Google Authenticator-Übertragung: Zwei-Faktor-Authentifizierung auf ein neues Smartphone migrieren
Verliert man das Smartphone mit den Authentifizierungscodes, muss man bei Coinbase 48 bis 72 Stunden auf die Identitätsprüfung warten, bevor man wieder Zugriff auf sein Konto hat. Bei Binance kann es eine Woche dauern. Kleinere Börsen brauchen unter Umständen einen Monat. Das sind die Kosten für einen nicht migrierten Authentifikator – und der einzige Grund, warum es diesen Leitfaden gibt.
Dieser Leitfaden erklärt die Übertragung von Google Authenticator auf iOS und Android in beide Richtungen. Er beschreibt die beiden funktionierenden Methoden: den QR-Code-Export, der seit Mai 2020 in der App enthalten ist, und die Google-Konto-Cloud-Synchronisierung, die im April 2023 eingeführt wurde und einen wichtigen Sicherheitshinweis enthält. Außerdem behandelt er den Fall, dass das alte Smartphone verloren geht oder gestohlen wird, die Fallstricke bei der Übertragung von 2FA-Codes auf ein neues Smartphone und das Vorgehen bei wichtigen Online-Konten, deren Wiederherstellung nicht immer möglich ist. Ziel ist es, Google Authenticator zu migrieren, ohne den Zugriff auf Ihre Konten zu verlieren und Ihre Google Authenticator-Codes sicher aufzubewahren.
Warum die Übertragung von Google Authenticator vor einem Telefonwechsel wichtig ist.
Die SMS-basierte Zwei-Faktor-Authentifizierung (2FA) verliert mit der SIM-Karte ihre Gültigkeit. Ein Portierungsangriff, ein Wechsel des Mobilfunkanbieters oder selbst eine misslungene eSIM-Übertragung – und der Code landet auf dem Telefon einer anderen Person. Der Internetkriminalitätsbericht des FBI aus dem Jahr 2024 verzeichnete 982 Anzeigen wegen SIM-Swapping und direkte Verluste in Höhe von 25,98 Millionen US-Dollar (gegenüber 72,65 Millionen US-Dollar im Jahr 2022; dennoch sind dieselben Betrugsmaschen weiterhin der Einfallstor für Identitätsdiebstahl und den Verlust von Krypto-Wallets). Einmalcodes von Authentifizierungs-Apps werden im sicheren Speicher des Geräts gespeichert, nicht im Mobilfunknetz. Deshalb kann Microsoft seit Jahren behaupten, dass die Aktivierung der Zwei-Faktor-Authentifizierung über 99,9 % der automatisierten Kontoübernahmeversuche blockiert.
Der Nachteil liegt auf der Hand: Jeder Code ist an ein einziges Telefon gebunden. Fällt es ins Wasser, wird es versehentlich auf Werkseinstellungen zurückgesetzt oder gibt man es dem Kind nur kurz – kann man erst wieder auf seine Konten zugreifen, nachdem man die Wiederherstellungsprozedur für jeden einzelnen Dienst durchlaufen hat. Speichern Sie Ihre Codes daher sorgfältig, generieren Sie Codes nur auf einem Gerät, das Sie kontrollieren, und betrachten Sie den Wechsel zu einem neuen Telefon als routinemäßige Wartung.
Bevor Sie beginnen: Bereiten Sie Ihre Google Authenticator-App auf beiden Telefonen vor.
Ein überraschend hoher Anteil fehlgeschlagener Übertragungen ist auf mangelnde Vorbereitung und nicht auf Softwarefehler zurückzuführen. Drei Dinge sind besonders häufig die Ursache: eine veraltete App, fehlende biometrische Authentifizierung und eine instabile WLAN-Verbindung. Öffnen Sie Google Authenticator auf Ihrem alten Smartphone und prüfen Sie, ob die App startet und aktuelle Rolling Codes anzeigt. Aktualisieren Sie die App über Google Play (Android-Version 7.0 oder höher, veröffentlicht am 14. November 2024) oder den App Store. Installieren Sie dieselbe Google Authenticator-App auf Ihrem neuen Smartphone, melden Sie sich mit Ihrem gewohnten Google-Konto an und aktivieren Sie die biometrische Authentifizierung – der QR-Code wird ohne Fingerabdruck- oder Gesichtserkennung nicht angezeigt. Schließen Sie beide Geräte an, verbinden Sie sie mit demselben vertrauenswürdigen WLAN-Netzwerk und deaktivieren Sie alle VPN-Verbindungen.
