Google Authenticator blockiert: Ich glaub ich steh im Wald!

Transkript der Episode 13 von Frag Wolfram, dem Online Business Podcast mit Wolfram Kläger vom 01.05.2023

Meine Google Authenticator App bleibt mitten im Upgrade stehen. Alle Konten, die ich damit schütze, sind jetzt vor mir sicher. Wie komme ich da wieder rein?

Gestern hatte ich mal wieder eine dieser kleinen Panikattacken, die einen befallen, wenn irgendwas plötzlich ausfällt, das man seit Jahren blind nutzt, ohne je darüber nachzudenken. Und auf einmal: Ende Gelände!

Nichts geht mehr!

Und was jetzt?

Was war passiert?

Sonntag vormittag, meine Frau geht joggen, ich möchte an diesem herrlichen Tag einfach eine grosse Runde spazieren gehen.

Wie so oft, packe ich meine Earbuds ein.

Bin noch unentschieden, ob ich lieber einen Podcast oder Musik hören möchte. Alles wie schon hundertmal zuvor.

Alles klar. Tschüss. Und los!

Zwischendurch meldet sich mein smartes Phone bei mir: da sind mal wieder 14 Updates. Ich touch [ok]. Ziehe Jacke und Schuhe an. Fertig!

Auf den ersten Metern stecke ich mir links und rechts die Earbuds in die Ohren. Ach, erst mal ein bisschen Musik!

Wo stehen wir denn gerade, in der ewigen Playlist?

Kommt nix.

Ja. Gut.

Bluetooth spinnt manchmal.

Wie jetzt?

Lässt sich nicht einstellen?

Was meinst du mit: überhaupt gar keine Einstellungen gehen mehr. Das Fenster poppt nur kurz auf und ist gleich wieder verschwunden.

Aha?!

Ich daddle also noch eine Weile darauf herum. Knall Sonne, mit Sonnenbrille, im Gehen … Super Spass! Super Nerv!

Die gute Sonntag-Vormittag-Ich-mach-einen-netten-Spaziergang-Laune ist schon nach kurzer Zeit ziemlich im Eimer.

Irgendwann kriege ich mich wieder ein. So einigermassen. Ploppe die Earbuds wieder raus . Packe das Handy weg.

Dann gehen wir heute eben mal "trocken" spazieren.

Ging ja früher auch "ohne".

Was soll’s?

Ich bin ja flexibel!

Kein Problem. Und wenn, dann kümmere ich mich später darum …

Später in der Werkstatt

Irgendwann später dann google ich nach dem Fehler und will herausfinden, wie ich ihn beheben kann.

An der Stelle muss ich dazu sagen: mein Smartphone ist ein Oldtimer, ein 6 Jahre altes HTC U11. Der Hersteller war mal hipp. Ist er aber schon lange nicht mehr. Jedenfalls nicht mit Handys. Damals war das ein Geheimtipp. Aber es bleibt jetzt schon seit Jahren auf Android 9 festgenagelt. Aktuell ist was anderes. Nämlich Android 13.

Und – wie bei einem alten Auto – bin ich längst daran gewöhnt, dass die Kiste immer wieder mal knarzt und den einen oder anderen "Workaround" braucht, um in Gang zu bleiben. Aber letztlich war ich immer hochzufrieden mit meinem guten alten U11 und sogar stolz darauf. Hat ja was Exklusives. Und ist so nachhaltig. Wenn alle Welt sonst spätestens alle 2, 3 Jahre ein neues Handy "braucht" – und natürlich ist das neueste iPhone gerade mal gut genug. Die Frage reduziert sich auf: Pro oder Max oder beides?

Ich lächle dann mild und stecke zum dritten Mal heute mein U11 ans Ladegerät – weil, ja, der Akku ist mittlerweile leider etwas schwach auf der Brust – aber was tut man nicht alles, für die Nachhaltigkeit?!

OK. Jetzt eben mal wieder dieses kleine, hässliche Problem mit: ich komm nicht mehr in die Einstellungen rein. Nicht Bluetooth und auch sonst nichts.

Ich sitze nicht lange am Laptop, da sehe ich, es sind schon andere HTC U11 Fans unterwegs, mit demselben Fehler, seit 2 oder 3 Tagen. In irgendeinem Forum. Wo man nie die ganze Lösung findet. X Leute melden sich und zeigen, wie schlau sie sind und hauen mal eben einen Tipp raus, um mal wieder der Öffentlichkeit zu beweisen, dass sie es können.

