Multi-Faktor-Authentifizierung ist heute Standard und ein wichtiger Sicherheitsbaustein. Sie erschwert unbefugte Zugriffe deutlich, ist jedoch kein absoluter Schutz. Cyberkriminelle finden trotzdem Wege, Systeme zu kompromittieren, insbesondere über Social Engineering und fehlerhafte oder schwach konfigurierte Implementierungen. Kurz gesagt, MFA erhöht das Sicherheitsniveau, bleibt aber angreifbar.
Der entscheidende Hebel der Angreifer ist der Mensch. Phishing, gefälschte Support-Anrufe, täuschend echte Login-Seiten und SIM-Swap-Szenarien zielen darauf ab, Aufmerksamkeit, Zeitdruck und Autorität auszunutzen, um Schutzmechanismen zu unterlaufen. So lässt sich in der Praxis selbst eine gut eingeführte MFA umgehen, wenn Mitarbeitende nicht sensibilisiert sind.
In diesem Artikel zeigen wir Ihnen, mit welchen Methoden Angreifer MFA umgehen, woran Sie riskante Situationen erkennen und welche technischen sowie organisatorischen Maßnahmen wirklich wirken. Außerdem erfahren Sie, warum kontinuierliches Security Awareness Training der fehlende Baustein ist und wie unsere Awareness-Kampagne mit KnowBe4 Ihre Human Firewall stärkt. Lesen Sie weiter, wenn Sie MFA nicht nur einsetzen, sondern wirksam machen wollen.
Warum MFA nicht immer ausreicht
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hebt in seinen Empfehlungen hervor, dass nicht alle MFA-Verfahren gleichwertig sind. SMS-Codes zum Beispiel sind anfällig für Abfangen oder SIM-Swaps, während hardwarebasierte Tokens oder FIDO2-Token deutlich bessere Sicherheit bieten. Entscheidend ist auch, wie der Faktor „zweites Gerät“ oder „zweiter Faktor“ implementiert ist, etwa ob ein Gerät kompromittiert sein könnte oder ob mehrere Faktoren hinterlegt sind, falls ein Gerät verloren geht.
Ebenso warnt das BSI vor dem Social Engineering als menschlicher Schwachstelle. In vielen Fällen nutzen Angreifer psychologische Taktiken wie Dringlichkeit („Ihr Konto wird gesperrt“) oder Autorität („IT-Support“) aus, um Mitarbeitende zur Preisgabe von Authentifizierungsdaten oder MFA-Codes zu bewegen. Solche Angriffe umgehen technisch starke MFA-Systeme, weil sie den zweiten Faktor durch Täuschung gewinnen statt durch technische Schwachstelle.
Für kleine und mittelständische Unternehmen gibt es mit Programmen des BMWK praktische Unterstützung, um die Cybersicherheit zu erhöhen – nicht nur durch Technik, sondern durch Awareness, Beratung und Fördermittel. Diese Angebote zeigen auch auf, wie wichtig eine ganzheitliche Betrachtung ist: Sich nicht allein auf technische Mittel zu verlassen, sondern Mitarbeitende zu sensibilisieren und Prozesse zu etablieren, um Risiken wie MFA-Bypass zu reduzieren.
Typische Angriffsmethoden, mit denen Angreifer MFA umgehen
Obwohl Multi-Faktor-Authentifizierung einen wichtigen Schutz darstellt, gibt es verschiedene Wege, diesen Mechanismus zu umgehen. Cyberkriminelle kombinieren dabei technische Schwachstellen mit psychologischer Manipulation, um an MFA-Codes oder Sitzungstoken zu gelangen. Das BSI weist darauf hin, dass gerade Phishing in Kombination mit Social Engineering eines der größten Risiken bleibt, auch wenn ein zweiter Faktor aktiv ist.
Social Engineering als häufigste Methode
Die meisten erfolgreichen Angriffe erfolgen nicht durch ausgefeilte Technik, sondern durch Täuschung. Angreifer versenden Phishing-E-Mails oder SMS, die täuschend echt aussehen und Nutzer zur Eingabe von MFA-Codes auf gefälschten Webseiten verleiten. Auch Telefonanrufe von vermeintlichen IT-Support-Mitarbeitern gehören zu den klassischen Tricks. Das BSI beschreibt Social Engineering als eine der wirksamsten Methoden, um selbst gut geschützte Systeme zu kompromittieren.
