Die Multi-Faktor-Authentifizierung (MFA) gilt als wichtiger Baustein moderner IT-Sicherheit. Sie kombiniert mehrere Authentifizierungsfaktoren – etwa Passwort, Smartphone oder biometrische Daten – und erhöht damit die Sicherheit beim Zugriff auf Systeme und Anwendungen.

Dennoch ist MFA kein vollständiger Schutz. Cyberkriminelle haben mittlerweile verschiedene Methoden entwickelt, um auch mehrstufige Authentifizierungsverfahren zu umgehen. Unternehmen sollten deshalb zusätzliche Sicherheitsmaßnahmen einsetzen, um ihre Systeme effektiv zu schützen.

Warum MFA allein nicht ausreicht

Im Darknet kursieren Milliarden gestohlener Zugangsdaten. Diese Kombinationen aus Benutzername und Passwort ermöglichen Angreifern den Zugriff auf Onlinekonten und Unternehmenssysteme.

Zwar erhöht MFA das Sicherheitsniveau deutlich, doch Cyberkriminelle nutzen gezielte Angriffstechniken, um die zusätzlichen Schutzmechanismen zu umgehen – häufig über Social Engineering oder technische Schwachstellen.

7 Methoden, mit denen Hacker Multi-Faktor-Authentifizierung umgehen

1. SIM-Swapping

Beim SIM-Swapping übernehmen Angreifer die Kontrolle über eine Mobilfunknummer. Sie täuschen beim Mobilfunkanbieter einen Gerätewechsel vor und erhalten eine neue SIM-Karte mit der Nummer des Opfers. Dadurch können sie SMS-Codes oder Anrufe zur Authentifizierung abfangen.

2. Phishing-Angriffe

Phishing-Seiten sehen oft identisch mit der echten Login-Seite aus. Opfer geben dort ihre Zugangsdaten und One-Time-Passwörter ein. Die Angreifer nutzen diese Informationen in Echtzeit, um sich im echten System anzumelden.

3. Man-in-the-Middle-Angriffe

Bei dieser Angriffsmethode platzieren sich Hacker zwischen Nutzer und Zielsystem. Sie können so Login-Daten, OTP-Codes oder Kreditkartendaten abfangen und manipulieren.

4. Robocalls

Automatisierte Telefonanrufe geben sich als Support-Mitarbeiter oder Bank aus. Opfer werden dazu gebracht, sensible Daten preiszugeben – darunter Zugangsdaten oder Verifizierungscodes.

5. SMS-basierte One-Time-Passwörter

SMS-TAN-Verfahren gelten heute als vergleichsweise unsicher, da Angreifer Mobilfunknetz-Schwachstellen ausnutzen oder SMS abfangen können.

6. Helpdesk-Spoofing

Cyberkriminelle geben sich als Mitarbeitende aus und kontaktieren den IT-Support. Ziel ist es, Informationen über Passwort-Reset-Prozesse zu erhalten oder direkt Zugangsdaten zu ändern.

7. Push-Benachrichtigungs-Angriffe

Bei sogenannten Push-Fatigue-Angriffen senden Hacker wiederholt Login-Anfragen an das Smartphone des Opfers. Irgendwann bestätigt der Nutzer genervt oder versehentlich die Anfrage – und gewährt den Zugriff.

Wie Unternehmen ihre Sicherheit verbessern können

Da MFA allein keinen vollständigen Schutz bietet, sollten Organisationen zusätzliche Sicherheitsstrategien implementieren.

Wichtige Maßnahmen

• Einsatz von Threat Detection und Monitoring-Systemen

• kontinuierliche Analyse von Netzwerkaktivitäten

• Schulung der Mitarbeitenden zu Phishing und Social Engineering

• Einsatz sicherer Authentifizierungsverfahren (z. B. Authenticator Apps)

• Implementierung eines Managed Detection and Response (MDR)-Systems

Solche Lösungen helfen, verdächtige Aktivitäten frühzeitig zu erkennen und Angriffe zu stoppen, bevor Schaden entsteht.

Fazit

Multi-Faktor-Authentifizierung ist ein wichtiger Bestandteil moderner IT-Sicherheit, bietet jedoch keinen vollständigen Schutz vor Cyberangriffen. Hacker nutzen zunehmend ausgefeilte Methoden, um MFA zu umgehen.

Unternehmen sollten deshalb ihre Sicherheitsstrategie erweitern und neben MFA auch auf frühzeitige Angriffserkennung, kontinuierliches Monitoring und Security Awareness setzen.

Cyberangriffe werden immer raffinierter – und bleiben häufig lange unentdeckt. Datenverschlüsselung, Systemausfälle und Produktionsstillstände sind oft die Folge. Um solche Szenarien zu verhindern, braucht moderne IT-Security mehr als klassische Schutzmechanismen.
Ein zentraler Baustein ist heute die Anomalie-Früherkennung im Netzwerk.

