Die Deutsche Bahn ermöglicht die Nutzung von SMS-Codes oder Authentifikator-Apps für die 2FA. Allerdings gibt es während und nach der Einrichtung einige Fallstricke. Eine besonders kritische Situation entsteht, wenn der Zugang über die Authentifikator-App verloren geht. Ich würde mir wünschen, dass die Bahn eine Möglichkeit zur Sicherung und Wiederherstellung anbietet für die man keine Hotline bemühen muss.

Fehlende Backup-Codes

Ein großes Manko scheint mir die fehlende Möglichkeit zu sein, Backup-Codes herunterzuladen. Backup-Codes sind entscheidend, besonders wenn der Zugang über die Hauptmethode verloren geht. Es sind vorab generierte Codes, die du sicher aufbewahren kannst. Im Falle, dass du keinen Zugriff auf deine Haupt-2FA-Methode (z.B., wenn du dein Handy verlierst oder die Authentifikator-App nicht funktioniert) hast, kannst du diese Backup-Codes verwenden, um dich dennoch anzumelden.

Begrenzte Möglichkeiten nach Einrichtung

Nach erfolgreicher Einrichtung einer der beiden Methoden ist es scheinbar nicht möglich, eine zweite Methode hinzuzufügen. Auf Grund der fehlenden Backup-Codes wäre das eine gute Möglichkeit den Zugriff auf sein Konto sicherstellen zu können. Hilft die Bahn dir im Worst-Case wenigstens mit guten Hilfetexten weiter?

Fehlermeldungen und Support

Wenn man dann doch keinen Zugriff auf seinen zweiten Faktor mehr hat, steht man erst einmal alleine da. Die Login-Maske fordert stur die Eingabe des 2-Faktor-Codes. Gibt man einen falschen ein, erscheint lediglich „Ungültiger Authentifizierungscode“. Der Link „Login-Daten vergessen?“ ist nach Eingabe des Passworts bereits verschwunden – und würde auch nicht weiterhelfen. Zum Glück gibt es ein FAQ zur 2-Faktor-Authentifizierung. Die muss man aber erst einmal finden. Zum Glück erscheinen die relevanten Fragen aber auch dann, wenn man „2-Faktor“ in das Suchfeld der allgemeinen „Hilfe & Kontakt“-Seite für Privatkunden eintippt.

FAQ

Die FAQ spricht in der relevanten Hilfe-Seite zwar nur davon, was man bei verlorenem Zugriff auf SMS-Codes tun kann. Ich gehe aber davon aus, dass die Antwort bei Nutzung einer Authentifikator-App die gleiche wäre: „Bitte kontaktieren Sie unser Service-Team unter 030 2970.“ Dauer der Bearbeitungszeit: Bis zu einer Woche!

Insbesondere die Dauer für die Rücksetzung der 2FA könnte für viele Kunden problematisch sein. Hier muss die Deutsche Bahn die Prozesse optimieren, um eine schnellere Unterstützung zu gewährleisten. Ist man auf Reisen unterwegs und hat sein Ticket nur in der App dabei, verliert aber – aus welchen Gründen auch immer – den Zugriff auf sein Bahn-Konto, wird man im Zweifelsfall ein zweites Ticket kaufen müssen.

Mein Fazit

Insgesamt gibt es großen Raum für Verbesserungen bei der 2FA der Deutschen Bahn. Eine erhöhte Flexibilität bei der Einrichtung durch die Möglichkeit der Einrichtung mehrer 2Fa-Methoden, klare Anweisungen bei Problemen und eine schnellere Unterstützung durch den Kundenservice könnten die Nutzererfahrung erheblich verbessern. Und die Deutsche Bahn würde davon auch profitieren: Durch eine Entlastung ihrer Support-Hotline. Aktuell kann ich die Einrichtung der 2-Faktor-Authentifizierung bei der Deutschen Bahn nur bedingt empfehlen.

Update (07. November 2025)

Ich habe heute noch einmal geprüft, ob es inzwischen möglich ist weitere Methoden in der Kontoverwaltung der Deutschen Bahn hinzufügen. Das ist zwar immer noch nicht möglich, allerdings kann man inzwischen „Ersatzcodes aktivieren“ – also Backup Codes erstellen. Dies sollte man auch unbedingt tun. Ist ein Login mit dem eingerichteten zweiten Faktor z.B. wegen Verlust nicht mehr möglich, kann man mit diesen Codes doch noch Zugriff auf sein Konto erhalten.