Technische Angriffe auf MFA
Neben Täuschung gibt es auch rein technische Angriffsmethoden. Dazu gehören sogenannte Session Hijacking-Angriffe, bei denen gültige Sitzungstokens abgefangen werden, oder SIM-Swap-Angriffe, bei denen Angreifer die Kontrolle über eine Mobilfunknummer übernehmen und dadurch SMS-Codes abfangen können. Auch das BSI bewertet SMS-basierte MFA deshalb als unsicheres Verfahren und empfiehlt den Einsatz stärkerer Lösungen wie FIDO2 oder App-basierter Verfahren.
Kombination aus Technik und Manipulation
In der Praxis kombinieren Angreifer häufig Social Engineering mit technischen Methoden. So werden beispielsweise gefälschte Login-Seiten genutzt, um Passwörter und MFA-Codes in Echtzeit abzugreifen. Diese Daten werden dann sofort in einer echten Sitzung eingesetzt, wodurch selbst moderne Schutzmechanismen umgangen werden können. Solche hybriden Attacken nehmen laut Sicherheitsexperten weltweit zu und erfordern ein hohes Maß an Wachsamkeit bei den Anwendern.
Diese Art der Angriffe zeigen sich aktuell vermehrt auch bei unseren Kunden. In einem Fall ist es Cyberkriminellen gelungen, über eine Email mit gefälschtem Login nicht nur das Passwort, sondern auch die Mehrfachauthentifizierung auszulesen und sich damit im System des Kunden einzuloggen. In der Folge konnte er sich in den Email-Verlauf einklinken und hat vor dem Hintergrund realer Geschäftsfälle Rechnungen und Mahnungen versendet.
Der Cyberkriminelle hat hierbei gleich zwei typische Praktiken angewendet: Täuschend echt aussende Email-Nachrichten, die einen konkreten Unternehmensbezug hatten und damit sehr glaubwürdig waren und eine Dringlichkeit, die zum Handeln bewegt.
Warum bleibt der Mensch das schwächste Glied in der Sicherheitskette?
Technische Schutzmaßnahmen wie Firewalls, Verschlüsselung oder Multi-Faktor-Authentifizierung lassen sich kontinuierlich verbessern. Doch Cyberangreifer wissen: Der größte Hebel ist und bleibt der Mensch. Das BSI betont, dass Social Engineering gezielt auf menschliche Eigenschaften wie Hilfsbereitschaft, Autoritätsglauben oder Zeitdruck setzt. Schwächen, die keine Software allein abfangen kann.
Psychologische Tricks der Angreifer
Angreifer arbeiten mit gezielter Manipulation. Typische Strategien sind künstlich erzeugte Dringlichkeit („Ihr Konto wird sofort gesperrt, wenn Sie nicht reagieren“), das Vortäuschen von Autorität („Hier ist der IT-Support, wir brauchen sofort Ihren Code“) oder auch Angstszenarien („Es gab einen Hackerangriff, geben Sie schnell Ihre Zugangsdaten ein, um das Konto zu sichern“). Solche Taktiken lösen Stress aus und führen dazu, dass Nutzer Sicherheitsregeln übergehen.
Fehlendes Bewusstsein im Alltag
Gerade in kleinen und mittelständischen Unternehmen herrscht oft die Annahme, „uns trifft das nicht“ oder „unsere Mitarbeitenden sind nicht interessant für Hacker“. Doch genau in diesem Umfeld ist es für Cyberkriminelle oft besonders leicht, MFA umgehen zu können, weil Mitarbeitende nicht ausreichend sensibilisiert sind und auf täuschend echte Angriffe hereinfallen.
Fehlendes IT-Sicherheitswissen bei Mitarbeitern ist ein lösbares Problem
Die Risiken sind eindeutig: Cyberangriffe, Datenlecks, schwache Sicherheitsroutinen und falsche Reaktionen auf Vorfälle entstehen meist nicht durch Technik, sondern durch mangelndes Wissen. Fehlendes IT-Sicherheitswissen bei Mitarbeitern ist deshalb einer der größten Risikofaktoren für den Mittelstand und zugleich einer der am einfachsten zu beheben.
Mit gezielten Schulungen, klaren Richtlinien und einer gelebten Sicherheitskultur verwandeln Sie Ihre Mitarbeiter vom Unsicherheitsfaktor zum Schutzschild Ihres Unternehmens. Das stärkt nicht nur die IT-Sicherheit, sondern schützt auch Reputation, Finanzen und Kundenvertrauen.
Als IT-Dienstleister begleiten wir Sie bei jedem Schritt: von praxisnahen Awareness-Programmen über die Einführung von Richtlinien und Tools bis hin zur Etablierung einer nachhaltigen Sicherheitskultur. Sprechen Sie uns an, gemeinsam machen wir Ihr Unternehmen widerstandsfähiger gegen die wachsenden Bedrohungen der digitalen Welt.
Kennen Sie schon unsere Security Awareness Schulungen?
