Cybersicherheit wird oft als Wettrüsten beschrieben. Unternehmen investieren stark in stärkere Authentifizierungsmechanismen, Verschlüsselungsstandards und mehrschichtige Abwehrmaßnahmen. Immer mehr Unternehmen wechseln zur Zwei-Faktor-Authentifizierung, auch bekannt als Multi-Faktor-Authentifizierung, um Daten, Geschäftsgeheimnisse und sensible Informationen zusätzlich zur klassischen Kombination aus Benutzername und Passwort besser zu schützen.
Das ist ein guter Ansatz für höhere Sicherheit, leider aber kein Allheilmittel.
Durch das Konzept der Multi-Faktor-Authentifizierung wurde eine der bedeutendsten technischen Sicherheitsverbesserungen des letzten Jahrzehnts erreicht. So können durch Einführung eines zweiten Faktors automatisierte Angriffe verhindert, Credential Stuffing blockiert und die Erfolgsaussichten eines klassischen Hackerangriffs deutlich gesenkt werden. Das haben auch die Hacker verstanden und suchen sich immer mehr nicht technologie-basierte Schlupflöcher, die die Person des Nutzers und dessen Psychologie in den eigentlichen Mittelpunkt rücken lassen.
Der Mensch als schwächstes Glied
Das Sprichwort „Eine Kette ist nur so stark wie ihr schwächstes Glied“ gilt auch in der Cybersicherheit. Denn Schwächen wie die Wahl unsicherer Passwörter oder ein mangelndes Bewusstsein für Cybersicherheit, Phishing und Social Engineering führen dazu, dass Cyberkriminelle nicht Systeme hacken, sondern Menschen manipulieren.
Häufig werden auch menschliche Eigenschaften ausgenutzt, wie Neugier, Hilfsbereitschaft, Angst, Vertrauen oder der Respekt vor der Autorität. Im Zusammenhang mit Social Engineering spricht man daher auch von Human Hacking – der bewussten Manipulation von Menschen.
Opfer sollen so dazu gebracht werden, vertrauliche Informationen und Firmendaten preiszugeben, aber auch Zugangsdaten wie Passwörter oder 2FA-Codes.
Mit welchen Techniken lässt sich die Zwei-Faktor-Authentifizierung (2FA) aushebeln?
Die Gefahr durch Social Engineering- und Phishing-Attacken ist in den letzten Jahren deutlich angestiegen, wurde im Gegenzug aber auch stärker bekämpft. Dies geschieht einerseits durch Mitarbeiterschulungen und Aufklärungskampagnen, andererseits durch die Einführung von verstärkten Authentifizierungsmethoden wie 2FA/MFA. Dennoch bleibt die Bedrohung durch solche Angriffe enorm.
Kriminelle nutzen zunehmend KI-Tools, während die verstärkte Absicherung der Unternehmen sie zusätzlich unter Druck setzt. Infolgedessen entwickeln die Bedrohungsakteure immer raffiniertere Methoden und Strategien, die die Unternehmen und Nutzer vor neue Herausforderungen stellen.
Nachfolgend stellen wir einige der meistgenutzten und gefährlichsten Methoden vor:
MFA-Fatigue-Angriff
Beim MFA-Fatigue-Angriff, auch bekannt als MFA-Bombardierung, verwenden Angreifer zuvor erbeutete Zugangsdaten und lösen wiederholt Login-Versuche aus, die in Form von Push-Benachrichtigungen (Ja/Nein) auf dem Handy des Opfers erscheinen. Ziel dieser unzähligen Nachrichten ist es, die Opfer dazu zu bringen, aus Frustration, Verwirrung oder versehentlich eine dieser Anfragen zu bestätigen, was den Angreifern den Zugriff auf das Konto gewährt.
Adversary-in-the-Middle-Angriff
Bei einem Adversary-in-the-Middle-Angriff (AitM) gaukeln Angreifer dem Benutzer vor, dass er seine Login-Daten inklusive des 2FA-Codes auf einer legitimen Anmeldeseite eingibt. In Wirklichkeit handelt es sich dabei um eine täuschend echte Fake-Login-Seite, die die Angreifer in Echtzeit zwischen Nutzer und dem echten Dienst schalten. So lassen sich Anmeldedaten und Authentifizierungs-Codes abfangen, um Session-Cookies zu stehlen und sich als Nutzer einzuloggen.
SIM-Karten-Wechsel-Angriff
Bei einem SIM-Karten-Wechsel-Angriff (SIM-Swapping) kontaktieren Angreifer den Mobilfunkanbieter des Opfers und geben sich mit zuvor beschafften persönlichen Informationen als jenes Opfer aus. Sie behaupten, das Handy sei defekt oder verloren gegangen, und lassen die Mobilfunknummer auf eine neue SIM-Karte übertragen. Dies führt dazu, dass SMS-TANs für das Online-Banking oder Logins bei den Betrügern landen und die gekaperte Handynummer zum Generalschlüssel für das gesamte digitale Leben wird.
