MFA-Bypass 2026: Warum Ihr zweiter Faktor Sie nicht mehr schützt

7 Min. Lesezeit

59 Prozent der erfolgreich übernommenen Unternehmenskonten hatten Multi-Faktor-Authentifizierung aktiviert. Der Grund: Adversary-in-the-Middle-Angriffe (AiTM) und Session-Token-Theft machen den zweiten Faktor wirkungslos. Microsoft meldet täglich 40.000 erkannte AiTM-Vorfälle. SMS-basierte MFA wird von BSI und CISA inzwischen als unsicher eingestuft. Die Lösung heißt phishing-resistente Authentifizierung mit FIDO2, Passkeys und Hardware-Security-Keys.

Das Wichtigste in Kürze

🔒 59 Prozent der kompromittierten Accounts hatten MFA aktiviert (Proofpoint 2026).
⚠️ AiTM-Angriffe stiegen 2025 um 146 Prozent. Microsoft erkennt täglich 40.000 Vorfälle.
🛡️ SMS-basierte MFA gilt bei BSI und CISA als unsicher. SIM-Swapping und SS7-Exploits ermöglichen das Abfangen von Codes.
📊 Token-Theft ist 2025 zur primären Angriffsmethode gegen Microsoft 365 geworden (31 Prozent aller Breaches, Microsoft).
🔧 FIDO2-Security-Keys und Passkeys sind kryptografisch an die Domain gebunden und immun gegen Phishing und Token-Theft.

146 %

Anstieg der Adversary-in-the-Middle-Angriffe auf Unternehmenskonten 2025

Quelle: Microsoft Entra ID Security Report, 2025

Wie AiTM-Angriffe MFA aushebeln

Adversary-in-the-Middle-Angriffe funktionieren wie ein unsichtbarer Proxy zwischen dem Nutzer und dem Authentifizierungsserver. Der Angreifer leitet die Login-Seite in Echtzeit durch seinen Server. Der Nutzer gibt seine Credentials und den MFA-Code ein, der Angreifer fängt beides ab und erhält den Session-Token. Aus Sicht des Servers war der Login legitim.

Frameworks wie EvilGinx2 und Modlishka haben diese Angriffe automatisiert. Ein Angreifer braucht keine tiefe technische Expertise mehr. Er kauft ein Phishing-Kit für wenige hundert Dollar, registriert eine täuschend ähnliche Domain und wartet auf Opfer. Die gestohlenen Session-Tokens sind sofort einsetzbar, oft für Stunden oder Tage gültig.

Identitätsbasierte Angriffe nutzen genau diesen Vektor. Laut Microsoft waren Token-Theft-Angriffe 2025 für 31 Prozent aller Breaches in Microsoft-365-Umgebungen verantwortlich. Die Tendenz ist steigend, weil immer mehr Unternehmen MFA aktivieren und Angreifer sich anpassen.

„Token-Based Attacks umgehen MFA vollständig, weil sie die Authentifizierung nicht angreifen, sondern die Sitzung danach. Der Angreifer übernimmt eine bereits authentifizierte Session.“
Obsidian Security, Token-Based Attack Research 2025

Warum SMS-MFA nicht mehr ausreicht

SMS als zweiter Faktor hat drei fundamentale Schwächen. Erstens: SIM-Swapping. Ein Angreifer überzeugt den Mobilfunkanbieter, die Telefonnummer auf eine neue SIM-Karte zu übertragen. Zweitens: SS7-Schwachstellen. Das Signalisierungsprotokoll der Mobilfunknetze erlaubt das Abfangen von SMS unter bestimmten Bedingungen. Drittens: AiTM-Proxys fangen den SMS-Code in Echtzeit ab, bevor der Nutzer ihn eingeben kann.

Das BSI empfiehlt seit 2024 explizit den Umstieg auf phishing-resistente Authentifizierungsverfahren. Die CISA (US-amerikanisches Pendant zum BSI) stuft SMS-MFA ebenfalls als „not phishing-resistant“ ein und empfiehlt FIDO2-basierte Lösungen.

Phishing-resistente Alternativen im Vergleich

FIDO2/WebAuthn-Security-Keys (z.B. YubiKey, Google Titan): Die sicherste Option. Der Key ist kryptografisch an die Domain gebunden. Selbst wenn ein Nutzer auf eine Phishing-Seite hereinfällt, kann der Key nicht für die falsche Domain authentifizieren. Nachteil: Kosten (ab 25 Euro pro Key) und Logistik bei großen Teams.

Passkeys (FIDO2 auf dem Gerät): Smartphone oder Laptop ersetzen den Hardware-Key. Biometrische Authentifizierung (Fingerabdruck, Face ID) ersetzt den PIN. Domainbindung wie bei Hardware-Keys. Vorteil: Keine zusätzliche Hardware. Nachteil: Abhängigkeit vom Gerätehersteller (Apple, Google, Microsoft).