Machen Sie Ihre Mitarbeitenden fit im Umgang mit Cyberrisiken!
Wie können Unternehmen sich schützen, wenn Angreifer MFA umgehen?
Auch wenn es keinen hundertprozentigen Schutz gibt, können Unternehmen das Risiko erheblich senken. Entscheidend ist die Kombination aus wirksamen technischen Vorkehrungen und einer gestärkten Sicherheitskultur. Nur wenn beide Ebenen ineinandergreifen, wird es für Angreifer deutlich schwerer, MFA umgehen zu können.
Technische Schutzmaßnahmen
Unternehmen sollten konsequent auf moderne Verfahren setzen, etwa App-basierte Authentifizierung oder FIDO2-Hardware-Token, die einen deutlich besseren Schutz bieten als SMS-Codes. Das BSI empfiehlt außerdem, Out-of-Band-Methoden einzusetzen, bei denen die Authentifizierung über getrennte Kanäle erfolgt, sowie dynamische Authentifizierung, die bei besonders riskanten Aktionen zusätzliche Faktoren abfragt. Auch Kontosperren nach mehreren Fehlversuchen und die regelmäßige Überprüfung der eingesetzten MFA-Lösungen gehören zu den technischen Basics.
Menschliche Schutzmaßnahmen
Die größte Schwachstelle bleibt der Mensch – und genau hier liegt auch die größte Chance. Security Awareness Trainings helfen Mitarbeitenden, Phishing-Mails, gefälschte Webseiten und vermeintliche Support-Anrufe zu erkennen. Durch praxisnahe Übungen und simulierte Angriffe lernen Teams, im Ernstfall nicht vorschnell Daten preiszugeben. So entsteht eine „Human Firewall“, die Social-Engineering-Angriffe erheblich erschwert und den Schutz der technischen Maßnahmen erst vollständig wirksam macht.
Warum ist Security Awareness Training unverzichtbar?
Technische Lösungen sind nur die halbe Miete – der entscheidende Erfolgsfaktor ist das Verhalten der Menschen. Ohne regelmäßige Aufklärung bleibt es für Angreifer vergleichsweise leicht, MFA umgehen zu können. Hier setzt ein systematisches Security Awareness Training an: Es macht Mitarbeitende fit darin, Phishing, Social Engineering und andere Manipulationstechniken frühzeitig zu erkennen und richtig zu reagieren.
Unsere Arbeitsweise
Wir bei Gröpper IT setzen in unseren Awareness-Kampagnen auf praxisnahe, kontinuierliche Schulungen. Mit der Plattform von KnowBe4 bieten wir Unternehmen die Möglichkeit, realistische Phishing-Simulationen und interaktive Trainings durchzuführen. So entwickeln Mitarbeitende Schritt für Schritt die notwendige Wachsamkeit, um im Alltag nicht auf raffinierte Angriffe hereinzufallen.
Mehrwert für Ihr Unternehmen
Der Ansatz ist dabei klar: Wissen allein genügt nicht – es geht um messbare Verhaltensänderung. Durch regelmäßige Wiederholung, praxisnahe Szenarien und verständliche Inhalte wird aus jedem Teammitglied ein aktiver Teil der Sicherheitskette. Das Ergebnis ist eine gestärkte „Human Firewall“, die technische Schutzmaßnahmen ergänzt und die Sicherheit im Unternehmen nachhaltig verbessert.
MFA umgehen: Ohne Awareness spielen Sie auf Risiko
Multi-Faktor-Authentifizierung ist ein unverzichtbarer Bestandteil moderner IT-Sicherheit, doch sie ist kein Allheilmittel. Cyberkriminelle finden immer wieder Wege, MFA umgehen zu können, durch Social Engineering, technische Manipulation oder hybride Angriffe. Die größte Schwachstelle bleibt der Mensch, und genau hier entscheidet sich, ob Sicherheitsmaßnahmen wirksam greifen.
Ihr nächster Schritt
Setzen Sie nicht allein auf Technik. Stärken Sie Ihre Mitarbeitenden durch gezielte Security Awareness Trainings und bauen Sie eine Human Firewall auf, die Manipulationsversuche zuverlässig erkennt. Mit unserer Awareness-Kampagne in Kombination mit der Plattform von KnowBe4 machen wir Ihre Teams fit gegen Phishing und Social Engineering – praxisnah, nachhaltig und messbar.
Jetzt handeln: Nehmen Sie Kontakt zu uns auf und erfahren Sie, wie wir gemeinsam Ihr Unternehmen widerstandsfähiger gegen Cyberangriffe machen. Schon kleine Schritte in der Sensibilisierung können den entscheidenden Unterschied ausmachen.
