Cyber-Angriffe: MFA ist nicht mehr sicher
Fortschrittliche Phishing-Methoden mit KI und Session-Diebstahl machen Multi-Faktor-Authentifizierung angreifbar. Unternehmen müssen Sicherheitsstrategien grundlegend überdenken und auf passwortlose Verfahren umsteigen.
Die Zwei-Faktor-Authentifizierung galt lange als Goldstandard der IT-Sicherheit. Doch Cyberkriminelle haben neue Methoden entwickelt, um selbst diese Schutzmaßnahme zu umgehen – mit beunruhigendem Erfolg.
Sicherheitsexperten schlagen diese Woche Alarm: Eine neue Generation von Phishing-Angriffen macht traditionelle Schutzmaßnahmen zunichte. Die Angreifer kombinieren raffinierte Techniken wie Adversary-in-the-Middle-Attacken, KI-generierte Köder und QR-Code-Phishing, um an Unternehmens-Login-Daten zu gelangen. Das Perfide daran: Selbst die Multi-Faktor-Authentifizierung (MFA) bietet keinen zuverlässigen Schutz mehr.
Diese Entwicklung zwingt Unternehmen weltweit dazu, ihre Sicherheitsstrategien grundlegend zu überdenken. Denn was jahrelang als unüberwindbare Barriere galt, entpuppt sich nun als überholte Technologie.
Angreifer schalten sich zwischen Nutzer und Server
Der Schlüssel zum Erfolg der neuen Angriffswelle liegt in sogenannten Adversary-in-the-Middle-Attacken (AitM). Anders als herkömmliche Phishing-Versuche, die lediglich Passwörter abgreifen, fangen diese Methoden den gesamten Anmeldevorgang in Echtzeit ab.
Das Vorgehen ist tückisch: Angreifer locken ihre Opfer per E-Mail auf gefälschte Websites, die sich zwischen den Nutzer und den echten Login-Bereich schalten – etwa von Microsoft 365. Gibt der Nutzer seine Zugangsdaten ein und bestätigt die MFA-Anfrage, schnappen sich die Kriminellen nicht nur das Passwort, sondern auch das entscheidende Session-Cookie. Mit diesem digitalen Schlüssel können sie die Anmeldung nachstellen und direkten Zugang zum Konto erhalten.
Besonders alarmierend: Diese hochentwickelten Angriffs-Tools sind längst kein Privileg von Elite-Hackern mehr. Sogenannte Phishing-as-a-Service-Plattformen verkaufen Pakete wie “Tycoon 2FA” bereits für umgerechnet 90 Euro im Monat – Cyberkriminalität wird zur Massenware.
KI macht Phishing-Mails perfekt
Zwei weitere Trends verstärken die Bedrohung dramatisch: KI-generierte Phishing-E-Mails und das sogenannte “Quishing” mit QR-Codes.
Künstliche Intelligenz revolutioniert die Qualität gefälschter Nachrichten. Die Zeiten schlecht formulierter Spam-Mails mit Rechtschreibfehlern sind vorbei. Moderne KI-Tools analysieren die Online-Präsenz ihrer Ziele und erstellen maßgeschneiderte, grammatikalisch einwandfreie Köder. Diese personalisierten Attacken sind für Empfänger kaum noch als Fälschung zu erkennen.
Parallel dazu boomt das “Quishing” – Phishing mit QR-Codes. Angreifer verstecken schädliche Codes in E-Mail-Anhängen, oft getarnt als Rechnungen oder Sicherheitswarnungen. Da E-Mail-Scanner diese Bilder häufig nicht auf bösartige Links prüfen, führen die QR-Codes beim Scannen direkt zu den Phishing-Websites. Experten berichten von einem massiven Anstieg: Bereits 90 Prozent aller QR-Code-Angriffe zielen auf den Diebstahl von Zugangsdaten ab.
Anzeige: Apropos Phishing und Quishing: Viele Android-Nutzer übersehen genau jene 5 Sicherheitsmaßnahmen, die im Alltag vor Datendieben und Schadlinks schützen. Ein kostenloses Sicherheitspaket zeigt Schritt für Schritt, wie Sie Ihr Smartphone ohne teure Zusatz-Apps absichern – von QR‑Code‑Check bis WhatsApp, Online‑Shopping, PayPal und Online‑Banking. Holen Sie sich den kompakten Leitfaden mit Checklisten und praxiserprobten Einstellungen. Jetzt kostenloses Sicherheitspaket anfordern
MFA-Müdigkeit: Wenn Sicherheit zur Belastung wird
Selbst ohne ausgeklügelte AitM-Techniken finden Kriminelle Wege, die Zwei-Faktor-Authentifizierung auszuhebeln – durch MFA-Ermüdung. Nach dem Diebstahl eines Passworts bombardieren sie ihre Opfer mit dutzenden MFA-Anfragen auf deren Smartphones.
Die psychologische Taktik ist simpel, aber effektiv: Irgendwann bestätigt das genervte Opfer eine Anfrage – aus Frustration oder Versehen. Diese Methode wurde bereits bei spektakulären Angriffen auf Unternehmen wie Uber erfolgreich eingesetzt.
Paradigmenwechsel in der IT-Sicherheit
Diese Entwicklungen markieren einen Wendepunkt in der Cybersicherheit. Der jahrelang gültige Rat “MFA aktivieren” reicht nicht mehr aus. Sicherheitsexperten betonen zwar weiterhin die Wichtigkeit der Mehrfaktor-Authentifizierung, warnen aber vor Push-Benachrichtigungen als Schwachstelle.
Da mittlerweile jede Organisation – unabhängig von Größe oder Branche – mit hochentwickelten Angriffen rechnen muss, verschiebt sich der Fokus. Statt nur die erste Anmeldung zu schützen, müssen Unternehmen verdächtige Aktivitäten in laufenden Sitzungen erkennen und darauf reagieren.
Passwörter haben ausgedient
Als Antwort auf diese Bedrohungen forciert die Sicherheitsbranche den Übergang zu passwortlosen Authentifizierung. Standards wie FIDO2 und sogenannte Passkeys verwenden kryptographische Verfahren, die Zugangsdaten an spezifische Geräte und Websites binden. Dadurch wird Phishing technisch unmöglich.
Unternehmen sollten außerdem auf risikobasierte Authentifizierung setzen, die Faktoren wie Standort und Gerätestatus analysiert, bevor eine MFA-Anfrage ausgelöst wird. Unsichere Methoden wie SMS oder einfache Push-Benachrichtigungen gehören durch nummer-basierte Bestätigung oder biometrische Verfahren ersetzt.
Die kommenden Monate werden zeigen, wie schnell sich die Industrie anpasst. Eines ist sicher: Die Zeiten einfacher Passwort-Plus-MFA-Sicherheit sind endgültig vorbei.