Leider, leider fehlt diesen Leuten in der Regel die Zeit, die Lust oder beides, die Lösung vollständig und genau genug zu beschreiben. Aber immerhin, ich habe mal einen Anhaltspunkt, was die Ursache meines Problems sein könnte, und eine Idee davon, was ich anstellen könnte, um das Problem zu lösen.

In meinem Fall ist der Anhaltspunkt – wie ich selbst schon vermutet hatte: die kurz zuvor einfach durchgewunkenen Updates. Einer davon war schlecht. Nur: welcher?

Im Forum sagt jemand: die Google App sei es bei ihm oder ihr gewesen!

Na super. Auf einem handelsüblichen Android Handy gibt es ungefähr 20 verschiedene Google Apps. Genau genommen, ist das ganze Ding von Google. Also: wo anfangen?

Mir fällt zwischenzeitlich auf: das Icon der Google Authenticator App ist neu!

Ein Stern in Google-Farben, was jahrelang ein graues Etwas war. Ich weiss das deshalb so genau, weil ich den Authenticator seit Jahren schon gleich auf der Startseite positioniert habe. Weil ich den Authenticator für alles Mögliche brauche, jeden Tag, oft mehrfach.

Weil: wo immer es geht, soll man ja die Zwei-Faktor-Authentifizierung nutzen, kurz: 2FA. Vor allem für die ganz wichtigen Accounts. Allen voran: meine Google-Konten selbst, dann Paypal – und, wer Websites baut und Online-Marketing macht, der hat noch eine ganze Menge anderer ganz wichtige Accounts.

Lange dachte ich, Google Authenticator sei die einzige vernünftige Lösung dafür. Inzwischen weiss ich, es gibt x Alternativen. Aber bisher bin ich mit der Google App immer ganz gut klar gekommen. Eben, eine dieser Apps, über die man irgendwann nicht mehr nachdenkt. Die man blind bedient und so gut wie vergisst.

Dieser nutzlose Upgrade

Touch doch mal dieses neue bunte Authenticator Icon!

Bumm!

"Google Authenticator führt gerade einen Upgrade durch."

Ja. Gut. Und?!

Ja. Nichts und. Steht da einfach so und bleibt stehen. Kein Link, kein Button. Kein Wisch und weg. Füllt den ganzen Screen komplett aus. Und ich glaub, ich steh im Wald.

Was soll das denn jetzt?

Ich guck also noch mal auf die Forumsseite und siehe da: jemand gibt den Tipp: die Schriftgrösse auf minimal setzen. Dann käme der alles entscheidende Button zum Vorschein.

Ich finde den Tipp grossartig und glaubwürdig.

Nur: Ich komme ja überhaupt in gar keine Einstellungen mehr. Wie soll ich jemals wieder die Schriftgrösse ändern?

Ich muss erst mal einen der Updates rückgängig machen, der dieses Hauptproblem ausgelöst hat. Das habe ich über den Umweg zum Play Store geschafft.

Es ist tatsächlich die App, die jetzt nur noch "Google" heisst. Es ist der Browser. Ich meine, diese App hiess bisher immer "Google Chrome".

Jetzt mal egal. Weiter zum verdammten Problem mit dem unsichtbaren Button:

Ja. Schriftgrösse kleiner machen geht in die richtige Richtung.

Aber wirklich zielführend ist die Displaygrösse auf Max zu stellen.

Mit altersbedingt zunehmender Blindheit hatte ich beides schon lange so eingestellt, dass ich Schrift aller Art leichter lesen kann. Irgendwie machen die das ja von Jahr zu Jahr immer kleiner, finde ich.

Schliesslich gelingt mir auch das. Und ich touche wieder auf das neue, bunte Authenticator Icon – et voilà!

Wirklich gaaaanz unten ist der dämliche Button platziert.

Wenn ich mich recht erinnere, steht einfach "weiter" drauf.

Ist das zu fassen???

Ich tippe also diesen vermaledeiten Weiter-Button und lasse den Upgrade durchlaufen – HALT: Upgrade?

Meinen die absichtlich UgGRADE statt UpDATE, wie gewohnt?

Ein Problem kommt nie allein

Noch mal googeln und siehe da:

Google hat der Authenticator-App tatsächlich ein neues "Feature" verpasst. Die App kann jetzt die geheimen Schlüssel (Secret Keys oder Seeds) zwischen mehreren Geräten synchronisieren.
haben findige Experten gleich herausgefunden, dass Google just bei dieser Synchronisierung geschlampt hat. Die App sendet die Keys nämlich unverschlüsselt zwischen den Geräten hin und her.
hat Google darauf geantwortet, dass sie das demnächst mal angehen werden, aber jetzt erst mal gut sei damit. Und
sagen dazu die Experten (und ich kann mich dem nur anschliessen): ist noch alles OK, Google? Ihr gebt mir ungefragt einen Upgrade, mit dem ich nicht nur nichts anfangen kann, der auch noch so fehlerhaft ist, dass ich das neue "Feature" auf keinen Fall nutzen sollte? Schliesslich kann ich dann ja gleich meine Secret Keys per E-Mail synchronisieren!

