In Zeiten zunehmender Cyberangriffe ist Multi-Faktor-Authentifizierung (MFA) ein unverzichtbares Mittel, um digitale Identitäten wirksam zu schützen. Doch nicht alle MFA-Methoden bieten den gleichen Sicherheitsstandard – während einige Verfahren bereits umgangen werden können, setzen moderne Lösungen auf Phishing-Resistenz und eine passwortlose Zukunft.
In einer vernetzten Welt ist der Schutz digitaler Identitäten und sensibler Informationen essenziell. Benutzername und Passwort sind längst nicht mehr als sicher: Schwache oder mehrfach verwendete Passwörter sowie die hohe Anfälligkeit für Phishing und Man-in-the-Middle-Angriffe (MitM) machen diese Form der Authentifizierung zum Risiko.
Multi-Faktor-Authentifizierung (MFA) ist deshalb heute ein zentraler Bestandteil moderner Sicherheitskonzepte. Doch MFA ist nicht gleich MFA: Angriffe auf verbreitete Verfahren und Herausforderungen beim Rollout zeigen, dass auch MFA einem ständigen Wandel unterliegt.
Vom Einmalpasswort zum systemischen MFA-Einsatz
Ein früher Meilenstein auf dem Weg zu stärkerer Authentifizierung war das One-Time-Password (OTP). Es ergänzte Benutzername und Passwort um einen Besitzfaktor: Ein Gerät generierte per geheimem Schlüssel ein zeit- oder ereignisbasiertes Einmalpasswort – gespeichert auf dem Gerät (z. B. Displaytoken oder App) und im Backend-System.
OTP war ein sinnvoller erster Schritt, wurde aber bald angreifbar. Moderne Phishing-Methoden wie „Live-Relay-Angriffe“ nutzen Proxy-Plattformen wie Evilginx, um Passwörter und OTPs in Echtzeit abzugreifen. Eine simple Phishing-Website reicht oft aus, um beide Faktoren zu stehlen – trotz der kurzen Gültigkeitsdauer eines OTPs.
Push-basierte MFA: bequem, aber noch immer angreifbar
Mit dem Smartphone-Zeitalter etablierte sich Push-basierte MFA: Der Nutzer erhält eine Push-Nachricht zur Bestätigung des Logins. Das Verfahren ist bequem und benutzerfreundlich, aber nicht ohne Risiken. Angriffe wie „Push-Bombing“ oder „MFA-Fatigue“ setzen auf Überflutung mit Anfragen – bis der Nutzer genervt zustimmt. Kombiniert mit Phishing-Proxys kann dies zur vollständigen Kontoübernahme führen.
Als Schutzmaßnahme wurde „Number Matching“ eingeführt: Der Nutzer muss eine angezeigte Zahl in der App eingeben. Standort- und Geräteinformationen sollen zusätzlich helfen, die Authentifizierungsanfrage bewusst zu bewerten.
OTP und Push-MFA erweitern das Passwort um einen Faktor – das verbessert die Sicherheit, löst aber nicht das Grundproblem: das Passwort selbst. Es bleibt ein Schwachpunkt im Authentifizierungsprozess. Der nächste logische Schritt sind Verfahren, die passwortlos funktionieren und gleichzeitig gegen Phishing und Man-in-the-Middle-Angriffe resistent sind.
FIDO2/Passkeys: Passwortlos und Phishing-resistent
Ein Verfahren, das diese Anforderungen erfüllt und sich zunehmend als Standard etabliert, ist FIDO2/Passkey. Diese auch als FIDO2-Credentials bekannten Lösungen gelten als Synonym für passwortlose Authentifizierung. Sie basieren auf asymmetrischer Kryptografie: Jeder Nutzer besitzt ein Schlüsselpaar – ein privater Schlüssel bleibt sicher auf einem Authenticator (z. B. TPM oder ein FIDO-Token wie der Swissbit iShield Key), der öffentliche liegt auf dem Server, der sogenannten Relying Party (RP). Beim Login wird eine Challenge der RP mit dem privaten Schlüssel signiert und anschließend mit dem öffentlichen verifiziert – der private Schlüssel verlässt das Gerät nie, was einen klaren Vorteil gegenüber Passwort- oder OTP-basierten Verfahren darstellt.
Auch FIDO2/Passkeys erfüllen das Prinzip der Zwei-Faktor-Authentifizierung: Der private Schlüssel steht für den Besitzfaktor, sicher gespeichert im Authenticator. Als zweiter Faktor dient meist eine PIN oder biometrische Authentifizierung (Wissen oder Sein). Letztere bietet Komfort, wird aber bei Nichterkennung häufig durch eine PIN ersetzt – die somit zum eigentlichen Schutzmerkmal wird.
