Phishing zählt nach wie vor zu den größten Bedrohungen im digitalen Raum. Angesichts des omnipräsenten Risikos ist es unerlässlich, Mitarbeitende im Sinne der IT-Sicherheit kontinuierlich für die Gefahren zu sensibilisieren. Doch allein mit Awareness ist es nicht getan: Ebenso wichtig ist es, modernste technische Maßnahmen wie beispielswiese Passkeys anzuwenden, die einen wirksamen Schutz vor Social Engineering bieten und Angriffsmöglichkeiten einschränken.
2FA ist nicht gleich 2FA - Unterschiede bei der Phishing-Resistenz
Die Zwei-Faktor-Authentifizierung (2FA) ist inzwischen längst etablierter Stand der Technik in modernen IT-Umgebungen und bei vielen Cloud-Diensten (z.B. M365) sogar verpflichtend. Ohne diesen zusätzlichen Sicherheitsfaktor hängt der Schutz sensibler Daten einzig vom verantwortungsvollen Umgang des Einzelnen mit seinen Passwörtern ab. Fehlt der zweite Faktor, hat der Angreifer ein leichtes Spiel und kann sich direkt Zugriff auf das Konto verschaffen – ein Risiko, das angesichts der akuten Bedrohungslage nicht mehr tragbar ist.
Die Einführung der 2FA allein schützt allerdings nicht zwingend gegen perfide Phishing-Taktiken, da Einmalcodes abgefangen oder übertragen werden können. Von absoluter Phishing-Resistenz kann man bei herkömmlicher 2FA also nicht unbedingt sprechen. Die Anfälligkeit gegen Phishing-Angriffe variiert bei den unterschiedlichen 2FA-Methoden stark.
Wir haben gängige 2FA-Verfahren aufgeführt und sie nach ihrer Anfälligkeit für Phishing in drei Kategorien eingeordnet:
| 2FA- Verfahren | Funktionsweise | Sicherheitseinschätzung | Grund |
| SMS-basiert | Der Anwender erhält per SMS einen Einmalcode, den er bei der Authentifizierung eingeben muss. | Nicht phishing-resistent | Angreifer können den Anwender bei einem Phishing-Angriff dazu verleiten, den Code zu übermitteln. Auch durch SIM-Swapping kann ein Zugriff erfolgen. |
| Telefon-basiert | Bei der Anmeldung erhält der Anwender einen Anruf und muss bestätigen, dass er gerade versucht, sich anzumelden. | Nicht phishing-resistent | Angreifer können den Anwender dazu bringen den Code zu übermitteln oder den Login zu bestätigen. Durch einen Man-in-the-Middle Angriff kann der Anruf ggf. abgefangen werden. |
| App-basiert (z.B. Google-Authenticator) | Ein zeitlich begrenzter und ständig wechselnder Code wird in einer App angezeigt. Dieser muss bei der Authentifizierung mit eingegeben werden. | Nicht phishing-resistent | Angreifer können den Anwender dazu bringen den Code zu übermitteln. |
| Hardware-Token (z.B. OTP-Generatoren) | Auf Knopfdruck wird ein Code vom Token angezeigt. Dieser muss bei der Authentifizierung mit eingegeben werden. | Nicht phishing-resistent | Angreifer können den Anwender dazu bringen den Code zu übermitteln. |
| Push-Benachrichtigung | Der Anwender bekommt beim Login eine Push- Benachrichtigung auf sein Smartphone, die bestätigt werden muss, um den Login erfolgreich abzuschließen. | Teilweise phishing-resistent | Angreifer können den Anwender ggf. dazu bringen, die Benachrichtigung zu bestätigen. |
| Biometrische Authentifizierung | Der Benutzer authentifiziert sich durch biometrische Merkmale wie z.B. einen Fingerabdruck oder das Gesicht. | Phishing-resistent | Biometrische Daten können nur sehr schwer durch einen Phishing-Angriff erlangt werden, da nichts eingegeben wird. |
| FIDO2/Passkeys | Die Authentifizierung erfolgt über ein kryptographisches Schlüsselpaar, von dem der öffentliche Teil beim Online- Dienst und der private Teil auf dem Gerät des Anwenders liegt. | Phishing-resistent | Der private Schlüssel verlässt das Gerät des Anwenders nicht und kann daher nicht über Phishing kompromittiert werden. |
Fazit
Grundsätzlich sind alle Verfahren, die darauf basieren, dass der Benutzer einen Code eingeben oder eine Anforderung manuell bestätigen muss in gewissem Maße anfällig für Phishing-Angriffe. Das Risiko besteht immer, dass diese von unbefugten Personen missbraucht werden.
Phishing-resistente Verfahren zeichnen sich hingegen dadurch aus, dass der Benutzer keine geheimen Daten hat, die er einem Angreifer aktiv mitteilen könnte. Die Authentifizierung erfolgt stattdessen durch gespeicherte kryptografische Schlüssel, die nie direkt an Unberechtigte übertragen werden. Cyberkriminellen ist es daher nicht möglich, über manipulierte Webseiten oder E-Mail-Anfragen Zugang zu den Nutzerkonten zu erhalten. Auch Social Engineering-Angriffe sind wirkungslos. So bleibt das Ziel IT-Sicherheit dauerhaft gewährleistet.
Um Phishing-Angriffen erfolgreich entgegenzutreten, empfehlen wir gleichermaßen auf Schulungen zur Sensibilisierung der Mitarbeitenden sowie auf den Einsatz phishing-resistenter Authentifizierungsverfahren wie Passkeys zu setzen. Vor allem für Admin-Zugänge ist diese langlebige und sichere Authentifizierungsmethode empfehlenswert. Nur die Kombination aus Mensch und Technik bietet nachhaltigen Schutz vor den vielfältigen Gefahren im Cyberraum.