MFA reicht nicht — 5 Wege, wie Angreifer Multi-Faktor-Authentifizierung umgehen

Veröffentlicht: Mai 2026 | Lesezeit: ca. 9 Minuten

Die trügerische Sicherheit

Multi-Faktor-Authentifizierung ist zum De-facto-Standard für die Absicherung von Unternehmens-Accounts geworden. IT-Teams setzen sie um, Auditoren verlangen sie, und Cyberversicherungen machen sie zur Pflicht. Die Annahme: Wenn ein Angreifer ein Passwort erbeutet, stoppt ihn der zweite Faktor.

Diese Annahme ist gefährlich falsch.

Allein 2025 meldete Microsoft, dass über 10.000 Organisationen von Adversary-in-the-Middle-Phishing-Kampagnen (AiTM) betroffen waren, die MFA komplett umgingen. Die Lapsus$-Gruppe kompromittierte Uber, Okta und Rockstar Games — allesamt durch MFA geschützt. Der MGM-Resorts-Hack im September 2023, der über 100 Millionen Dollar Schaden verursachte, begann mit einem simplen Social-Engineering-Anruf beim Help Desk, der die MFA-Kontrollen außer Kraft setzte.

„MFA ist eine Temposchwelle, keine Mauer. Sie bremst Angreifer — aber erfahrene Akteure fahren einfach drüber."

Dieser Artikel zeigt fünf reale Techniken, die Bedrohungsakteure aktiv einsetzen, um MFA auszuhebeln — und was Sie dagegen tun können.

1. Adversary-in-the-Middle (AiTM) Phishing

Wie es funktioniert: Der Angreifer schaltet einen Reverse-Proxy zwischen das Opfer und die echte Login-Seite. Der Nutzer sieht die tatsächliche Microsoft-365- oder Google-Workspace-Oberfläche — inklusive MFA-Abfrage. Er gibt sein Passwort ein, bestätigt die Push-Benachrichtigung oder tippt den TOTP-Code ein. Der Proxy leitet alles in Echtzeit an den echten Server weiter, fängt das resultierende Session-Cookie ab und übergibt es dem Angreifer. Der Nutzer ist eingeloggt. Der Angreifer ebenfalls.

Tools in freier Wildbahn: Open-Source-Frameworks wie EvilGinx2, Modlishka und Muraena machen den Aufbau trivial einfach. Das sind keine theoretischen Werkzeuge — sie werden in Angriffen eingesetzt, die von Microsoft Threat Intelligence, Zscaler ThreatLabz und Group-IB dokumentiert sind.

Warum es so effektiv ist: Jede MFA-Methode, die auf der Authentifizierung über einen Browser basiert — Push-Benachrichtigungen, TOTP-Codes, SMS-Codes — ist anfällig für AiTM. Der Proxy sitzt zwischen Nutzer und Server; er muss den zweiten Faktor nicht knacken, er leitet ihn einfach weiter.

Schutzmaßnahme: Hardware-Sicherheitsschlüssel mit FIDO2/WebAuthn sind die einzige MFA-Methode, die gegen AiTM-Phishing resistent ist — weil der Schlüssel kryptographisch an die legitime Domain gebunden wird. Ein Proxy auf einer anderen Domain kann den Handshake nicht abschließen. Zusätzlich sollten Sie auf Indikatoren für Token-Diebstahl monitoren: Logins von nicht übereinstimmenden IPs, plötzliches geo-unmögliches Reisen und neue Geräteregistrierungen.

2. MFA Fatigue (Push-Notification-Bombing)

Wie es funktioniert: Der Angreifer hat bereits Benutzername und Passwort des Opfers — typischerweise aus einem Credential-Leak im Dark Web. Er initiiert Login-Versuche in schneller Folge und löst eine Flut von Push-Benachrichtigungen auf dem Handy des Opfers aus. Nach Dutzenden „Haben Sie gerade versucht, sich anzumelden?"-Meldungen — oft um 2 Uhr nachts — tippt der Nutzer auf „Genehmigen", nur damit es aufhört.

Realer Fall: Genau so kompromittierte die Lapsus$-Gruppe im September 2022 Uber. Der Angreifer bombardierte einen Uber-Auftragnehmer mit Push-Anfragen und kontaktierte ihn dann per WhatsApp als vermeintlicher IT-Support mit der Behauptung, die einzige Möglichkeit, die Meldungen zu stoppen, sei eine zu genehmigen. Der Auftragnehmer tat es. Von dort bewegte sich der Angreifer lateral zu internem Slack, Source-Code-Repositories und Admin-Dashboards.

„Der Angreifer muss MFA nicht knacken. Er braucht nur einen erschöpften Mitarbeiter um 2 Uhr nachts."

