Phishing-resistente MFA: Warum Passkeys der nächste Schritt sind
Multifaktor-Authentifizierung (MFA) hat den Schutz von Unternehmenszugängen revolutioniert. Sie bleibt eine der effektivsten Maßnahmen, um Systeme und Daten abzusichern. Was sich jedoch geändert hat, ist die Fähigkeit der Angreifer, diese Methode zu umgehen.
In den letzten zwei Jahren hat sich die sogenannte Adversary-in-the-Middle-Technik (AiTM) zu einer der größten Bedrohungen für Authentifizierungssysteme entwickelt. Das Prinzip ist einfach: Ein Mitarbeiter erhält eine E-Mail, die wie eine legitime Microsoft-365-Benachrichtigung aussieht. Er klickt den Link und gelangt auf eine scheinbar echte Anmeldeseite. Benutzername und Passwort werden eingegeben, die MFA-Benachrichtigung kommt auf dem Smartphone an und wird bestätigt – alles wirkt normal. Doch zwischen Browser und Microsoft sitzt ein Angreifer-Proxy, der den Session-Cookie in Echtzeit abfängt. Mit diesem kann der Angreifer auf das Konto zugreifen, als wäre er der berechtigte Benutzer, ohne sich erneut authentifizieren zu müssen.
Es handelt sich hierbei weder um ein rein theoretisches Szenario noch um Einzelfälle. Das Canadian Centre for Cyber Security dokumentierte zwischen 2023 und Anfang 2025 über 100 AiTM-Kampagnen gegen Microsoft-Entra-ID-Konten. Daten von Cisco Talos zeigen, dass 2024 bei der Hälfte der Reaktionen auf Cybersicherheitsvorfälle Verfahren zur MFA-Umgehung eine Rolle spielten. Was früher technisches Spezialwissen erforderte, ist heute über Dienste wie EvilProxy oder Tycoon 2FA als Dienstleistung (Phishing-as-a-Service) zugänglich. Proofpoint entdeckte im April 2025 mehrere solcher Kampagnen, bei denen Angreifer über gefälschte Anmeldeseiten tausende Unternehmen weltweit angriffen.
Das heißt nicht, dass MFA nutzlos ist – es bedeutet nur, dass nicht jede MFA-Variante denselben Schutz bietet.
Wodurch unterscheidet sich Phishing-resistente MFA?
Die gängigen MFA-Methoden (Push-Benachrichtigungen, One-Time Passwords (OTP), SMS) erfüllen ihren Zweck: Sie fügen eine zusätzliche Verifizierungsebene hinzu, die die meisten Angriffe verhindert, bei denen sich Unbefugte mit gestohlenen Zugangsdaten anmelden wollen. Doch sie haben einen gemeinsamen Schwachpunkt: Wenn der Angreifer die Benutzer wie bereits beschrieben via AiTM-Proxy austrickst, hat er den Fuß in der Tür.
Genau hier setzt phishing-resistente MFA an. Statt Codes oder Genehmigungen zu übermitteln, die abgefangen werden können, wird Public-Key-Kryptografie genutzt, die direkt an die Domain des echten Dienstes gebunden ist. Die Authentifizierung erfolgt unmittelbar zwischen Gerät des Benutzers und legitimer Anwendung. Befindet sich ein Proxy dazwischen, schlägt die Verifizierung fehl und der Zugriff wird verweigert.
Passkeys sind der einfachste Weg, um dieses Modell zu implementieren. Sie basieren auf dem FIDO2/WebAuthn-Standard, nutzen biometrische Daten (Face ID, Touch ID, Windows Hello) oder eine PIN, und der private Schlüssel verlässt niemals das Gerät des Benutzers. Kein Passwort, kein abfangbarer Code – die Authentifizierung ist kryptografisch an die echte Domain gebunden.
Wie Passkeys und traditionelle MFA zusammenwirken
Passkeys ersetzen MFA nicht und machen sie nicht überflüssig. Beide sind Teil einer gut durchdachten Sicherheitsstrategie.
Push-, OTP- oder app-basierte MFA bleibt für die meisten Szenarien nach wie vor wirksam und ist in jedem Fall sicherer, als sich nur auf klassische Passwörter zu verlassen. Für viele Unternehmen ist die breite Einführung von MFA schon ein großer Schritt und sollte oberste Priorität haben, falls noch nicht geschehen.
Passkeys bieten eine zusätzliche Sicherheitsebene für risikoreiche Zugriffspunkte wie Admin-Konten, Fernzugriff auf kritische Systeme oder Cloud-Anwendungen mit sensiblen Daten. Ziel ist nicht, alles auf einmal zu ersetzen, sondern den Schutz dort zu verstärken, wo ein Angriff am gravierendsten wäre. Von da aus kann die Sicherheit dann sukzessive für alle Anwendungen erweitert werden.