Trotzdem bietet die PIN ein deutlich höheres Sicherheitsniveau als Passwörter. Sie – ebenso wie biometrische Daten – wird ausschließlich lokal zur Entsperrung des privaten Schlüssels verwendet und niemals übertragen. Das macht FIDO2 äußerst resistent gegen Phishing.
Schutz vor MitM-Angriffen durch Origin- und Token-Binding
Ein wichtiger Schutzmechanismus in FIDO2 ist das Origin Binding. Bei der Registrierung wird die Domain (z. B. https://meinerp.xmpl) im Authenticator gespeichert. Versucht ein Angreifer, sich über eine gefälschte Seite einzuloggen, wird der Zugriff blockiert – die Domain stimmt nicht mit der hinterlegten überein. Token Binding ergänzt dies um eine weitere Sicherheitsebene: Authentifizierungstoken werden kryptografisch an Browser und Gerät gebunden. So lassen sie sich nicht auf anderen Geräten missbrauchen – selbst bei Man-in-the-Middle-Angriffen nicht.
Beide Verfahren bieten wirksamen Schutz gegen MitM-Angriffe.
Lokale vs. gesyncte Passkeys: Sicherheit vs. Komfort
Traditionell werden FIDO2-Credentials lokal gespeichert – etwa auf FIDO-Tokens oder in TPMs. Mit der Verbreitung mobiler Geräte sind jedoch auch gesyncte Passkeys populärer geworden. Dabei wird der private Schlüssel über eine Cloud-Infrastruktur (z. B. Apple iCloud oder Google) auf andere Geräte des Nutzers synchronisiert. Das erhöht den Komfort, birgt aber Risiken: Der Schlüssel verlässt temporär seinen sicheren Container, was die Sicherheitsarchitektur schwächt. Die Sicherheit solcher Lösungen hängt stark von der Umsetzung der jeweiligen Plattformbetreiber ab. Zudem ist die Interoperabilität zwischen Apple, Google und Microsoft noch eingeschränkt. Zwar gibt es mit Cross-Device-Authentication Wege zur plattformübergreifenden Nutzung – doch im Vergleich zu FIDO-Tokens ist das Handling weniger effizient und teils umständlich.
Der Weg zu Passwordless ist ein Projekt
Die Richtung ist klar: Weg vom Passwort, hin zu echten Phishing-resistenten Authentifizierungslösungen. Doch der Weg dorthin ist selten gradlinig. In gewachsenen IT-Landschaften, insbesondere im Enterprise-IT-Umfeld, gibt es oft Systeme, die FIDO2 nicht unterstützen oder sich nicht ohne Weiteres in zentrale Identity-and-Access-Management-Systeme integrieren lassen. Eine erfolgreiche Transformation erfordert daher:
- die Ist-Analyse der Systeme,
- die Definition des Zielbilds für zukünftige Authentifizierung,
- die Identifikation von Lücken, um notwendige Maßnahmen abzuleiten
Dabei können auch Reifegradmodelle, die das Thema MFA behandeln, Orientierung bieten: Sie helfen, den aktuellen Stand der MFA-Sachlage zu erfassen und zu bewerten und strategische Entwicklungspfade zu definieren – von „Less Passwords“ hin zu „Passwordless“. Dabei werden verschiedene Aspekte zum Reifegrad aus unterschiedlichen Bereichen (technischer Reifegrad, User, Systeme, Prozesse) erfasst und bewertet (von 0 – es ist nichts da oder nur sehr schlecht implementiert – bis 5 – es wird kontinuierlich optimiert und auditiert).
Fazit: MFA neu denken
Multi-Faktor-Authentifizierung hat sich von einer Zusatzmaßnahme zu einer sicherheitsstrategischen Kernkomponente entwickelt. Doch nicht jedes MFA-Verfahren ist gleich sicher. OTPs und Push-Verfahren sind besser als nichts – aber echte Sicherheit erfordert mehr.
FIDO2/Passkeys bieten eine neue Qualität der Authentifizierung: Phishing-resistent, benutzerfreundlich und zukunftsfähig. Ihre Einführung ist jedoch kein Plug-and-Play-Projekt, sondern erfordert klare Strategie, technische Integration und die Bereitschaft, gewohnte Sicherheitsmechanismen hinter sich zu lassen. Die Investition lohnt sich: für mehr Sicherheit, weniger Angriffsfläche – und ein digitales Fundament, das der wachsenden Bedrohungslage gewachsen ist.