Authenticator-Apps mit Number Matching (z.B. Microsoft Authenticator): Kein vollständiger Phishing-Schutz, aber deutlich besser als SMS. Number Matching zwingt den Nutzer, eine Zahl vom Bildschirm in die App einzugeben. AiTM-Angriffe werden dadurch erschwert, aber nicht unmöglich gemacht.

Certificate-Based Authentication: Client-Zertifikate auf verwalteten Geräten. Sehr sicher, aber komplex in der Verwaltung. Sinnvoll für hochsensible Umgebungen wie KRITIS-Betreiber und Behörden.

Praxis-Checkliste: Phishing-resistente MFA einführen

1. Bestandsaufnahme: Welche MFA-Methoden sind aktuell im Einsatz? Wie viele Nutzer verwenden noch SMS oder Voice-MFA? Microsoft Entra ID und Google Workspace bieten Reports dazu.

2. Pilotgruppe definieren: IT-Admins und Führungskräfte zuerst. Diese Accounts sind die wertvollsten Ziele und sollten als erste auf FIDO2 oder Passkeys umgestellt werden.

3. Conditional Access konfigurieren: In Microsoft Entra ID können Conditional-Access-Policies phishing-resistente MFA für bestimmte Ressourcen erzwingen (Authentication Strength: Phishing-resistant MFA).

4. Fallback-Optionen planen: Was passiert, wenn ein Key verloren geht? Mindestens zwei Security-Keys pro Nutzer registrieren. Temporäre Zugangs-Passes (TAP) als Notfall-Option konfigurieren.

5. SMS-MFA schrittweise deaktivieren: Nicht sofort abschalten, sondern per Policy für neue Registrierungen sperren und bestehende Nutzer per Deadline migrieren. Microsoft bietet dafür „Authentication Methods Migration“ Reports.

31 %

aller Breaches in M365-Umgebungen gehen auf Token-Theft zurück

Quelle: Microsoft, 2025

Häufige Fragen

Reicht eine Authenticator-App als MFA aus?

Authenticator-Apps mit Number Matching sind deutlich sicherer als SMS, aber nicht vollständig phishing-resistent. AiTM-Angriffe können die Eingabe in Echtzeit abfangen. Für Hochrisiko-Accounts (Admins, Führungskräfte, Zugriff auf sensible Daten) empfehlen BSI und CISA FIDO2-basierte Lösungen.

Was kostet der Umstieg auf FIDO2-Security-Keys?

Hardware-Keys wie YubiKey kosten ab 25 Euro pro Stück. Bei zwei Keys pro Nutzer (Haupt- und Backup-Key) liegen die Kosten für ein 100-Personen-Unternehmen bei rund 5.000 Euro. Die Einrichtung ist in Microsoft Entra ID und Google Workspace nativ unterstützt und erfordert keinen zusätzlichen Infrastrukturaufbau.

Können Passkeys Hardware-Keys ersetzen?

Für die meisten Unternehmen ja. Passkeys bieten dieselbe kryptografische Sicherheit wie FIDO2-Keys, nutzen aber das vorhandene Gerät (Smartphone, Laptop) statt separater Hardware. Der Kompromiss: Passkeys sind an das Gerät und dessen Ökosystem gebunden (Apple, Google, Microsoft). Bei Geräteverlust muss ein Recovery-Prozess greifen.

Was ist Conditional Access und warum ist es für MFA-Sicherheit entscheidend?

Conditional Access ist ein Policy-Framework in Microsoft Entra ID (und vergleichbaren Systemen), das Zugriffsregeln kontextabhängig durchsetzt. Damit kann ein Unternehmen festlegen: Admins müssen FIDO2 nutzen, externe Zugriffe erfordern ein verwaltetes Gerät, Token-Sitzungen werden nach 4 Stunden beendet. Ohne Conditional Access bleibt MFA ein Häkchen statt einer Strategie.

Wie erkenne ich AiTM-Angriffe auf mein Unternehmen?

Microsoft Entra ID zeigt AiTM-verdächtige Anmeldungen unter „Risky Sign-Ins“ mit dem Risikodetails-Typ „Anomalous Token“. Zusätzlich helfen impossible-travel-Alerts (Login aus zwei Ländern innerhalb unmöglicher Zeitspanne) und Session-Token-Nutzung von unbekannten IP-Adressen.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

→ Cybersecurity-Boom: Warum NIS2 Deutschlands Sicherheitsbranche zum Wachstumsmotor macht (MyBusinessFuture)
→ DevSecOps: Sicherheit als integraler Bestandteil der Cloud-Entwicklung (cloudmagazin)

Quelle Titelbild: Pexels / Sora Shimazaki

Artikel drucken

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor Tobias Massow

Auch verfügbar in

Français Español English