Während die Telefone aktualisiert werden, listen Sie alle Dienste auf, die mit der Authentifizierungs-App verknüpft sind. Die meisten Nutzer haben zehn oder mehr Authentifizierungskonten, ohne es zu wissen: jedes Google-Konto, GitHub, jede Exchange-Börse, jeden Passwortmanager, die AWS-Konsole und das CMS. Die folgende Tabelle zeigt, wo die Backup-Codes für die Dienste gespeichert sind, die Nutzer am häufigsten aussperren. Bewahren Sie diese Liste und die sicheren Passwörter für jeden Dienst griffbereit auf – einige Wiederherstellungsprozesse benötigen beides, bevor sie das alte Gerät entkoppeln.
| Service | Wo die Backup-Codes gespeichert sind | Anmerkungen |
|---|---|---|
| Google-Konto | myaccount.google.com → Sicherheit → Zweistufige Verifizierung | 10 Einwegcodes |
| Microsoft | account.microsoft.com → Sicherheit → Erweiterte Sicherheit | Wiederherstellungscode, alternativ E-Mail-Fallback |
| GitHub | Einstellungen → Passwort und Authentifizierung → Wiederherstellungscodes | 16 Codes |
| Coinbase | Einstellungen → Sicherheit → Backup-Codes | An die ID-Verifizierung beim Zurücksetzen gebunden |
| Binance | Benutzerzentrum → Sicherheit → 2FA | Kontowiederherstellung 24 Stunden bis 7 Tage |
| AWS | IAM Identity Center → Benutzerprofil | Bis zu 8 MFA-Geräte |
| Facebook / Instagram | Kontocenter → Passwort und Sicherheit | 10 Wiederherstellungscodes |
Export und Import: Übertragen Sie Ihren Google Authenticator per QR-Code
Der QR-Code-Export wurde im Mai 2020 eingeführt. Er entspricht weiterhin der von Googles eigener iOS-Hilfeseite empfohlenen Methode und überträgt die Seed-Informationen für jedes ausgewählte Konto ohne zwischengeschalteten Server von einem Telefon auf ein anderes. Keine Cloud, kein Google-Konto.
Beginnen Sie auf Ihrem alten Smartphone. Öffnen Sie die App und suchen Sie das Menü – bei Android sehen Sie drei horizontale Linien oben links, beim iPhone drei Punkte, meist oben rechts, bei manchen Modellen jedoch unten. Tippen Sie auf das Menü, wählen Sie „Konten übertragen“ und anschließend „Konten exportieren“. Die App fragt nach Ihrem Fingerabdruck, Face ID oder Gerätecode. Nach der biometrischen Authentifizierung sehen Sie eine Liste aller Google Authenticator-Konten auf dem Gerät. Markieren Sie die gewünschten Konten (Mehrfachauswahl möglich) und tippen Sie auf „Weiter“. Die App generiert nun einen QR-Code mit dem verschlüsselten Seed-Material für bis zu zehn Konten gleichzeitig. Haben Sie mehr als zehn Konten? Dann erhalten Sie eine nummerierte Liste mit QR-Codes. Die App zeigt Ihnen an, welcher Code gerade angezeigt wird.
Jetzt das neue Smartphone. Öffnen Sie Google Authenticator, tippen Sie auf „Los geht’s“ oder auf das Plus-Symbol unten rechts, falls die App bereits geöffnet ist. Wählen Sie „QR-Code scannen“. Falls Sie beim Importieren gefragt werden, ob Sie von einem bestehenden Konto importieren, bestätigen Sie dies. Halten Sie das neue Smartphone vor den Bildschirm des alten Smartphones und lassen Sie die Kamera den QR-Code erfassen. Auf dem neuen Gerät werden alle importierten Konten angezeigt. Tippen Sie für weitere QR-Codes auf „Weiter“.
Die Originalcodes bleiben auf dem alten Telefon gespeichert. Überprüfen Sie zuerst das neue Gerät, bevor Sie die Einträge löschen. Öffnen Sie einen der verknüpften Dienste, melden Sie sich an und prüfen Sie, ob der sechsstellige Bestätigungscode des neuen Authentifizierungscodes mit den Erwartungen des Dienstes übereinstimmt. Sobald Sie sich bei zwei Diensten problemlos anmelden konnten, entfernen Sie die Einträge aus der App des alten Telefons – oder setzen Sie das alte Gerät besser für den Weiterverkauf zurück.
