Anleitungen

Zwei-Faktor-Authentifizierung (2FA)

TOTP einrichten, Notfallcodes, vertraute Geraete, Passwort zuruecksetzen.

Die Zwei-Faktor-Authentifizierung (2FA) ergaenzt Ihr Passwort um einen zeitlich begrenzten Code aus einer Authenticator-App. Damit wird ein gestohlenes Passwort allein nutzlos. Wir empfehlen, 2FA fuer jedes Konto zu aktivieren, das auf Mandantendaten zugreift.

2FA einrichten

  1. Authenticator-App bereit halten

    Funktioniert mit jeder TOTP-faehigen App: Google Authenticator, 1Password, Bitwarden, Microsoft Authenticator, Authy, FreeOTP. Alle erzeugen denselben sechsstelligen Code. Auswahl ist Geschmackssache.

  2. 2FA-Karte oeffnen

    Unter Einstellungen → Zwei-Faktor klicken Sie auf 2FA einrichten. Ein Bestaetigungs-Dialog fragt nach Ihrem aktuellen Passwort, danach erscheint ein QR-Code mit der manuellen Geheimnis-Zeichenfolge daneben.

  3. QR-Code scannen

    Oeffnen Sie die Authenticator-App und scannen Sie den QR-Code. Falls die Kamera nicht verfuegbar ist (z. B. am Desktop ohne Smartphone-Sync), tippen Sie die manuelle Zeichenfolge in der App ein.

  4. Ersten Code eingeben

    Die App zeigt nun einen sechsstelligen Code an, der sich alle 30 Sekunden aendert. Tippen Sie den aktuellen Code im Bestaetigungsfeld ein und klicken Sie Aktivieren.

  5. Notfallcodes notieren

    Nach erfolgreicher Aktivierung zeigen wir Ihnen genau einmal acht Notfallcodes. Drucken Sie diese aus oder speichern Sie sie an einem sicheren Ort (Passwortmanager, Tresor). Sie funktionieren, wenn Sie Ihre Authenticator-App verloren haben, und ersetzen den TOTP-Code jeweils einmalig.

    Werden nur einmal angezeigt Verlassen Sie die Seite nicht, ohne die Codes gesichert zu haben. Wir koennen sie aus Sicherheitsgruenden nicht erneut anzeigen. Sollten Sie die Codes verlieren, koennen Sie sie ueber Notfallcodes neu generieren jederzeit ersetzen.

Anmeldung mit 2FA

Nach Aktivierung laeuft jede Anmeldung in zwei Schritten:

  1. E-Mail und Passwort eingeben wie gewohnt.
  2. Auf der zweiten Seite den aktuellen sechsstelligen Code aus der App eingeben (oder einen Notfallcode).

Der Code-Eingabe-Bildschirm bietet einen Umschalter zwischen 6-stelliger Code und Notfallcode. Notfallcodes werden im Format XXXX-XXXX eingegeben (mit oder ohne Bindestrich, Gross-/Kleinschreibung egal). Jeder Notfallcode ist nur einmal gueltig.

Sicherheitsoperationen verlangen den Code zusaetzlich

Sobald 2FA aktiv ist, verlangen die folgenden Aktionen den 6-stelligen Code (oder einen Notfallcode) zusaetzlich zum aktuellen Passwort:

  • Passwort ändern (Einstellungen → Mein Konto → Passwort ändern)
  • E-Mail-Adresse ändern (Einstellungen → Mein Konto → E-Mail ändern)
  • 2FA deaktivieren (Einstellungen → Zwei-Faktor)
  • Notfallcodes neu erzeugen (Einstellungen → Zwei-Faktor)
  • Konto schliessen (Einstellungen → Datenschutz → Konto schliessen). Zusätzlich zum Code wird das aktuelle Passwort verlangt; der Schliessen-Knopf bleibt sichtbar deaktiviert, bis beide Felder ausgefüllt sind.

