Wer ein Google-Konto, ein GitHub-Profil oder ein Online-Banking schützen will, kommt an einer Authenticator-App nicht mehr vorbei. Vier Apps dominieren den Markt: Google Authenticator, Microsoft Authenticator, Authy und 2FAS. Alle vier sind kostenlos, alle vier erzeugen zeitbasierte Einmalpasswörter (TOTP) nach RFC 6238, und trotzdem unterscheiden sie sich in Sicherheitsarchitektur, Datenschutz und Bedienkomfort erheblich. Dieser Vergleich zeigt, welche App 2026 die richtige Wahl für österreichische Nutzer ist.
Warum die Wahl der Authenticator-App entscheidet
Zwei-Faktor-Authentifizierung (2FA) via Authenticator-App ist heute der empfohlene Standard, wenn es darum geht, Konten gegen unbefugten Zugriff zu sichern. SMS-basierte 2FA gilt seit Jahren als schwach: SIM-Swapping-Angriffe und Abfangen von Kurznachrichten ermöglichen es Angreifern, den zweiten Faktor zu stehlen, ohne das Gerät des Opfers zu berühren. Das NIST SP 800-63B empfiehlt Authenticator-Apps ausdrücklich gegenüber SMS-OTP.
Laut dem Ivanti State of Cybersecurity Report 2026 haben 73 Prozent der österreichischen Organisationen 2025 einen Anstieg der Cyber-Risiken gemeldet, wobei Identitätsangriffe den größten Anteil ausmachen. Angreifer zielen zunehmend auf Authentifizierungsschwächen: OAuth-Tokens, Session-Hijacking und abgefangene 2FA-Codes sind gängige Methoden. Wer eine Authenticator-App wählt, muss deshalb wissen, wie diese App TOTP-Secrets speichert, wer Zugang zu Backups hat, und ob ein Angriff auf den Anbieter die eigenen Konten gefährdet.
Für Entwickler und sicherheitsbewusste Nutzer ist auch Transparenz entscheidend: Ist die App Open Source? Hat sie unabhängige Audits bestanden? Welche Daten werden an Unternehmensserver gesendet? Diese Fragen stehen im Mittelpunkt dieses Vergleichs.
Google Authenticator: Beliebt, aber Cloud-Sync ohne Ende-zu-Ende-Verschlüsselung
Google Authenticator ist die meistgenutzte Authenticator-App weltweit und damit das Standardreferenzpunkt für den Vergleich. Sie steht für Android (ab Version 7.0, Stand Mai 2025) und iOS (ab Version 4.2.1) kostenlos zur Verfügung. Die Einrichtung ist denkbar einfach: QR-Code scannen, fertig. Die App erzeugt alle 30 Sekunden einen sechsstelligen TOTP-Code nach RFC 6238.
Der größte Vorteil ist die enge Integration mit dem Google-Ökosystem. Wer ein Android-Gerät nutzt, profitiert von automatischer Gerätesicherung über das Google-Konto. Im Jahr 2023 führte Google erstmals ein Cloud-Backup ein, das TOTP-Secrets automatisch mit der Google-Cloud synchronisiert. Damit wird der bisher kritischste Nachteil der App behoben: der Verlust aller 2FA-Zugänge beim Gerätewechsel.
Cloud-Synchronisierung: Komfort gegen Sicherheit
Die Einführung des Cloud-Backups ist jedoch umstritten. Sicherheitsforscher und Datenschutzexperten haben 2025 darauf hingewiesen, dass die Synchronisierung der TOTP-Secrets über Google-Server nicht Ende-zu-Ende-verschlüsselt ist. Das bedeutet: Google hat technisch gesehen Zugriff auf die gespeicherten Geheimnisse. Für Nutzer, die Google vollständig vertrauen und ausschließlich im Google-Ökosystem arbeiten, ist das kein Problem. Wer dagegen Wert auf vollständige Datensouveränität legt, sollte eine Alternative wählen.
Google empfiehlt auf der offiziellen Hilfeseite für Google Authenticator explizit, die App regelmäßig zu sichern und nach einem Geräteverlust schnell zu handeln. Die Backup-Option ist opt-in, was bedeutet, dass Nutzer ohne Google-Account-Verknüpfung nach wie vor ausschließlich lokal arbeiten und bei Geräteverlust alle Zugänge verlieren können.
Auf der Haben-Seite: Google Authenticator ist leichtgewichtig, verbraucht kaum Akku, und die Oberfläche ist in wenigen Sekunden erlernt. Für Nutzer, die 2FA einfach zum Laufen bringen wollen, ohne sich mit Backup-Passwörtern und Verschlüsselungsoptionen zu befassen, ist sie die praktischste Lösung.
Microsoft Authenticator: Erste Wahl für das Microsoft-Ökosystem
Microsoft Authenticator ist die logische Wahl für alle, die intensiv mit Microsoft 365, Azure Active Directory oder Windows-Umgebungen arbeiten. Die App unterstützt neben dem Standard-TOTP-Verfahren auch Push-Benachrichtigungen für Microsoft-Konten: Statt einen Code einzutippen, tippt der Nutzer in der App auf “Zulassen”. Das ist schneller und weniger fehleranfällig.
Für Enterprise-Umgebungen bietet Microsoft Authenticator zusätzliche Funktionen: Conditional Access, Identity Protection-Integration und die Möglichkeit, sich als Teil von Azure AD Multifactor Authentication einzusetzen. Diese Features machen die App in Unternehmensumgebungen praktisch alternativlos, wenn das Unternehmen auf Microsoft-Infrastruktur setzt.
Die App ist für Android und iOS kostenlos verfügbar. TOTP-Secrets werden lokal gespeichert und über das Microsoft-Konto in der Cloud gesichert. Im Gegensatz zu Google Authenticator gibt Microsoft keine detaillierten öffentlichen Informationen zur Verschlüsselung des Cloud-Backups heraus, sodass eine externe Verifikation der Sicherheitsversprechen nicht möglich ist.
Für Privatnutzer ohne Microsoft-Kontext ist Microsoft Authenticator eine solide, wenn auch nicht überragende Wahl. Die Oberfläche ist etwas komplexer als bei Google Authenticator, da die App viele Enterprise-Features enthält, die Privatnutzer nie benötigen. Für Unternehmen ist sie dagegen unschlagbar in der Integration mit bestehenden Microsoft-Diensten.
