Trotz Multi-Faktor-Authentifizierung gehackt?

MFA basiert auf dem Prinzip, dass man sich mit zwei oder mehr Faktoren authentifizieren muss – idealerweise aus unterschiedlichen Kategorien:

• Etwas, das ich weiß → z. B. ein Passwort oder eine PIN
• Etwas, das ich habe → z. B. ein Smartphone oder einen Authenticator
• Etwas, das ich bin → z. B. ein Fingerabdruck oder Gesichtserkennung

Cyberkriminelle haben aber leider Wege gefunden, die Multi-Faktor-Authentifizierung zu umgehen – ganz ohne aufwändige Hacking-Tools oder Fachwissen. Selbst modernste MFA-Verfahren wie App-Codes oder Push-Bestätigung können umgangen werden. Diese Methode nennt sich MFA-Phishing mit Reverse Proxy – und sie ist in der Praxis erschreckend erfolgreich.

Mit frei verfügbaren Mitteln bauen Angreifer täuschend echte Login-Seiten nach und schleusen sich so zwischen Nutzer und Plattform. Ich zeig dir gerne in einer kleinen Demo, wie einfach es wirklich geht:

Stellen wir uns vor, ich bin das Opfer und erhalte eine E-Mail von „Microsoft“. Sie sieht auf den ersten Blick absolut echt aus – und ich werde darüber informiert, dass ich Zugriff auf neue Dateien erhalten habe.

Ich klicke auf den Link, gebe meine echten Zugangsdaten ein und bestätige meinen Login mit der Multi-Faktor-Authentifizierung. In meinem Fall nutze ich den Microsoft Authenticator – aber es könnte auch ein SMS-Code, ein App-Code oder ein Anruf sein. Nun werde ich ganz normal eingeloggt und lande auch bei Microsoft. Alles wirkt vollkommen legitim.

Was passiert bei einem Login (ohne Angriff) im Hintergrund?

Die von mir eingegebenen Daten werden an Microsoft gesendet. Sind die Zugangsdaten korrekt, werde ich aufgefordert meine Authetifizierung mit einem zweiten Faktor zu bestätigen. Sobald der zweite Faktor bestätigt wurde, erstellt Microsoft einen Session-Token und schickt diesen an meinen Browser zurück. Dieser Session-Token ist eine Art digitaler Zugangsausweis, der bei jedem Seitenaufruf im Hintergrund sagt, dass der Nutzer bereits authentifiziert ist.

Was passiert bei einem MFA-Phising-Angriff im Hintergrund?

Der Angreifer sitzt in der Mitte zwischen mir (bzw. meinem Rechner) und dem echten Microsoft Server und kann so die gesendeten und empfangenen Daten mitlesen. In unserem Beispiel nutzt der Angreifer das Tool Evilginx, ein Programm, das man sich ganz legal aus dem Internet herunterladen kann. Mit nur wenigen Befehlen lässt es sich auf einem beliebigen Server einrichten. Es erstellt automatisch täuschend echte Loginseiten und greift die eingegebenen Daten ab. Programmier oder Hacking Kenntnisse nicht nötig.

Meine eingegebenen Zugangsdaten wurden vom Angreifer abgefangen, gespeichert und erst danach an Microsoft weitergeleitet. Gleichzeitig wurde auch der zurückgeschickte Session-Token auf dem Server des Angreifers gespeichert.

Wie bekommt der Angreifer Zugriff auf mein Konto?

Der Angreifer öffnet in einem ganz normalen Browser die offizielle Microsoft Login Seite und fügt den gestohlenen Session-Token mithilfe eines kostenlosen Browser Plugins ein. Sobald er die Seite neu lädt, ist er in meinem Konto eingeloggt. Mit allen Rechten, die ich als Nutzer ebenfalls habe. Das bedeutet ganz konkret Zugriff auf: 

• E-Mails
• OneDrive
• SharePoint
• Teams
• Kalender
• Administrative Funktionen (sofern der Nutzer diese hat)

Angriffe auf Multi-Faktor-Authentifizierungen sind erschreckend realistisch – und sie funktionieren unfassbar gut. Es gibt jedoch wirksame Schutzmechanismen. Einige davon kannst du sofort umsetzen. Andere erfordern Unterstützung durch deine IT Abteilung oder den Einsatz moderner Sicherheitslösungen.