In der Praxis können einige Probleme auftreten. Die Übertragung von Android zu Android verläuft fast immer problemlos. Bei der Übertragung von Android zu iPhone werden nach dem Import gelegentlich einige Konten nicht angezeigt, insbesondere wenn beim Scannen des QR-Codes mehr als fünf Einträge codiert werden. Verringern Sie in diesem Fall die Anzahl der Einträge und versuchen Sie es erneut. Die Übertragung von iPhone zu Android hängt sich manchmal auf dem Exportbildschirm auf, da die iOS-Implementierung von Google hinter der Android-Implementierung zurückbleibt. Beenden Sie in diesem Fall die App, öffnen Sie sie neu und starten Sie den Export erneut. Ein VPN auf einem der Geräte kann den Scan ebenfalls beeinträchtigen, da einige VPN-Clients die Kameraleistung drosseln. Deaktivieren Sie das VPN für die Übertragung. Die im QR-Code enthaltenen Übertragungscodes sind zeitlich begrenzt. Wenn die Uhrzeit des neuen Telefons nicht stimmt, werden nach dem Import möglicherweise ungültige Codes angezeigt. Öffnen Sie das App-Menü und tippen Sie auf „Zeitkorrektur für Codes“, um die Geräteuhr neu zu synchronisieren.
Synchronisieren Sie Google Authenticator-Codes mit Ihrem Google-Konto.
Die Cloud-Synchronisierung, die am 24. April 2023 mit Version 6.0 für Android und 4.0 für iOS eingeführt wurde, bietet höchsten Komfort. Nach der Aktivierung wird jeder hinzugefügte oder entfernte Code auf allen Smartphones angezeigt, die mit demselben Google-Konto angemeldet sind – ganz ohne QR-Codes. Für die meisten gelegentlichen Anmeldungen ist dies genau das, was sich die Nutzer wünschen.
Der Sicherheitshinweis sollte beachtet werden. Innerhalb von 48 Stunden nach dem Start im April 2023 demonstrierten die Sicherheitsforscher von Mysk Inc., dass der Datenverkehr, der die TOTP-Seeds an Googles Server übertrug, nicht Ende-zu-Ende-verschlüsselt war. Google verpflichtete sich öffentlich, die Ende-zu-Ende-Verschlüsselung „zukünftig“ einzuführen, doch zum jetzigen Zeitpunkt ist die Synchronisierung lediglich durch Googles eigene serverseitige Verschlüsselung geschützt. Das bedeutet, dass Google selbst die Seeds technisch gesehen lesen kann. Für ein Spotify- oder Twitter-Konto ist dies ein akzeptabler Kompromiss, um den Zugriff nicht zu verlieren. Für einen Master-Passwortmanager oder eine Krypto-Börse mit Verwahrung bevorzuge ich die QR-Code-Methode und nehme die damit verbundenen Einschränkungen in Kauf.
Um die Synchronisierung zu aktivieren, öffnen Sie Google Authenticator auf Ihrem alten Smartphone, tippen Sie auf das Avatar- oder Profilsymbol oben rechts und melden Sie sich mit dem Google-Konto an, das Sie als Backup verwenden möchten. Neben jedem synchronisierten Eintrag erscheint eine grüne Wolke. Öffnen Sie dieselbe App auf Ihrem neuen Smartphone, melden Sie sich mit demselben Google-Konto an, und die Codes werden innerhalb weniger Sekunden angezeigt. Es muss kein QR-Code gescannt und keine biometrische Authentifizierung durchgeführt werden.
Wenn Sie eine möglichst reibungslose Übertragung von Google Authenticator wünschen, ist die Synchronisierung die Lösung. Nutzen Sie diese Funktion jedoch nur für Konten mit geringem Wert, falls Sie der fehlenden Ende-zu-Ende-Verschlüsselung (E2EE) misstrauen. Sichern Sie wichtige Zugangsdaten (z. B. für Bankgeschäfte, Kryptowährungen oder wichtige GitHub-Konten) weiterhin per QR-Code-Export an einem Gerät oder verwenden Sie ausschließlich Passkeys oder Hardware-Schlüssel. Das 2022 von CISA veröffentlichte und 2024 bestätigte Factsheet zu Phishing-resistenter MFA stuft FIDO2-Hardware-Schlüssel als überlegen gegenüber allen TOTP-Methoden ein.
Google Authenticator auf einem neuen Gerät ohne das alte Telefon einrichten
Wenn das alte Telefon bereits verloren, gestohlen oder defekt ist, funktionieren die oben genannten Methoden nicht mehr, da sie alle das Quellgerät benötigen. Eine Wiederherstellung aus der Cloud ist nur möglich, wenn die Synchronisierung vor dem Verlust aktiviert war. Die folgende Methode ist die einzige Option, und sie ist langsam.
