MFA-Lösungen sollen Phishing-Angriffen den Garaus machen. Doch die Methoden von Cyberkriminellen werden immer perfider und nicht jede Lösung hat dafür Antworten parat. Um auch MFA Phishing-sicher zu gestalten, sollten ein paar Dinge beachtet werden.
Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit.
(Bild: Anya - stock.adobe.com)
Wer kennt sie nicht, die gute alte Phishing-Mail. Mal mehr, mal weniger gut konzipiert, gehört sie nach wie vor zu den am häufigsten verwendeten Methoden von Cyberkriminellen, um an Zugangsdaten von Nutzer:innen zu gelangen. Wer nun aber denkt, man können diese ja ohnehin problemlos erkennen, etwa durch obskure Absender-Adressen, der sei an den vor kurzem publik gewordenen Fall beim Finanzdienstleister PayPal erinnert: Hier hatten sich vermeintliche Betrüger Zugriff auf den Mail-Server des Unternehmens verschafft, und über die offizielle Adresse des Unternehmens Phishing-Mails verschickt, um Login-Daten zu erbeuten.
Wenn solche Fälle öffentlich werden, ist der Ruf nach Multi-Faktor-Authentifizierung (MFA) oft die naheliegende Reaktion vieler Unternehmen. Einige Firmen, etwa Salesforce oder auch Microsoft bestehen schon auf das Verfahren und auch branchenspezifisch gibt es bereits strenge Vorgaben. Doch es ist ein weit verbreiteter Irrglaube, dass jede MFA-Lösung zuverlässigen Schutz vor Phishing bietet.
Um hier etwas Licht ins Dunkel zu bringen, sei kurz rekapituliert, um was es bei MFA geht. Die Authentifizierung der Person wird bei MFA durch mehrere Stufen verifiziert. Am häufigsten ist dabei die Kombination aus Login-Credentials (also einem Nutzernamen sowie Passwort) und einem weiteren Faktor, der in der zweiten Stufe abgefragt wird. Dazu erhalten Nutzer:innen häufig einen Bestätigungscode auf ein gesondertes Gerät, etwa dem Handy, und müssen diesen wiederum auf der Website oder in der App eingeben. Alternativ werden auch biometrische Merkmale abgefragt oder ein Sensor einer Chipkarte beziehungsweise USB-Token wird angepingt, um die physische Verortung zu bestätigen.
Sicherheitsfaktoren auf dem Prüfstand
Die einzelnen Faktoren werden dabei allgemein in drei Kategorien unterteilt: Wissen (zum Beispiel beim Passwort oder bei einer Sicherheitsfrage), Besitz (physische Verfügbarkeit einer Hardware-Komponente) und Inhärenz (biometische Merkmale wie der Fingerabdruck). Sie alle verfügen über ein unterschiedliches Schutzniveau und es gibt eine Reihe von Angriffsmöglichkeiten. Der Wissensfaktor ist dabei das wohl schwächste Element, dicht gefolgt vom Besitzfaktor. Beides lässt sich verhältnismäßig einfach stehlen oder ausspionieren: Vom Blick über die Schulter bis hin zum Klonen von physischen Keys gibt es ein breites Spektrum von Möglichkeiten. Der Inheränzfaktor ist zwar schwerer zu erbeuten, doch im Grunde spielt das keine Rolle, denn der Faktor Mensch und die Kommunikationswege zwischen den einzelnen Faktoren bieten ebenfalls Optionen für Hacker.
Prompt-Bombing-Attacke.
(Bild: IDEE GmbH)
Eindrucksvoll hat das der Fall Uber im September 2022 demonstriert, wobei hier das sogenannte Prompt Bombing – eine besondere Form des Push-Phishings – zum Einsatz kam. Diese einfache und hocheffektive Methode zielt häufig auf MFA-Systeme und nutzt dabei Social Engineering, um Nutzer:innen dazu zu drängen, MFA-Anfragen des Systems leichtfertig zu bestätigen. Sind Kriminelle einmal im Besitz von Login-Credentials, werden in kurzer Zeit multiple Login-Versuche getätigt, die dann – via Push-Nachricht – zur Verifizierung auffordern. Genervt von den Anfragen, werden die Nutzer:innen dazu verleitet, “einfach zu bestätigen”.
Dieses Beispiel macht deutlich, dass es keine Rolle spielt, auf welchen Faktor die MFA-Lösung setzt: Ein 100-prozentiger Schutz gegen Credential-basierte Angriffe existiert so lange nicht, solange der eigentliche Angriffe auf den “Mittelsmann” – hier die Nutzer – erfolgt.