Der Angriff in unserer Demo begann mit einer E-Mail. Sie sah echt aus. Richtig echt. Und genau das ist das Gefährliche: Der Moment, in dem man auf den Link klickt.

Deshalb gilt: Schon vor dem Klick kritisch hinschauen.

Unsere Phishing-Mail war professionell gestaltet. Kein schlechter Text, kein Rechtschreibfehler – genau das, was man von einer seriösen Nachricht erwarten würde. Und genau das macht’s so gefährlich.

Was kannst du also tun?

Fang beim Absender an – und schau nicht nur auf den Namen, sondern auf die vollständige E-Mail-Adresse. Moderne Spamfilter sorgen dafür, dass echte Absender nicht einfach kopiert werden können. Deshalb weichen Angreifer auf Varianten aus, die täuschend ähnlich klingen. Aus @novidata.de wird dann eben @nouidata.de (mit einem U statt seinem V). Und aus microsoft.com wird m1crosoft.com, microsoft-service.net oder ähnliche Spielarten.

Dann geht’s weiter mit dem Link: Mit der Maus über den Link fahren, kurz warten – und die Zieladresse prüfen. Gehört der Link wirklich zum erwarteten Dienst? login.microsoftonline.com ist ein Klassiker – passt. Aber login-microsoft365-support.net? Klingt eher nach Phishing.

Was viele nicht wissen: Phishing läuft längst nicht mehr nur über E-Mails. Immer häufiger kommen die Links über Social Media, über Messenger-Nachrichten oder auch per QR-Code – zum Beispiel als gedruckter Aushang im Büroflur. Und oft sind diese Links verkürzt, z. B. mit Diensten wie bit.ly oder tinyurl.com. Das Problem: Du kannst nicht sehen, wohin der Link führt. Und genau das nutzen Angreifer aus.

Phishing-Webseiten sind heute extrem gut gemacht. Sie sehen echten Login-Seiten oft zum Verwechseln ähnlich.
Design, Schriftarten, Texte, sogar die Adresse im Browser – alles wirkt auf den ersten Blick vertraut. Aber: Es gibt ein paar klare Hinweise, mit denen du echte und gefälschte Seiten sicher voneinander unterscheiden kannst.

Worauf solltest du achten?

1. URL genau prüfen – nicht nur überfliegen.
   Die echte Adresse für Microsoft-Logins lautet: login.microsoftonline.com. Klingt banal, ist aber entscheidend. Achte besonders auf subtile Abweichungen, z. B. auf Domains wie login-microsoft365-support.com oder m1crosoftlogin.net. Solche Tricks nutzen Angreifer gezielt aus.
2. Auf das Schloss in der Adressleiste achten.
   Auch Phishing-Seiten können ein HTTPS-Zertifikat haben – aber: Es lohnt sich trotzdem, auf das Schlosssymbol zu klicken und zu prüfen, für wen das Zertifikat wirklich ausgestellt ist. Steht da Microsoft Corporation oder irgendein dubioser Anbieter?
3. Passwortmanager und Browser-Verhalten beobachten.
   Moderne Browser und Passwortmanager erkennen bekannte Seiten. Wenn dein gespeichertes Kennwort plötzlich nicht automatisch eingetragen wird – obwohl du es für die Seite hinterlegt hast – sei misstrauisch. Es könnte eine Fälschung sein.
4. Nutze feste Lesezeichen statt Links aus E-Mails.
   Das ist eine der einfachsten und effektivsten Maßnahmen: Niemals über Links in E-Mails einloggen.
   Wenn du dich z. B. bei Microsoft anmelden willst, nutze dein gespeichertes Lesezeichen oder gib die Adresse manuell ein. Damit umgehst du viele typische Phishing-Fallen von vornherein.

Angriffe wie das MFA-Phishing zielen längst nicht mehr nur auf Benutzername und Passwort. Immer häufiger nutzen sie, wie in unserem Beispiel, gestohlene Session-Tokens, um sich unbemerkt Zugang zu Systemen zu verschaffen – und das von völlig fremden Geräten, Standorten oder sogar aus anderen Ländern. Um Angreifern genau das so schwer wie möglich zu machen, braucht es mehr als nur Wachsamkeit der Nutzenden – hier kommen technische Schutzmechanismen ins Spiel.