Für jeden verknüpften Dienst müssen Sie sich separat anmelden und die Zwei-Faktor-Authentifizierung (2FA) für das neue Smartphone neu einrichten. Backup-Codes sind der schnellste Weg, Ihr Konto wiederherzustellen: Google generiert bei der 2FA-Einrichtung zehn einmalig verwendbare Backup-Codes von Ihrem Google-Konto, GitHub sechzehn und die meisten Kryptobörsen acht bis zwölf. Wenn Sie diese in einem Passwort-Manager gespeichert oder ausgedruckt haben, verwenden Sie einen Code zum Anmelden. Gehen Sie anschließend direkt zu den Sicherheitseinstellungen, entfernen Sie die alte Authentifizierungs-Verknüpfung von einem anderen Gerät und koppeln Sie das neue Smartphone, indem Sie einen neuen QR-Code scannen, um die Codes erneut mit Ihrem Google-Konto zu verknüpfen.
Ohne Backup-Codes geht es deutlich langsamer. Laut Coinbase-Hilfe dauert das Zurücksetzen der Zwei-Faktor-Authentifizierung 48 bis 72 Stunden, bei zusätzlicher Identitätsprüfung sogar noch länger. Manche Banken verlangen einen Besuch in der Filiale. Daher die Empfehlung: Richten Sie Google Authenticator mit Backup-Codes, die Sie mit einem Passwort-Manager verknüpfen, gleich am ersten Tag ein und drucken Sie eine Kopie aus. Bewahren Sie diese an einem Ort auf, der nicht mit Ihrem Smartphone verbunden ist. Erstellen Sie außerdem für jedes mit Authenticator geschützte Online-Konto eine Liste mit Benutzernamen und Wiederherstellungs-E-Mail-Adresse.
Übertragen Sie 2FA-Codes zwischen Android und iPhone, ohne den Zugriff zu verlieren.
Die plattformübergreifende Migration ist der Bereich, in dem die meisten Hilfethreads auftreten. Die Übertragung mit Google Authenticator funktioniert zwar in beide Richtungen zwischen iOS und Android, aber zwei Fehler treten immer wieder auf. Erstens: Der QR-Code für den Export wird zwar erfolgreich gescannt, aber auf dem neuen Gerät wird nur eine Teilmenge der Konten angezeigt. Dies liegt fast immer an der Beschränkung auf zehn Konten pro QR-Code, insbesondere wenn die iOS-App den QR-Code generiert. Reduzieren Sie den Export auf fünf Konten gleichzeitig. Zweitens: Das Exportmenü zeigt unter iOS „Keine Konten zum Exportieren“ an, obwohl die Codes offensichtlich ausgeführt werden. Die Lösung in den Builds von 2026 besteht darin, auf die neueste TestFlight- oder App-Store-Version zu aktualisieren, die App zwangsweise zu beenden und die biometrische Authentifizierung des Geräts einmalig zu deaktivieren und wieder zu aktivieren.
Erstellen Sie Screenshots der einzelnen Export-QR-Codes, bevor Sie diese scannen – entweder auf einem zweiten Gerät oder als Ausdruck. Zwar kann jedes Gerät einen QR-Code zum Importieren scannen, doch Google erlaubt es nicht, denselben Export erneut zu generieren. Ein sauberer Screenshot kann Ihnen daher viel Zeit und Mühe ersparen. Egal, ob Sie auf iOS oder Android migrieren: Die sichere Speicherung der QR-Screenshots (z. B. in einer verschlüsselten Notiz Ihres Passwortmanagers) ist die günstigste Vorsichtsmaßnahme.
Verwenden Sie Google Authenticator-Konten bei Kryptobörsen und Web3.
Die Übernahme eines Kontos bei einer Kryptobörse oder Wallet ist praktisch unumkehrbar: Sobald Gelder transferiert wurden, sind sie verloren. Authentifizierungscodes sind die Mindestanforderung, und Microsofts Bericht über einen Anstieg von 146 % bei Phishing-Angriffen durch Angreifer in die Mitte (Adversary-in-the-Middle-Phishing) bis 2024 zeigt, dass selbst TOTP allein nicht ausreicht. Die AiTM-Kampagne (Adversary-in-the-Middle-Phishing) vom Mai 2026, die sich auf einen „Verhaltenskodex“ bezog, traf über 35.000 Nutzer in 13.000 Organisationen in 26 Ländern. Die Angreifer leiteten legitime Anmeldeseiten über einen Proxy weiter, fingen den TOTP-Code in Echtzeit ab und stahlen den Session-Cookie, bevor der Nutzer es bemerkte. Binden Sie zunächst einen Hardware-Schlüssel (YubiKey oder ähnliches) an Ihr Google-Hauptkonto, aktivieren Sie dann Authenticator auf der Börsenseite und deaktivieren Sie die SMS-Zwei-Faktor-Authentifizierung, sobald Authenticator funktioniert. Laut den IC3-Zahlen des FBI belaufen sich die gesamten Verluste durch Cyberkriminalität im Jahr 2024 auf 16,6 Milliarden US-Dollar, und die Anzahl der Beschwerden im Zusammenhang mit Kryptowährungen steigt jährlich weiter an.
Krypto-Zahlungsdienstleister verdienen die gleiche Behandlung wie Kryptobörsen. Plisio beispielsweise unterstützt TOTP für Händlerkonten. Die Verknüpfung mit Google Authenticator (oder einer anderen TOTP-kompatiblen App) schützt das Dashboard, das ausgehende Transaktionen verwaltet. Beim Wechsel auf ein neues Smartphone sollte das Dashboard des Zahlungs-Gateways wie eine Hot Wallet behandelt werden: Nur QR-Code-Export, keine Cloud-Synchronisierung, und nach dem Wechsel werden neue Backup-Codes generiert und gespeichert.
Alternativen zur Google Authenticator-App, die es wert sind, in Betracht gezogen zu werden
Der Zusammenbruch von Authy brachte den Markt durcheinander. Am 19. März 2024 stellte Twilio die Desktop-Anwendungen von Authy Monate vor dem ursprünglich angekündigten Termin im August ein. Im Juli 2024 erbeuteten Angreifer dann 33.420.546 Authy-Telefonnummern über eine nicht authentifizierte API, und Twilio bestätigte den Vorfall. Zwei Angriffe innerhalb von vier Monaten. Die Authy-Nutzer flohen in alle Winde.
| App | Cloud-Synchronisierung | E2EE-Synchronisierung | Plattformen | Open Source |
|---|---|---|---|---|
| Google Authenticator | Ja (seit 2023) | Nein (nur serverseitig) | iOS, Android | NEIN |
| 2FAS | Ja (optional) | Ja | iOS, Android, Browser | Ja |
| Ägide | Nein (nur lokale Datensicherung) | N / A | Android | Ja |
| Eingabeberechtigung | Ja | Ja | iOS, Android, Desktop | Ja |
| Microsoft Authenticator | Ja | Ja | iOS, Android | NEIN |
| iOS 18 Passwörter-App | iCloud-Schlüsselbund | Ja | iOS, macOS | NEIN |
Apple hat im September 2024 eine bemerkenswerte Neuerung eingeführt: Mit iOS 18 wurde der iCloud-Schlüsselbund in eine eigene Passwörter-App ausgelagert. Diese generiert TOTP-Codes, füllt Passwörter in Safari automatisch aus und synchronisiert mit Ende-zu-Ende-Verschlüsselung. Für Apple-Nutzer entfällt dadurch die Notwendigkeit einer separaten Authentifizierungs-App. Für alle anderen bietet die obige Tabelle eine Auswahl an Alternativen.
Bewahren Sie Ihre Google Authenticator-Codes nach der Übertragung sicher auf.
Gehen Sie diese Liste direkt nach Abschluss des Imports durch. Melden Sie sich mit dem neuen Smartphone bei mindestens drei der wichtigsten verknüpften Dienste an und überprüfen Sie, ob die Codes funktionieren und ob auf dem Startbildschirm der Authenticator-App alle erwarteten Konten angezeigt werden. Generieren Sie für jeden übertragenen Dienst neue Backup-Codes und speichern Sie diese in einem Passwort-Manager und auf Papier an verschiedenen Orten. Löschen Sie das alte Smartphone über „Mein iPhone suchen“ oder „Mein Gerät suchen“ (Android), bevor Sie es weitergeben. Schützen Sie Ihr Haupt-Google-Konto zusätzlich mit einem Passkey oder einem Hardware-Sicherheitsschlüssel, sodass selbst ein anderes Smartphone mit Ihrem Authenticator allein nicht ausreicht. Diese mehrstufige Sicherheitsvorkehrung verhindert die AiTM-Kampagnen, die Microsoft bis 2026 verfolgt. Noch wichtiger ist, dass sie die nächste Google Authenticator-Übertragung in nur 15 Minuten erledigt, anstatt Panik auszulösen.
