MFA ist unverzichtbar – aber nicht unfehlbar
Multi-Faktor-Authentifizierung (MFA) hat sich zurecht zum Standard in der Zugangssicherheit entwickelt.
Die Vorteile liegen auf der Hand:
- Zusätzliche Barriere: Selbst wenn ein Passwort gestohlen wird, braucht es einen zweiten Faktor.
- Phishing-Resistenz: MFA erschwert das Abgreifen von Zugangsdaten erheblich.
- Compliance: Vorgaben wie NIST oder branchenspezifische Standards empfehlen MFA.
Doch trotz all dieser Stärken bleibt eine kritische Lücke offen: schwache oder kompromittierte Passwörter und moderne Angriffstechniken wie Session bzw. Cookie Hijacking.
Warum MFA allein nicht ausreicht
MFA schützt die Anmeldephase – aber viele Angriffe umgehen genau diesen Schritt. Cookie Hijacking ist hier ein Paradebeispiel.
Was ist Cookie/Session Hijacking?
Sobald sich ein Nutzer erfolgreich mit Multifaktor anmeldet, erstellt das System eine Session. Diese wird in Form von Session-Tokens oder Cookies im Browser gespeichert. Genau diese Tokens sind für Angreifer interessant, denn sie repräsentieren eine bereits abgeschlossene Anmeldung – inklusive MFA.
Wenn ein Angreifer ein solches Token stiehlt, kann er sich ohne Passwort oder zweiten Faktor bewegen. MFA ist damit wirkungslos.
Typische Angriffsmethoden
- Malware liest Browser-Cookies aus und überträgt sie an Angreifer.
- Man-in-the-Middle (MitM)-Angriffe erfassen unverschlüsselte Cookies oder SessionIDs.
- Token-Diebstahl durch kompromittierte Browser-Extensions oder unsichere Integrationen.
- Advanced Phishing-Methoden: gezielte, technisch ausgefeilte Phishing-Angriffe (z. B. Spear-Phishing, OAuth-/Consent-Phishing, Reverse-Proxy-Phishing und Browser-in-the-Middle-Techniken). Solche Methoden täuschen legitime Logins vor oder fangen Tokens in Echtzeit ab, sodass gestohlene Anmeldedaten, Push-Freigaben oder Session-Tokens missbraucht werden können.
Warum das so gefährlich ist
- MFA wird vollständig ausgehebelt, da die Sitzung bereits validiert ist.
- Persistente Cookies („remember me“) verlängern die Angriffszeit.
- Aktivitäten über gestohlene Tokens wirken oft wie legitime Nutzeraktionen – und bleiben dadurch unentdeckt.
Weitere Angriffsmethoden gegen MFA
Neben Session Hijacking setzen Angreifer auf bekannte Taktiken wie:
- MFA-Fatigue (Prompt-Bombing): Push-Anfragen in Dauerschleife, bis der Nutzer genervt zustimmt.
- SIM-Swapping / SMS-Hijacking: Abfangen von SMS-basierten Codes.
- Social Engineering am Helpdesk: Überzeugen von Support-Mitarbeitenden, MFA zu deaktivieren.
- Unsichere Backup-Methoden: Recovery-Codes oder E-Mail-Resets als Einfallstor.
Hardware Tokens: Phishing-resistente MFA
Ein besonders wirksamer Schutz gegen Phishing und MFA-Bypässe sind Hardware Security Tokens.
- Sie setzen auf FIDO2/WebAuthn-Standards, die kryptografische Schlüsselpaare verwenden.
- Der private Schlüssel verlässt das Gerät nie und kann nicht abgefangen werden.
- Selbst wenn ein Angreifer einen Nutzer auf eine Phishing-Seite lockt oder einen Man-in-the-Middle-Angriff durchführt, funktioniert die Anmeldung dort nicht: FIDO2/WebAuthn prüft die Origin/Domäne und der private Schlüssel signiert nicht für die gefälschte Seite.
Damit stellen Hardware-Token eine phishing-resistente MFA-Lösung dar, die weit über klassische Push-Benachrichtigungen oder SMS hinausgeht.
Best Practices: MFA + starke Passwörter + Session-Schutz
Ein layered Security-Ansatz kombiniert mehrere Verteidigungslinien:
- MFA flächendeckend aktivieren – vom Windows-Logon bis zu Cloud-Portalen.
- Starke Passwort-Policies durchsetzen – mindestens 15 Zeichen, am besten Passphrasen.
- Kompromittierte Credentials blockieren – mit Echtzeit-Checks gegen bekannte Leaks.
- Sessions absichern:
- Cookies mit Secure, HttpOnly und SameSite-Attributen versehen.
- TLS erzwingen – keine unverschlüsselte Kommunikation.
- Token-Lebensdauer kürzen und bei Kontextwechsel (z. B. Standort) neu validieren.
- Anomalieerkennung nutzen, um verdächtige Logins und Session-Aktivitäten zu erkennen.
- Hardware-Token einsetzen – wo möglich, auf phishingsichere Standards wie FIDO2 setzen.
- Helpdesk absichern – zusätzliche MFA-Abfragen bei Supportfällen.
- Passwortlose Authentifizierung (passwordless) mit Hardware-Token – z. B. YubiKey (FIDO2/WebAuthn): entfernt das Passwort als Angriffsvektor, ist phishing-resistent, nutzt kryptografische Schlüsselpaare und erlaubt Gerätetrennung/Device-Attestation. Ideal für kritische Konten und High-Risk-Szenarien; in Conditional-Access-Policies integrierbar.
Conditional Access als zusätzlicher Schutz
Ein besonders wirksamer Ansatz ist Conditional Access. Damit können Zugriffsregeln dynamisch anhand von Kontextfaktoren wie Standort, Gerät oder Risiko-Level gesteuert werden.
Praxisbeispiel:
Ein Mitarbeiter meldet sich aus einem neuen Land an — statt automatisch zuzulassen erzwingt Conditional Access eine erneute MFA-Abfrage oder blockiert den Login, z. B. auch wenn das Gerät nicht als „trusted“ gilt oder die Verbindung nicht aus einer trusted location kommt.
Fazit
MFA ist ein enorm wichtiger Baustein moderner Identity Security – aber nicht die alleinige Lösung. Angriffe wie Cookie Hijacking oder MFA-Prompt-Bombing zeigen, dass zusätzliche Kontrollen unverzichtbar sind.
Die sicherste Strategie entsteht, wenn Unternehmen starke Passwörter, konsequenten Session-Schutz, Hardware Security Tokens, Conditional Access und MFA miteinander kombinieren. Nur so wird ein widerstandsfähiges Authentifizierungskonzept aufgebaut, das Angreifern mehrere Hürden in den Weg stellt.
