Skip to content

Macht die Aktivierung von MFA ein Konto unmöglich zu phishen?

Kurzantwort

Nein. MFA hebt die Hürde stark, aber OTP- und Push-Faktoren sind phishbar: Adversary-in-the-Middle-Kits (z. B. Evilginx) leiten Login und Code in Echtzeit weiter, und MFA-Müdigkeit/Push-Bombing bringt Nutzer zum Bestätigen. Abgefangene Codes sind innerhalb ihres kurzen Fensters wiederverwendbar. Der Irrtum ist „MFA = nicht phishbar”; entscheidend ist der Faktortyp. Phishing-resistente MFA — FIDO2/WebAuthn-Passkeys, an den Origin der Seite gebunden — ist das, was dies tatsächlich vereitelt.

MFA ist eines der wertvollsten Sicherheitsmittel, das du ausrollen kannst — aber „MFA = nicht phishbar” ist eine gefährliche Übertreibung, die durch große reale Vorfälle widerlegt wurde. Diese Frage prüft, ob ein Kandidat weiß, dass nicht jede MFA gleich ist.

Warum die populäre Antwort falsch ist

Die meiste MFA in der Praxis ist OTP (ein 6-stelliger Code per SMS oder Authenticator-App) oder Push (auf dem Handy bestätigen). Beide teilen eine fatale Eigenschaft: Der Nutzer kann dazu verleitet werden, den Nachweis einem Angreifer zu übergeben. Ein **Adversary-in-the-Middle-(AiTM-)**Phishing-Kit wie Evilginx betreibt einen Reverse-Proxy auf einer täuschend ähnlichen Domain. Das Opfer „meldet sich” darüber an; das Kit leitet Benutzername, Passwort und das frisch eingegebene OTP in Echtzeit an die echte Seite weiter, schließt den Login ab und stiehlt das entstehende Session-Cookie. Die 30-Sekunden-Rotation hilft nicht — der Angreifer nutzt den Code im selben Fenster. MFA-Müdigkeit / Push-Bombing ist noch simpler: den Nutzer mit Bestätigungsanfragen fluten, bis er genervt oder verwirrt auf Bestätigen tippt. SMS bringt zusätzlich SIM-Swap- und Abfangrisiko, ist also einer der schwächsten Faktoren, nicht phishing-sicher.

Was wirklich gegen Phishing schützt

Die Abwehr ist phishing-resistente MFA: FIDO2-/WebAuthn-Sicherheitsschlüssel und Passkeys. Sie nutzen Public-Key-Kryptografie, bei der der private Schlüssel das Gerät nie verlässt, und der Browser bindet die Assertion kryptografisch an den Origin der anfragenden Seite. Ist der Nutzer auf einer Phishing-Domain, validiert die Signatur für die echte Seite schlicht nicht — es gibt kein geteiltes Geheimnis und keinen Code zum Weiterleiten, der AiTM-Proxy hat also nichts zu übermitteln. Smartcard-/PIV-Zertifikate bieten dieselbe Origin-Bindung.

Die Kernaussage

Sieh MFA als Spektrum: SMS < Authenticator-OTP < Push mit Nummernabgleich < FIDO2/WebAuthn. Irgendeine MFA zu aktivieren blockiert Credential-Stuffing und einfache Passwort-Wiederverwendung, weshalb sie weiter essenziell ist. Doch um ein Konto als nicht phishbar zu bezeichnen, brauchst du Origin-gebundene, phishing-resistente Faktoren. Der Irrtum ist nicht „MFA ist nutzlos” — sondern anzunehmen, das Häkchen allein schließe die Phishing-Tür.

Wahrscheinliche Anschlussfragen

  • Wie vereitelt ein Adversary-in-the-Middle-Proxy in der Praxis ein zeitbasiertes OTP?
  • Warum ist FIDO2/WebAuthn phishing-resistent, OTP und Push aber nicht?
  • Was ist MFA-Müdigkeit, und welche UX-Änderung mildert sie?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.