Angriff auf den Service Desk
Angreifer wenden sich hierbei an Service-Desk-Mitarbeiter und geben vor, den Zugang zum zweiten Faktor verloren oder das Passwort vergessen zu haben. Durch psychologische Manipulation versuchen die Kriminellen dann, die Mitarbeiter dazu zu bringen, die Multi-Faktor-Authentifizierung auszuschalten oder Passwörter zurückzusetzen. Erfolgt hier keine Verifikation des Anrufers, erhalten die Kriminellen relativ schnell Zugang zur Infrastruktur des Unternehmens.
Beantwortung von Sicherheitsfragen
Auch wenn Sicherheitsfragen ein erhebliches Sicherheitsrisiko darstellen, da die Antworten oft leicht herauszufinden sind, reicht es bei Login-Problemen zum Teil aus, eine Sicherheitsfrage zu beantworten. Genau dies nutzen Angreifer aus, um die Zwei-Faktor-Authentifizierung zu umgehen. Die Antworten auf Fragen wie „Was war Dein erstes Haustier?“ oder „Wie lautet der Mädchenname Deiner Mutter?“ lassen sich zum Beispiel mittels Social Engineering herausfinden.
Wie kann ich mich wirksam gegen Social Engineering Attacken schützen?
Unternehmen und Nutzer müssen sich darüber im Klaren sein, dass die Zwei-Faktor- oder Multi-Faktor-Authentifizierung das Problem schwacher Passwörter nicht löst. Sie stellen in erster Linie einen zusätzlichen Schutz für das Passwort dar, können aber überwunden werden. Dennoch bleiben sie wichtig, wie Sicherheitsexperten betonen. Entscheidend ist dabei die Art der Authentifizierung.
Nachfolgend einige Schlüsselstrategien für besseren Schutz auf Anbieterseite:
- SMS meiden: Deutlich sicherer als SMS-Codes sind Authenticator-Apps (z. B. Google Authenticator, Microsoft Authenticator, FreeOTP) oder physische Sicherheitsschlüssel (Hardware-Token). Sie sind auch immun gegen SIM-Swapping-Angriffe. Darüber hinaus können SMS-Nachrichten grundsätzlich abgefangen und mitgelesen werden und bieten auch keine Ende-zu-Ende-Verschlüsselung (E2EE).
- Phishing-resistente MFA nutzen: Moderne Authentifizierungsverfahren wie Passkeys, die auf dem FIDO2-Standard basieren und kryptografische Schlüssel verwenden, bieten einen starken Schutz gegen Phishing und Fake-Login-Seiten.
- Maßnahmen zum Schutz des Service Desks: Neben strengen Verifizierungsprozessen wie bi-direktionalen Identitätsprüfungen, die Support-Mitarbeiter in Echtzeit verifizieren, sollten Mitarbeiter regelmäßig geschult und Prozesse konsequent eingehalten werden.
Nachfolgend einige Schlüsselstrategien für besseren Schutz auf Nutzerseite:
- Wachsamkeit trainieren: Es sollten nur die 2FA-Anfragen bestätigt und freigegeben werden, die selbst ausgelöst wurden. Bei einer Flut an Benachrichtigungsanfragen sollte zur Sicherheit das Passwort für das betroffene Konto geändert werden.
- Sicherheitsfragen beantworten: Statt Sicherheitsfragen sollten nach Möglichkeit andere Authentifizierungsmethoden wie Authenticator-Apps verwendet werden. Ist dies technisch nicht vorgesehen, sollten fiktive und somit weniger vorhersehbare Antworten verwendet werden. Zum Beispiel “Sonnig” als Antwort auf “Erstes Haustier”.
- Mobilfunkvertrag absichern: Bei einigen Telekommunikationsanbietern muss eine PIN genannt werden, wenn der Kundendienst kontaktiert wird, was der zusätzlichen Sicherheit dient. Ist das noch nicht der Fall, sollte eine sichere und nicht leicht erratbare PIN eingerichtet werden (also nicht 0000 oder 1234, etc.), um seinen Vertrag vor unerwünschten Änderungen zu schützen.
- Nutzung sozialer Medien: Vorsicht beim Teilen von persönlichen und beruflichen Informationen in den sozialen Medien. Cyberkriminelle könnten diese Daten für Social Engineering Angriffe verwenden.
Fazit
Die Multi-Faktor-Authentifizierung funktioniert als technischer Prozess hervorragend, erhöht jedoch lediglich die technischen Hürden für unbefugte Zugriffe. So besiegen auch die meisten modernen Angriffe nicht die Kryptografie oder Algorithmen sowie nutzen keine mathematischen Systemschwächen aus. Stattdessen „überreden“ sie mittels Social Engineering Nutzer – ohne dass diese es merken -zur Kooperation. Dabei machen sie sich die Psyche des menschlichen Verhaltens zu eigen.
Oftmals beginnt es mit einem überzeugenden Anruf, einer gut gestalteten Phishing-Seite oder einer aus Gewohnheit genehmigten Push-Benachrichtigung. Mit anderen Worten: Der Angriff gelingt nicht, weil der zweite Authentifizierungsfaktor versagt, sondern weil ein Mensch erfolgreich manipuliert wurde. Konsequenterweise reicht es nicht immer stärkere Authentifizierungstechnologien zu entwickeln und zu implementieren, sondern muss mit einer anhaltenden Informations- und Schulungsoffensive bei den Nutzern einhergehen.