YubiKey gestohlen: Was in den nächsten 10 Minuten zu tun ist
Ihr YubiKey wurde gestohlen. Oder Sie haben ihn verloren. Oder Sie finden ihn einfach nicht und wissen nicht, ob er in der Jackentasche steckt oder in fremden Händen ist.
Sie haben ein Zeitfenster. Es ist nicht groß. Das ist es, was Sie jetzt tun müssen.
Sofortiger Aktionsplan
Die Reihenfolge ist entscheidend. Beginnen Sie mit dem, was den größten Schaden anrichten kann, falls jemand vor Ihnen Zugriff erhält.
Bevor Sie irgendetwas anderes tun: Wenn Ihr Handy mit offenen Sitzungen gestohlen wurde, nützt das Widerrufen des YubiKey nichts – die Sitzung bleibt aktiv. Gehen Sie bei Google auf "Geräte verwalten" und melden Sie alle ab. Suchen Sie bei anderen Diensten nach "Von allen Geräten abmelden". Das ist immer der erste Schritt.
Dies ist der Masterschlüssel. Wer Ihre E-Mails kontrolliert, kann fast jedes Konto zurücksetzen. Gehen Sie in die Sicherheitseinstellungen, entfernen Sie den YubiKey als Authentifizierungsmethode und aktivieren Sie vorübergehend eine andere – eine Authentifikator-App oder einen Bestätigungscode.
Revolut, PayPal, Wise, Online-Banking. Melden Sie sich von einem anderen Gerät an und widerrufen Sie den YubiKey in den Sicherheitseinstellungen. Wenn Sie keinen Zugriff haben, rufen Sie direkt die Bank an und lassen Sie den digitalen Zugang sperren.
Binance, Coinbase, Kraken. Wenn Sie dort Guthaben haben, hat dies höchste Priorität. Einloggen, YubiKey widerrufen und alternatives 2FA aktivieren. Falls der Zugriff nicht möglich ist, nutzen Sie sofort den Kontowiederherstellungsprozess der Börse.
Bitwarden, 1Password, KeePass. Wenn Ihr Manager den YubiKey als zweiten Faktor nutzt, widerrufen Sie ihn von einem anderen Gerät aus oder nutzen Sie die Notfallcodes, die Sie bei der Einrichtung erstellt haben.
Google, GitHub, soziale Netzwerke und alle anderen Dienste, bei denen der YubiKey registriert ist. Widerrufen Sie den Zugriff Konto für Konto in den jeweiligen Sicherheitseinstellungen.
Wenn Sie keine Liste führen, suchen Sie in Ihrem E-Mail-Postfach nach Benachrichtigungen von der Einrichtung. Suchen Sie nach Begriffen wie "Sicherheitsschlüssel", "Security Key" oder "YubiKey".
Wenn Sie einen Backup-YubiKey haben
Dies ist die ideale Situation. Sie haben einen zweiten Schlüssel konfiguriert – Sie aktivieren ihn und sind sofort wieder handlungsfähig.
Der Prozess ist für jeden Dienst gleich: Melden Sie sich mit Ihrem alternativen zweiten Faktor an (dem Backup-Schlüssel oder Notfallcodes), gehen Sie in die Sicherheitseinstellungen und löschen Sie den gestohlenen Schlüssel aus der Liste der vertrauenswürdigen Geräte.
Sobald er bei allen Diensten widerrufen wurde, ist der gestohlene Schlüssel wertlos – selbst wenn ihn jemand besitzt, kann er sich damit bei keinem Ihrer Konten mehr authentifizieren.
Das Widerrufen ("Revoke") des spezifischen Schlüssels entfernt nur dieses eine Gerät von Ihrem Konto. Das Deaktivieren von 2FA entfernt den gesamten Schutz. Stellen Sie sicher, dass Sie Ersteres tun, nicht Letzteres.
Wenn Sie kein Backup haben
Das ist unkomfortabler, aber lösbar.
Die meisten Dienste bieten alternative Wiederherstellungsmethoden an, die Sie bei der Aktivierung des YubiKey eingerichtet haben. Das Problem ist oft, dass diese im Ernstfall vergessen werden.
