Phishing-Angriffe zielen längst nicht mehr nur auf Passwörter, sondern unterwandern gezielt Registrierungs- und Wiederherstellungsprozesse. Der Artikel zeigt, warum fragmentierte Authentifizierungsansätze scheitern – und wie durchgängige, phishing-resistente Mechanismen über den gesamten Nutzerlebenszyklus hinweg zur Pflicht werden.
Die Förderung von Phishing-resistenten Nutzern erhöht die Widerstandsfähigkeit im Bereich der Cybersicherheit, minimiert die Abhängigkeit von reaktiven Maßnahmen und schützt sensible Daten und Abläufe effektiv.
Phishing zählt nach wie vor zu den größten Cybersicherheitsrisiken für Unternehmen. Im vergangenen Jahr wurden, den Recherchen von Kaspersky zufolge, allein in Deutschland rund 34 Millionen Phishing-Angriffe registriert. Ein Problem ist die zunehmende Komplexität der Attacken, ein weiteres die menschliche Komponente, die in der Lage ist, technische Sicherheitsmaßnahmen auszuhebeln. Der zunehmende Einsatz KI-gesteuerter Cyberangriffe hebt die Gefahr durch Phishing auf ein neues Level, denn jetzt knacken die Hacker nicht mehr nur in die Accounts, sondern melden sich ganz gezielt über die Anmelde-, Authentifizierungs- und Wiederherstellungsprozesse der Mitarbeiter ein. Um Phishing-Angriffe tatsächlich zu verhindern, müssen Unternehmen jetzt nicht nur in eine Phishing-resistente Authentifizierung investieren, sondern sich auch darauf konzentrieren, Phishing-resistente Nutzer zu entwickeln.
Die in Unternehmen weit verbreiteten Phishing-Angriffe über Taktiken wie Social-Engineering-Anrufe beim Helpdesk können nicht nur den Benutzerregistrierungsprozess, sondern auch laufende Authentifizierungs- und Kontowiederherstellungsprozesse im Falle eines verlorenen oder gestohlenen Geräts unterwandern. Mit den jüngsten Fortschritten bei passwortlosen - und neuen geräteinternen - Authentifizierungslösungen hat sich die Art und Weise, wie ein Unternehmen den Identitätsnachweis eines Benutzers über seinen gesamten Lebenszyklus hinweg einrichten und verwalten kann, weiterentwickelt, um diesen wachsenden Herausforderungen zu begegnen.
Phishing-resistente Benutzer zu entwickeln ist nicht nur eine reaktive Maßnahme, sondern eine proaktive Unternehmensstrategie, die darauf abzielt, das Angriffsrisiko zu minimieren, indem alle Bedrohungsfaktoren aus dem gesamten Benutzerlebenszyklus eliminiert werden. Die primäre Sicherheitsmaßnahme bestand bislang darin, Phishing zum Zeitpunkt der Authentifizierung zu verhindern. Da Unternehmen jetzt jedoch eine Phishing-resistente Authentifizierung einführen, sind Benutzerkonten in einen hybriden Zustand übergegangen, in dem sowohl Phishing-fähige als auch Phishing-resistente Anmeldeinformationen verfügbar sind.
Dies erfordert, dass die Prozesse für die Ausstellung von Berechtigungsnachweisen, die Registrierung von Geräten und die Anmeldung bei Passkey-Providern auf die gleiche Stufe gestellt wird wie die bereits vorhandenen Authentifizierungskontrollen. Damit Point-in-Time-Authentifizierungsrichtlinien wirksam sind, muss sichergestellt werden, dass die Nutzer in jeder Phase des Kontolebenszyklus über die richtige Art von Authentifikatoren, Berechtigungsnachweisen und Prozessen verfügen.
Da die Nutzer im Laufe des Tages häufig zwischen verschiedenen Plattformen, Geräten sowie zwischen privaten und unternehmenseigenen Anwendungen und Diensten wechseln, sind viele klassische Authentifizierungsverfahren von Natur aus kompromittierbar. Zudem greifen Unternehmen bisweilen zumindest vorübergehend auf Methoden zur Benutzerregistrierung und Kontowiederherstellung zurück, wenn ein Nutzer zum ersten Mal auf Assets zugreift oder wenn sein Gerät verloren geht oder gestohlen wird – ein günstiger Zeitpunkt für einen Phishing-Angriff. Dieser bruchstückhafte Ansatz bei der Authentifizierung erschwert es, Systeme und Daten konsequent zu schützen und Vorschriften einzuhalten.
Herkömmliche Sicherheitsmaßnahmen wie Phishable MFA (SMS, Push-Benachrichtigungen und Einmal-Passcodes) und ein starkes Vertrauen in die Mitarbeiterschulung reichen nicht aus, um raffinierte Phishing-Taktiken abzuwehren, was die Notwendigkeit eines stärkeren Schutzes und einer neuen Denk- bzw. Herangehensweise bei der Verbesserung der Phishing-Resistenz unterstreicht. Aus diesem Grund müssen Unternehmen ihre Nutzer mit einer Authentifizierung ausstatten, die unabhängig vom jeweiligen Geschäftsszenario oder von den verwendeten Plattformen und Geräten ausreichenden Phishing-Schutz bietet.
