Warum MFA so wichtig - und so missverstanden - ist
MFA (Multi-Factor Authentication) ist die wirksamste Einzelmaßnahme gegen Konto-Übernahmen. Studien zeigen: MFA blockt >99 % automatisierter Angriffe. Aber: nicht jede MFA ist gleich gut. Manche Methoden sind heute leicht zu umgehen, andere praktisch unhackbar.
Phishing-feste MFA bevorzugen
Passkeys (FIDO2/WebAuthn) und Hardware-Token sind an die Domain gebunden - sie funktionieren auf der Phishing-Seite einfach nicht.
SMS und E-Mail sind die schwächsten Stufen
SIM-Swapping und Phishing-Proxys greifen genau diese Methoden an. Wenn möglich, ersetzen.
MFA-Fatigue ist real
Wenn das Handy mitten in der Nacht vibriert: Push nicht reflexhaft bestätigen. Lieber denken: Habe ich mich gerade angemeldet?
Die MFA-Hierarchie (von schlechter zu besser)
🟡 SMS / Sprach-Anruf Besser als nichts, aber angreifbar durch SIM-Swapping (Angreifer überzeugt den Provider, Ihre Nummer auf eine neue SIM zu portieren). Auch durch SS7-Schwächen abfangbar.
🟡 E-Mail-Code Nur sicher, solange das E-Mail-Konto sicher ist - also genau die Stufe, die wir schützen wollen.
🟢 TOTP-App (Authenticator) Google Authenticator, Microsoft Authenticator, Authy. Code wechselt alle 30 Sekunden. Resistent gegen SIM-Swapping, aber nicht gegen Phishing: Wenn Sie den Code auf einer Fake-Seite eingeben, wird er in Echtzeit weitergeleitet.
🟢 Push-Benachrichtigung „Anmeldung bestätigen?" mit Yes/No. Bequem, aber anfällig für MFA-Fatigue: Angreifer schickt 50 Pushes mitten in der Nacht, irgendwann tippt jemand „Yes".
🟢🟢 Number-Matching Push Wie Push, aber Sie müssen eine 2-stellige Zahl vom Browser im Handy eintippen. Bremst MFA-Fatigue erheblich.
🟢🟢🟢 Passkey / FIDO2 / WebAuthn Kryptographisch an die Domain gebunden. Auf einer Phishing-Seite funktioniert es nicht - die Domain stimmt nicht, der Schlüssel weigert sich. Die Goldstandard-Methode.
🟢🟢🟢 Hardware-Token (YubiKey, FIDO2-Stick) Physischer USB-/NFC-Stick. Gleiche Sicherheit wie Passkey, plattformunabhängig. Empfohlen für privilegierte Konten (Admin, Finanzen).
Was sind Passkeys konkret?
Ein Passkey ist ein kryptographischer Schlüssel auf Ihrem Gerät (Smartphone, Laptop, Sicherheits-Stick), entsperrt mit Biometrie (FaceID, Fingerabdruck) oder PIN. Beim Login:
- Die Website fragt: „Beweise, dass du es bist."
- Ihr Gerät signiert eine Challenge mit dem privaten Schlüssel.
- Die Website prüft mit dem öffentlichen Schlüssel - fertig.
Es gibt keinen Code zum Eintippen, keinen Geheimwert auf der Website-Seite, und keine Phishing-Möglichkeit, weil der Schlüssel an die echte Domain gebunden ist.
Ein Mitarbeitender klickt auf eine perfekt nachgebaute Microsoft-365-Login-Seite. Tippt Benutzernamen und Passwort ein. Die Fake-Seite leitet die Daten an die echte ms-online.com weiter und fragt nach MFA. Ohne Passkey: Authenticator-Code wird mit weitergeleitet, Angreifer hat vollen Zugang. Mit Passkey: Das Gerät erkennt, dass es nicht die echte Domain ist - der Schlüssel wird nie freigegeben. Phishing scheitert.
Drei Schritte für Sie diese Woche
- Inventur: Welche Konten haben aktuell welche MFA? (Bank, E-Mail, Microsoft 365, Cloud-Speicher, Social Media.)
- Upgrade: Wo SMS aktiv ist - auf Authenticator oder Passkey wechseln.
- Recovery-Codes sichern: Beim Einrichten gibt es 8-10 Einmal-Codes. Ausdrucken, im Tresor lagern. Nicht im gleichen Konto speichern.
Die häufigsten Fehler
MFA nur auf E-Mail aktiviert
Alle anderen Konten teilen sich die E-Mail als Recovery-Pfad. Wenn E-Mail kompromittiert ist, fällt alles.
Backup-Codes im selben Manager
Wenn der Manager kompromittiert ist, sind die Codes ebenfalls weg. Lieber Papier im Tresor.
Nur Hardware-Token, kein Backup
Token verlieren ist möglich. Immer einen zweiten Faktor zusätzlich registrieren.
Push blind bestätigen
Wenn unerwarteter Push: ignorieren, dann erst Passwort ändern, falls jemand es kennt.
Die einfache Regel
Wo immer möglich: Passkey. Wo nicht: Authenticator-App mit Number-Matching. Niemals nur SMS für wichtige Konten.