Hintergrund: ein gestohlener Sitzungs-Cookie alleine soll nicht ausreichen, um die rechtmässige Inhaberin aus dem Konto auszusperren. Der zweite Faktor stellt sicher, dass jede sicherheitsrelevante Änderung mit dem aktuellen Authenticator-Gerät bestätigt wird.

Notfallcode statt 6-Stelligem Code Wenn Sie keinen Zugriff mehr auf Ihre Authenticator-App haben, geben Sie statt des 6-stelligen Codes einen Ihrer Notfallcodes (Format XXXX-XXXX) ein. Jeder Notfallcode ist nur einmal gültig.

Vertraute Geraete

Auf dem Code-Eingabe-Bildschirm finden Sie das Haekchen Diesem Geraet 30 Tage vertrauen. Wenn Sie es aktivieren, ueberspringen wir die Code-Abfrage auf diesem Browser fuer 30 Tage. Sinnvoll am eigenen Buero-Rechner.

Nicht an oeffentlichen Computern Aktivieren Sie das Haekchen nie an einem Geraet, das nicht ausschliesslich Ihnen gehoert. Andere Personen, die danach denselben Browser nutzen, koennten sich mit Ihrem Passwort anmelden, ohne den Code zu brauchen.

Auf der 2FA-Karte sehen Sie die Anzahl der aktuell vertrauten Geraete und koennen alle mit einem Klick widerrufen (Alle vertrauten Geraete widerrufen). Das ist sinnvoll bei einem verlorenen Laptop oder einem unklaren Anmeldeversuch.

2FA deaktivieren

Auf derselben Karte: 2FA deaktivieren. Wir fragen zuerst nach Ihrem Passwort und anschliessend nach einem aktuellen Code. So ist eine Deaktivierung durch einen Eindringling, der nur das Passwort hat, ausgeschlossen.

Nach erfolgreicher Deaktivierung verlieren alle vertrauten Geraete und alle Notfallcodes sofort ihre Gueltigkeit.

Passwort zuruecksetzen, wenn Sie Ihr Passwort vergessen haben

Auf der Anmeldeseite klicken Sie unter dem Passwort-Feld auf Passwort vergessen?. Tragen Sie Ihre E-Mail-Adresse ein. Wir senden einen Link, der eine Stunde gueltig ist. Auf der Folgeseite vergeben Sie ein neues Passwort.

Wichtig: aus Sicherheitsgruenden erfahren Sie nicht, ob die Adresse in unserem System existiert. Egal welche Adresse Sie eingeben, die Antwort sieht gleich aus. Das verhindert, dass Angreifer Adressbestaende durch die Funktion erforschen koennen.

Nach erfolgreichem Passwort-Reset werden alle Sitzungen (auch die auf anderen Geraeten) sofort beendet, und vertraute Geraete fuer 2FA verlieren ihre Gueltigkeit.

Sicherheits-Verlauf

Auf der Karte Sicherheits-Verlauf in den Einstellungen sehen Sie Ihre letzten 20 Anmeldeversuche: Zeitpunkt, Ergebnis (Erfolgreich, Fehlversuch mit Grund), IP-Adresse und Browser-Kennung. So koennen Sie verdaechtige Aktivitaeten schnell erkennen.

Wenn Sie Ihr Konto vollstaendig verloren haben

Falls Sie kein Passwort, keine Notfallcodes und keinen Zugriff auf die Authenticator-App mehr haben, kontaktieren Sie uns ueber kontakt@rechnungs-kontor.de. Wir prufen Ihre Identitaet manuell, dies dauert in der Regel einen Werktag und erfordert einen Identitaetsnachweis. Aus Sicherheitsgruenden gibt es bewusst keinen automatischen Selbstbedienungs-Weg fuer diesen Fall.

Zuletzt aktualisiert: 2026-05-20

Etwas fehlt oder ist unklar? Schreiben Sie uns kurz. Wir ergaenzen die Anleitungen aktiv nach Rueckmeldungen.