Wenn du es genau wissen willst: ich füge die Links zu den Quellen wie immer ans Ende der Shownotes zu dieser Podcast-Episode bzw. zum Transkript.

Zwischenzeitlich dachte ich wirklich, ich glaub, ich steh im Wald.

Und zwar zusammen mit meinem Türsteher die wichtigsten Passwörter, geschäftskritisch, wie es so schön heisst!

Und wo genau das Problem ist, kann ich gar nicht beurteilen. Finde ich womöglich nie heraus.

Aber eines steht fest: Google und nur Google hat mir das eingebrockt!

Nutze ich mit Android ein Google-Betriebssystem, für das ich seit 4 Jahren keine Updates mehr erhalte. Und für das ich schon 2 Jahre nach Kauf des Geräts keinen Update mehr erhalten habe.
Der Hersteller meines Handys, HTC, wurde von Google aufgekauft. Die Handy-Sparte der Taiwaner werkelt seitdem für Pixel-Handys, meine ich, nichts Genaues weiss man nicht. Aber für die "alten" HTC-Kunden ist das trotzdem so, wie wenn sich HTC in Luft aufgelöst hätte.
Ich habe das jetzt mehrfach verifiziert. Der jüngste Update der Google App, aka Google Chrome, blockiert die Android-Einstellungen. Über den Google Playstore kann ich dieses Update deinstallieren. Nur, scheinbar installiert es sich nach einer Weile automatisch neu.
nutze ich seit Jahren die Google App Authenticator, die von Google Android Display-Einstellungen nichts weiss und einen "Upgrade" ausführt, den ich von Hand bestätigen soll, obwohl das Display mir den Button gar nicht zeigt und es ja sowieso überhaupt keine Alternative gibt, als "weiter" zu touchen. Was soll das, Google?
Dann stellt sich heraus, dieser "Upgrade" ist erst mal Bullshit, weil er so offensichtliche Mängel hat, dass man am Verstand der Verantwortlichen zweifeln muss. Und wer ist verantwortlich? Google.

Ausgeliefert: dazu gehören immer zwei

Okay. Jetzt sagst du vielleicht: Blöd gelaufen. Da hast du dich wohl im Google Dschungel verheddert. Hättste Apple genommen oder wärst bei Windows Phone oder Blackberry hängen geblieben …

Darum geht es gar nicht. Solche Geschichten passieren jeden Tag, in jedem IT-Imperium oder "Ökosystem", das mir so einfällt.

Der Knackpunkt ist – in meinen Augen – und das wurde mir gestern mal wieder klar, mit dieser kleinen Geschichte von meinem HTC-Oldtimer:

Wie lange lässt du die Automaten laufen und dich in gefühlter Sicherheit und Bequemlichkeit einlullen?
So lange, bis x Problemchen sich aufstapeln und du plötzlich merkst: Wow! Jetzt habe ich ein Problem! Ich weiss nicht mal genau, welches. Aber eines steht fest: Ich kann nicht mehr machen, was ich will!

Und dann, finde ich, ist mal wieder der Zeitpunkt gekommen, dass du deine "Habits" und bisherigen "Favorites" mal wieder unter die Lupe nehmen solltest:

Was machst du da eigentlich?
Ist das noch das, was du ursprünglich erreichen wolltest?
Läuft das denn wirklich noch so, wie du denkst?
Oder was solltest du dringend ändern?

Denn – egal für welches "Ökosystem" du dich entscheidest – jedes davon bringt es mit sich, dass du dich Stück für Stück einem Hersteller oder Anbieter auslieferst. Der muss gar nicht bösartig, kriminell, korrupt, dämlich oder einfach eingeschlafen oder Pleite sein. Alles läuft im Automatik-Modus vor sich hin. Meistens geht es ja gut.

Das Problem ist: dein Hirn steht auf "Energie sparen". Und deine Aufgabe ist es, immer mal wieder den Kippschalter im Kopf umzulegen, auf:

Jetzt. Denk. Nach!