Was versteht man unter Anomalieerkennung?

Anomalieerkennung bezeichnet das Identifizieren ungewöhnlicher Aktivitäten, die vom normalen Netzwerkverhalten abweichen und auf einen Angriff hindeuten können.

Typische Anomalien sind zum Beispiel:

• unbekannte Geräte im Netzwerk

• Zugriffe von ungewöhnlichen oder externen IP-Adressen

• Nutzung atypischer Protokolle

• plötzliche Spitzen im Datenverkehr

• Logins außerhalb üblicher Zeiten

Solche Auffälligkeiten sind häufig erste Hinweise auf Ransomware oder APT-Angriffe.

Warum Anomalien Angriffe früh sichtbar machen

Viele Cyberangriffe verlaufen nicht sofort destruktiv. Angreifer bewegen sich oft wochenlang unauffällig im Netzwerk, analysieren Strukturen und bereiten den eigentlichen Angriff vor.

Die Anomalieerkennung:

• erkennt Abweichungen vom Normalverhalten

• funktioniert auch bei unbekannten Angriffsmustern

• ermöglicht Reaktionen, bevor Schaden entsteht

Laut der Allianz für Cybersicherheit ist sie deshalb ein entscheidender Bestandteil moderner Angriffserkennung.

Netzwerkmonitoring als technische Grundlage

Grundlage jeder Anomalie-Früherkennung ist ein kontinuierliches Netzwerkmonitoring. Dabei werden unter anderem erfasst:

• Netzwerkverbindungen und Datenströme

• Protokolle und Systemaktivitäten

• Auslastung von Servern und Diensten

• lokale, drahtlose und Cloud-Netzwerke

Wichtig: Monitoring allein reicht nicht aus. Erst die Analyse und schnelle Bewertung von Warnmeldungen macht ein Frühwarnsystem wirksam.

Besonderes Risiko: ICS- und KRITIS-Netzwerke

Industrie- und Produktionsnetze (ICS) verfügen häufig über:

• proprietäre Protokolle

• kaum integrierte Sicherheitsmechanismen

• enge Kopplung an klassische IT-Netzwerke

Gerade in kritischen Infrastrukturen (KRITIS) sind Anomalien oft der einzige frühe Hinweis auf unbefugte Zugriffe. Viele Angriffe auf Steuerungssysteme erfolgen nicht direkt, sondern über das angebundene IT-Netz.

Welche Aktivitäten gelten als kritisch?

Moderne, teils KI-gestützte Systeme bewerten automatisch, ob Aktivitäten auffällig sind. Dazu zählen u. a.:

• ungewöhnliche Login-Muster

• seitliche Bewegungen im Netzwerk

• Port- und Netzwerkscans

• Abweichungen vom normalen Kommunikationsverhalten

Gerade bei gezielten Angriffen sind es diese kleinen Unregelmäßigkeiten, die entscheidend sind.

Warum Managed Services sinnvoll sind

Ein effektives IT-Security-Frühwarnsystem erfordert:

• kontinuierliche Überwachung

• schnelle Analyse

• sofortige Reaktion

Ein eigenes Security Operations Center (SOC) ist für viele Unternehmen jedoch kaum realisierbar.

Mit Managed Detection and Response (MDR) bietet Allgeier CyRis eine praktikable Alternative. Der Active Cyber Defense Service übernimmt:

• Netzwerkmonitoring und Anomalieerkennung

• Bewertung durch erfahrene Security-Experten

• Reaktion in Echtzeit bei verdächtigen Ereignissen

So lassen sich Angriffe stoppen, bevor Systeme verschlüsselt oder lahmgelegt werden.

Gesetzliche Vorgaben erhöhen den Druck

Mit dem IT-Sicherheitsgesetz 2.0 ist für KRITIS-Betreiber eine aktive Angriffserkennung verpflichtend. Gefordert werden unter anderem:

• kontinuierliche Datenerfassung

• automatisierte Auswertung

• Reaktionsfähigkeit in Echtzeit

Auch für andere Unternehmen sind diese Vorgaben ein klares Signal.

Fazit: Früh erkennen statt reagieren

Anomalie-Früherkennung schafft Transparenz dort, wo klassische Sicherheitslösungen an ihre Grenzen stoßen. Sie ist ein zentraler Baustein moderner IT-Sicherheitsstrategien – insbesondere gegen Ransomware und APTs.

Wie gut erkennt Ihre IT ungewöhnliche Aktivitäten?
Lassen Sie Ihre Sicherheitsstrategie prüfen – wir beraten Sie gerne.