Schutzmaßnahme: Number Matching erzwingen (der Nutzer muss einen am Login-Bildschirm angezeigten Code in die App eintippen). Microsoft Authenticator, Okta und Duo unterstützen das. Schwellenwerte setzen: Mehr als 3 abgelehnte Push-Anfragen in 5 Minuten sollten eine automatische Kontosperre und einen SOC-Alert auslösen.

3. SIM Swapping

Wie es funktioniert: Der Angreifer kontaktiert den Mobilfunkanbieter des Opfers — per Telefon, über einen Retail-Store oder über einen korrumpierten Carrier-Mitarbeiter — und überzeugt ihn, die Telefonnummer auf eine neue SIM-Karte zu übertragen. Sobald die Nummer portiert ist, empfängt der Angreifer alle SMS, einschließlich Einmal-Passcodes. Das Telefon des Opfers wird stumm.

Ausmaß des Problems: Das FBI erhielt allein 2022 über 2.000 SIM-Swapping-Beschwerden mit Schäden von über 72 Millionen Dollar — und das sind nur die gemeldeten Fälle. Im Januar 2024 wurde der offizielle X-Account (Twitter) der US-Börsenaufsicht SEC per SIM-Swap gekapert, was zu einem gefälschten Bitcoin-ETF-Tweet führte, der kurzzeitig die Kryptomärkte bewegte. Hochwertige Ziele — Führungskräfte, Krypto-Besitzer, IT-Administratoren — sind überproportional betroffen.

Warum es immer noch funktioniert: Trotz jahrelanger Warnungen haben die meisten Mobilfunkanbieter weiterhin schwache Identitätsprüfungen für SIM-Transfers. Auch Insider-Korruption bei Carriern ist dokumentiert: 2023 wurde ein T-Mobile-Mitarbeiter angeklagt, der für eine kriminelle Gruppe unautorisierte SIM-Swaps durchgeführt hatte.

Schutzmaßnahme: SMS niemals als zweiten Faktor für kritische Systeme verwenden. Migration zu Authenticator-Apps oder FIDO2-Schlüsseln. Für Accounts, die noch eine Telefonnummer erfordern, Carrier-PINs setzen und Port-Out-Sperren beantragen. Dark-Web-Foren auf geleakte Telefonnummern und Carrier-Account-Daten Ihrer Mitarbeiter monitoren.

4. Session Hijacking und Token-Diebstahl

Wie es funktioniert: MFA schützt den Login-Moment — aber nicht die darauf folgende Session. Nach erfolgreicher Authentifizierung stellt die Anwendung ein Session-Token (Cookie) aus. Stiehlt ein Angreifer dieses Token, übernimmt er die authentifizierte Sitzung, ohne jemals den MFA-Flow berührt zu haben.

Angriffsvektoren: Infostealer wie RedLine, Raccoon und Lumma sind der primäre Verbreitungsweg. Diese Malware-Familien werden als Service auf Dark-Web-Marktplätzen ab 150 Dollar pro Monat verkauft. Sie extrahieren Browser-Cookies, gespeicherte Passwörter und Session-Tokens von infizierten Endpunkten. Eine einzige Infostealer-Infektion kann aktive Sessions für Microsoft 365, Google Workspace, Salesforce und Dutzende SaaS-Anwendungen abgreifen — in unter 60 Sekunden.

Dimension: Laut Flare Systems und Hudson Rock wurden 2024 über 20 Millionen Geräte mit Infostealern infiziert. Die gestohlenen Sessions werden auf spezialisierten Dark-Web-Märkten wie Russian Market und Genesis Market (vom FBI 2023 beschlagnahmt, aber durch Nachfolger ersetzt) gehandelt. Eine kompromittierte Session zu einem Microsoft-365-Firmentenant wird für 10–50 Dollar verkauft.

„Ihre MFA hat an der Haustür ihren Job gemacht. Aber der Angreifer ist durchs Fenster eingestiegen — mit einem gestohlenen Session-Token."

Schutzmaßnahme: Conditional-Access-Richtlinien erzwingen, die Sessions an Geräte-Compliance und IP-Bereiche binden. Session-Token-Laufzeiten für sensible Anwendungen verkürzen. EDR-Lösungen zur Erkennung von Infostealer-Infektionen einsetzen. Am wichtigsten: Dark-Web-Märkte auf gestohlene Credentials und Session-Tokens monitoren, die mit Ihren Firmendomains verknüpft sind — hier gewinnt Früherkennung wertvolle Reaktionszeit, bevor das Token eingesetzt wird.