Wichtig bleibt: Diese Backup Codes sind letzten Endes TAN-Listen und sollten den gleichen Schutz wie dein Passwort erhalten. Um die Wirkweise als zweiten Faktor zu erhalten, solltest du diese z.B. nicht im gleichen Passwort-Manager wie dein Passwort ablegen. Durchaus empfehlenswert kann es aber sein, die Liste auszudrucken und zuhause an einem sicheren Ort zu verwahren (z.B. in einem Dokumenten-Safe). Bleibt dann nur zu klären, wie man auf einer Reise an diese Codes gelangt.

Mein Fazit bleibt daher unverändert: Die Bahn sollte weitere alternative Faktoren anbieten. Dann könnte ich bei Verlust meines Telefons z.B. noch ganz einfach Zugang über meinen FIDO2-Sicherheitsschlüssel erhalten.

Den MHPG habe ich im Februar 2017 vorgestellt. Er basiert auf einer Idee von Tim Anderson und generiert dir mithilfe eines Master-Passworts dienstespezifische Passwörter, sodass mehrfach genutzte, gleiche Passwörter der Vergangenheit angehören. Das Tool ist komplett in HTML und JavaScript geschrieben, es werden keine Daten an meinen Server gesendet.

Mithilfe der neuen Auto-Copy-Funktion werden erzeugte Passwörter sofort in deine Zwischenablage kopiert. So entfällt lästiges manuelles Kopieren der Passwörter. Zusätzlich ermöglicht dies, dass das Passwort nicht mehr im Klartext ausgegeben werden muss. Stattdessen wird das Ergebnis nur noch mit den klassischen Punkten angezeigt. So kann niemand das Passwort mitlesen, wenn er dir über die Schultern schaut.

Möchtest du das Passwort doch einmal im Klartext sehen, so kannst du es dir mit einem Klick auf das Augen-Symbol ganz einfach anzeigen lassen (und ggf. auch manuell kopieren, falls es mit der Automatik mal nicht klappen sollte).

Warum ist das so? In den FAQ schreibt der DFB:

Es gibt gesetzliche Datenschutzrichtlinien für die Verarbeitung von personenbezogenen Daten. Diese Richtlinien wurden auch in DFBnet umgesetzt. Sofern Sie eine DFBnet-Zugangskennung haben, mit der personenbezogene Daten verarbeiten werden, müssen Sie in regelmäßigen Abständen einen Passwortwechsel durchführen. Je nach Sicherheitsanforderung kann dies im Abstand zwischen 90 bis 180 Tagen sein. Die DFBnet-Kennungen, die kein Recht auf die Verarbeitung von personenbezogenen Daten haben, sind so eingestuft, dass die Passwörter dort nicht ablaufen. Ein Beispiel hierfür sind die Kennungen zur Ergebnismeldung.

Das Argument ist nicht von der Hand zu weisen, denn ich kann dort zum Beispiel von allen Spielern, die an einem Spiel teilgenommen haben oder auf der Auswechselbank saßen Namen, Vornamen und Geburtsdatum einsehen. Ob aber ein häufiger Wechsel von Passwörtern sinnvoll ist, darf bestritten werden.

Nutzer tendieren dazu, ihre Passwörter nur leicht abzuändern, wenn sie dazu gezwungen werden.¹ Aus Me1nGeheimesPasswort wird dann vielleicht Me1nGeheimesPasswort42 und beim nächsten Wechsel aus diesem dann wiederum Me1nGeheimesPasswort73. Solche minimalen Änderungen stellen jedoch kein großes Problem für Angreifer dar. Viele der Passwörter lassen sich so relativ leicht knacken.

Wann wechselt man sein Passwort?

Auch wenn die Wissenschaft heute zeigt, dass ein erzwungener Passwortwechsel allerhöchstens mäßigen Nutzen und manchmal sogar den gegenteiligen Effekt hat, kann es dennoch sinnvoll sein, das eigene Passwort hin und wieder zu ändern. Und zwar in diesen zwei Fällen:

1. Hin und wieder, wenn einem gerade danach ist, denn dann denkt man sich auch ein gutes neues Passwort aus.
2. Wenn man ein schlechtes Gefühl hat, weil man beispielsweise eine unverschlüsselte Verbindung genutzt hat oder das Passwort auf einem fremden oder mit Malware befallenem System genutzt hat.