1. Conditional Access einrichten
Mit sogenannten bedingten Zugriffsregeln („Conditional Access“) lässt sich sehr genau steuern, wer sich wann von wo mit welchem Gerät anmelden darf. Die IT-Abteilung kann beispielsweise festlegen:

• Logins sind nur vom Firmenlaptop oder einem verwalteten Smartphone erlaubt
• Der Zugriff ist nur aus dem Firmennetzwerk oder bestimmten IP-Adressen möglich
• Zugriffe aus bestimmten Ländern oder zu ungewöhnlichen Uhrzeiten werden blockiert oder erfordern zusätzliche Verifizierung

Solche Hürden machen es einem Angreifer schwer – selbst wenn er bereits im Besitz von Login-Daten und Session-Tokens ist.

2. Sessionlaufzeiten begrenzen
Viele Anwendungen halten eine Sitzung (Session) stunden- oder sogar tagelang offen. Das verschafft Angreifern viel Zeit, einen gestohlenen Token auszunutzen. Die IT kann hier gegensteuern, z. B. durch:

• Begrenzung der Sitzungsdauer auf 4 oder 8 Stunden
• Automatischen Logout bei Inaktivität
• Sofortiges Ungültigmachen eines Tokens bei ungewöhnlichem Verhalten

So lässt sich das Zeitfenster für mögliche Angriffe deutlich verkleinern.

3. Geolokation und Risikoerkennung aktivieren
Moderne Systeme wie Microsoft Entra ID (ehemals Azure Active Directory) oder Google Workspace bieten Funktionen zur risikobasierten Anmeldung. Sie erkennen zum Beispiel:

• Aus welchem Land oder welcher Stadt ein Loginversuch erfolgt
• Ob das Verhalten eines Nutzers typisch oder auffällig ist

Wenn um 10:12 Uhr ein erfolgreicher Login aus Deutschland erfolgt – und zwei Minuten später ein Loginversuch aus Vietnam – dann erkennt das System den Angriff und blockiert ihn oder verlangt eine zusätzliche Authentifizierung.

Es gibt eine Technologie, die Phishing-Angriffe auf MFA von Grund auf verhindert: Passkeys. Passkeys ersetzen Benutzername, Passwort und sogar die klassische MFA durch einen sicheren, nicht übertragbaren Anmeldeschlüssel. Das bedeutet: Kein Passwort mehr. Kein Code. Kein Phishing.

Der Login läuft so ab:
Du möchtest dich anmelden – zum Beispiel bei Microsoft, Google oder einem anderen Dienst – und dein Gerät fragt dich: „Willst du dich mit deinem Gesicht, Fingerabdruck oder einer Geräte-PIN anmelden?“ Das war’s.

Der entscheidende Unterschied:
Der private Schlüssel bleibt immer auf deinem Gerät. Er wird niemals übertragen, nicht angezeigt und auch nicht eingegeben. Ein Angreifer kann ihn also nicht abgreifen, selbst wenn du versehentlich auf eine Phishing-Seite geraten solltest. Ein Passkey funktioniert außerdem nur mit der echten Website oder App – nicht mit einer Kopie. Das macht diese Methode extrem sicher. Und Passkeys funktionieren plattformübergreifend: Ob iPhone, Android, Windows oder Mac – die Technologie ist breit kompatibel. Du kannst deine Passkeys sogar auf mehreren Geräten speichern, synchronisieren und – falls nötig – löschen oder neu erstellen.

Passkeys sind bereits ein großer Schritt Richtung Phishing-Schutz. Aber wenn es um besonders sensible Zugänge geht – zum Beispiel im IT-Bereich, im Finanzwesen oder bei Administrationsrechten – lohnt sich ein Blick auf eine noch stärkere Lösung: den FIDO2-Sicherheitsschlüssel. Dabei handelt es sich um ein kleines USB- oder NFC-Gerät, das zur Anmeldung physisch verwendet wird. Du steckst es ein oder hältst es ans Gerät – und schon wird ein einmaliger, kryptografischer Nachweis erzeugt, dass du dich anmeldest. Ganz ohne Passwort. Und vor allem: ohne übertragbare Session.

Warum FIDO2 so sicher ist:

• Der private Schlüssel bleibt auf dem Gerät und wird niemals übertragen.
• Der Schlüssel kommuniziert nur mit echten, registrierten Webseiten – Phishing-Seiten sind chancenlos.
• Selbst wenn jemand deinen Benutzernamen kennt: Ohne den physischen Schlüssel geht gar nichts.
• Es wird keine klassische Session erzeugt, die entwendet und missbraucht werden kann.

