Facebook-f Twitter Youtube
MFA ist kein Schutz mehr: Wie Angreifer moderne Authentifizierung umgehen
MFA

Date

MFA ist kein Schutz mehr: Wie Angreifer moderne Authentifizierung umgehen

Einleitung

Multifaktor-Authentifizierung (MFA) gilt in vielen Unternehmen als zentrale Sicherheitsmaßnahme. Sie wird als zusätzlicher Schutz gegen kompromittierte Passwörter verstanden und häufig als „Pflichtmaßnahme“ umgesetzt. Doch die Realität moderner Cyberangriffe zeigt: MFA allein bietet keinen ausreichenden Schutz mehr. Professionelle Angreifer haben ihre Methoden angepasst und umgehen moderne Authentifizierungsverfahren gezielt und systematisch. Dieser Artikel zeigt, wie das geschieht, warum viele Unternehmen in falscher Sicherheit leben und welche Konsequenzen daraus entstehen.

Warum MFA lange als wirksamer Schutz galt

Die Grundidee von MFA ist einfach: Selbst wenn ein Passwort kompromittiert wird, soll ein zusätzlicher Faktor den Zugriff verhindern. Typische Faktoren sind:

  • Einmalcodes per App oder SMS
  • Push-Bestätigungen
  • Hardware-Token
  • biometrische Merkmale

Lange Zeit stellte MFA tatsächlich eine hohe Hürde dar – vor allem gegen einfache Phishing-Angriffe.

Warum MFA heute nicht mehr ausreicht

Angreifer haben ihr Vorgehen verändert. Sie versuchen nicht mehr, MFA zu „brechen“ – sie umgehen es. Statt den Authentifizierungsmechanismus anzugreifen, greifen sie den Prozess an.

MFA schützt Konten – aber nicht Sitzungen, Prozesse und Menschen.

Die wichtigsten Methoden zur Umgehung von MFA

1. Adversary-in-the-Middle (AiTM) Angriffe

Bei AiTM-Angriffen platzieren Angreifer sich technisch zwischen Benutzer und legitimen Dienst. Opfer werden auf täuschend echt aussehende Login-Seiten geleitet.

  • Benutzer gibt Benutzername und Passwort ein
  • MFA wird korrekt bestätigt
  • Angreifer fängt Session-Cookies ab
  • Der Zugriff erfolgt ohne erneute MFA

Für das System sieht der Zugriff vollständig legitim aus.

2. Session Hijacking

Viele Dienste prüfen MFA nur beim Login, nicht während einer laufenden Sitzung. Wird die Sitzung übernommen, ist MFA wirkungslos.

Session Hijacking erfolgt u. a. durch:

  • gestohlene Cookies
  • unsichere Browser
  • kompromittierte Endgeräte

3. MFA-Fatigue (Push-Bombing)

Angreifer senden gezielt eine große Anzahl von MFA-Anfragen an das Opfer. Unter Zeitdruck oder aus Gewohnheit bestätigen Nutzer eine Anfrage, um Ruhe zu haben.

Besonders wirksam bei:

  • Administratoren
  • Remote-Mitarbeitern
  • Nutzern mit vielen Anmeldungen pro Tag

4. Kompromittierte Endgeräte

Ist ein Endgerät bereits kompromittiert, verliert MFA weitgehend seine Wirkung. Angreifer nutzen:

  • Keylogging
  • Browser-Manipulation
  • Remote-Access-Tools

Der Benutzer authentifiziert sich korrekt – der Angreifer nutzt den Zugriff.

5. OAuth- & App-Missbrauch

Angreifer registrieren bösartige Anwendungen, die Benutzer zur Freigabe verleiten. Dadurch erhalten sie:

  • dauerhafte API-Zugriffe
  • Zugriff auf E-Mails, Dateien, Kalender
  • keine erneute MFA-Abfrage

Der Angriff wirkt wie legitimer App-Zugriff.

6. Social Engineering rund um MFA

MFA wird zunehmend selbst zum Angriffsziel. Täter geben sich als IT-Support aus und fordern:

  • Bestätigung eines Codes
  • temporäre Deaktivierung von MFA
  • Installation angeblicher Sicherheitssoftware

Technik wird nicht überwunden – sondern Vertrauen.

Warum Unternehmen diese Angriffe oft nicht bemerken

MFA-Umgehungen hinterlassen kaum klassische Warnsignale:

  • Anmeldungen wirken legitim
  • keine Malware erkennbar
  • keine Fehlversuche
  • keine klassischen Exploits

Viele Angriffe werden erst entdeckt, wenn bereits Daten abgeflossen oder Systeme manipuliert wurden.

Was MFA realistisch leisten kann – und was nicht

MFA ist weiterhin wichtig, aber kein Allheilmittel.

MFA schützt vor:

  • einfachen Passwort-Leaks
  • automatisierten Angriffen
  • Credential-Stuffing

MFA schützt nicht vor:

  • Session-Diebstahl
  • Social Engineering
  • kompromittierten Endgeräten
  • prozessualen Schwächen

Was Unternehmen zusätzlich benötigen

1. Phishing-resistente MFA

Hardware-basierte Verfahren (z. B. FIDO2) reduzieren AiTM-Risiken deutlich.

2. Conditional Access & Kontextbewertung

Anmeldungen müssen bewertet werden nach:

  • Standort
  • Gerätezustand
  • Uhrzeit
  • Verhaltensmustern

3. Schutz von Sitzungen und Tokens

Session-Lebensdauer, Token-Bindung und Re-Authentifizierung sind entscheidend.

4. Endpoint-Sicherheit als Grundlage

Ohne vertrauenswürdige Endgeräte ist jede Authentifizierung angreifbar.

5. Überwachung privilegierter Konten

Admins benötigen gesonderte Schutz- und Monitoring-Konzepte.

6. Prozesse gegen Social Engineering

MFA darf niemals per Telefon oder E-Mail ausgehebelt werden.

Fazit

MFA ist kein veraltetes Konzept – aber ein unvollständiges. Unternehmen, die MFA als alleinige Sicherheitsmaßnahme betrachten, leben in trügerischer Sicherheit. Moderne Angreifer umgehen Authentifizierung nicht technisch, sondern strategisch: über Menschen, Sitzungen und Prozesse. Wirksame Cybersecurity erfordert daher mehr als zusätzliche Faktoren – sie erfordert ein ganzheitliches Identitäts- und Sicherheitskonzept.

MFA ist ein Baustein. Sicherheit entsteht erst durch das Zusammenspiel aller Komponenten.

Immer einen Schritt voraus sein.

Bleibe informiert und schütze dich vor aktuellen Cyberbedrohungen – mit unserem Expertenwissen direkt in deinem Postfach.

Fragen Sie uns

More
articles