Vertrauenswürdige Geräte

In unserem Fall ist der zweite Punkt sehr interessant. Dafür musst du wissen, dass das Konzept des DFB für die Eingabe der Spielberichtsdaten vorsieht, dass der Schiedsrichter nach dem Spiel den Computer des Heimvereins nutzt. Das ist meistens ein Notebook oder ein Desktop-PC und kann hin und wieder mal ein Tablet sein. Häufig stehen diese Geräte einfach in der Schiedsrichterkabine, sind manchmal in einem eigenen Geschäftszimmer untergebracht oder werden extra von zu Hause mitgebracht und dann im Vereinsheim neben die Theke gestellt. Die Anbindung an das Internet erfolgt auch bei Desktop-PCs auf Grund mangelndem Festnetzanschluss häufig per Mobilfunk. Ob notwendige Aktualisierungen des Betriebssystems oder Browsers, die häufig einige hundert Megabyte betragen, durchgeführt werden, darf zumindest bezweifelt werden. So oder so, eines haben sie alle gemeinsam: Es sind keine vertrauenswürdigen Geräte.

Möchte ich also dem Datenschutz wirklich genüge tun, müsste ich direkt nach der Eingabe der Spieldaten mein Passwort ändern. Denn es reicht ein installierter Keylogger² aus, um mein Passwort in Erfahrung zu bringen. Dieser könnte in einem besonders krassen Szenario sogar vom Heimverein selbst auf den PC installiert worden sein, um die Daten vom Schiedsrichter oder vom Gastverein, der häufig ebenfalls den PC zur Eingabe der Startelf vor dem Spiel nutzt, abzugreifen.

Viele Schiedsrichter pfeifen nicht nur ein Spiel in der Woche, sondern mehrere. Häufig eines am Samstag in der Jugend und eines am Sonntag bei den Männern oder Frauen. Sie müssten also zwei Mal in der Woche ihr Passwört ändern. Also im Schnitt nicht alle 180 Tage, sondern alle drei bis vier Tage. Das ist offensichtlich, wie meine Mathe-Dozenten gerne sagten, keine gute oder praktikable Lösung.

Der zweite Faktor

Eine gute Lösung für dieses Problem wäre eine Zwei-Faktor-Authentifizierung. Dabei loggt man sich nicht nur mit seinem Passwort (Wissen) ein, sondern es benötigt darüber hinaus ein zweites Merkmal. Du kennst dieses Verfahren sicher von deinem Online-Banking. Dein Smartphone (Besitz) könnte zum Beispiel ein solches weiteres Merkmal sein. Dort würde ein für nur kurze Zeit gültiger PIN generiert werden, dem man ebenfalls zum Anmelden angeben müsste. Dieses Verfahren setzt der Google Authenticator um und es wäre ohne zusätzliche Kosten, wie zum Beispiel beim Versand einer SMS, möglich. Ein Angreifer bräuchte dann nicht nur dein Passwort, sondern auch dein Smartphone, um Kontrolle über dein Benutzerkonto zu erlangen.

Ich habe beim DFB nachgefragt, ob es aktuell geplant ist, eine solche Zwei-Faktor-Authentifizierung einzuführen. Die Antwort war negativ.

Eine Zwei Faktor Authentifizierung ist derzeit nicht geplant.

Dabei wäre das Angebot eines solchen Verfahrens leicht umzusetzen und wäre zumindest als freiwillige Option ein wichtiger Baustein der Sicherheit der personenbezogenen Daten im DFBnet. Freilich, für Schiedsrichter, die ihr Smartphone lieber zu Hause lassen, oder für solche, die keines besitzen³, müsste ein anderer Weg gegangen werden.

Was bleibt?

Du solltest auf jeden Fall für SpielPlus ein einzigartiges Passwort vergeben. Dieses sollte unter keinen Umständen noch irgendwo anders eingesetzt werden und auch keinem deiner anderen Passwörter, wie für dein E-Mail-Postfach oder Instagram-Konto, gleichen.

In der Linux-Konsole wäre das zum Beispiel so möglich:

$ printf 'Geheim123:twitter.com' | sha256sum
9ffbb90ddd53fd75fd3e885791e030047a21ee57b7a54f03ecca90f9b8eff34f  -

Die ausgegebene Zeichenkette ist die hexadezimale Darstellung des 256 bit langen Hash. Dabei stellt in der Eingabe Geheim123 das konstante Passwort und twitter.com die Domain des Dienstes, in den man sich einloggen will, dar.

Vorteil: Ein Hash ist nicht umkehrbar. Das heißt, wenn das Passwort, zum Beispiel durch einen Datenbank-Hack, erbeutet wird, kann man von diesem Passwort nicht zu dem konstanten Passwort zurückkehren.

