_644x430.svg)
Was MFA kann – und was nicht
MFA verhindert, dass ein gestohlenes Passwort allein ausreicht, um sich einzuloggen. Das ist wertvoll. Laut Verizon DBIR spielen kompromittierte Zugangsdaten in der Mehrheit aller dokumentierten Breaches eine zentrale Rolle – MFA unterbricht diese Kette zuverlässig, wenn ein Angreifer nur das Passwort hat.
Aber MFA beantwortet eine Frage nicht: Unter welchen Umständen findet dieser Login statt?
Ein erfolgreicher MFA-Login sagt nur: Diese Person kennt das Passwort und hat Zugriff auf den zweiten Faktor. Er sagt nichts darüber, ob das Gerät kompromittiert ist, ob der Login aus einem ungewöhnlichen Land kommt, ob es das erste Mal seit Monaten ist, dass sich dieses Konto um 3 Uhr nachts einloggt – oder ob der zweite Faktor gerade durch eine AiTM-Attacke (Adversary-in-the-Middle) in Echtzeit abgefangen wurde.
AiTM: Wie Angreifer MFA aushebeln
Moderne Phishing-Kits wie Evilginx oder Tycoon 2FA agieren als Proxy zwischen Nutzer und legitimem Login-Portal. Der Nutzer gibt Passwort und MFA-Code ein – aber nicht auf der echten Seite, sondern auf einer transparenten Zwischenseite. Der Angreifer fängt den Session-Token ab, der nach erfolgreicher Authentifizierung ausgestellt wird.
Ergebnis: Der Angreifer ist eingeloggt. Mit einem gültigen Token. MFA hat den Angriff nicht verhindert – es hat ihm sogar geholfen, authentischer zu wirken.
Was Conditional Access leistet
Conditional Access – in Microsoft-Umgebungen Teil von Entra ID, in anderen Umgebungen über IAM- und CASB-Lösungen abbildbar – fügt eine Kontextebene ein, die MFA allein fehlt.
Statt zu fragen „Hat die Person den zweiten Faktor?" fragt Conditional Access: „Darf diese Person unter diesen Umständen zugreifen?"
Geräte-Compliance: Ist das Gerät ins MDM eingebunden und als compliant markiert? Ein Login von einem nicht verwalteten Privatgerät kann geblockt werden.
Standort: Kommt die Anfrage aus einem bekannten, erlaubten Netzwerk oder Land? Logins aus Regionen ohne Unternehmenspräsenz können automatisch blockiert oder zur zusätzlichen Verifikation eskaliert werden.
Risky Sign-ins: Entra ID bewertet Login-Anfragen in Echtzeit auf Basis von Signalen wie Impossible Travel (Login aus Wien, zwei Minuten später aus Singapur), bekannten kompromittierten IP-Adressen oder ungewöhnlichem Nutzerverhalten.
Anwendungs-Sensitivität: Zugriff auf HR-Systeme oder Finanzanwendungen kann höhere Anforderungen haben als der Zugriff auf den Firmen-Kalender.
Das häufigste Umsetzungsproblem
Conditional Access ist in den meisten Microsoft-365-Lizenzen bereits enthalten – aber nicht standardmäßig aktiviert. Und selbst wo Policies definiert sind, entstehen mit der Zeit Lücken. Legacy-Authentifizierungsprotokolle wie SMTP, IMAP oder POP3 umgehen Conditional Access vollständig.
Ausnahmen für „problematische" Nutzer oder Systeme häufen sich still an. Und Policies werden selten auf ihre tatsächliche Wirksamkeit überprüft.
Eine Conditional-Access-Policy, die existiert, aber nicht greift, ist keine Sicherheitsmaßnahme – sie ist ein Papierdokument.
Der ACDC-Ansatz: Vollständige Sichtbarkeit auf alle Sign-ins
ACDC beschränkt sich nicht auf Conditional Access – alle Sign-ins werden kontinuierlich überwacht und analysiert. So erkennt das Team Auffälligkeiten frühzeitig: ungewöhnliche Login-Zeiten, verdächtige Standortwechsel oder Konten, die sich außerhalb normaler Muster bewegen. Damit entsteht ein vollständiges Bild des Anmeldegeschehens – nicht nur dort, wo Policies greifen, sondern überall.
