierung verfolgen dasselbe Ziel der Validierung der Nutzeridentität, nutzen aber unterschiedliche Kanäle, um dieses Ziel zu erreichen. Bei der E-Mail-Verifizierung wird in der Regel ein Bestätigungslink oder -code an die E-Mail-Adresse des Nutzers gesendet, während bei der SMS-Verifizierung ein numerischer Code direkt an sein Mobilgerät gesendet wird.

Wir empfehlen in der Regel eine Kombination verschiedener Authentifizierungsmethoden, um Ihren Nutzern den besten Schutz und das beste Erlebnis zu bieten.

Auf dem Markt sind zahlreiche SMS-Verifizierungsdienste verfügbar. Wie wählen Sie also den richtigen?

Bei der Wahl eines SMS-Anbieters sind einige Dinge zu beachten:

• Sicherheit und Compliance: Achten Sie bei der Auswahl eines Anbieters darauf, dass er über mehrere Rechenzentren an verschiedenen Standorten verfügt (nur für den Fall, dass etwas schief geht!) und dass er PCI– und ISO-27001-zertifiziert ist. Diese Zertifizierungen bestätigen, dass der Anbieter Best Practices für die Sicherheit anwendet und über einen soliden Plan zum Schutz Ihrer Geschäftsdaten verfügt.

• Schneller, zuverlässiger SMS-Versand: OTPs sind zeitkritisch, und die Nutzer haben oft nur wenige Minuten Zeit, sie einzugeben, bevor sie ablaufen. Deshalb sollten Sie sich nach einer SMS-API umsehen, die ohne Geschwindigkeitseinbußen skaliert werden kann.

• Zuverlässige Ausweichmethoden: SMS sind zwar weithin verfügbar, aber manchmal können Nachrichten aufgrund vorübergehender Störungen nicht zugestellt werden. Suchen Sie einen SMS-Service-Provider, der verschiedene Ausweichmethoden für den Fall anbietet, dass SMS-Nachrichten nicht zugestellt werden können oder die Kosten zu hoch sind. Stellen Sie alternativ sicher, dass Ihr Anbieter eine Verifizierung über andere Kanäle wie WhatsApp, RCS oder E-Mail anbietet, um in jedem Fall einen zuverlässigen Verifizierungsprozess zu gewährleisten.

Leider nutzen immer noch zu viele Unternehmen nichts als Nutzernamen und Passwörter, um das Erstellen von Fake-Konten zu verhindern. Diese eine Sicherheitsebene reicht in der heutigen Welt, in der Betrüger und Hacker immer raffinierter werden, einfach nicht mehr aus.

Zum Glück gibt es Tools wie die SMS-Verifizierung, mit denen Sie per 2-Faktor Authentifizierung die Identität Ihrer Nutzer überprüfen können, bevor Sie ihnen Zugang gewähren.

Weitere Ressourcen zum Thema SMS finden Sie in diesen Beiträgen:

• SMS-Marketing: Was es ist, wie man es einsetzt und welche Best Practices Sie beachten sollten

• Transaktions-SMS: Best Practices für die Kundenzufriedenheit

• SMS-Shortcodes: Von den Möglichkeiten der SMS-Kommunikation profitieren

• Was ist eine SMS-API? Alles, was Sie schon immer wissen wollten

• So wählen Sie den richtigen SMS-Anbieter und beurteilen seine Leistung

• SMS oder E-Mail: Welcher Kanal ist für das Marketing am besten geeignet?

• 30+ SMS-Vorlagen für den Einstieg

• 20+ Beispiele für Werbe-SMS, die Sie lieben werden

Sie möchten mit der SMS-Verifizierung loslegen? Dann sprechen Sie uns an! Unser Team sorgt mit Ihnen gemeinsam dafür, dass Ihre Kundenkommunikationsstrategie in jeder Phase den Best Practices entspricht.