Deshalb gilt diese Methode weltweit als Goldstandard für MFA-Schutz – und wird u. a. bei Banken, Behörden und großen Unternehmen eingesetzt.

Für wen eignet sich FIDO2?
Eine Authentifizierung mit einem FIDO2-Key ist besonders empfehlenswert für:

• Admin-Accounts und IT-Verantwortliche
• HR und Personen mit Zugriff auf sensible Mitarbeiter- oder Kundendaten
• Externe Partner mit Zugang zu internen Systemen

Zusammengefasst: Alle Rollen, bei denen ein kompromittiertes Konto erheblichen Schaden anrichten könnte

Was kostet ein FIDO2-Key?
FIDO2-Sicherheitsschlüssel sind in der Regel eine einmalige Anschaffung. Sie benötigen keine Updates und sind in der Praxis sehr langlebig. Je nach Hersteller, Funktionsumfang (USB-A, USB-C, NFC, biometrisch) und Zertifizierung liegen die Preise zwischen ca. 20 € und 100 €.

FIDO2 ist sicher nicht für jeden Alltagseinsatz notwendig. Aber für kritische Rollen in deinem Unternehmen ist es aktuell die beste und sicherste Option, um sich wirksam gegen Phishing und Session-Hijacking zu schützen.

Wir haben in diesem Artikel viele Maßnahmen kennengelernt, mit deren Hilfe wir uns vor Phishing-Angriffen schützen können. Doch so aufmerksam wir auch sind – Fehler passieren. Ein Moment der Unachtsamkeit, ein zu schneller Klick, eine perfekt gefälschte Login-Seite.

Was also, wenn es trotz aller Vorsicht passiert – und du dich tatsächlich auf einer gefälschten Seite eingeloggt hast? Dann kommt es auf schnelles und überlegtes Handeln an. Hier ist dein klarer, praxistauglicher Notfallplan:

Schritt 0: Panik hilft nicht – Vorbereitung schon.
Ein guter Notfallplan gehört gedruckt und griffbereit ins Unternehmen – nicht nur auf dem Server. Denn wenn der Server verschlüsselt wird, bringt dir ein PDF wenig. Frag deine IT oder deinen Vorgesetzten: Gibt es so einen Plan? Wenn nicht – jetzt ist der richtige Zeitpunkt, das zu ändern.

Schritt 1: Passwort sofort ändern.
Aber nur über einen bekannten, echten Zugang – nicht über einen Link in einer verdächtigen Mail.

Schritt 2: Alle aktiven Sitzungen beenden.
Viele Dienste bieten in den Kontoeinstellungen eine Funktion zum Abmelden von allen Geräten und Sitzungen. Nutze sie sofort.

Schritt 3: Die IT oder das Security-Team informieren.
Je früher sie Bescheid wissen, desto schneller können sie Tokens sperren und weitere Maßnahmen einleiten.

Schritt 4: Posteingang und Geräte prüfen.
Achte auf ungewöhnliche Benachrichtigungen, Login-E-Mails, Passwort-Änderungen oder fremde App-Installationen.

Schritt 5: Besser einmal zu viel Alarm schlagen als einmal zu wenig.
Phishing ist hochprofessionell, kann wirklich jeden treffen – und funktioniert genau deshalb so gut. Deine Aufmerksamkeit ist der beste Schutz.

Phishing-Angriffe entwickeln sich ständig weiter. Und ja – auch die Multifaktor-Authentifizierung (MFA) ist kein uneinnehmbarer Schutzwall mehr. Aber du hast jetzt das nötige Wissen, um dich und dein Konto wirksam gegen moderne MFA-Angriffe zu schützen. 

Du hast gelernt:

• Wie moderne Phishing-Angriffe sogar MFA aushebeln können
• Wie du verdächtige Mails, Links und Login-Seiten erkennst
• Welche Schutzmechanismen du selbst einsetzen kannst
• Welche Maßnahmen die IT umsetzen sollte, etwa Conditional Access und Session-Management
• Und wie Passkeys und FIDO2-Schlüssel dich vollständig phishing-resistent machen können

Wir fassen die Maßnahmen nochmal zusammen: