THAWEERAT - stock.adobe.com
MFA neu denken: Modernen Phishing-Angriffen begegnen
Die klassische Multifaktor-Authentifizierung sorgt nicht mehr automatisch für robuste Sicherheit. Unternehmen müssen ihre Strategie anpassen, um Zugriffe dauerhaft zu schützen.
Moderne Phishing-Angriffe, die traditionelle Multifaktor-Authentifizierung (MFA) umgehen, sind zu einem alltäglichen Bestandteil der heutigen Bedrohungslandschaft geworden. Dennoch verlassen sich viele Unternehmen weiterhin auf klassische MFA-Methoden wie SMS-Codes oder einmalige Software-Tokens – in dem Glauben, damit einen ausreichend robusten Schutzschild aufgebaut zu haben.
In der Praxis erweisen sich diese Verfahren jedoch zunehmend als unzureichend. Angreifer haben ihre Techniken weiterentwickelt und sind in der Lage, etablierte Sicherheitsmechanismen wie MFA gezielt zu umgehen.
Daten aus dem aktuellen Okta Secure Sign-in Trends Report unterstreichen, dass die Mehrheit der Organisationen hinterher hinkt: Während rund 70 Prozent der befragten Unternehmen MFA nutzen, liegt die Verbreitung Phishing-resistenter Authentifizierungsverfahren lediglich bei 14 Prozent.
Authentifizierung ist dabei längst kein einmaliges Ereignis mehr. In modernen IT-Umgebungen muss Identität über den gesamten Anmelde- und Zugriffsprozess hinweg abgesichert werden. Schutzmechanismen sollten daher nicht erst beim Login greifen, sondern bereits davor ansetzen und auch danach wirksam bleiben.
Angriffe gegen den gesamten Authentifizierungsprozess
Die Grundidee traditioneller MFA-Verfahren ist simpel: Zusätzlich zur Eingabe eines Passworts soll ein zweiter Authentifizierungsfaktor den unbefugten Zugriff verhindern. Dieses Modell ging lange Zeit auf – in der Annahme, dass Angriffe primär auf den Diebstahl statischer Zugangsdaten abzielten. Moderne Angriffe setzen jedoch nicht mehr an einzelnen Faktoren an, sondern am gesamten Authentifizierungsprozess.
Adversary-in-the-Middle-Angriffe (AitM) verdeutlichen diese Bedrohung. Dabei schalten Angreifer einen Proxy zwischen Nutzer und legitime Website, um die Kommunikation in Echtzeit abzufangen. Auf diese Weise werden nicht nur reguläre Zugangsdaten, sondern auch Credentials wie Einmalpasswörter (OTPs) und Session-Tokens kompromittiert, die während des Anmeldevorgangs erzeugt werden. Der zweite Faktor verliert damit seine Schutzwirkung, noch bevor der Angriff erkannt wird.
Wie Angreifer MFA gezielt umgehen
Neben AitM-Angriffen nutzen Bedrohungsakteure weitere Techniken, um traditionelle MFA zu unterlaufen:
- MFA-Enrollment-Angriffe, bei denen die Registrierung oder Kontowiederherstellung schwächer abgesichert sind als der eigentliche Login. Angreifer nutzen diese Inkonsistenzen als Einstiegspunkt für Kontoübernahmen.
- Phishing-resistente MFA-Downgrade-Angriffe, bei denen Systeme dazu gebracht werden, von einer starken auf eine schwächere MFA zurückzufallen. Dadurch wird der Weg für nachgelagerte AitM-Angriffe geebnet.
- OAuth-App-Consent-Phishing, bei dem Nutzer dazu verleitet werden, Drittanbieter-Applikationen weitreichende Zugriffsrechte zu erteilen. So werden bestehende MFA-Kontrollen ausgehebelt.
Diese Angriffsmuster verdeutlichen: Die Aktivierung traditioneller MFA allein reicht nicht mehr aus, um Credential-Diebstahl und unbefugten Zugriff wirksam zu verhindern. Unternehmen müssen MFA als integralen Bestandteil ihrer übergreifenden Identitätsstrategie verstehen und umsetzen.
Wie Phishing-resistente Authentifizierung schützen kann
Aktuelle Entwicklungen zeigen, dass Organisationen tatsächlich umdenken. Die Nutzung Phishing-resistenter Authentifizierungsverfahren wie FastPass, WebAuthn und Smart Card stieg im Jahresvergleich um rund 63 Prozent. Das deutet darauf hin, dass sich Unternehmen zunehmend von schwächeren MFA-Methoden wie SMS-Codes oder OTPs entfernen.
Phishing-resistente MFA bindet Authentifikatoren an legitime URLs, nutzt Public-Key-Kryptografie und ist physisch an die Endgeräte der Nutzer gekoppelt. Verfahren wie FIDO2-basierte Passkeys oder biometrische Faktoren erfordern eine aktive Nutzerinteraktion und lassen sich nicht ohne Weiteres über zwischengeschaltete Angriffsmechanismen kompromittieren.