Authy: Starkes Cloud-Backup, aber kein Desktop mehr
Authy war lange die beliebteste Alternative zu Google Authenticator, weil sie als erste App ein zuverlässiges verschlüsseltes Cloud-Backup anbot. Das Backup-System ist durchdacht: Secrets werden mit einem nutzerdefinierten Backup-Passwort lokal verschlüsselt, bevor sie auf Authys Server übertragen werden. Authy selbst kann die Secrets also nicht lesen, sofern das Backup-Passwort stark genug ist und nicht auf Authy-Servern gespeichert wird.
Der entscheidende Rückschlag kam 2024: Authy (ein Twilio-Dienst) stellte den Desktop-Client für Windows, macOS und Linux ein. Bis dahin war die Desktop-App ein zentrales Kaufargument für Authy, insbesondere für Entwickler und Power-User, die auf mehreren Geräten gleichzeitig arbeiten. Heute ist Authy rein mobil, was einen erheblichen Rückschritt in der Flexibilität bedeutet.
Ein weiterer Schwachpunkt: Authy verlangt zur Einrichtung eine Telefonnummer. Diese Bindung an eine Rufnummer ist aus Datenschutz-Sicht problematisch und kann im Fall eines SIM-Swaps zum Einfallstor werden, wenn die Kontowiederherstellung ebenfalls über die Telefonnummer läuft. Die Synchronisierung zwischen mehreren Mobilgeräten funktioniert gut und ist ein echtes Plus gegenüber Google Authenticator.
Für Nutzer, die bereits seit Jahren Authy verwenden und ein eingerichtetes Backup haben, gibt es keinen zwingenden Grund zu wechseln. Für Neueinsteiger ist Authy 2026 jedoch schwerer zu empfehlen als früher, weil der Desktop-Support fehlt und das Konto zwingend an eine Telefonnummer gebunden ist.
2FAS: Open-Source, kein Konto erforderlich
2FAS ist die datenschutzfreundlichste Option im Vergleich. Die App ist für Android und iOS Open Source verfügbar, was bedeutet: Jeder kann den Quellcode einsehen und auf Sicherheitslücken prüfen. Stand Mai 2025 laufen auf Android Version 5.4.9 und auf iOS Version 5.3.13.
Das wichtigste Alleinstellungsmerkmal von 2FAS: Es ist kein Konto erforderlich. Weder eine E-Mail-Adresse noch eine Telefonnummer werden für die Nutzung benötigt. Die TOTP-Secrets bleiben standardmäßig ausschließlich auf dem Gerät, ohne Cloud-Verbindung. Wer ein Cloud-Backup anlegen möchte, kann die verschlüsselte Sicherungsdatei manuell auf Google Drive oder iCloud ablegen.
Einzigartig ist auch der Browser-Extension-Support: 2FAS bietet eine Browser-Erweiterung für Chrome und Firefox, die mit der mobilen App kommuniziert. Beim Login auf einem Desktop-Browser wird eine Push-Benachrichtigung an das Smartphone gesendet, und der Code wird automatisch übermittelt. Das spart das manuelle Abtippen und beschleunigt den Login-Prozess spürbar.
PCMag bewertet 2FAS mit 4,5 von 5 Punkten und beschreibt sie als “beste Wahl für Nutzer, die Einfachheit und Open-Source-Transparenz verbinden wollen.” Auch Apple Watch wird unterstützt, was 2FAS als einzige App im Vergleich als direkten Wrist-Access anbietet.
Das einzige Manko: Auf dem Desktop ohne Smartphone geht nichts. Wer keinen Browser-Extension-Workflow einrichten will, ist bei rein Desktop-basierten Workflows eingeschränkt. Dennoch ist 2FAS für technisch versierte Nutzer, die maximale Kontrolle über ihre Authentifizierungsdaten wollen, die empfehlenswerteste Option.
Technischer Vergleich: Verschlüsselung, Backup und Speicherung
Der entscheidende Unterschied zwischen den vier Apps liegt nicht in der TOTP-Erzeugung (die ist bei allen identisch, weil der Standard RFC 6238 das vorschreibt), sondern in der Frage: Wo landen meine Secrets, und wer hat im Notfall Zugriff?
| Kriterium | Google Authenticator | Microsoft Authenticator | Authy | 2FAS |
|---|---|---|---|---|
| TOTP-Standard | RFC 6238 (TOTP) | RFC 6238 (TOTP) + Push | RFC 6238 (TOTP) | RFC 6238 (TOTP) |
| Secret-Speicherung | Lokal + optional Google Cloud | Lokal + Microsoft Cloud | Lokal + Authy Cloud | Ausschließlich lokal |
| Cloud-Backup E2EE | Nein (kein E2EE) | Nicht öffentlich verifiziert | Ja (Backup-Passwort) | Nutzergesteuert (iCloud/Drive) |
| Konto erforderlich | Google-Konto (optional) | Microsoft-Konto (optional) | Telefonnummer (Pflicht) | Nein |
| Open Source | Teilweise (Android) | Nein | Nein | Ja (Android + iOS) |
| Browser-Extension | Nein | Nein | Nein | Ja (Chrome, Firefox) |
| Desktop-App | Nein | Teilweise (Windows Push) | Nein (eingestellt 2024) | Nein (nur via Extension) |
| Apple Watch | Nein | Nein | Nein | Ja |
| Multi-Gerät | Via Google-Cloud | Via Microsoft-Cloud | Via Authy-Cloud | Manueller Export/Import |
| Passcode/Biometrie | Ja | Ja | Ja | Ja |
| Kategorien/Ordner | Ja | Ja | Ja | Ja |
| Import via QR | Ja | Ja | Ja | Ja |
| Preis | Kostenlos | Kostenlos | Kostenlos | Kostenlos |
Die Tabelle zeigt: Alle vier Apps erfüllen den TOTP-Standard korrekt und sind für Privatnutzer kostenlos. Der Unterschied liegt in der Backup-Architektur. 2FAS ist als einzige App vollständig transparent (Open Source) und benötigt kein Konto. Authy bietet das durchdachteste Cloud-Backup mit nutzergesteuerter Verschlüsselung. Google und Microsoft bieten Komfort auf Kosten von mehr Anbieterabhängigkeit.
