MFA reicht nicht: Warum Sie phishing-resistente MFA brauchen
24 June 2026 · 6 Min. Lesezeit
Sie haben die Zwei-Faktor-Anmeldung aktiviert und fühlen sich sicher. Das ist ein guter Schritt — aber nicht das Ende der Geschichte. Die meisten MFA-Methoden, die Firmen nutzen, stoppen einen Amateur und behindern einen Profi nur leicht. Der Unterschied zwischen „wir haben MFA“ und „wir haben phishing-resistente MFA“ ist der Unterschied, ob ein Angriff durchkommt oder nicht.
Warum klassische MFA am Phishing scheitert
Das Problem ist nicht die Idee eines zweiten Faktors, sondern dass der Code weitergereicht werden kann. Ein Angreifer stellt eine gefälschte Anmeldeseite auf, Sie geben Passwort und Code ein, und er leitet beides in Echtzeit an den echten Dienst weiter und meldet sich als Sie an. Jede Methode, bei der ein Mensch etwas kopiert oder bestätigt, ist angreifbar:
- SMS-Code — der schwächste; zudem anfällig für Nummern-Übernahme (SIM-Swap).
- App-generierter Code (TOTP) — besser als SMS, aber lässt sich trotzdem aus Ihnen „herausfischen“.
- Push „Anmeldung bestätigen“ — anfällig für Ermüdung, bei der gefälschte Anfragen sich häufen, bis jemand auf „bestätigen“ tippt.
Alle teilen dieselbe Schwäche: Sie prüfen nicht, wo Sie sich tatsächlich anmelden.
Was „phishing-resistent“ bedeutet
Phishing-resistente MFA bindet die Anmeldung an eine bestimmte Website-Adresse und an ein Gerät. Ist die Adresse nicht echt, funktioniert die Anmeldung schlicht nicht — es gibt keinen Code, den ein Nutzer versehentlich einem Angreifer geben kann. Zwei Technologien dominieren:
- FIDO2 / Sicherheitsschlüssel — ein physischer USB-/NFC-Schlüssel, der sowohl Ihre Identität als auch die exakte Seite kryptografisch bestätigt.
- Passkeys — dasselbe Prinzip, in Ihr Handy oder Ihren Computer eingebaut, ohne separaten Schlüssel.
Der Punkt ist, dass das Geheimnis das Gerät nie verlässt und an die echte Adresse gebunden ist. Eine gefälschte Seite hat nichts zu stehlen.
Wo Sie anfangen, ohne die Firma zu lähmen
Sie müssen nicht alles auf einmal tun. Die Reihenfolge mit dem meisten Schutz pro Aufwand:
- Admins und privilegierte Konten zuerst — sie sind Ziel Nummer eins.
- Dann Leitung und Finanzen — Zugriff auf Geld und sensible Daten.
- Dann der Rest der Firma, schrittweise.
Für Konten, die noch nicht auf Schlüssel umgestellt sind, entfernen Sie zumindest SMS als Methode und wechseln zu App oder Push mit zusätzlicher Bestätigung (eine Zahl, die Sie eintippen müssen, nicht nur „bestätigen“).
Technik ist nicht die ganze Geschichte
Selbst die stärkste MFA hilft nicht, wenn die Prozesse locker sind:
- Definieren Sie, was passiert, wenn ein Mitarbeiter einen Schlüssel oder ein Handy verliert — ohne eine „schnelle“ Notlösung, die ein Angreifer missbrauchen kann.
- Bewahren Sie eine Ersatz-Anmeldemethode (einen Zweitschlüssel oder Code) an einem sicheren Ort auf, damit der Geräteverlust das Konto nicht sperrt.
- Schulen Sie die Leute, Push-Ermüdung zu erkennen — die Regel ist einfach: Haben Sie die Anmeldung nicht selbst gestartet, bestätigen Sie sie nie.
Was das für eine kleine Firma bedeutet
Sicherheitsschlüssel und Passkeys sind längst nicht mehr Großunternehmen vorbehalten. Die Kosten sind gering im Vergleich zu einer einzigen erfolgreichen Kontoübernahme, und die Einrichtung für ein kleines Team ist eine Sache von Tagen, nicht Monaten. Das realistische Ziel ist nicht „100 % sofort“, sondern: kritische Konten auf phishing-resistenter MFA, SMS überall entfernt und ein klarer Plan für ein verlorenes Gerät.
Die MFA, die Sie haben, ist besser als nichts. Aber wenn Ihr Konto Geld, Kundendaten oder Zugriff auf das ganze System enthält, lautet die Frage nicht „haben wir MFA“ — sondern „würde unsere MFA eine gut gebaute gefälschte Anmeldung überstehen“. Für die meisten Firmen lautet die Antwort heute „nein“, und genau das gilt es zu beheben.