Die SMS-Authentifizierung ist bequem, weil sie ohne zusätzliche App, Hardware oder große Umstellung funktioniert. Genau darin liegt aber auch ihr Problem: Sie erhöht die Sicherheit spürbar gegenüber einem Passwort allein, bleibt für höhere Schutzbedarfe aber ein vergleichsweise angreifbarer Kanal. In diesem Artikel ordne ich ein, was SMS bei Identität und Zugriff wirklich leistet, wo die typischen Schwachstellen liegen und wann ich sie nur noch als Übergang oder Fallback akzeptieren würde.
Die wichtigsten Punkte auf einen Blick
- SMS verbessert den Schutz gegenüber Passwort-only, ist aber kein phishing-resistenter Standard.
- Die größten Risiken sind SIM-Swapping, Umleitung im Mobilfunknetz, Echtzeit-Phishing und schwache Wiederherstellung.
- Für sensible Konten sind Passkeys, FIDO2-Sicherheitskeys oder starke Authenticator-Apps die robustere Wahl.
- In Deutschland werden smsTAN und ähnliche Verfahren zunehmend durch sicherere Methoden ersetzt.
- Wenn SMS bleiben muss, sollte sie nur als Übergang, Backup oder für niedrige Schutzbedarfe eingesetzt werden.
Was SMS bei der Anmeldung tatsächlich absichert
Technisch betrachtet ergänzt die SMS-Authentifizierung ein Passwort um einen Besitzfaktor: Wer den Einmalcode empfangen kann, soll zeigen, dass er die Telefonnummer oder das Gerät gerade kontrolliert. Das klingt sauber, ist im Alltag aber nur eine Annäherung an echte Identitätssicherheit.
Der typische Ablauf ist einfach: Passwort eingeben, Code per SMS erhalten, Code innerhalb kurzer Zeit bestätigen. Für Konten mit niedrigem bis mittlerem Schutzbedarf verhindert das viele Angriffe, die nur auf gestohlene Passwörter setzen. Für sensible Zugriffe reicht diese Logik jedoch nicht, weil die Telefonnummer selbst zum Angriffspunkt wird.
Ich trenne hier bewusst zwischen Authentifizierung und bloßer Erreichbarkeit. Eine Mobilnummer beweist nicht automatisch die Person, sondern erst einmal nur den Zugang zu einem Kommunikationskanal. Genau an dieser Stelle beginnt die praktische Frage, wie belastbar dieser Kanal wirklich ist.
Warum Komfort und Sicherheit hier auseinanderlaufen
SMS ist populär, weil es keine Zusatzinstallation braucht und fast jedes Telefon Textnachrichten empfangen kann. Für Nutzer ist das niedrigschwellig, für Betreiber schnell auszurollen und für den Helpdesk zunächst unkompliziert.
Der Preis dafür ist ein schwächeres Sicherheitsprofil. SMS läuft über die Mobilfunkinfrastruktur, ist nicht Ende-zu-Ende-verschlüsselt und hängt an einer Telefonnummer, die sich portieren, umleiten oder bei einem Gerätewechsel verlieren lässt. Das BSI beschreibt smsTAN in Deutschland inzwischen eher als Verfahren, das für robuste Schutzanforderungen nicht die erste Wahl ist; viele Banken migrieren deshalb zu App-, Chip- oder anderen Verfahren.
Der entscheidende Punkt ist für mich nicht, dass SMS gar nichts bringt. Sie hebt das Sicherheitsniveau gegenüber Passwort allein deutlich an. Aber sie bleibt anfällig genug, dass ich sie für privilegierte Zugänge nicht als Endzustand planen würde. Der direkte Vergleich mit den Alternativen macht das sehr deutlich.