Plattform-Unterstützung und Bewertungen im Vergleich
| App | Android | iOS | Windows | macOS | Linux | Aktuelle Version (Mai 2025) | PCMag-Score |
|---|---|---|---|---|---|---|---|
| Google Authenticator | Ja | Ja | Nein | Nein | Nein | Android 7.0 / iOS 4.2.1 | k. A. |
| Microsoft Authenticator | Ja | Ja | Teilweise | Nein | Nein | Aktuell | k. A. |
| Authy | Ja | Ja | Nein | Nein | Nein | Aktuell (nur mobil) | k. A. |
| 2FAS | Ja | Ja | Via Extension | Via Extension | Via Extension | Android 5.4.9 / iOS 5.3.13 | 4,5/5 |
Keiner der vier Kandidaten bietet eine vollwertige native Desktop-App 2026. Microsoft Authenticator zeigt Push-Benachrichtigungen auf Windows, erlaubt aber keine vollständige Verwaltung der TOTP-Codes auf dem Desktop. 2FAS ist durch seine Browser-Extension am nächsten an einem Desktop-Workflow, ohne dabei eine installierte App zu erfordern.
Preise und Geschäftsmodelle
Alle vier Apps sind für Privatnutzer vollständig kostenlos. Es gibt keine Premium-Tiers für 2FA-Grundfunktionen. Der Unterschied liegt im Geschäftsmodell, das indirekt Auswirkungen auf Datenschutz und langfristige Verfügbarkeit hat.
| App | Preis (Privat) | Preis (Business) | Geschäftsmodell | Datenerhebung |
|---|---|---|---|---|
| Google Authenticator | Kostenlos | Kostenlos | Google-Ökosystem / Werbedaten | Moderate Datenerhebung via Google-Konto |
| Microsoft Authenticator | Kostenlos | In Microsoft 365 inkludiert | Enterprise-SaaS-Bundle | Microsoft-Konto-Daten |
| Authy (Twilio) | Kostenlos | Ab $0,05/Verifizierung (API) | Telefonverifizierungs-API | Telefonnummer, Gerätedaten |
| 2FAS | Kostenlos | Kostenlos (Open Source) | Community / Spenden | Minimal (keine Anmeldung) |
Besonders interessant ist das Modell von Authy: Der Dienst ist ein Produkt von Twilio, einem Telefonnummernverifizierungs-API-Anbieter. Das bedeutet, Authys Kerngeschäft liegt in der kostenpflichtigen Verifizierungs-API für Unternehmen, nicht in der Verbraucher-App. Das erklärt, warum Authy eine Telefonnummer verlangt: Sie ist das zentrale Identifizierungsmerkmal im Twilio-System.
2FAS hingegen finanziert sich über Community-Beiträge und ist als Non-Profit-Projekt strukturiert. Das macht die App finanziell weniger stabil als die Angebote der Tech-Giganten, sorgt aber dafür, dass kein kommerzieller Anreiz besteht, Nutzerdaten zu monetarisieren. Für langfristige Verfügbarkeit ist das ein berechtigtes Risiko, das Nutzer abwägen sollten.
Sicherheitsvorfälle und Kontroversen 2025 bis 2026
Keine der vier Apps war 2025 oder 2026 Ziel eines bekannten, bestätigten Sicherheitsvorfalls. Das ist eine gute Nachricht. Dennoch gibt es relevante Kontroversen und Risiken, die Nutzer kennen sollten.
Die Google-Authenticator-Cloud-Debatte
Die fehlende Ende-zu-Ende-Verschlüsselung beim Google-Authenticator-Backup ist die wichtigste Sicherheitskontroverse. Sicherheitsforscher haben darauf hingewiesen, dass TOTP-Secrets, die mit dem Google-Konto synchronisiert werden, auf Google-Servern in einem Format vorliegen, das Google theoretisch lesen kann. Das bedeutet nicht, dass Google das tut, aber es bedeutet, dass ein erfolgreicher Angriff auf Google-Infrastruktur oder eine behördliche Anfrage an Google potenziell Zugriff auf alle synchronisierten Authenticator-Secrets ermöglichen könnte.
Google hat auf die Kritik reagiert, in dem das Unternehmen bestätigte, dass das Cloud-Backup ein optionales Feature ist und dass Nutzer es deaktivieren können. Eine vollständige E2EE-Lösung hat Google bislang nicht angekündigt. Wer auf der sicheren Seite sein will, deaktiviert das Cloud-Backup in den Einstellungen und verwaltet Secrets ausschließlich lokal, inkl. manueller Übertragungscodes bei Gerätewechsel.
Authys Telefonnummer-Anforderung und SIM-Swapping
Im Jahr 2022 erlangte ein Datenleck bei Twilio (Authys Mutterkonzern) Schlagzeilen: Angreifer kompromittierten Twilio-Mitarbeiterkonten und erlangten Zugriff auf Kundendaten, darunter auch Authy-Nutzerlisten mit Telefonnummern. Obwohl die TOTP-Secrets selbst nicht kompromittiert wurden, erhielten Angreifer Informationen darüber, welche Telefonnummern Authy nutzen. Das ermöglichte gezielte Phishing-Angriffe. Dieser Vorfall datiert auf 2022, nicht 2025-2026, zeigt aber strukturelle Risiken, die mit der Telefonnummer-Bindung verbunden sind.
SIM-Swapping-Angriffe betreffen Authy potenziell mehr als die anderen Apps, weil die Kontowiederherstellung bei Authy traditionell eng mit der registrierten Telefonnummer verknüpft ist. Wer die Telefonnummer verliert (durch SIM-Swap oder Anbieterwechsel), riskiert, aus dem Authy-Konto ausgesperrt zu werden oder eine Angriffsfläche zu schaffen.
SIM-Swapping, Phishing und 2FA-Bypass-Angriffe
Authenticator-Apps sind deutlich resistenter gegen SIM-Swapping als SMS-basierte 2FA, weil der TOTP-Code auf dem Gerät erzeugt wird, ohne Mobilfunknetz. Dennoch gibt es Angriffsvektoren, die Nutzer kennen müssen.
Echtzeit-Phishing (Real-Time Phishing): Angreifer erstellen gefälschte Login-Seiten, die den eingegebenen TOTP-Code sofort an den echten Dienst weitergeben. Der Angreifer agiert als Man-in-the-Middle und nutzt den 30-Sekunden-Gültigkeitszeitraum des Codes aus. Gegen diese Angriffe hilft nur phishing-resistente Authentifizierung wie FIDO2/WebAuthn oder Hardware-Security-Keys. Alle vier Authenticator-Apps bieten keinen Schutz gegen echtes Real-Time-Phishing.
