Not all MFA is equal: Why you need phishing and fatigue resistant MFA

Implementing MFA should really be a non-negotiable in 2025. But here’s what many organizations don’t realize: checking the MFA box doesn’t automatically make your organization secure. However, MFA isn’t infallible and the type of authentication factor you choose matters just as much as having MFA in the first place.

Einige Faktoren bieten echten Schutz vor modernen Angriffen. Andere vermitteln Ihnen ein falsches Sicherheitsgefühl, während sie Angreifern Tür und Tor öffnen. Wir werden die gängigsten MFA-Methoden aufschlüsseln und aufzeigen, wo sie im Sicherheitsspektrum tatsächlich stehen.

Die MFA-Sicherheitshierarchie: von der schwächsten zur stärksten

Nicht alle zweiten Faktoren sind gleich. Hier ist eine Übersicht, wie die gängigsten Authentifizierungsmethoden abschneiden:

SMS-basierte Codes: das schwächste Glied

Die SMS-Authentifizierung (bei der Benutzer einen Einmalcode per SMS erhalten) ist weit verbreitet. Dieser Faktor steht jedoch an unterster Stelle der Sicherheitsleiter. Sie ist zwar eindeutig besser als ein reines Passwort, aber SMS-Codes sind anfällig für verschiedene, gut dokumentierte Angriffe.

SIM-Swapping ist die größte Bedrohung. Angreifer können Mobilfunkanbieter davon überzeugen, die Telefonnummer eines Opfers auf eine von ihnen kontrollierte SIM-Karte zu übertragen. Sobald sie die Nummer haben, erhalten sie alle SMS-Codes, die für das Opfer bestimmt sind. Dies ist kein theoretisches Risiko – es geschieht regelmäßig. Laut der National Fraud Database ist der SIM-Swap-Betrug im Jahr 2024 um über 1.000 % gestiegen.

Der Angriff erfordert keine ausgefeilten technischen Fähigkeiten. Social-Engineering-Taktiken funktionieren überraschend gut bei den Kundendienstteams der Mobilfunkanbieter. Angreifer sammeln persönliche Informationen aus Datenschutzverletzungen oder sozialen Medien und geben sich dann als Opfer aus, um eine SIM-Übertragung zu beantragen.

SMS-Codes sind auch anfällig für das Abfangen durch SS7-Protokoll-Exploits, Phishing-Sites, die Codes in Echtzeit erfassen, und Malware, die Textnachrichten auf kompromittierten Geräten liest.

Push-Benachrichtigungen: bequem, aber ausnutzbar

Authenticator-Apps, die Push-Benachrichtigungen senden (wie die „Genehmigen/Ablehnen“-Aufforderungen von Microsoft Authenticator), bieten eine bessere Benutzererfahrung als das Eintippen von Codes. Leider sind sie zu einem Hauptziel für MFA-Prompt-Bombing-Angriffe geworden.

Der Angriff ist einfach, aber effektiv. Angreifer, die das Passwort eines Benutzers gestohlen haben, lösen in schneller Folge mehrere Authentifizierungsanfragen aus – manchmal Dutzende oder sogar Hunderte. Das Telefon des Opfers vibriert ständig mit Genehmigungsaufforderungen. Schließlich tun viele Benutzer entweder:

• Genehmigen versehentlich eine Anfrage, während sie versuchen, Benachrichtigungen zu verwerfen
• Genehmigen absichtlich, nur um die Bombardierung zu stoppen
• Wenden sich an den Helpdesk, wo Angreifer, die sich als Benutzer ausgeben, Supportmitarbeiter manipulieren können

Hochkarätige Sicherheitsverletzungen bei Uber, Cisco und Rockstar Games beinhalteten alle MFA-Prompt-Bombing. Dies waren keine kleinen Vorfälle, Angreifer erlangten umfassenden Zugriff auf Unternehmensnetzwerke, indem sie diese eine Schwachstelle ausnutzten.

Das Problem rührt von der Funktionsweise von Push-Benachrichtigungen her. Sie überprüfen nicht, was der Benutzer tatsächlich genehmigt. Es gibt keinen Kontext über die Authentifizierungsanfrage, kein Number Matching und keine Möglichkeit, zu bestätigen, dass die Anfrage legitim ist.

Zeitbasierte Einmalpasswörter (TOTP): eine solide Option

Authenticator-Apps, die rotierende numerische Codes generieren (wie Google Authenticator oder Microsoft Authenticator im TOTP-Modus), bieten eine deutlich bessere Sicherheit als SMS oder einfache Push-Benachrichtigungen.

