arrow_backZurück zum Blog
MFAPhishingIdentitätssicherheitMicrosoft 365

MFA reicht nicht: Warum Sie phishing-resistente Authentifizierung brauchen

SMS-Codes und Authenticator-Push können umgangen werden. Phishing-resistente MFA-Methoden wie Passkeys und FIDO2-Schlüssel schließen die Lücke, die traditionelle MFA offen lässt.

person
Stefan Stoll
calendar_today
schedule3 Min. Lesezeit

Multi-Faktor-Authentifizierung ist die wirkungsvollste einzelne Sicherheitsmaßnahme, die eine Organisation einsetzen kann. Diese Aussage bleibt wahr. Aber sie hat einen kritischen Vorbehalt: Nicht alle MFA-Methoden sind gleich, und die verbreitetsten sind anfällig für Angriffe, die inzwischen industrialisiert und frei verfügbar sind.

Wie Angreifer traditionelle MFA umgehen

Der Angriff heißt Adversary-in-the-Middle (AiTM) Phishing. So funktioniert er:

  1. Das Opfer erhält eine überzeugende Phishing-E-Mail mit einem Link zu einer täuschend echten Microsoft 365-Anmeldeseite
  2. Die Phishing-Seite leitet die echte Microsoft-Anmeldeseite in Echtzeit durch
  3. Das Opfer gibt Benutzername, Passwort und MFA-Code ein — alles wird an Microsofts echte Server weitergeleitet
  4. Microsoft validiert die Anmeldedaten und gibt ein Sitzungs-Token zurück
  5. Der Angreifer fängt das Sitzungs-Token ab und nutzt es, um auf das Konto zuzugreifen

Das Opfer meldet sich erfolgreich an und sieht seinen normalen Posteingang. Es hat keinen Grund, etwas zu vermuten. Der Angreifer hat unterdessen ein gültiges Sitzungs-Token, das alle weiteren MFA-Abfragen umgeht.

Das ist keine Theorie. AiTM-Phishing-Kits wie EvilGinx sind frei verfügbar. Microsofts eigenes Threat Intelligence Team berichtete 2023 über eine Kampagne, die mit genau dieser Technik über 10.000 Organisationen angriff.

Warum SMS und Push-Benachrichtigungen scheitern

SMS-Codes sind der schwächste MFA-Faktor. Sie können durch SIM-Swapping, SS7-Protokoll-Ausnutzung oder schlicht durch Mitlesen abgefangen werden. Sie sind außerdem vollständig anfällig für AiTM-Angriffe.

Authenticator-Push-Benachrichtigungen sind besser, aber ebenfalls verwundbar. MFA-Fatigue-Angriffe — bei denen der Angreifer wiederholt Push-Benachrichtigungen auslöst, bis der erschöpfte Benutzer eine genehmigt — führten 2022 zum Uber-Breach. Number Matching reduziert dieses Risiko, eliminiert AiTM-Angriffe aber nicht.

TOTP-Codes (die sechsstelligen rotierenden Codes aus Authenticator-Apps) sind für denselben AiTM-Proxy-Angriff anfällig wie SMS-Codes. Der Benutzer gibt den Code auf der gefälschten Seite ein, er wird an den echten Server weitergeleitet, und das Sitzungs-Token wird abgefangen.

Was phishing-resistent bedeutet

Phishing-resistente Authentifizierungsmethoden sind kryptografisch an den legitimen Server gebunden. Sie können nicht durchgeleitet werden, weil die Authentifizierungs-Challenge die echte Server-Domain enthält. Befindet sich der Benutzer auf einer Phishing-Seite, schlägt die Authentifizierung schlicht fehl — es gibt nichts für den Angreifer abzufangen.

Zwei Methoden qualifizieren sich:

FIDO2-Sicherheitsschlüssel

Physische Hardware-Schlüssel (YubiKey, Feitian, Google Titan), die sich per USB oder NFC authentifizieren. Der Schlüssel führt einen kryptografischen Handshake mit dem Server durch, der die Origin-Domain einschließt. Ein Phishing-Proxy kann diesen Handshake nicht replizieren, weil die Domain nicht übereinstimmt.

Kosten: ca. 25–50 EUR pro Schlüssel. Für eine Organisation mit 50 Mitarbeitern sind das 2.500 EUR einmalige Investition, die den häufigsten Angriffsvektor für Account-Kompromittierung eliminiert.

Passkeys (gerätegebunden)

Passkeys verwenden dasselbe FIDO2-Protokoll, speichern die Anmeldedaten aber im Secure Enclave des Geräts (TPM unter Windows, Secure Enclave bei Apple) statt auf einem separaten Hardware-Schlüssel. Sie authentifizieren per Biometrie (Fingerabdruck, Gesichtserkennung) und sind gleichermaßen resistent gegen Phishing.

Microsoft Entra ID unterstützt Passkeys nativ. Die Bereitstellung erfordert keine zusätzliche Infrastruktur — nur Conditional Access-Richtlinien, die phishing-resistente Methoden erzwingen.

Der Bereitstellungspfad

Sie müssen nicht alle MFA auf einmal ersetzen. Ein phasenweiser Ansatz:

  1. Admins zuerst — phishing-resistente MFA für alle privilegierten Konten sofort erzwingen. Das ist Ihre Hochrisiko-Population.
  2. Alle Benutzer für Passkeys registrieren — Registrierungskampagne durchführen. Die meisten modernen Laptops und Smartphones unterstützen Passkeys nativ.
  3. Per Conditional Access durchsetzen — Richtlinie erstellen, die Authentifizierungsstärke „Phishing-resistente MFA" für alle Benutzer bei sensiblen Anwendungen verlangt.
  4. SMS abschalten — SMS als MFA-Methode deaktivieren, sobald alle Benutzer phishing-resistente Alternativen registriert haben.

Das Business-Argument

Die durchschnittlichen Kosten eines Business-E-Mail-Compromise-Angriffs liegen für KMU bei 125.000 EUR. Ein Satz FIDO2-Schlüssel für die gesamte Organisation kostet unter 3.000 EUR. Die ROI-Berechnung ist eindeutig.

Noch wichtiger: Cyber-Versicherer fragen zunehmend, ob Organisationen phishing-resistente MFA einsetzen. Wer das tut, kann sich für reduzierte Prämien qualifizieren. Wer es nicht tut, riskiert Ausschlüsse bei phishing-bezogenen Schäden.

Sicherheitsberatung buchen, um Ihre Migration zu phishing-resistenter Authentifizierung zu planen.

person

Über den Autor

Stefan Stoll

Cloud Security Consultant mit Fokus auf Microsoft 365 Sicherheit, NIS2 Compliance und Zero Trust Architektur für deutsche Unternehmen.

Mehr Insights entdecken

Alle Beiträge ansehenarrow_forward