Diese Methode hat jedoch auch Nachteile: Zwar dürfte das Passwort durch seine reine Länge als sicher angesehen werden, bei den meisten Diensten im Internet wird es wohl aber nicht akzeptiert, da es die Passwortrichtlinien nicht erfüllt. Grund: Es enthält keine Sonderzeichen. Ein weiterer Nachteil ergibt sich, wenn man einmal ohne Linux-Konsole unterwegs ist, denn einen SHA-2-Hash auf Papier zu berechnen ist recht mühsam. 😉

Beiden Nachteilen begegnet der Hash Password Generator Mobile von Tim Anderson. Zum einen bist du damit nicht auf deine Konsole angewiesen und zum anderen implementiert er den PwdHash-Algorithmus von Collin Jackson. Er gibt Passwörter zurück, die auch ein Sonderzeichen enthalten, sofern das konstante Passwort ebenfalls eines enthält.

Leider ist weder die Website von Tim Anderson noch jene von Collin Jackson responsiv und sie lassen sich somit nur schlecht auf dem Smartphone nutzen. Daher habe ich das einmal selbst in die Hand genommen und den Generator von Tim Anderson nachgebaut. Er enthält ebenfalls den PwdHash-Algorithmus – ich habe allerdings den als gebrochen geltenden MD5-Algorithmus durch SHA512 ersetzt. Das wäre zwar nicht unbedingt nötig, aber es hinterlässt stets einen faden Beigeschmack, wenn man veraltete Krypto-Funktionen nutzt.

Mein Mobiler Hash-Passwort-Generator (MHPG) ist rein in HTML und JavaScript implementiert, du brauchst also keine Angst zu haben, dass ich deine Passwörter mitlesen kann, denn sie werden nicht zum Server übertragen. Wenn du mir nicht traust, darfst du dich im Code gerne selbst vergewissern und den Generator auch selbst hosten.

Genau deshalb ist es wichtig, seine Passwörter wirklich nicht zweimal zu verwenden – zumindest dann, wenn man Wert darauf legt, die Hoheit über sein Konto zu behalten. Und das ist gar nicht einmal so schwer. Durch einfache Varianten eines Masterpassworts kann man ganz leicht verschiedene Passwörter für verschiedene Dienste anlegen. Los gehts!

Masterpasswort ausdenken

Das Masterpasswort sollte schon eine gewisse Länge haben. Acht Zeichen sind bei den allermeisten Diensten absolutes Minimum. Erstellen kann man sein Masterpasswort zum Beispiel aus seinem Lieblingsspruch oder aus einer Liedzeile. Wie wäre es mit etwas von Den Fantastischen Vier?

Ist es die da, die da am Eingang steht?

Nimmt man jetzt immer die Anfangsbuchstaben ergibt sich folgendes Passwort:

Iedd,ddaEs?

Es ist übrigens kein Problem, dass in diesem Passwort sehr viele d stecken. Damit haben wir nun ein elf Zeichen langes Passwort. Schon gar nicht einmal so schlecht. Aber leider kann sich nicht jeder Liedtexte so gut merken, als dass wir für jeden Dienst eine andere Liedzeile nehmen könnten. Möglich wäre das natürlich schon, aber unser Ziel war es ja, es etwas einfacher zu machen.

Varianten erzeugen

Daher kreieren wir Varianten des Passworts. Nehmen wir einmal an, wir möchten ein Passwort für unser Amazon-Konto erstellen. Dazu nehmen wir die Domain des Dienstes, in diesem Fall also amazon.de, und hängen die Länge der Domain als Zahl hinten an das Passwort dran. Das ist in diesem Fall eine 9. Unser Passwort sieht dann so aus:

Iedd,ddaEs?9

Das ist schon gar nicht so schlecht, hilft uns aber nur weiter, wenn zwei Dienste unterschiedlich lange Domains haben. google.de hat zum Beispiel jedoch genauso viele Zeichen. Schlecht. Also braucht es noch etwas mehr Varianz. Dazu nehmen wir den ersten und den letzten Buchstaben der Domain und hängen sie hinten noch einmal daran. Dann kommen wir zu:

Iedd,ddaEs?9ad

Selbst machen!

Perfekt, wir haben jetzt ein 14 Zeichen langes Passwort mit Sonderzeichen und Zahlen. Du solltest allerdings schon etwas eigene Kreativität mitbringen, denn das Geheimnis in diesem Verfahren liegt eben auch daran, dass es für jeden ein wenig anders ist. Stelle die Zahl zum Beispiel dem Passwort vorweg oder nimm nur den Namen des Dienstes statt der Domain.

Und jetzt viel Spaß!