Was zeichnet sichere MFA-Lösungen aus?
Denn neben den einzelnen Faktoren der MFA-Lösung gibt es eine Reihe von Schwachstellen, die auf den ersten Blick nicht ersichtlich sind. Beispiele dafür sind etwa die Art, wie ein neues Gerät zur Authentifizierung hinzugefügt wird oder auch die Kontowiederherstellung.
Um hier auf Nummer sicher zu gehen, sollten MFA-Dienste gewählt werden, die für den Login auf die Authentifizierungsschnittstelle des Endgerätes setzen. Diese umfassen neben der biometrischen Login-Funktion durchaus auch PINs. Wichtig ist bei letzterem jedoch, dass dieser PIN ausschließlich auf dem lokalen Gerät funktioniert. Hier spricht man von “Same Device MFA”, einer Funktion, die nicht Kosten und Mühen im Fall verlorener Geräte verringert, sondern auch das On- und Offboarding neuer Mitarbeiter:innen erleichtert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein weiteres Merkmal, auf das geachtet werden sollte, ist die Art und Weise, wie Nutzerdaten und Private Keys gespeichert werden. Cloud-Lösungen, die die Keys zentral speichern, sind hier nicht zu empfehlen, denn diese bieten einen weiteren Angriffsvektor. Stattdessen empfiehlt sich die Speicherung direkt auf dem Endgerät. Durch diesen dezentralen Ansatz lassen sich Angriffe deutlich besser eindämmen.
Und nicht zuletzt sollte für den gesamten Prozess der Authentifizierung, von der Kontoerstellung, über das Hinzufügen neuer Geräte bis hin zum Offboarding, darauf geachtet werden, dass konsequent ein Zero-Trust-Ansatz verfolgt wird. Grundsätze des Null-Vertrauens und des transitiven Vertrauens helfen dabei, auch Angriffe von innen zu erschweren.
Fazit
MFA trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe, da Passwörter nun endlich nicht mehr alleinig für den Schutz verantwortlich sind. Doch wie immer im Security-Kontext ist es nur eine Frage der Zeit, bis Cyberkriminelle die nächste Schwachstelle entdecken und diese ausnutzen. Von daher sollten sich Unternehmen nicht auf der Tatsache ausruhen, dass MFA eingeführt wurde und ihre Prozesse und Praktiken stetig auf den Prüfstand stellen. Nur wenn auch die MFA-Lösung selbst Phishing-sicher gestaltet wird, bietet sie nachhaltig Sicherheit.
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/b9/1bb92cb893c83c95299d225506843426/0128848083v2.jpeg "Der „Superheld mit Geld“ ist sicherlich nicht ausschließlich auf dem Verdiensttreppchen dieses Jahres zu finden. Die Mitarbeitenden in Banken, Versicherungen und der Energie können dennoch durchschnittlich mit etwas mehr Lohn rechnen. (Bild: © visoot – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/09/01098c52b88c8298ee8bf2f780af6eb5/0128800268v2.jpeg "Mit neuen leistungsfähigen Alltags-Computern erweitert Asus auf der CES 2026 das KI-Portfolio. (Bild: Asus)")
:quality(80)/p7i.vogel.de/wcms/65/e9/65e9691bb1f542b515a931e0f22d3273/0128745989v2.jpeg "KI für den Datenaustausch zwischen Endgeräten: Lenovo Qira ist eine geräteübergreifende und personalisierte Umgebungsintelligenz. (Bild: © Lenovo)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/64/47/644794f95e7d3/g-data-cyberdefense-logo-sq.jpeg "g-data-cyberdefense-logo-sq (G Data)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/69/2e/692ecb7bb8f78/xopero-logo-color.png "xopero-logo-color (Xopero)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/d6/18/d6183a1d4968f3cb12da97b58140e682/0125143813v2.jpeg "Sysob vertreibt nun die iShield-Key-Produktlinie von Swissbit in der DACH-Region. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/d2/df/d2df0a2da5b47ead720933bbab0a3035/0124109541v1.jpeg "Sichere Fernwartung als Erfolgsfaktor: Remote-Support-Mitarbeiter müssen nicht nur effizient, sondern auch sicher arbeiten – umfassende Authentifizierung und rollenbasierte Zugriffsrechte sind dabei unverzichtbar. (Bild: Vagaro)")