Mögliche Erkenntnisse könnten dann sein, zum Beispiel:

Du hast gar keine 2-Faktor-Authentifizierung für all deine kritischen Accounts.
Du hast nicht mal unterschiedliche Passwörter für jedes einzelne der Konten, die du regelmässig benutzt.
Du hast zwar beides, aber du hast keine Ahnung, wie die 2 Faktoren funktionieren.
Du weisst z.B. nicht, was dieser 2. Faktor eigentlich ist und was eine App wie Google Authenticator damit macht, im Zusammenspiel mit deinem Google, Paypal, Facebook, Twitter … weissichwas Konto, das du damit zusätzlich gesichert hast.
Du hast – wie ich, bis gestern – vielleicht auch keine Ahnung, wie du im Zweifel an die "geheimen Schlüssel" herankommst, die Authenticator Apps wie die von Google so akribisch vor dir verstecken (dazu kommen wir gleich noch)
Und du denkst vielleicht – eine App ist wie die andere – ob du dich jetzt Google Authenticator oder Microsoft Authenticator oder einem Open-Source Authenticator wie Aegis auslieferst, ist doch egal. Kommt alles aufs Gleiche raus.
Oder du fühlst dich schon ganz vorne und setzt auf Hardware Keys, USB-Sticks wie z.B. einen Yubikey. Vielleicht sogar einen mit Fingerabdrucksensor. Zwei Faktoren waren gestern. Du hast drei! Und wie viele solcher Sticks? Und wie synchronisierst du die?
Oder du erinnerst dich vielleicht an das gute alte Thema "Datensicherung" (Backup & Restore). Und bei der Gelegenheit fällt dir dann hoffentlich auch ein, dass ausgerechnet deine Passwörter und deine 2. und 3. und 4. Faktoren und was du alles nutzt, ganz zu allererst regelmässige Backups brauchen.

Fazit

Was lerne ich aus alldem?

Jetzt ist Schluss mit lustig. HTC U11 mit Android 9 ist reif fürs Altenteil. Ich kann es mir nicht leisten, dass mir so was wie gestern demnächst wieder passiert. Ich brauche ein neues Handy. Ist bestellt. Kann ich morgen abholen. Damit habe ich schon mal einen Faktor aus dem Spiel rausgenommen.
Ich habe verstanden, was 2-Faktor-Authentifizierung wirklich bedeutet. Der erste Faktor ist: 2FA zu nutzen. Der zweite: 2FA auch zu verstehen. Und zwar mindestens so weit, dass ich eigenständig meine geheimen Schlüssel im Griff behalte, egal, welche App gerade spinnt, und auf welchem Gerät sie gerade durchdreht.
Ich passe wieder auf, dass ich mich ohne Not keinem IT-Imperium ausliefere. Einer der schlechten Witze an meinem HTC-Desaster gestern ist: der Update, der die Einstellungen blockiert, ist für einen Browser, den ich schon eine Weile nicht mehr nutze. Statt Chrome nutze ich schon seit einiger Zeit lieber Opera, auf dem Handy. Und auf Windows lieber Firefox. Nur wenn ich muss, z.B. wegen Plugins, nutze ich noch Chrome.
Es muss nicht immer Google sein. Genauso wenig wie immer Apple oder Microsoft. Deshalb werde ich jetzt den Google Authenticator durch Aegis ersetzen, eine mindestens gleichwertige App, aber Open-Source, und damit ein bisschen unabhängiger von Google und Android Update / Upgrade Sperenzchen.

Und an der Stelle, einfach, weil es genau dazu passt, mein "Shameless Plug": in ein paar Tagen kommt mein eBook raus.

Mein eBook über Passwort-Manager

Titel: "Passwort-Manager, Wie du den richtigen findest und ab sofort online sicher bist (selbst wenn du bisher skeptisch warst).

In dem Buch bespreche ich alles, was du zu Passwort-Managern, 2-Faktor-Authentifizierung, Authenticator Apps, Hardware Keys usw. wissen musst, um auf der sicheren Seite zu sein, ohne dich auszuliefern.

So viel vorab:

Die eine Lösung für alles und jede:n gibt es nicht. Aber für die typischen Fälle gibt es richtig gute Empfehlungen.

Nur, das kennst du aus allen möglichen Bestenlisten: allein, dass irgendjemand dir sagt, dies und das ist das Beste. Davon hast du nichts. Gerade, wenn es um deine Online-Sicherheit geht, deine gesamte Informationssicherheit:

Passwörter und der sichere Umgang damit, das Thema ist so essenziell, dass du einfach nicht darum herum kommst, dich damit selbst so weit auseinanderzusetzen, dass dir niemand ein X für ein U verkauft.

Mein eBook hilft dir dabei, dass du das zügig hinter dich bringst, ohne dich in den allfälligen "Rabbit Holes" zu verlieren.

Und keine Sorge. So bald ich wirklich fertig bin, mit dem eBook, melde ich das hier noch mal.

Vielleicht schon