Ein Managed Service Provider (MSP) kann beide Methoden sinnvoll kombinieren: Push-basierte MFA als Standardmethode für den allgemeinen Benutzerzugriff und Passkeys für Admin-Konten, den Zugriff auf Microsoft 365 mit erweiterten Berechtigungen oder Anwendungen, die Finanz- und Kundendaten verarbeiten. So wird der Schutz dort verstärkt, wo ein Ausfall den größten Schaden verursachen würde, ohne unnötige Reibung für andere Benutzer zu erzeugen.
Neben dem Sicherheitsgewinn ist der verbesserte Benutzerkomfort ein Vorteil: Im Vergleich zu MFA müssen bei Passkeys keine Codes kopiert, kein Push abgewartet und keine App geöffnet werden. Der Benutzer entsperrt das System mit seinem Gesicht oder Finger und hat sofort Zugriff. Für Partner, deren Kunden MFA aus Komfortgründen ablehnen, ist das ein starkes Argument.
Warum Behörden und Cyberversicherungen auf phishing-resistente MFA drängen
Handlungsbedarf ergibt sich auch durch einen weiteren, wichtigen Grund.
Auf regulatorischer Ebene ist die Richtung klar: EU-Vorgaben wie NIS2 oder DORA sowie nationale Standards wie BSI IT-Grundschutz zeigen, dass herkömmliche Zugriffskontrollen nicht mehr ausreichen. Immer mehr Vorschriften verlangen oder empfehlen ausdrücklich eine phishing-resistente MFA als Teil von Zero-Trust-Architekturen.
Gleichzeitig haben die Anbieter von Cyberversicherungen aus Schadensfällen gelernt: Sie wissen, dass kompromittierte Anmeldedaten der Auslöser für die meisten Vorfälle sind und verschärfen entsprechend ihre Anforderungen. Rund 80 Prozent setzen MFA für den Abschluss oder die Verlängerung von Policen inzwischen voraus. Zudem unterscheiden Versicherer bei der Berechnung der Prämien und der Festlegung der Deckungsbeiträge zunehmend zwischen einfacher MFA und phishing-resistenter MFA. Organisationen ohne starke Zugriffskontrollen riskieren höhere Prämien, Deckungsausschlüsse oder sogar vollständige Ablehnungen.
Es gibt dokumentierte Fälle, in denen Schadensansprüchen nicht stattgegeben wurde, weil MFA nicht auf allen betroffenen Systemen vollständig umgesetzt war. So wurde etwa im Jahr 2025 der Stadt Hamilton in Kanada die Übernahme eines im Zuge von Ransomware entstandenen Schadens in Höhe von 18 Millionen US-Dollar verweigert.
In der Konsequenz verändern sich auch die Kundengespräche für MSP: Es geht nicht mehr darum, sich besser zu schützen. Stattdessen rücken geschäftskritische Compliance und Versicherbarkeit in den Fokus.
Passkeys mit WatchGuard AuthPoint
AuthPoint unterstützt FIDO2-Passkeys für OIDC-Ressourcen (OpenID Connect). Somit können
sich Benutzer bei Anwendungen wie FireCloud, Microsoft Entra ID und allen OIDC-integrierten Anwendungen mithilfe biometrischer Daten ohne Passwörter oder Codes authentifizieren.
Die Funktion folgt dem beschriebenen Prinzip: Zum Einsatz kommt kryptografische Authentifizierung, die an die Domain des echten Dienstes gebunden ist, wobei sich der private Schlüssel stets auf dem Gerät des Benutzers befindet. So ist die Authentifizierung von Grund auf phishing-resistent.
Für Administratoren wird die Verfügbarkeit von Passkeys pro OIDC-Ressource über Zero-Trust-Richtlinien in der WatchGuard Cloud gesteuert. So lassen sich Rollouts schrittweise umsetzen: für einzelne Anwendungen, nur für hochsichere Ressourcen oder kombiniert mit anderen Authentifizierungsmethoden.
Passkeys sind ohne Aufpreis in allen AuthPoint-MFA- sowie AuthPoint-Total-Identity-Security-Lizenzen enthalten. Es handelt sich weder um ein Zusatzmodul noch um eine Premium-Funktion. Partner bzw. Unternehmen, die bereits mit AuthPoint arbeiten, können die Funktion einfach aktivieren und zur Verfügung stellen – ohne Lizenzen ändern oder neu verhandeln zu müssen.
Mehr dazu, warum MFA unverzichtbar bleibt und wie Sie den Zugriff auf Ihre Systeme vor dem Diebstahl von Anmeldedaten schützen, erfahren Sie in diesen Blogbeiträgen: