2FA von BerlinSMS – zuverlässige Zwei-Faktor-Authentifizierung für Logins und Anwendungen

Die 2FA API von BerlinSMS – Zwei-Faktor-Authentifizierung per SMS-OTP, DSGVO-konform

Sichern Sie Logins, Transaktionen und sensible Aktionen mit Zwei-Faktor-Authentifizierung per SMS-OTP — direkt aus Ihrer Anwendung, ohne externe US-Abhängigkeiten, DSGVO-konform mit Serverstandort Deutschland. Die 2FA API von BerlinSMS liefert einmalige Codes in unter 2 Sekunden an über 600 Mobilfunknetze in 200 Ländern.

Konzentrieren Sie sich auf Ihre Anwendungslogik. Die 2FA von BerlinSMS übernimmt Code-Generierung, SMS-Versand, Zeitbegrenzung und Verifikation — entweder über fertige Module für gängige Frameworks oder über die REST API für vollständig individuelle Implementierungen. Optional lässt sich ein DSGVO-konformer Opt-in-Flow direkt in den Prozess integrieren, der die Einwilligung des Nutzers zur Nutzung seiner Mobilfunknummer rechtssicher einholt und dokumentiert.

Die Infrastruktur des BerlinSMS 2FA-Systems

Das 2FA-System von BerlinSMS besteht aus drei Schritten: Ihrer Anwendung, die einen OTP-Request auslöst, dem BerlinSMS 2FA-Server, der den Code generiert und per SMS versendet, sowie der Verifikations-API, die den vom Nutzer eingegebenen Code gegen die Session prüft und das Ergebnis zurückgibt. Alle Verarbeitungsschritte finden auf Servern in Deutschland statt — kein Datentransfer in Drittländer, keine US-Cloud.

Im Gegensatz zu Authy, Google Authenticator oder Twilio Verify verarbeitet BerlinSMS alle 2FA-Daten — Mobilfunknummern, Session-IDs, OTP-Codes — ausschließlich auf eigener Infrastruktur mit Serverstandort Deutschland. Das macht die BerlinSMS 2FA zur datenschutzrechtlich sicheren Wahl für alle Anwendungen, in denen Nutzerdaten dem besonderen Schutz der DSGVO unterliegen.

2FA REST API Ihrer Wahl

Die 2FA API von BerlinSMS ist über ein Sitekey/Secretkey-System abgesichert, das Frontend- und Backend-Kommunikation klar trennt. Der Ablauf ist für jeden Entwickler in drei API-Calls abgebildet:

Schritt 1 – OTP senden: Ihr Backend sendet per HTTP GET an https://api.berlinsms.de/tfa/send — mit Sitekey, Secretkey und der Mobilfunknummer des Nutzers. Die API generiert einen zeitlich begrenzten, einmalig verwendbaren Code, versendet ihn per SMS und gibt eine sessionId zurück. Diese sessionId verbindet den Code mit der laufenden Verifikationssession.

Schritt 2 – Nutzereingabe: Der Nutzer gibt den empfangenen Code in Ihrer Anwendung ein. Das kann über ein eigenes Eingabefeld geschehen — oder über ein vorgefertigtes Widget, das die BerlinSMS Module bereitstellen und das sich per <script>-Tag direkt im Frontend einbinden lässt.

Schritt 3 – OTP verifizieren: Ihr Backend übergibt sessionId und den eingegebenen Code per HTTP GET an https://api.berlinsms.de/tfa/verify. Die Antwort ist {"success": true} oder {"success": false} — und lässt sich damit in jede bestehende Login-Logik integrieren, unabhängig von Framework oder Programmiersprache.

Mit Modulen oder ohne — zwei Integrationswege

BerlinSMS bietet zwei Wege zur Integration der 2FA, die sich nach Entwicklungsaufwand und Gestaltungsfreiheit unterscheiden:

Mit Modulen — für schnelle Integration: Die vorgefertigten BerlinSMS Module übernehmen das gesamte Frontend-Widget inklusive Eingabefeld, Resend-Button und Fehlerbehandlung. Ein einziger <script>-Tag bindet das Widget ein. Kein eigenes Frontend-Development erforderlich. Empfohlen für Teams, die 2FA schnell und ohne eigene UI-Entwicklung einbinden möchten.

Ohne Module — für vollständige Kontrolle: Die REST API direkt aufrufen, OTP per eigener Logik versenden und die Verifikation in Ihre bestehende Benutzeroberfläche integrieren. Empfohlen für Entwickler, die maximale Gestaltungsfreiheit benötigen oder eine bestehende 2FA-Implementierung von einem anderen Anbieter migrieren.

DSGVO-konformer Opt-in-Flow

Wenn Sie die Mobilfunknummer eines Nutzers für 2FA verwenden, benötigen Sie je nach Rechtsgrundlage eine dokumentierte Einwilligung. Das Opt-in-System von BerlinSMS ermöglicht es, diese Einwilligung direkt im 2FA-Prozess einzuholen: Der Nutzer bestätigt per SMS-Code, dass er seine Nummer für die Zwei-Faktor-Authentifizierung freigeben möchte. Die Einwilligung wird mit Zeitstempel serverseitig dokumentiert.

Das ist besonders relevant für Arztpraxen, Patientenportale und Finanzdienstleister, wo die Verarbeitung von Mobilfunknummern einer klaren Rechtsgrundlage bedarf. Der BerlinSMS Opt-in-Flow ist so gestaltet, dass er als Nachweis der Einwilligung nach Art. 7 DSGVO verwendet werden kann.

Für welche Anwendungsfälle eignet sich die BerlinSMS 2FA?