Das Plus an Sicherheit ist erheblich: Der Angriffsraum wird deutlich reduziert, da zentrale Angriffstechniken moderner Phishing-Kampagnen ins Leere laufen. Gleichzeitig zeigt sich, dass Phishing-resistente Authentifizierung nicht nur sicherer, sondern auch benutzerfreundlicher ist. Authentifikatoren wie Hardware-Tokens und WebAuthn-basierte Verfahren erzielen einen bis zu doppelt so hohen Usability-Score wie herkömmliche Passwörter (Secure Sign-in Trends Report 2025). Der Usability-Score wird anhand von Metriken der Backend-Identitätsanbieter bewertet, darunter die Dauer der Überprüfung, die Dauer der Registrierung und die Fehlerquote. Passwortlose Verfahren beschleunigen Anmeldeprozesse und reduzieren Reibungspunkte für Anwender – ein Aspekt, der für eine nachhaltige Akzeptanz entscheidend ist.
Sicherheit vor, während und nach der Authentifizierung
Phishing-resistente MFA entfaltet ihr volles Sicherheitspotenzial besonders dann, wenn sie als Teil einer umfassenden Identitätsstrategie eingesetzt wird. Sie bietet Schutz über den gesamten Zugriffslebenszyklus hinweg.
Bereits vor dem eigentlichen Login überprüft das System, wer auf welche Ressourcen zugreifen möchte. Kontextinformationen wie Gerätevertrauenswürdigkeit, Standort, Netzwerk oder bekannte Bedrohungsindikatoren helfen dabei, Risiken frühzeitig zu erkennen und Zugriffe bei Bedarf zu blockieren.
Während der Authentifizierung verhindern Phishing-resistente Methoden, dass Anmeldedaten oder Sitzungsinformationen abgefangen und missbraucht werden. Auch nach erfolgreicher Authentifizierung sollten laufende Sitzungen kontinuierlich überwacht und neu bewertet werden, wenn sich Risikofaktoren ändern.
Dieser Ansatz folgt dem Zero-Trust-Prinzip, bei dem Vertrauen nicht einmalig gewährt, sondern kontinuierlich überprüft wird. Identität, Gerät, Kontext und Nutzerverhalten werden kontinuierlich in die Zugriffsbewertung einbezogen – vor, während und nach der Authentifizierung.
„In einer Zeit, in der Social-Engineering-Techniken durch Deepfakes und speziell konstruierte Phishing-Kits immer ausgefeilter werden, sollten Unternehmen starke MFA-Lösungen nicht länger als optionales Sicherheitstool betrachten. Insbesondere Phishing-resistente MFA sollte als fester Bestandteil einer übergreifenden Identitätsstrategie etabliert werden.“
Sven Kniest, Okta
Was Unternehmen jetzt tun sollten
In einer Zeit, in der Social-Engineering-Techniken durch Deepfakes und speziell konstruierte Phishing-Kits immer ausgefeilter werden, sollten Unternehmen starke MFA-Lösungen nicht länger als optionales Sicherheitstool betrachten. Insbesondere Phishing-resistente MFA sollte als fester Bestandteil einer übergreifenden Identitätsstrategie etabliert werden.
Konkrete Handlungsfelder sind dabei:
- Phishing-Resistenz als Mindeststandard: Schwache Faktoren wie SMS oder einfache Push-Benachrichtigungen sollten aus allen Anmelderichtlinien entfernt werden. Für sensible Zugriffe sollte Phishing-resistente MFA verbindlich vorgeschrieben sein.
- MFA als Risikokennzahl: Die Einführung und konsequente Durchsetzung starker MFA sollte als strategische Risikokennzahl auf C-Suite- und Vorstandsebene verankert werden. So erlangt das Thema den nötigen Stellenwert.
- Zero-Trust-Ansatz und Least-Privilege-Prinzipien: Identitäten dürfen niemals als einmal verifiziert gelten. Zugriffe sollten kontinuierlich, kontextabhängig und risikobasiert bewertet werden – unter Einbeziehung von Gerätestatus, Nutzerverhalten und Standort.
- Absicherung von Enrollment- und Recovery-Prozessen: Da Angreifer gezielt Schwachstellen in Registrierungs- und Wiederherstellungsprozessen ausnutzen, sollte Phishing-resistente Authentifizierung über den gesamten Identitätslebenszyklus hinweg eingesetzt werden.
- Minimierung von Passwörtern: Langfristig sollten Unternehmen eine Strategie verfolgen, um Passwörter als primären Authentifizierungsfaktor schrittweise abzulösen und den Übergang zu passwortlosen Verfahren zu fördern.
MFA bleibt zentral – in einer neuen Form
Die Zeiten, in denen klassische MFA-Methoden ein verlässliches Sicherheitsnetz bildeten, sind vorbei. Angreifer haben gelernt, diese Barrieren systematisch zu umgehen und setzen dabei zunehmend auf skalierbare und automatisierte Angriffstechniken. Gleichzeitig steigt die Akzeptanz Phishing-resistenter Authentifizierungsverfahren deutlich – ein klares Signal für einen strukturellen Wandel.
Für Unternehmen bedeutet das: MFA neu denken. Phishing-resistente MFA muss integraler Bestandteil einer widerstandsfähigen Identitätsstrategie werden. Sicherheit ist nicht als Einzelmaßnahme zu verstehen, sondern als fortlaufender Prozess, der Schutz und Benutzerfreundlichkeit miteinander verbindet.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.