Die Entwicklung Phishing-resistenter Nutzer in der Praxis
Der einzige wirksame Ansatz, um Phishing zu eliminieren, besteht darin, sicherzustellen, dass jeder Nutzer und jeder Prozess innerhalb des Unternehmens Phishing-resistent wird. Eine sichere Authentifizierung, welche die Nutzer über alle Geräte, Plattformen und Dienste hinweg begleitet, unabhängig davon, wie sie arbeiten, ist eine Notwendigkeit in der heutigen schnelllebigen digitalen Landschaft. Phishing-Resistenz in Registrierungs-, Authentifizierungs- und Wiederherstellungsprozessen ist zwingend erforderlich, um Phishing-resistente Benutzer zu kultivieren – und alles beginnt und endet mit dem Einsatz moderner und hochsicherer Hardware-Sicherheitsschlüssel mit gerätegebundenen Passkeys, wie YubiKeys.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Um Phishing-resistente Nutzer zu entwickeln, sind folgende Faktoren entscheidend:
1. Die Ausstattung aller Nutzer mit Phishing-resistenter MFA sowie der Einsatz speziell angefertigter und tragbarer Hardware-Sicherheitsschlüssel als primäre Authentifikatoren für maximale Sicherheit.
2. Die Einführung Phishing-resistenter Verfahren zur Kontoregistrierungs- und Benutzerwiederherstellung unter Verwendung von Hardwaresicherheitsschlüsseln.
3. Der Einsatz von technologiegesteuerten Lösungen, die den Schulungsaufwand für die Nutzer minimieren und gleichzeitig die Grundsätze und Vorteile einer Phishing-resistenten MFA sowohl für Unternehmen als auch für Privatanwender vermitteln.
Durch die Förderung von Phishing-resistenten Nutzern, die auf der Grundlage von Hardwaresicherheitsschlüsseln mit höchstem Sicherheitsstandard im gesamten Unternehmen aufgebaut ist, erhöht die Widerstandsfähigkeit im Bereich der Cybersicherheit, minimiert die Abhängigkeit von reaktiven Maßnahmen und schützt sensible Daten und Abläufe effektiv. Der Grundstein für den Aufbau einer solchen Widerstandsfähigkeit liegt in der Förderung einer Kultur von Phishing-resistenten Benutzern, mit Hardware-Sicherheitsschlüsseln als Basis.
Über den Autor: Alexander Koch ist VP Sales EMEA bei Yubico.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/7b/097be8af7888fc22051e329663da4ecc/0128787261v2.jpeg "Ein iranischer Cyberangreifer konnte über einen unbestimmten Zeitraum hinweg in 50 Unternehmen einbrechen, da diese keine Mulifaktor-Authentifizierung hatten. (Bild: oz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/c2/f9c2294159cf54881cc858b0423d08aa/0128304876v1.jpeg "Tiho Saric, Senior Sales Director bei Gigamon, zeigt, weshalb Deep Observability die Grundlage für Zero Gap bildet und Unternehmen hilft, Blind Spots zu eliminieren, verschlüsselte Workloads zu überwachen und Zero Trust konsequent umzusetzen. (Bild: Gigemon)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/35/67/35679a2ca8f2e8d2d960430c70823994/0112150345v1.jpeg "Im Podcast klären wir, wie das richtige Wissen um Rahmenwerke einen chaotischen Zoo von Anweisungen, Projekten und internen Richtlinien verhindert. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/4c/aa/4caac56c18e677d2a4c56123c9b60be3/0121319770v2.jpeg "Phishing kann jeden treffen, egal ob im Privatleben oder am Arbeitsplatz. (Bild: Andrey Popov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/d8/d2d832a924f918a905d614e46033e6ad/0115880823v3.jpeg "Fast jedes Unternehmen ist schon einmal Ziel von Phishing-Angriffen geworden. Firmen sollten also unbedingt ihre Mitarbeiter auf Phishing-Attacken vorbereiten. Dazu gibt es Lösungen, die wir in diesem Beitrag vorstellen. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/48/8a/488a09be8cd964e15d30843bc249f395/0124273194v2.jpeg "In Zeiten von Vhishing ist es sicherer, Help-Desk-Mitarbeitenden nur persönlich vertrauliche Informationen zu geben – nicht am Telefon. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/79/79/7979624f016e7e6caa1e5ca39184c625/0127749320v2.jpeg "KI verändert die Angriffstaktiken: Gezielte Phishing-Mails und manipulierte OAuth-Anmeldungen ermöglichen den Zugriff auf Microsoft-365- und Azure-Konten. (Bild: © Art_spiral - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/69/7269d6030ca13ba6c8d50670db2a6728/0126359392v2.jpeg "Passkeys sind eine sichere Alternative, um den Schutz vor Phishing-Angriffen zu erhöhen. (Bild: Dall-E / KI-generiert)")