Mail-Sicherheit bleibt ein Dauerbrenner: Während die meisten großen Anbieter mittlerweile solide Zwei-Faktor-Authentifizierung bieten, nutzen sie immer noch viel zu wenige User. Dabei sind E-Mail-Konten das Einfallstor für fast alle anderen Online-Dienste. Wer hier schlampig ist, öffnet Cyberkriminellen Tür und Tor.
Die großen Datenlecks der vergangenen Jahre haben eins deutlich gemacht: E-Mail-Konten sind das Kronjuwel für Cyberkriminelle. Wer Zugriff auf euer Postfach hat, kann praktisch alle anderen Online-Konten übernehmen – einfach über die „Passwort vergessen“-Funktion. Trotzdem gehen viele immer noch erschreckend sorglos mit der Absicherung ihrer Mail-Konten um.
Das Gute: Die Situation hat sich in den letzten Jahren deutlich verbessert. Inzwischen bieten alle großen deutschen und internationalen Mail-Anbieter eine Zwei-Faktor-Authentifizierung (2FA) an – auch GMX und Web.de haben nachgezogen. Das Problem: Aktiviert wird sie trotzdem nur von einem Bruchteil der Nutzer.
Zwei-Faktor-Authentifizierung: Der Game Changer
Wer 2FA nutzt, macht sein E-Mail-Konto praktisch unknackbar – zumindest für die allermeisten Angriffe. Das Prinzip ist simpel: Neben dem Passwort braucht ihr einen zweiten Faktor. Das kann ein Code aus einer Authenticator-App sein, ein Hardware-Token oder notfalls auch eine SMS (wobei SMS die unsicherste Variante ist).
Selbst wenn Hacker euer Passwort haben – sei es durch einen Datenleak, Phishing oder einfach weil es zu schwach war – können sie ohne den zweiten Faktor nichts anfangen. Der macht den Unterschied zwischen „komplett schutzlos“ und „praktisch unangreifbar“.
Die modernen Authenticator-Apps wie Google Authenticator, Microsoft Authenticator oder das Open-Source-Tool Aegis machen das Ganze inzwischen ziemlich komfortabel. Einmal eingerichtet, generieren sie alle 30 Sekunden einen neuen sechsstelligen Code. Smartphone zücken, Code ablesen, fertig.
Deutsche Anbieter haben endlich aufgeholt
Lange Zeit waren deutsche Mail-Anbieter Sicherheitsmuffel. GMX und Web.de (beide gehören zu 1&1) haben erst 2020 eine brauchbare 2FA eingeführt – Jahre nach der internationalen Konkurrenz. T-Online zog 2021 nach. Immerhin: Heute könnt ihr bei allen großen deutschen Anbietern euer Postfach ordentlich absichern.
Bei GMX und Web.de findet ihr die Zwei-Faktor-Authentifizierung in den Sicherheitseinstellungen. Dort könnt ihr zwischen App-basierten Codes und SMS wählen – nehmt die App-Variante, die ist deutlich sicherer. T-Online bietet ebenfalls beide Optionen an.
Auch die internationalen Schwergewichte haben ihre 2FA-Systeme weiter ausgebaut. Google, Microsoft und Yahoo bieten inzwischen sogar Hardware-Sicherheitsschlüssel als Option an – das Maximum an Sicherheit für alle, die es ernst meinen.
Warum nutzen es trotzdem so wenige?
Trotz aller Verbesserungen liegt die 2FA-Nutzung bei den meisten Diensten unter 20 Prozent. Das hat mehrere Gründe: Viele kennen die Funktion schlicht nicht. Andere fürchten den vermeintlichen Mehraufwand. Und manche haben Angst, sich aussperren zu können.
Dabei sind diese Befürchtungen größtenteils unbegründet. Moderne 2FA-Systeme sind benutzerfreundlich geworden. Ihr müsst nicht bei jedem Login einen Code eingeben – die meisten Dienste merken sich vertrauenswürdige Geräte für Wochen oder Monate. Und für den Fall, dass ihr euer Smartphone verliert, gibt es Backup-Codes.
Das eigentliche Problem: Die Anbieter machen 2FA nicht zum Standard. Sie verstecken die Option in den Tiefen der Sicherheitseinstellungen, anstatt neue Nutzer aktiv dazu zu drängen. Aus Angst, Kunden zu vergraulen, setzen sie weiter auf freiwillige Basis.
Passkeys: Die nächste Evolutionsstufe
Die Zukunft gehört aber ohnehin einer noch eleganteren Lösung: Passkeys. Diese neue Technologie macht Passwörter komplett überflüssig. Stattdessen authentifiziert ihr euch über biometrische Daten (Fingerabdruck, Face ID) oder eine PIN – aber die Daten bleiben auf eurem Gerät.
Google, Microsoft und Apple unterstützen Passkeys bereits in ihren Systemen. Erste Mail-Anbieter ziehen nach. Der Vorteil: Passkeys sind von Natur aus phishing-resistent und deutlich benutzerfreundlicher als die klassische 2FA.
Was ihr jetzt tun solltet
Falls ihr euer Mail-Konto noch nicht mit 2FA abgesichert habt: Macht es. Heute. Es dauert fünf Minuten und kann euch vor einem Haufen Ärger bewahren. Ladet euch eine Authenticator-App runter, geht in die Sicherheitseinstellungen eures Mail-Anbieters und aktiviert die Zwei-Faktor-Authentifizierung.
Und vergesst nicht, die Backup-Codes zu notieren und sicher zu verwahren. Die braucht ihr, falls euer Smartphone mal den Geist aufgibt.
Die Politik könnte übrigens auch endlich tätig werden. Anstatt immer neue Überwachungsgesetze zu fordern, wäre es sinnvoller, 2FA für sicherheitskritische Dienste verpflichtend zu machen. In der EU gibt es bereits entsprechende Überlegungen – höchste Zeit, dass Deutschland nachzieht.
Zuletzt aktualisiert am 06.03.2026