Wie SMS sich gegen App, Passkey und Hardware-Schlüssel schlägt
Wenn ich Authentifizierungsverfahren bewerte, schaue ich auf drei Fragen: Wie gut schützt das Verfahren gegen Phishing, wie gut gegen die Übernahme des Endgeräts oder der Nummer, und wie realistisch ist der Rollout im Alltag?| Verfahren | Schutz vor Phishing | Schutz vor SIM-Swap | Bedienung | Meine Einordnung |
|---|---|---|---|---|
| SMS-Code | niedrig | niedrig | sehr hoch | Nur als Übergang oder Fallback |
| Authenticator-App mit TOTP | mittel | hoch | hoch | Solide Standardlösung für viele Konten |
| Push-Bestätigung | mittel | hoch | sehr hoch | Gut, wenn gegen Zustimmungsdruck abgesichert |
| Passkey / FIDO2 | sehr hoch | sehr hoch | hoch | Meine erste Wahl für moderne Zugriffe |
| Hardware-Schlüssel | sehr hoch | sehr hoch | mittel | Ideal für Admins und privilegierte Konten |
Phishing-resistent heißt dabei nicht nur „schwer zu knacken“, sondern vor allem: Der Faktor lässt sich nicht einfach in eine falsche Login-Maske übertragen. Genau das ist der Punkt, an dem SMS gegen Passkeys und Sicherheitskeys klar verliert. Für Identität und Zugriff ist das kein Randdetail, sondern eine Grundsatzentscheidung.

Welche Angriffe auf SMS-Codes heute wirklich relevant sind
Die Schwachstellen sind nicht theoretisch, sondern ziemlich konkret. Ich sehe vor allem vier Muster: SIM-Swapping, Umleitung über Mobilfunknetze, Echtzeit-Phishing und die Übernahme des Wiederherstellungswegs.
SIM-Swapping
Beim SIM-Swapping wird die Telefonnummer auf eine neue SIM-Karte übertragen, die der Angreifer kontrolliert. Dann landen SMS-Codes nicht mehr beim eigentlichen Nutzer, sondern beim Angreifer. Das ist besonders unangenehm, weil der Angriff oft nicht auf das Zielkonto selbst zielt, sondern auf den Mobilfunkanbieter und dessen Prozesse.
Umleitung im Netz
SS7 ist das Steuerprotokoll der Mobilfunknetze. Wenn es missbraucht wird oder eine Stelle im Netz kompromittiert ist, können Nachrichten umgeleitet oder mitgelesen werden. Das ist kein Alltagsangriff für Gelegenheitstäter, aber es zeigt, dass der Transportweg von SMS nie als starker Vertrauensanker gedacht war.
Echtzeit-Phishing
Hier fangen Angreifer den Einmalcode direkt im Login-Moment ab. Das funktioniert, weil Nutzer den Code bei einer gefälschten Login-Seite eingeben und der Angreifer ihn sofort weiterverwendet. Genau deshalb schützen kurze Codes allein nicht gegen moderne Phishing-Ketten.
Wiederherstellung als Hintertür
In vielen Umgebungen ist nicht die Anmeldung selbst das Problem, sondern der Recovery-Prozess. Wer eine Telefonnummer, ein E-Mail-Konto oder ein Helpdesk-Verfahren übernimmt, kommt oft an der eigentlichen 2FA vorbei. Für mich ist das ein Klassiker: Die stärkste Anmeldung nützt wenig, wenn der Wiederherstellungsweg schwächer ist als der Primärzugang.
Aus genau diesen Gründen behandle ich SMS nicht als Sicherheitsziel, sondern als Risiko, das man begrenzen muss. Daraus folgt die Frage, wie man sie sauber absichert, wenn sie organisatorisch vorerst bleiben muss.
Wie ich SMS-2FA in der Praxis absichern würde
Wenn SMS aus Gründen der Kompatibilität oder des Rollouts bleiben muss, behandle ich sie als kontrollierten Übergang, nicht als Freifahrtschein. Das bedeutet: klarer Einsatzbereich, saubere Wiederherstellung und zusätzliche Schutzschichten.
