Recovery-Codes, Session-Diebstahl & „MFA-Fatigue“ – die häufigsten Stolpersteine und wie Unternehmen sie schließen

Multi-Faktor-Authentifizierung (MFA) gilt als einer der wichtigsten Schutzmechanismen gegen Kontoübernahmen.
Und ja: MFA blockiert nach wie vor einen Großteil automatisierter Angriffe.

Aber: Moderne Angriffe umgehen MFA inzwischen gezielt – nicht durch „Hacken der Technik“, sondern durch das Ausnutzen
von Schwachstellen in Prozessen, Einstellungen und Nutzerverhalten. Viele erfolgreiche Angriffe passieren heute trotz aktivierter MFA.

 

Recovery-Codes: Der „Generalschlüssel“, der oft offen herumliegt

Recovery- oder Wiederherstellungscodes sind als Notlösung gedacht, wenn Nutzer keinen Zugriff mehr auf ihr MFA-Gerät haben.
In der Praxis werden sie jedoch zum größten Einfallstor.

Typische Probleme:

• Speicherung als Screenshot
• Ablage auf Desktop oder im Postfach
• Keine Rotation
• Mehrere Personen mit Zugriff

Maßnahmen:

• Als privilegiertes Geheimnis behandeln
• Speicherung nur in sicheren Passwortmanagern
• Rotation nach Nutzung
• Klare Richtlinie zur Aufbewahrung

 

Session-Diebstahl: Wenn MFA korrekt war – aber nichts bringt

Angreifer stehlen Sitzungstokens aus Phishing-Seiten, kompromittierten Browsern oder Malware.
Diese Tokens bestätigen gegenüber Cloud-Diensten, dass MFA bereits erfolgt ist.

Gegenmaßnahmen:

• Conditional Access mit Geräte-Compliance
• Sitzungsüberwachung
• Kurzlebige Sessions
• Endpoint-Schutz

 

MFA-Fatigue: Wenn Nutzer Angreifer selbst reinlassen

Angreifer bombardieren Opfer mit Push-Anfragen, bis sie aus Frust zustimmen.

Gegenmaßnahmen:

• Phishing-resistente MFA (FIDO2, Passkeys, Zertifikate)
• Number Matching
• Awareness-Trainings
• Klare Meldeprozesse

 

Fazit:
MFA ist ein wichtiger Baustein – aber nur in Kombination mit Kontext, Gerätevertrauen und klaren Prozessen wirklich sicher.
Bei Fragen sind wir für Sie da: support@acronum.com