Für Cyberkriminelle stellt die Multifaktor-Authentifizierung (MFA) eine erhebliche Hürde dar. Doch sie haben inzwischen Wege gefunden, um diese zu umgehen. Unternehmen müssen daher zusätzliche Maßnahmen ergreifen, um ihre Sicherheit zu gewährleisten. Dazu gehören Bot-Abwehr und die Überwachung kontextbezogener Risiken.
Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben.
(Bild: Alexander - stock.adobe.com)
Keine Frage: Die alleinige Authentifizierung mit Kennwort und Passwort hat versagt. Menschen können sich lange Zeichenketten nicht merken. Also nehmen sie Abkürzungen, wählen einfache und vorhersehbare Passwörter oder verwenden das gleiche Passwort für mehrere Anwendungen. Das hat bereits zu vielen Sicherheitsvorfällen geführt.
Der zunehmende Einsatz von MFA ist eine deutliche Verbesserung. Doch auch diese Lösung besitzt ihre Schwächen. So beobachten Security-Teams derzeit einen Anstieg von Angriffen auf MFA, unter anderem mit folgenden Techniken:
Echtzeit-Phishing-Proxys
Bei einem Echtzeit-Phishing-Proxy-Angriff (RTPP) verwenden Betrüger Phishing-Nachrichten, um Nutzer auf eine vom Angreifer kontrollierte Website zu locken. Diese sieht wie eine vertrauenswürdige Website aus und verleitet den Nutzer dazu, seine Anmeldedaten einzugeben sowie die Anfrage zur Authentifizierung mit dem zweiten Faktor zu bestätigen. Dies ist unabhängig davon, ob es sich um eine SMS-Nachricht oder eine Push-Benachrichtigung handelt. Der RTPP leitet die Anmeldedaten an die Zielanwendung weiter und verschafft sich Zugang.
MFA-Bombardierung
Bei MFA-Bombing-Angriffen senden Kriminelle an ihr Opfer mehrere betrügerische Anfragen nach dem Authentifizierungscode, bis es diesen aushändigt. Dies funktioniert am besten bei Authentifizierungs-Apps, die bei Push-Benachrichtigungen ein einfaches Akzeptieren über einen Button ermöglichen. Dies verleitet den Nutzer schneller dazu, bei einer Flut von Anfragen mit „ja“ zu antworten. Angreifer kombinieren manchmal MFA Bombing mit Social Engineering, damit Nutzer eher die Push-Benachrichtigung akzeptieren und Zugang gewähren.
Biometrisches Spoofing
Angreifer können sogar die biometrische Authentifizierung umgehen. Schließlich hinterlassen Menschen ihre Fingerabdrücke überall, auf fast jeder glatten Oberfläche, die sie berühren. Von dort lassen sie sich aufnehmen und mit Hilfe von 3D-Druckern oder Gummibärchen-Gelatine vervielfältigen. Sicherheitsforscher haben auch gezeigt, dass die Gesichts- und Stimmerkennung sowie der Iris-Scan gefälscht werden können. Zwar haben die Hersteller Techniken zum Schutz vor Spoofing entwickelt, wie Aktivitätsprüfungen, um Umgehungsversuche zu erkennen. Doch jedes biometrische Gerät lässt sich austricksen, wenn Angreifer ihre Techniken weiterentwickeln.
SIM-Austausch
Beim SIM-Swapping nutzen Betrüger die Möglichkeit von Dienstanbietern aus, eine Telefonnummer auf ein anderes Gerät zu übertragen. Der Betrüger sammelt zuerst persönliche Informationen über das Opfer. Damit veranlasst er einen Mitarbeiter des Kundendienstes, die Telefonnummer des Opfers auf die SIM-Karte des Betrügers zu übertragen. Anschließend erhält der Betrüger die für den legitimen Nutzer bestimmten Textnachrichten und kann so Einmalpasswörter abfangen und die MFA umgehen.
Die MFA-Sicherheit verbessern
Da MFA trotz ihrer Schwachstellen eine erhebliche Verbesserung gegenüber der reinen Passwortauthentifizierung darstellt, wird sie sich auf Dauer durchsetzen. Daher müssen Cybersecurity-Experten die Sicherheitslücken beseitigen.
Ein wichtiger erster Schritt ist dabei die Abwehr von Bots. Da viele Nutzer ihre Passwörter wiederverwenden, probieren Angreifer mit Hilfe von Bots gestohlene Anmeldedaten bei verschiedenen Online-Anwendungen aus. Mit dieser Technik, die von OWASP als Credential Stuffing definiert wird, lässt sich der erste Faktor der MFA überwinden. Angreifer setzen Bots auch bei RTPP-Angriffen ein, um Einmalpasswörter an die Zielseite weiterzuleiten, bevor sie ablaufen. MFA Bombing ist ebenfalls ein automatisierter Angriff, der auf Bots angewiesen ist. Mit einer effektiven Bot-Management-Lösung kann ein Sicherheitsteam den Angreifern ein wichtiges Instrument zur Umgehung von MFA aus der Hand nehmen.
Eine weitere Möglichkeit, die Schwachstellen von MFA zu reduzieren, ist die Berücksichtigung des kontextbezogenen Risikos. Dieses kann durch die IP-Adresse des Nutzers, den ISP, den Standort, die Tageszeit, das Gerät, die aufgerufene Funktion und das Verhalten bestimmt werden. Für jeden Bereich lässt sich ein Risikowert berechnen, während sich ein Nutzer durch die Anwendung klickt. Je höher die Punktzahl, desto strenger die Authentifizierungsanforderungen, die bis zur Sperrung eines Kontos führen können.
Die nächsten Schritte
Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. Cyberkriminelle werden immer wieder Möglichkeiten finden, neue Security-Maßnahmen zu umgehen. Daher müssen Unternehmen auch die Schwachstellen von MFA weiterhin analysieren und reduzieren.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über den Autor: Stephan Schulz ist Senior Solutions Engineer bei F5.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/5f/ff/5fff56db982e32c617379295fa2f98dd/0125925965v1.jpeg "MFA mit Passkeys (FIDO2) ist heute mehr als eine Zusatzmaßnahme, sie ist der Kern einer modernen Sicherheitsstrategie. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")