Für Nutzer
- Die Mobilfunknummer beim Anbieter mit Portierungs-Sperre oder zusätzlicher PIN schützen.
- Wiederherstellungscodes offline sichern, nicht im E-Mail-Postfach oder auf demselben Smartphone.
- SMS nur als Backup verwenden, wenn bereits ein stärkerer Faktor aktiv ist.
- Benachrichtigungen für neue Anmeldungen, Passwortänderungen und Nummernwechsel aktivieren.
Lesen Sie auch: Lokaler Passwortmanager: Wann er sich wirklich lohnt & wie er sicher ist
Für Unternehmen
- SMS nur für Konten mit begrenztem Schadenpotenzial freigeben.
- Admin-, Finanz- und Supportzugänge nicht auf SMS als alleinigen zweiten Faktor stützen.
- Codes an Sitzung oder Transaktion binden, damit ein abgefangener Code nicht universell nutzbar ist.
- Rate Limiting, Sperrlogik und Monitoring für OTP-Versuche einführen.
- Step-up Authentication einsetzen, also zusätzliche Bestätigung nur bei riskanten Aktionen anfordern.
Step-up Authentication bedeutet schlicht: Nicht jeder Login bekommt dieselbe Hürde. Ungewöhnliche Orte, neue Geräte oder sensible Aktionen wie Freigaben und Änderungen lösen dann eine stärkere Prüfung aus. Das ist meist deutlich praktikabler als überall dieselbe harte Hürde aufzubauen.
Diese Hygiene ist nützlich, beantwortet aber noch nicht die wichtigste Frage: Wann ist SMS überhaupt noch vertretbar und wann nicht mehr?
Wann ich SMS noch zulassen würde und wann nicht
Ich würde SMS dort akzeptieren, wo ein Kompromittierungsrisiko zwar ärgerlich, aber nicht geschäftskritisch ist und wo bereits ein stärkerer Weg als Zielbild existiert. Das kann bei einfachen Verbraucherportalen, Übergangsphasen oder als Notfallkanal sinnvoll sein.
Für höheres Schutzniveau würde ich mich an dem orientieren, was CISA für sensible Umgebungen empfiehlt: phishing-resistente MFA statt SMS. In der Praxis heißt das für mich vor allem Passkeys, FIDO2-Sicherheitskeys oder gut abgesicherte Authenticator-Apps.
- Geeignet: einfache Konten, Übergangslösungen, Fallback bei Verlust des Primärfaktors.
- Eher ungeeignet: Administratorzugänge, Finanzfreigaben, Kundendaten, Gesundheitsdaten, Produktionssysteme.
- Ungeeignet als alleiniger Faktor: alles mit hohem Identitäts- oder Haftungsrisiko.
Die Faustregel ist simpel: Je größer der Schaden bei Kontenübernahme, desto weniger Platz hat SMS in der Authentisierung. Das führt direkt zur letzten Frage, wie ich sie 2026 in eine moderne Zugriffsstrategie einordnen würde.
Wo SMS in einem modernen Zugriffskonzept noch Platz findet
Meine praktische Linie ist klar: SMS darf ein Anmeldeweg sein, aber nicht die Sicherheitsarchitektur tragen. Wenn ich ein neues Identitäts- und Zugriffskonzept entwerfe, plane ich zuerst Passkeys oder FIDO2 als Ziel, TOTP als mögliche Brücke und SMS nur noch als Fallback mit klaren Grenzen.
So bleibt der Zugang nutzbar, ohne die Identität an einen zu leicht angreifbaren Kanal zu hängen. Für Teams, die gerade migrieren, ist das oft der sauberste Kompromiss: erst den kritischen Zugriff härten, dann die alte Methode schrittweise zurückbauen. Genau darin liegt für mich der vernünftige Umgang mit SMS heute.