Google, GitHub und viele andere Dienste generieren bei der 2FA-Aktivierung Einmal-Codes. Wenn Sie diese gespeichert haben – im Passwort-Manager, auf Papier oder in einer Datei – nutzen Sie diese jetzt.
Falls Sie zusätzlich zum YubiKey eine Authentifikator-App (Google Authenticator, Aegis, Authy) eingerichtet haben, nutzen Sie diese, um sich einzuloggen und den gestohlenen Schlüssel zu entfernen.
Wenn Sie keine alternative Methode haben, bietet jeder Dienst einen Prozess zur Kontowiederherstellung an. Dies erfordert meist eine Identitätsprüfung und kann Stunden bis Tage dauern. Dies ist der langsamste Weg – ein weiterer Grund, warum ein konfiguriertes Backup so wichtig ist.
Nur jene, bei denen der YubiKey der einzige zweite Faktor ist und keine alternative Methode konfiguriert wurde. Wenn Sie eine App oder Notfallcodes als Backup haben, ist das Risiko minimal – der gestohlene Schlüssel ist ohne Ihre restlichen Zugangsdaten nutzlos.
Empfehlung: PIN einrichten, bevor es zu spät ist
Wenn Ihr YubiKey keine PIN hat, kann jeder Finder ihn direkt zur Authentifizierung nutzen – sofern er Ihr Passwort kennt. Mit aktivierter PIN wird der Schlüssel nach mehreren Fehlversuchen gesperrt und ist für jeden nutzlos, der den Code nicht kennt.
Das Einrichten der PIN dauert weniger als 2 Minuten im YubiKey Manager. Wenn Sie es noch nicht getan haben, erledigen Sie es jetzt – bevor Sie diesen Beitrag wirklich brauchen.
→ So richten Sie die PIN im YubiKey Manager ein
YubiKey Tray (Kartenformat)
Tragen Sie Ihren YubiKey im Portemonnaie – immer dabei, immer griffbereit. Standard-Kreditkartenformat.
Slim Wallet mit RFID-Blocker
Minimalistisches Portemonnaie mit Fach für YubiKey und integriertem AirTag-Slot. Wenn Sie es verlieren, finden Sie es wieder.
Den YubiKey zu verlieren ist lösbar. Den Kontozugriff zu verlieren nicht immer.
Wenn Sie ein Backup konfiguriert und eine PIN aktiviert haben, ist der Verlust des Schlüssels nur eine Unannehmlichkeit – Sie widerrufen ihn, aktivieren den zweiten und machen weiter. Ohne diese Vorsorge ist der Prozess mühsam und kann den Zugriff auf kritische Konten kosten.
Wahre Prävention bedeutet nicht nur zu wissen, was im Ernstfall zu tun ist – sondern den Schlüssel sicher am Körper zu tragen und ihn zu schützen.
Häufig gestellte Fragen
Kann mein YubiKey ohne PIN benutzt werden?
Ja. Wenn keine PIN eingerichtet ist, kann jeder, der den Schlüssel besitzt, ihn direkt verwenden – vorausgesetzt, er kennt auch Ihr Passwort. Mit PIN wird der Schlüssel nach mehreren Fehlversuchen unbrauchbar.
Kann mein YubiKey geklont werden?
Nein. Der YubiKey ist so konzipiert, dass er unmöglich zu klonen ist – die privaten Schlüssel verlassen niemals das physische Gerät. Um sich zu authentifizieren, muss man das Original in der Hand halten.
Was passiert, wenn ich kein Backup habe?
Sie müssen die Wiederherstellungsmethoden der einzelnen Dienste nutzen – Notfallcodes, alternative Faktoren oder die Kontowiederherstellung. Das kann dauern. Daher ist ein Backup-YubiKey die wichtigste Empfehlung dieses Beitrags.
Was passiert, wenn ich die PIN vergesse?
Wenn die PIN zu oft falsch eingegeben wird, sperrt sich der YubiKey. Zum Entsperren benötigen Sie den PUK (PIN Unblocking Key), der bei der PIN-Einrichtung erstellt wurde. Ohne PUK bleibt der Schlüssel gesperrt und muss zurückgesetzt werden (was alle Daten darauf löscht). Speichern Sie den PUK sicher, z. B. in Ihrem Passwort-Manager.