Die 2FA per SMS-OTP ist überall dort die richtige Wahl, wo ein zweiter Faktor über einen unabhängigen Kanal (das Mobiltelefon des Nutzers) verifiziert werden soll:

• Login-Absicherung – Zweiter Faktor für Passwort-Logins in Web- und Mobile-Anwendungen
• Transaktionsbestätigung – Bestätigung kritischer Aktionen wie Zahlungen, Datenlöschung oder Rollenänderungen
• Patientenportale – Sicherer Zugang zu medizinischen Daten ohne US-Cloud-Abhängigkeit
• Arztpraxen und Kliniken – 2FA für Mitarbeiter-Logins in Praxissoftware und Krankenhausinformationssysteme
• E-Commerce – Absicherung von Bestellvorgängen und Kontoänderungen gegen Kontoübernahmen
• Banking und Finanzdienstleistungen – mTAN-Verfahren und OTP-Bestätigung nach PSD2
• SaaS-Anwendungen – 2FA als optionale oder verpflichtende Sicherheitsstufe für Nutzerkonten
• VPN und Remote-Zugang – Zweiter Faktor für den Unternehmenszugang aus dem Homeoffice

Sicherheit und DSGVO-Konformität im Detail

Die Mobilfunknummer eines Nutzers ist ein personenbezogenes Datum nach Art. 4 Nr. 1 DSGVO. Ihre Verarbeitung für 2FA-Zwecke erfordert daher eine Rechtsgrundlage — in der Regel Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für die Sicherung von Nutzerkonten.

BerlinSMS verarbeitet diese Nummern ausschließlich auf Servern in Deutschland, speichert sie nicht über den Verarbeitungszweck hinaus und gibt sie nicht an Dritte weiter. OTP-Codes und Session-IDs werden nach Ablauf automatisch gelöscht. Auf Anfrage stellen wir einen vollständigen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zur Verfügung.

Entwickler-Dokumentation für die BerlinSMS 2FA

Für die Integration der 2FA in Ihre Software stehen Ihnen vollständige Anleitungen, Code-Beispiele und eine interaktive REST API Referenz (ReDoc) zur Verfügung. Beginnen Sie mit der Generierung Ihres Sitekey/Secretkey-Paares im BerlinSMS Dashboard.

Sie sind sich nicht sicher, welche Schnittstelle sich für Ihre Software eignet?

Fragen Sie uns! Wir beraten Sie gerne bei der Wahl der API
und unterstützen Sie bei der schnellen und effektiven Anbindung
Ihrer Anwendung an das System von BerlinSMS.

• 2FA REST API Referenz →
• Sitekey / Secretkey generieren →
• 2FA mit Modulen →
• 2FA ohne Module →
• Opt-in einrichten →

Häufige Fragen zur BerlinSMS 2FA

Was ist der Unterschied zwischen 2FA mit Modulen und ohne Module?

Mit Modulen binden Sie ein vorgefertigtes Frontend-Widget ein, das Eingabefeld, Resend-Logik und Fehlerbehandlung übernimmt — per einzigem <script>-Tag, kein eigenes Frontend-Development nötig. Ohne Module nutzen Sie die REST API direkt und gestalten UI und Ablauf vollständig selbst. Beide Wege verwenden dieselben API-Endpoints.

Wie lange ist ein OTP-Code gültig?

OTP-Codes sind zeitlich begrenzt und einmalig verwendbar. Ein abgelaufener oder bereits verwendeter Code wird von der Verifikations-API mit success: false zurückgewiesen. Die genaue Gültigkeitsdauer entnehmen Sie der 2FA REST API Referenz.

Wie schnell wird der OTP-Code zugestellt?

BerlinSMS erreicht eine durchschnittliche Zustellzeit von unter 2 Sekunden in deutsche Mobilfunknetze. Bei internationalen Zielen variiert die Zustellzeit je nach Netz und Land. Delivery Reports sind über die Monitoring-API abrufbar.

Werden Mobilfunknummern dauerhaft gespeichert?

Nein. BerlinSMS speichert Mobilfunknummern nur für die Dauer der aktiven Session. Nach Abschluss oder Ablauf der Session werden Nummer und OTP-Code automatisch gelöscht. Eine dauerhafte Speicherung findet nur statt, wenn der Opt-in-Flow aktiviert ist und der Nutzer explizit eingewilligt hat.

Ist die 2FA für Arztpraxen geeignet?

Ja. BerlinSMS verarbeitet alle Daten auf Servern in Deutschland, stellt einen vollständigen AVV nach Art. 28 DSGVO zur Verfügung und verpflichtet alle Mitarbeiter auf das Datengeheimnis und die Schweigepflicht nach § 203 StGB. Die 2FA ist damit für Arztpraxen, Kliniken und andere Einrichtungen des Gesundheitswesens ohne Einschränkungen einsetzbar.

Kann ich die BerlinSMS 2FA in SAP oder Oracle integrieren?

Ja. Die 2FA REST API ist über HTTP(S) aufrufbar und damit in jede Umgebung integrierbar, die HTTP-Requests absetzen kann — einschließlich SAP, Oracle, Oxid, individuelle PHP/Python/Node.js-Anwendungen und alle anderen gängigen Systeme.

Was ist der Opt-in-Flow und wann benötige ich ihn?

Der Opt-in-Flow ermöglicht es, die Einwilligung des Nutzers zur Verwendung seiner Mobilfunknummer für 2FA direkt im SMS-Kanal einzuholen und zu dokumentieren. Er ist empfohlen für alle Anwendungsfälle, in denen keine andere klare Rechtsgrundlage für die Verarbeitung der Mobilfunknummer besteht — z. B. bei optionaler 2FA oder bei Diensten ohne bestehende Vertragsbeziehung.