Die Multi-Faktor-Authentifizierung (MFA) gilt als wichtiger Baustein moderner IT-Sicherheit. Sie kombiniert mehrere Authentifizierungsfaktoren – etwa Passwort, Smartphone oder biometrische Daten – und erhöht damit die Sicherheit beim Zugriff auf Systeme und Anwendungen.

Dennoch ist MFA kein vollständiger Schutz. Cyberkriminelle haben mittlerweile verschiedene Methoden entwickelt, um auch mehrstufige Authentifizierungsverfahren zu umgehen. Unternehmen sollten deshalb zusätzliche Sicherheitsmaßnahmen einsetzen, um ihre Systeme effektiv zu schützen.

Warum MFA allein nicht ausreicht

Im Darknet kursieren Milliarden gestohlener Zugangsdaten. Diese Kombinationen aus Benutzername und Passwort ermöglichen Angreifern den Zugriff auf Onlinekonten und Unternehmenssysteme.

Zwar erhöht MFA das Sicherheitsniveau deutlich, doch Cyberkriminelle nutzen gezielte Angriffstechniken, um die zusätzlichen Schutzmechanismen zu umgehen – häufig über Social Engineering oder technische Schwachstellen.

7 Methoden, mit denen Hacker Multi-Faktor-Authentifizierung umgehen

1. SIM-Swapping

Beim SIM-Swapping übernehmen Angreifer die Kontrolle über eine Mobilfunknummer. Sie täuschen beim Mobilfunkanbieter einen Gerätewechsel vor und erhalten eine neue SIM-Karte mit der Nummer des Opfers. Dadurch können sie SMS-Codes oder Anrufe zur Authentifizierung abfangen.

2. Phishing-Angriffe

Phishing-Seiten sehen oft identisch mit der echten Login-Seite aus. Opfer geben dort ihre Zugangsdaten und One-Time-Passwörter ein. Die Angreifer nutzen diese Informationen in Echtzeit, um sich im echten System anzumelden.

3. Man-in-the-Middle-Angriffe

Bei dieser Angriffsmethode platzieren sich Hacker zwischen Nutzer und Zielsystem. Sie können so Login-Daten, OTP-Codes oder Kreditkartendaten abfangen und manipulieren.

4. Robocalls

Automatisierte Telefonanrufe geben sich als Support-Mitarbeiter oder Bank aus. Opfer werden dazu gebracht, sensible Daten preiszugeben – darunter Zugangsdaten oder Verifizierungscodes.

5. SMS-basierte One-Time-Passwörter

SMS-TAN-Verfahren gelten heute als vergleichsweise unsicher, da Angreifer Mobilfunknetz-Schwachstellen ausnutzen oder SMS abfangen können.

6. Helpdesk-Spoofing

Cyberkriminelle geben sich als Mitarbeitende aus und kontaktieren den IT-Support. Ziel ist es, Informationen über Passwort-Reset-Prozesse zu erhalten oder direkt Zugangsdaten zu ändern.

7. Push-Benachrichtigungs-Angriffe

Bei sogenannten Push-Fatigue-Angriffen senden Hacker wiederholt Login-Anfragen an das Smartphone des Opfers. Irgendwann bestätigt der Nutzer genervt oder versehentlich die Anfrage – und gewährt den Zugriff.

Wie Unternehmen ihre Sicherheit verbessern können

Da MFA allein keinen vollständigen Schutz bietet, sollten Organisationen zusätzliche Sicherheitsstrategien implementieren.

Wichtige Maßnahmen

• Einsatz von Threat Detection und Monitoring-Systemen

• kontinuierliche Analyse von Netzwerkaktivitäten

• Schulung der Mitarbeitenden zu Phishing und Social Engineering

• Einsatz sicherer Authentifizierungsverfahren (z. B. Authenticator Apps)

• Implementierung eines Managed Detection and Response (MDR)-Systems

Solche Lösungen helfen, verdächtige Aktivitäten frühzeitig zu erkennen und Angriffe zu stoppen, bevor Schaden entsteht.

Fazit

Multi-Faktor-Authentifizierung ist ein wichtiger Bestandteil moderner IT-Sicherheit, bietet jedoch keinen vollständigen Schutz vor Cyberangriffen. Hacker nutzen zunehmend ausgefeilte Methoden, um MFA zu umgehen.

Unternehmen sollten deshalb ihre Sicherheitsstrategie erweitern und neben MFA auch auf frühzeitige Angriffserkennung, kontinuierliches Monitoring und Security Awareness setzen.