Session-Hijacking: Wenn Angreifer nach dem Login einen aktiven Session-Cookie stehlen, nützt 2FA im Nachhinein nichts mehr. Große Tech-Konzerne haben deshalb 2025 begonnen, Device-Binding für Sessions einzuführen, was Session-Hijacking erheblich erschwert. Das ist aber eine Dienst-seitige Schutzmaßnahme, keine App-Funktion.
Account-Recovery-Angriffe: Viele Dienste bieten Recovery-Optionen per SMS oder E-Mail. Wenn ein Angreifer Zugriff auf den Recovery-Kanal erhält, umgeht er 2FA vollständig. Das BSI empfiehlt in seinen offiziellen Empfehlungen zur Zwei-Faktor-Authentisierung, Recovery-Codes sicher offline aufzubewahren und SMS-Recovery wenn möglich zu deaktivieren.
Der einzige vollständige Schutz gegen Phishing und Echtzeit-Angriffe sind FIDO2-Hardware-Keys oder integrierte Passkeys. Authenticator-Apps bleiben die beste Lösung für den Alltag, solange nicht alle Dienste FIDO2 unterstützen. Dieser Kontext ist wichtig: Kein Authenticator-App-Vergleich sollte darüber hinwegtäuschen, dass Apps wie 2FAS und Google Authenticator eine Sicherheitsebene bieten, die über SMS hinausgeht, aber nicht das letzte Wort in Sachen Phishing-Resistenz ist.
Experten-Empfehlungen und unabhängige Bewertungen
Sicherheitsforscher und unabhängige Publikationen haben 2025 und 2026 klare Empfehlungen ausgesprochen, die sich in vier Kategorien bündeln lassen.
Privacy Guides (privacyguides.org) empfiehlt 2025 ausdrücklich lokale Authenticator-Apps ohne Cloud-Abhängigkeit und verweist auf 2FAS sowie Ente Auth als bevorzugte Optionen. Die Begründung: Jede Cloud-Synchronisierung ist ein potenzieller Angriffspunkt, der durch sorgfältiges lokales Backup vermieden werden kann.
Das NIST SP 800-63B klassifiziert Software-TOTP-Authenticatoren als “Authentication Assurance Level 2” (AAL2), geeignet für moderate Risikoanwendungen. Für hochsensible Anwendungen empfiehlt NIST Hardware-Keys auf AAL3-Niveau. Alle vier Apps erfüllen AAL2-Anforderungen, wenn sie korrekt konfiguriert sind.
Das World Economic Forum Global Cybersecurity Outlook 2026 stellt fest, dass 28 Prozent der CISOs weltweit Zero-Trust-Architektur und phishing-resistente MFA als die wichtigste Priorität nennen. Im Kontext von Authenticator-Apps bedeutet das: Wer wirklich sicher sein will, kombiniert eine App-basierte 2FA mit einem Hardware-Key für die sensibelsten Konten.
Der Entwickler und YouTube-Creator Fireship, bekannt für prägnante Sicherheitstutorials, hat in seinem Format wiederholt darauf hingewiesen, dass Entwickler die Authenticator-App-Wahl nicht unterschätzen sollten: Die Kontrolle über die eigenen Secrets ist genauso wichtig wie das Passwort selbst. Seine Empfehlung für Entwickler: Open-Source-Apps mit lokalem Backup-Mechanismus bevorzugen.
ThePrimeagen, Softwareentwickler und bekannter Streamer bei Twitch, hat sich in seinen Streams mehrfach zu Security-Tooling geäußert. Seine Haltung zu Closed-Source-Sicherheitstools: “Wenn du keine Ahnung hast, was der Code tut, ist das ein Vertrauensproblem, kein Feature.” Das trifft den Kern des 2FAS-Arguments für Open Source.
Wirecutter (NYT) bezeichnete Authy als “Top-Wahl” für Nutzer, die ein zuverlässiges Cloud-Backup wollen. Gleichzeitig hat das Testteam nach Authys Desktop-Einstellung 2024 seine Empfehlung auf 2FAS und Google Authenticator ausgeweitet, weil die fehlende Desktop-Option ein echtes Nutzbarkeitsdefizit darstellt.
5 Anwendungsfälle: Welche App für wen?
Die Wahl der richtigen Authenticator-App hängt stark vom Anwendungsfall ab. Hier sind fünf konkrete Szenarien mit klarer Empfehlung.
Anwendungsfall 1: Der Google-Ecosystem-Nutzer. Wer ausschließlich Android-Geräte nutzt, Chrome als Browser verwendet, und alle Konten über Google-Dienste läuft, findet in Google Authenticator die nahtloseste Integration. Das Cloud-Backup via Google-Konto ist ausreichend sicher für das moderate Risikoprofil eines Privatnutzers. Empfehlung: Google Authenticator, Cloud-Backup aktivieren, Konto mit starkem Passwort und Recovery-Codes sichern.
Anwendungsfall 2: Das Enterprise-Umfeld mit Microsoft 365. Unternehmen, die auf Azure Active Directory, Microsoft 365 oder Windows-basierte Infrastruktur setzen, sollten Microsoft Authenticator verwenden. Die Integration mit Conditional Access, Push-Benachrichtigungen und Enterprise-Security-Policies ist einzigartig und spart IT-Administratoren erheblichen Aufwand. Empfehlung: Microsoft Authenticator als Standard für alle Mitarbeitenden, in Kombination mit FIDO2-Keys für Administratorkonten.
Anwendungsfall 3: Der Nutzer mit mehreren mobilen Geräten. Wer Authenticator-Codes auf iPhone und Android-Tablet gleichzeitig verfügbar haben will, hatte mit Authy lange die einzige praktische Lösung. 2026 ist Authy nach dem Desktop-Ende die einzige Option mit stabiler mobiler Multi-Gerät-Synchronisierung. Empfehlung: Authy, sofern Telefonnummer-Bindung akzeptiert wird und das Backup-Passwort sicher gespeichert ist (z. B. in einem Passwort-Manager).
Anwendungsfall 4: Der datenschutzbewusste Entwickler. Wer sich mit Kryptographie, Open-Source-Software und Datensouveränität beschäftigt, findet in 2FAS die überzeugendste Lösung. Kein Konto, kein Cloud-Zwang, voller Quellcode-Zugang, Browser-Extension für Desktop-Workflows. Empfehlung: 2FAS mit manuellem iCloud- oder Google-Drive-Backup der verschlüsselten Exportdatei, Browser-Extension für Chrome oder Firefox einrichten.