TOTP-Codes werden lokal auf dem Gerät des Benutzers mithilfe eines gemeinsamen Geheimnisses generiert. Sie werden nicht über Mobilfunknetze übertragen, sodass sie nicht durch SIM-Swapping abgefangen werden können. Die Codes laufen schnell ab (normalerweise innerhalb von 30 Sekunden), was das Zeitfenster für Angreifer zur Verwendung gestohlener Codes begrenzt.

TOTP ist jedoch nicht immun gegen Phishing. Angreifer können überzeugende gefälschte Anmeldeseiten erstellen, die sowohl Passwörter als auch TOTP-Codes erfassen und diese dann sofort auf der echten Website verwenden. Da die Codes 30 Sekunden lang gültig bleiben, funktioniert dieser Angriff, wenn er schnell ausgeführt wird.

Trotz dieser Einschränkung stellt TOTP eine sinnvolle Sicherheitsverbesserung gegenüber SMS und einfachen Push-Benachrichtigungen dar. Es wird breit unterstützt, ist relativ benutzerfreundlich und blockiert viele gängige Angriffsvektoren.

Hardware-Sicherheitsschlüssel: Phishing-resistenter Schutz

Hardware-Sicherheitsschlüssel, die FIDO2/WebAuthn-Standards verwenden, stellen den Goldstandard für MFA dar. Diese physischen Geräte (wie YubiKeys oder Google Titan Keys) bieten eine Phishing-resistente Authentifizierung, die selbst ausgefeilte Angriffe stoppt.

Das macht sie so effektiv: Hardware-Schlüssel verwenden eine kryptografische Verifizierung, die an bestimmte Domänen gebunden ist. Wenn Sie sich auf der Anmeldeseite Ihres Unternehmens authentifizieren, überprüft der Schlüssel, ob er mit der legitimen Domäne kommuniziert, bevor er antwortet. Wenn ein Angreifer eine perfekte Phishing-Seite unter einer leicht abweichenden URL erstellt, funktioniert der Schlüssel einfach nicht – es gibt keinen Code zu stehlen, keine Aufforderung zu genehmigen, nichts abzufangen.

Diese Domänenbindung macht Hardware-Schlüssel resistent gegen Man-in-the-Middle-Angriffe, Phishing und Prompt-Bombing. Selbst wenn Angreifer Ihr Passwort haben, können sie ohne physischen Besitz Ihres Hardware-Schlüssels nicht auf Ihr Konto zugreifen. Die Nachteile sind Kosten und Logistik. Unternehmen müssen Schlüssel für alle Benutzer kaufen, diese verteilen und Backup-Verfahren für verlorene oder vergessene Schlüssel haben.

Warum Phishing-resistente Faktoren wichtig sind

Die Sicherheitsbranche entfernt sich von dem Begriff „Multi-Faktor-Authentifizierung“ und geht bei der Diskussion wirklich sicherer Implementierungen zu „Phishing-resistenter MFA“ über. Für diese Verschiebung gibt es einen guten Grund.

Die meisten MFA-Verstöße beinhalten nicht das Brechen des Authentifizierungsfaktors selbst – sie beinhalten das Austricksen von Benutzern oder das Ausnutzen der Implementierung von Faktoren. Phishing-resistente Faktoren sind speziell darauf ausgelegt, diesen Social-Engineering- und Anmeldedaten-Diebstahl-Angriffen zu widerstehen.

Sichern Sie Ihren Active Directory-Zugriff mit MFA für Windows-Anmeldung, VPN & RDP.

CISA (Cybersecurity and Infrastructure Security Agency) empfiehlt jetzt Phishing-resistente MFA für alle Bundesbehörden. Das Office of Management and Budget schreibt sie für Bundessysteme vor. Diese Mandate spiegeln ein klares Verständnis wider: Traditionelle MFA-Methoden reichen gegen die heutigen Bedrohungen nicht aus.

Stärken Sie Ihre MFA-Implementierung

Specops Secure Access hilft Unternehmen, eine starke, Phishing-resistente Authentifizierung mit der Specops:ID Authenticator-App (die eine Verifizierung von Push-Benachrichtigungen mit Biometrie erfordert), Unterstützung für YubiKey-Hardware-Sicherheitsschlüssel mit Yubico OTP und granulare Zugriffsrichtlinien zu implementieren. Lassen Sie nicht zu, dass schwache MFA-Faktoren zu Ihrem blinden Fleck in der Sicherheit werden. Buchen Sie eine Live-Demo von Specops Secure Access.

MFA zu haben ist ein guter Anfang, aber die Stärke Ihrer Authentifizierungsfaktoren bestimmt, wie gut Sie tatsächlich geschützt sind. Unternehmen, die sich auf SMS-Codes oder einfache Push-Benachrichtigungen verlassen, bleiben anfällig für Angriffe, die diese schwächeren Faktoren umgehen.