5. Social Engineering am Help Desk

Wie es funktioniert: Der Angreifer ruft beim IT-Help-Desk an, gibt sich als Mitarbeiter aus und fordert einen MFA-Reset. „Ich habe ein neues Handy und komme nicht mehr an meinen Authenticator." Mit genügend öffentlich verfügbaren Informationen — Mitarbeitername, E-Mail-Adresse, Name des Vorgesetzten, Mitarbeiternummer aus einem LinkedIn-Post — besteht der Social Engineer die grundlegende Identitätsprüfung. Der Help Desk setzt MFA zurück. Der Angreifer registriert sein eigenes Gerät.

Realer Fall: Der MGM-Resorts-Breach im September 2023 — einer der teuersten Cybervorfälle der jüngeren Geschichte — begann mit einem 10-minütigen Telefonat beim Help Desk. Die Scattered-Spider-Gruppe identifizierte einen MGM-Mitarbeiter auf LinkedIn, rief die IT-Hotline an und überzeugte den Agenten, die Zugangsdaten des Mitarbeiters zurückzusetzen. Von diesem einzelnen Reset aus bewegten sich die Angreifer lateral zu MGMs Okta- und Azure-AD-Umgebungen, setzten Ransomware ein und legten den Casino-Betrieb in ganz Las Vegas lahm. Geschätzter Gesamtschaden: über 100 Millionen Dollar.

Warum es immer wieder funktioniert: Help Desks sind auf Geschwindigkeit optimiert, nicht auf Sicherheit. Agenten bearbeiten Hunderte Anfragen pro Tag. Die Identitätsprüfung beschränkt sich oft auf Fragen, deren Antworten in sozialen Medien verfügbar sind. Unter Druck, Service-Levels einzuhalten, setzen Agenten MFA ohne robuste Verifizierung zurück.

Schutzmaßnahme: Rückruf-Verifizierung an vorregistrierte Telefonnummern implementieren. Video-Identitätsprüfung für MFA-Resets verlangen. Identity-Proofing-Lösungen wie Okta oder Microsoft Entra Verified ID einsetzen. Help-Desk-Mitarbeiter gezielt auf Social-Engineering-Szenarien schulen — einschließlich der Vorwände „neues Handy" und „ausgesperrte Führungskraft".

Das große Bild: Warum MFA allein scheitert

Keine dieser fünf Techniken ist theoretisch. Sie werden in aktiven Kampagnen eingesetzt, von Gruppen die von staatlichen Akteuren bis hin zu finanziell motivierten Ransomware-Gangs reichen. Der gemeinsame Nenner: MFA schützt einen einzelnen Moment — das Authentifizierungsereignis. Angreifer haben gelernt, alles um diesen Moment herum anzugreifen: die Psychologie des Nutzers, die Session nach dem Login, den Help Desk der Credentials zurücksetzt, den Carrier der die Telefonnummer kontrolliert.

Ein Defense-in-Depth-Ansatz ist unverzichtbar:

  • Phishing-resistente MFA: FIDO2-Sicherheitsschlüssel für privilegierte und hochrisikoreiche Accounts
  • Conditional Access: Sessions an verwaltete Geräte und vertrauenswürdige Netzwerke binden
  • Credential Monitoring: Gestohlene Passwörter und Session-Tokens im Dark Web erkennen, bevor sie eingesetzt werden
  • Infostealer-Erkennung: EDR/XDR plus Dark-Web-Monitoring für exfiltrierte Cookies und Tokens
  • Help-Desk-Härtung: Identity-Proofing für alle Credential- und MFA-Reset-Anfragen
  • Kontinuierliche Session-Evaluierung: Anomalieerkennung für Session-Tokens, die von unerwarteten Standorten oder Geräten genutzt werden

Ihre Zugangsdaten könnten bereits kompromittiert sein

Die meisten Unternehmen erfahren erst nach dem Breach von gestohlenen Zugangsdaten. Blackveil überwacht Dark-Web-Marktplätze, Infostealer-Logs und Credential-Dumps kontinuierlich — und alarmiert Sie in dem Moment, in dem Ihre Firmendomains, E-Mail-Adressen oder Session-Tokens auftauchen.

Eine Blackveil Dark-Web-Analyse zeigt Ihnen innerhalb von 24 Stunden, welche Zugangsdaten Ihres Unternehmens aktiv im Umlauf sind — und für welche der fünf Angriffsmethoden Ihre Organisation am verwundbarsten ist.

Jetzt kostenlose Dark-Web-Analyse anfordern — und erfahren Sie, was Angreifer bereits über Ihre Organisation wissen.

Themen: MFA Bypass Phishing Session Hijacking Credential-Diebstahl Dark Web
Teilen: Auf LinkedIn teilen Auf X teilen
Ist Ihr Unternehmen betroffen?

Finden Sie innerhalb von 24 Stunden heraus, ob Zugangsdaten oder Session-Tokens Ihres Unternehmens im Dark Web kursieren — mit einer kostenlosen Blackveil-Analyse.

Kostenlose Dark-Web-Analyse buchen