Anwendungsfall 5: Der Krypto-Investor mit hohem Risikoprofil. Wer große Mengen Kryptowährungen in Exchange-Konten verwaltet, sollte keine Standard-TOTP-App für den Exchange-Login verwenden, wenn der Exchange FIDO2 unterstützt. Als zweite Schicht nach einem Hardware-Wallet-Setup empfiehlt sich 2FAS für Exchange-Konten, die nur TOTP unterstützen. Empfehlung: 2FAS für Exchange-2FA, kombiniert mit einem Hardware-Security-Key für alle FIDO2-fähigen Dienste.
Migration: Von einer App zur anderen wechseln
Ein Wechsel von einer Authenticator-App zur anderen ist komplex, weil TOTP-Secrets nicht automatisch zwischen Apps übertragbar sind. Jede Konto-2FA muss einzeln neu eingerichtet werden. Hier ist der Prozess für die häufigsten Migrationsszenarien.
Von Google Authenticator zu 2FAS wechseln
Schritt 1: In Google Authenticator “Konten exportieren” wählen. Die App erzeugt einen QR-Code, der alle Secrets als Google-spezifisches Format (otpauth-migration) enthält.
Schritt 2: In 2FAS die Import-Funktion öffnen und den Exportcode von Google Authenticator scannen. 2FAS unterstützt das Google-Exportformat direkt. Alle Accounts werden importiert.
Schritt 3: Jeden Dienst einzeln testen. Manche Dienste erlauben nur einen aktiven TOTP-Faktor gleichzeitig, andere erlauben mehrere. Erst wenn alle Codes in 2FAS funktionieren, Google Authenticator deinstallieren.
Schritt 4: In 2FAS ein verschlüsseltes Backup erstellen (Einstellungen > Backup) und die Datei auf einem sicheren Speicherort ablegen (iCloud, Google Drive, lokales NAS).
Von Authy zu 2FAS: Authy erlaubt keinen direkten Export der TOTP-Secrets. Das ist ein bewusstes Design-Entscheid, der die Abhängigkeit von Authy erhöht. Um von Authy zu wechseln, müssen alle 2FA-Dienste einzeln deaktiviert und neu mit 2FAS eingerichtet werden. Das bedeutet: In jedem Dienst die 2FA-Einstellungen öffnen, den bestehenden Faktor entfernen und mit dem 2FAS-QR-Code neu aktivieren.
Von Microsoft Authenticator zu einer anderen App: Ähnlich wie Authy bietet Microsoft Authenticator keinen offenen TOTP-Secret-Export. Microsoft-Konten selbst können über die Sicherheitseinstellungen des Kontos auf eine andere Authenticator-App umgestellt werden. Drittdienste, die Microsoft Authenticator für TOTP verwenden, müssen ebenfalls manuell re-eingerichtet werden.
Tipp zur Migration: Beginne mit weniger kritischen Konten (Social Media, Newsletter-Dienste) und arbeite dich zu kritischeren Konten (E-Mail, Banking) vor. Stelle sicher, dass du für jeden Dienst Recovery-Codes hast, bevor du die alte App löschst. Ein guter Passwort-Manager wie Bitwarden oder 1Password ist ideal, um die Recovery-Codes sicher zu speichern.
Vor- und Nachteile jeder App
Hier ist eine komprimierte Pro/Contra-Übersicht, die die wichtigsten Punkte für eine schnelle Entscheidung zusammenfasst.
Google Authenticator
Pro: Maximale Einfachheit, nahtlose Android-Integration, breite Nutzerbasis, vertrauenswürdiger Anbieter für Google-Ökosystem-Nutzer, QR-Code-Import für fast alle Dienste.
Contra: Cloud-Backup nicht Ende-zu-Ende-verschlüsselt, keine Browser-Extension, kein Desktop-Support, kein Open-Source-Code für iOS.
Microsoft Authenticator
Pro: Beste Enterprise-Integration mit Azure AD und Microsoft 365, Push-Benachrichtigungen für Microsoft-Konten, Conditional Access Support, solide Sicherheitsarchitektur.
Contra: Komplex für Privatnutzer, keine öffentlich verifizierbaren Backup-Verschlüsselungsdetails, kein Export der TOTP-Secrets, nicht Open Source.
Authy
Pro: Bestes Cloud-Backup mit nutzerseitigem Backup-Passwort, intuitive Oberfläche, stabiles Multi-Gerät-Sync auf iOS und Android, keine Authy-App-Abhängigkeit für die Codes selbst (standard TOTP).
Contra: Telefonnummer-Pflicht, Desktop-Support 2024 eingestellt, kein TOTP-Secret-Export, Twilio als Anbieter mit eigenem Sicherheitsprofil, nicht Open Source.
2FAS
Pro: Open Source, kein Konto erforderlich, keine Datenerhebung, Browser-Extension für Desktop-Workflows, Apple Watch Support, lokale Kontrolle über alle Secrets, importiert Google-Authenticator-Exporte direkt.
Contra: Cloud-Backup nur manuell, kein stabiles Multi-Gerät-Sync, kleineres Entwicklerteam mit Community-Finanzierung, kein offizieller Support.
Benchmark: Login-Geschwindigkeit und Benutzerfreundlichkeit
Alle vier Apps erzeugen TOTP-Codes in weniger als einer Sekunde, da der Algorithmus minimal Rechenaufwand erfordert. Unterschiede gibt es in der User Experience des täglichen Logins.
Schnellstes Login mit 2FAS + Browser-Extension: Wenn die Browser-Extension aktiv ist, wird der Code automatisch erkannt und per Push-Benachrichtigung auf das Smartphone gesendet. Ein Tap in der App überträgt den Code direkt. Der gesamte 2FA-Prozess dauert 3-5 Sekunden. Das ist der schnellste Workflow im Vergleich.
Schnellstes Login mit Microsoft Authenticator + Microsoft-Konto: Push-Benachrichtigungen ermöglichen einen Ein-Tap-Login ohne Code-Eingabe. Das ist für Microsoft-Dienste die schnellste Methode, gilt aber nur für Microsoft-eigene Dienste.
Standard TOTP-Login (alle Apps): Bei Drittdiensten wie GitHub, AWS oder Cloudflare müssen TOTP-Codes abgetippt werden. Hier sind alle vier Apps gleichschnell, da der Nutzer das Smartphone nehmen, die App öffnen, und den Code abtippen muss. Durchschnittlich 10-15 Sekunden.
Apple Watch mit 2FAS: Wer eine Apple Watch trägt, kann TOTP-Codes direkt auf der Uhr ablesen. Das spart das Smartphone-Aufnehmen und ist besonders bei häufigen Logins komfortabel. Ein messbarer Vorteil von 2FAS für Apple-Watch-Träger.
Wie TOTP funktioniert: Die Technik hinter allen vier Apps
Alle vier Apps implementieren denselben offenen Standard: Time-based One-Time Password (TOTP) nach RFC 6238. Das Verständnis des Mechanismus hilft, die Sicherheitseigenschaften und Grenzen jeder App besser einzuschätzen.
TOTP basiert auf einem geteilten Geheimnis (dem TOTP-Secret), das einmalig beim Einrichten der 2FA übertragen wird, typischerweise als QR-Code. Dieses Secret wird auf dem Gerät gespeichert. Zur Code-Erzeugung kombiniert die App das Secret mit dem aktuellen Unix-Zeitstempel (in 30-Sekunden-Intervallen) und berechnet daraus per HMAC-SHA1 einen 6-8-stelligen Code. Weil sowohl der Server als auch die App dasselbe Secret und dieselbe Zeit kennen, können die Codes unabhängig voneinander berechnet werden, ohne Kommunikation im Moment des Logins.
Der kritische Moment für die Sicherheit ist die Secret-Übertragung beim Setup. Wenn dieser Moment kompromittiert wird (z. B. durch einen Man-in-the-Middle beim QR-Code-Scan), besitzt der Angreifer das Secret dauerhaft. Nach dem Setup ist die Sicherheit abhängig davon, wie gut das Secret auf dem Gerät geschützt ist und ob es irgendwo in der Cloud gespeichert wird.
Das ist der Kern des Google-Authenticator-Backup-Problems: Wenn das Secret in der Cloud liegt und nicht Ende-zu-Ende-verschlüsselt ist, ist es prinzipiell kompromittierbar, auch wenn das Risiko bei einem vertrauenswürdigen Anbieter wie Google gering ist. Die Authenticator-App selbst ist nur so sicher wie das schwächste Glied in der Backup-Kette.
Ein weiteres technisches Detail: Der HMAC-SHA1-Algorithmus, der in TOTP verwendet wird, gilt für diesen Anwendungsfall als sicher. SHA-1 ist als Hash-Funktion für digitale Signaturen überholt (seit dem SHAttered-Angriff 2017), aber im HMAC-Kontext mit einem ausreichend langen, geheimen Schlüssel bleibt er robust. NIST listet HMAC-SHA1 explizit als akzeptabel für TOTP in SP 800-63B. Neuere Implementierungen wie 2FAS unterstützen auch HOTP (HMAC-based OTP) und längere Code-Längen.
Was passiert bei einem Geräteverlust? Backup-Strategien im Detail
Der Verlust eines Smartphones mit Authenticator-App ist einer der häufigsten Gründe, warum Nutzer aus wichtigen Konten ausgesperrt werden. Jede App hat einen anderen Ansatz für dieses Szenario.
Google Authenticator mit Cloud-Backup aktiviert: Nach dem Einrichten eines neuen Android-Smartphones werden alle TOTP-Secrets automatisch wiederhergestellt, sobald das Google-Konto verbunden ist. Der Prozess dauert wenige Minuten. Das ist komfortabel, hängt aber vollständig von der Verfügbarkeit des Google-Kontos ab. Ist das Google-Konto ebenfalls kompromittiert oder gesperrt, verliert der Nutzer auch den Authenticator-Zugang.
Google Authenticator ohne Cloud-Backup: Wenn kein Backup aktiviert war, muss der Nutzer jeden Dienst einzeln über dessen Account-Recovery-Prozess entsperren. Das kann bei Diensten mit schwachen Recovery-Optionen sehr zeitaufwändig sein. Manche Dienste verlangen Identitätsverifikation per Post, was Tage dauern kann.
Authy bei Geräteverlust: Da Authy alle Secrets verschlüsselt in der Cloud speichert und die Synchronisierung an die Telefonnummer gebunden ist, ist die Wiederherstellung einfach: Authy auf dem neuen Gerät installieren, Telefonnummer eingeben, Backup-Passwort eingeben, fertig. Voraussetzung: Zugang zur registrierten Telefonnummer (SIM-Karte im neuen Gerät) und das Backup-Passwort ist nicht vergessen worden. Wer das Backup-Passwort nicht mehr kennt, kann die verschlüsselten Secrets nicht entschlüsseln. Empfehlung: Das Backup-Passwort unbedingt in einem Passwort-Manager wie Bitwarden oder 1Password aufbewahren.
2FAS bei Geräteverlust: Wer ein verschlüsseltes Backup auf Google Drive oder iCloud abgelegt hat, kann es auf dem neuen Gerät importieren. Ohne Backup sind alle Secrets verloren. Der Vorteil: 2FAS lässt sich manuell mit einer regulären Backup-Datei wiederherstellen, was auch bei einem Anbieterwechsel (iCloud zu Google Drive) funktioniert. Der Nachteil: Es braucht aktive Disziplin, regelmäßig Backups zu erstellen.
Microsoft Authenticator bei Geräteverlust: Microsoft-eigene Konten werden über das Microsoft-Konto wiederhergestellt. Für TOTP-Codes von Drittdiensten gibt es bei Microsoft Authenticator ebenfalls einen Cloud-Backup-Mechanismus, der über das Microsoft-Konto läuft. Die Wiederherstellung ist für Microsoft-Ökosystem-Nutzer reibungslos, für Drittdienste vergleichbar mit Google Authenticator.
2FA in Österreich: Rechtslage und Unternehmensanforderungen
Österreichische Unternehmen, die unter die NIS2-Richtlinie fallen (in Kraft seit Oktober 2024), sind verpflichtet, angemessene Authentifizierungsmaßnahmen für Systemzugänge zu implementieren. Das BSI Deutschland und die österreichische RTR (Rundfunk und Telekom Regulierungs-GmbH) empfehlen in diesem Kontext ausdrücklich Multi-Faktor-Authentifizierung für alle privilegierten Zugriffe.
Für österreichische Unternehmen mit Microsoft-365-Nutzung ist Microsoft Authenticator in Kombination mit Azure AD Conditional Access die naheliegendste Compliance-Lösung. Die Integration ermöglicht die Durchsetzung von MFA-Richtlinien für alle Nutzer zentral aus der Azure-Verwaltungskonsole, inklusive Reporting und Audit-Logs, die für NIS2-Compliance-Nachweise notwendig sind.
Für österreichische Behörden und Institutionen, die im Bereich kritischer Infrastruktur tätig sind, reicht eine Software-Authenticator-App für hochprivilegierte Zugriffe (Serveradministration, Domain-Controller) in der Regel nicht aus. Hier sind Hardware-Security-Keys auf FIDO2-Niveau Pflicht, wie sie die CISA und das BSI für Administratoren empfehlen. Software-Authenticator-Apps eignen sich gut als zweiter Faktor für reguläre Nutzerkonten.
Für Privatpersonen in Österreich gibt es keine gesetzliche Pflicht zur 2FA-Nutzung, aber das BSI empfiehlt sie dringend für alle Konten mit sensiblen Daten: E-Mail, Online-Banking, Social Media, und Cloud-Speicher. Angesichts steigender Identitätsdiebstähle (laut KPMG-Cybersicherheitsbericht 2025 gehört Phishing zu den häufigsten Angriffsvektoren in Österreich) ist die Installation einer Authenticator-App eine der wirksamsten Einzelmaßnahmen für Privatnutzer.
Authenticator-Apps als Teil einer umfassenden Sicherheitsstrategie
Eine Authenticator-App ist eine Schicht in einem mehrschichtigen Sicherheitsmodell. Wer nur auf die App setzt und ansonsten keine Sicherheitshygiene betreibt, gibt sich einer falschen Sicherheit hin. Hier ist das Gesamtbild.
Schicht 1: Starkes, einzigartiges Passwort. Ohne ein starkes Passwort als erste Verteidigungslinie ist auch der beste zweite Faktor nutzlos. Ein Passwort-Manager wie Bitwarden oder 1Password generiert und speichert sichere, einzigartige Passwörter für jeden Dienst. Wiederverwendung von Passwörtern ist 2026 das größte individuelle Sicherheitsrisiko.
Schicht 2: Authenticator-App (TOTP). Die im Vergleich getesteten Apps schützen das Konto auch dann, wenn das Passwort gestohlen wird. Das ist der Hauptnutzen. Wie gezeigt, unterscheiden sich die Apps in Backup-Sicherheit, Transparenz und Komfort. 2FAS ist für die meisten Nutzer die beste Wahl.
Schicht 3: Hardware-Security-Key für kritische Konten. Für E-Mail, Domain-Registrar, Cloud-Provider und Finanzkonten empfiehlt sich ein FIDO2-Hardware-Key als stärkster verfügbarer Faktor. Hardware-Keys sind phishing-resistent, weil sie die Domain des Dienstes prüfen und keinen Code generieren, der abgetippt werden könnte. Die Kombination aus Passwort-Manager und Hardware-Key auf kritischen Konten macht Phishing-Angriffe praktisch unwirksam.
Schicht 4: Recovery-Code-Management. Jeder Dienst, der 2FA anbietet, stellt Recovery-Codes bereit. Diese sollten unmittelbar nach dem 2FA-Setup in einem Passwort-Manager gespeichert werden. Recovery-Codes als Screenshot auf dem Smartphone aufzubewahren ist eine schlechte Praxis, da der Screenshot bei Geräteverlust mit verloren geht.
Die Sicherheitskette ist immer so stark wie das schwächste Glied. Eine Authenticator-App, deren TOTP-Secrets unverschlüsselt in der Cloud liegen, und ein Passwort-Manager ohne starkes Masterpasswort schaffen zusammen nur eine trügerische Sicherheit. Bewusstes Konfigurieren und regelmäßiges Überprüfen der Sicherheitseinstellungen ist genauso wichtig wie die Wahl der richtigen App.
Verwandte Themen auf shattered.io
Weiterführende Artikel
- Zwei-Faktor-Authentifizierung in Node.js einrichten: 11 Schritte
- Passkeys vs. Passwörter: 8,5 s vs. 31 s beim Login
- Bitwarden vs. 1Password: 10 Dollar vs. 36 Dollar im Jahr
- WebAuthn in Node.js: Passwortlos in 12 Schritten
- Signal vs. WhatsApp vs. Telegram: 3 Milliarden vs. 1 Milliarde Nutzer
Unser Urteil: Die beste Authenticator-App 2026
Nach dem Vergleich aller vier Apps ist das Ergebnis klarer als erwartet. Es gibt keine universell beste Authenticator-App, aber es gibt eine klare Rangfolge für die meisten Nutzer.
Platz 1: 2FAS für alle, die Datenschutz und Transparenz über Bequemlichkeit stellen. Open Source, kein Konto, kein Cloud-Zwang, Browser-Extension, Apple Watch Support. Der einzige echte Schwachpunkt ist das fehlende automatische Multi-Gerät-Sync, das manuelles Backup erfordert. Für technisch versierte Nutzer kein Hindernis.
Platz 2: Microsoft Authenticator exklusiv für Enterprise-Umgebungen mit Microsoft-Ökosystem. Wer Azure AD, Microsoft 365 oder Windows-Infrastruktur betreibt, sollte Microsoft Authenticator ohne Kompromiss wählen. Für Privatnutzer ohne Microsoft-Kontext ist sie überdimensioniert.
Platz 3: Google Authenticator für den typischen Android-Nutzer, der maximale Einfachheit sucht. Die Cloud-Backup-Schwäche ist real, aber für Nutzer ohne erhöhtes Risikoprofil vertretbar. Wer Google vertraut und kein Interesse an technischen Details hat, ist hier gut aufgehoben.
Platz 4: Authy nicht mehr uneingeschränkt empfehlenswert. Das Ende des Desktop-Supports 2024 hat den größten Vorteil von Authy eliminiert. Das Cloud-Backup-System ist technisch durchdacht, aber die Telefonnummer-Pflicht und die fehlende Export-Funktion machen Authy zu einem Vendor-Lock-in-Risiko. Bestehende Authy-Nutzer müssen nicht wechseln, Neueinsteiger sollten lieber 2FAS wählen.
Die übergeordnete Empfehlung: Egal für welche App du dich entscheidest, ergänze sie für deine kritischsten Konten (E-Mail, Domain-Registrar, Cloud-Provider) mit einem FIDO2-Hardware-Key. Authenticator-Apps schützen vor den meisten Angriffen, aber nur phishing-resistente Schlüssel schützen vollständig vor Echtzeit-Phishing. Das FIDO Alliance bietet eine vollständige Liste zertifizierter FIDO2-Geräte.
Authenticator-App vs. Hardware-Key vs. Passkey: Die Hierarchie der 2FA-Methoden
In der Sicherheitslandschaft 2026 existieren drei wesentliche Kategorien von starker Authentifizierung nebeneinander, und jede hat ihren Platz in einem durchdachten Sicherheitskonzept.
Authenticator-Apps (TOTP): Die im Vergleich getesteten Apps sind die breitestunterstützte Lösung. Nahezu jeder Online-Dienst, der 2FA anbietet, unterstützt TOTP. Das macht Authenticator-Apps zur universell einsetzbaren Grundlage für 2FA. Der Nachteil: TOTP-Codes sind phishbar, weil sie vom Nutzer abgetippt werden und ein Angreifer sie in Echtzeit abfangen kann.
Hardware-Security-Keys (FIDO2/WebAuthn): Geräte wie YubiKey oder Google Titan Key sind phishing-resistent. Der kryptografische Schlüssel verlässt das Gerät nie, und die Signatur ist an die legitime Domain gebunden. Das bedeutet: Selbst wenn ein Nutzer auf einer gefälschten Seite seinen Benutzernamen und sein Passwort eingibt, verweigert der Hardware-Key die Signatur, weil die Domain nicht übereinstimmt. Für die Implementierung von 2FA in Node.js mit WebAuthn ist dieses Prinzip direkt anwendbar.
Passkeys: Passkeys sind der Versuch, FIDO2 für Endnutzer einfacher zu machen, indem das Gerät selbst (Smartphone, Laptop mit biometrischer Entsperrung) als Hardware-Key fungiert. Laut dem Vergleich Passkeys vs. Passwörter dauert ein Passkey-Login durchschnittlich 8,5 Sekunden, ein Passwort-Login 31 Sekunden. Passkeys sind ebenfalls phishing-resistent und werden 2026 von den großen Plattformen (Apple, Google, Microsoft) als primäre Authentifizierungsmethode promoted.
Die praktische Empfehlung: Authenticator-Apps für alle Dienste, die weder Hardware-Keys noch Passkeys unterstützen. Hardware-Keys oder Passkeys für die kritischsten Konten. Eine sinnvolle Priorisierung: E-Mail-Konto (kritischstes Konto, weil E-Mail für Recovery aller anderen Dienste genutzt wird) zuerst mit dem stärksten verfügbaren Verfahren absichern.
Häufig gestellte Fragen
Ist Google Authenticator sicherer als SMS-2FA?
Ja, deutlich. SMS-Codes können durch SIM-Swapping, SS7-Angriffe und Phishing abgefangen werden. TOTP-Codes von Google Authenticator werden auf dem Gerät erzeugt und nie übertragen, was die meisten Angriffsvektoren auf SMS eliminiert. Für erhöhten Schutz ist jedoch ein FIDO2-Hardware-Key vorzuziehen.
Was passiert, wenn ich mein Smartphone mit Google Authenticator verliere?
Wenn das Cloud-Backup aktiviert war, werden alle Codes beim Einrichten eines neuen Smartphones automatisch wiederhergestellt. Ohne Cloud-Backup und ohne Recovery-Codes für jeden Dienst sind die 2FA-Zugänge verloren. Der Dienst muss dann kontaktiert werden, um die 2FA zurückzusetzen, was je nach Anbieter Tage dauern kann. Deshalb: Recovery-Codes immer in einem Passwort-Manager sichern.
Kann ich mehrere Authenticator-Apps gleichzeitig verwenden?
Ja, für die meisten Dienste ist das möglich. Viele Dienste erlauben die Registrierung von zwei oder mehr TOTP-Faktoren gleichzeitig. Das ist nützlich als Backup: Wenn eine App nicht verfügbar ist, funktioniert die andere. Wichtig: Beim Einrichten eines neuen 2FA-Faktors den QR-Code mit beiden Apps scannen, da der Secret-Schlüssel danach nicht mehr einsehbar ist.
Warum hat Authy den Desktop-Client eingestellt?
Authy (Twilio) hat 2024 den Desktop-Client für Windows, macOS und Linux eingestellt, ohne offizielle Begründung. Branchenbeobachter vermuten, dass die Wartungskosten für native Desktop-Apps in drei Betriebssystemen bei einem kostenlosen Produkt nicht mehr rentabel waren. Nutzer wurden aufgefordert, auf die mobile App umzusteigen. Das ist der größte Wettbewerbsnachteil, den Authy 2026 hat.
Ist 2FAS wirklich Open Source?
Ja. Der Quellcode von 2FAS ist für Android und iOS auf GitHub öffentlich einsehbar. Das bedeutet, dass unabhängige Sicherheitsforscher den Code auf Schwachstellen prüfen können. Ein offizielles externes Sicherheitsaudit ist nach aktuellem Stand (Juni 2026) nicht öffentlich bekannt, aber die Open-Source-Natur der App ermöglicht Community-Audits, die bei Closed-Source-Apps nicht möglich sind.
Schützen Authenticator-Apps vor Phishing?
Teilweise. Gegen einfache Phishing-Seiten, die Passwörter abfangen, bietet 2FA guten Schutz, da das Passwort allein nicht reicht. Gegen Echtzeit-Phishing (Real-Time Phishing), bei dem der Angreifer als Man-in-the-Middle agiert und den TOTP-Code sofort weiterleitet, bieten TOTP-Apps keinen vollständigen Schutz. Nur phishing-resistente FIDO2-Authentication (Passkeys oder Hardware-Keys) ist gegen diese Angriffe immun, weil der Schlüssel an die legitime Domain gebunden ist.
Welche Authenticator-App empfiehlt das BSI?
Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Authenticator-Apps generell gegenüber SMS-basierter 2FA, ohne eine spezifische App zu bevorzugen. Das BSI betont, dass die App-Wahl nach Transparenz und Datenschutz-Prinzipien erfolgen sollte. Open-Source-Apps mit lokalem Secret-Management entsprechen am besten den BSI-Grundsätzen der Datensparsamkeit und Transparenz.
