Leader im Gartner® Magic Quadrant™ 2026 für Endpoint Protection. Sechs Jahre in Folge.Ein Leader im Gartner® Magic Quadrant™Mehr erfahren
Erleben Sie eine Sicherheitsverletzung?Blog
Los geht'sKontakt
Header Navigation - DE
  • Plattform
    Plattform Übersicht
    • Singularity Platform
      Willkommen bei der integrierten Unternehmenssicherheit
    • KI für die Sicherheit
      Wegweisend bei KI-gestützten Sicherheitslösungen
    • Sicherung von KI
      Beschleunigen Sie die Einführung von KI mit sicheren KI-Tools, -Anwendungen und -Agenten.
    • Wie es funktioniert
      Der Singularity XDR Unterschied
    • Singularity Marketplace
      Ein-Klick-Integrationen, um die Leistungsfähigkeit von XDR zu erschließen
    • Preise & Pakete
      Vergleiche und Beratung im Überblick
    Data & AI
    • Purple AI
      Beschleunigen Sie SecOps mit generativer KI
    • Singularity Hyperautomation
      Einfaches Automatisieren von Sicherheitsprozessen
    • AI-SIEM
      Das KI-SIEM für das autonome SOC
    • AI Data Pipelines
      Sicherheitsdaten-Pipeline für KI-SIEM und Datenoptimierung
    • Singularity Data Lake
      Angetrieben durch KI, vereinheitlicht durch Data Lake
    • Singularity Data Lake for Log Analytics
      Nahtlose Aufnahme von Daten aus On-Premise-, Cloud- oder Hybrid-Umgebungen
    Endpoint Security
    • Singularity Endpoint
      Autonome Prävention, Erkennung und Reaktion
    • Singularity XDR
      Nativer und offener Schutz, Erkennung und Reaktion
    • Singularity RemoteOps Forensics
      Forensik im großen Maßstab orchestrieren
    • Singularity Threat Intelligence
      Umfassende Aufklärung des Gegners
    • Singularity Vulnerability Management
      Entdeckung von Rogue Assets
    • Singularity Identity
      Erkennung von und Reaktion auf Bedrohungen für Identitäten
    Cloud Security
    • Singularity Cloud Security
      Blockieren Sie Angriffe mit einer KI-gestützten CNAPP
    • Singularity Cloud Native Security
      Cloud und Entwicklungsressourcen sichern
    • Singularity Cloud Workload Security
      Plattform zum Schutz von Cloud-Workloads in Echtzeit
    • Singularity Cloud Data Security
      AI-gestützte Erkennung von Bedrohungen
    • Singularity Cloud Security Posture Management
      Erkennen und Beseitigen von Cloud-Fehlkonfigurationen
    Absicherung von KI
    • Prompt Security
      KI-Tools im gesamten Unternehmen absichern
  • Warum SentinelOne?
    Warum SentinelOne?
    • Warum SentinelOne?
      Cybersecurity, entwickelt für die Zukunft
    • Unsere Kunden
      Weltweit führende Unternehmen vertrauen auf uns
    • Branchen-Auszeichnungen
      Von Experten getestet
    • Über uns
      Der Branchenführer bei autonomer Cybersicherheit
    Vergleichen Sie SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Branchen
    • Energieversorger
    • Öffentlicher Sektor
    • Finanzsektor
    • Gesundheitswesen
    • Hochschulen
    • Fertigungsindustrie
    • Handel
    • Regionale & kommunale Verwaltung
  • Services
    Managed Services
    • Managed Services Übersicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Erstklassige Expertise und Threat Intelligence.
    • Managed Detection & Response
      Rund-um-die-Uhr MDR-Experten für Ihre gesamte Umgebung.
    • Incident Readiness & Response
      DFIR, Vorbereitung auf Sicherheitsverletzungen & Kompromittierungsbewertungen.
    Support, Bereitstellung & Health Check
    • Technical Account Management
      Customer Success mit persönlichem Service
    • SentinelOne GO
      Guided Onboarding & Deployment Advisory
    • SentinelOne University
      Live und On-Demand Training
    • Überblick zu unseren Services
      Umfassende Lösungen für reibungslose Sicherheitsoperationen
    • SentinelOne Community
      Community Login
  • Partner
    Unser Netzwerk
    • MSSP Partner
      Schnellerer Erfolg mit SentinelOne
    • Singularity Marketplace
      Erweitern Sie die Leistung der S1-Technologie
    • Cyber Risk Partner
      Einsatz von Pro-Response und Advisory Teams
    • Technologie-Partnerschaften
      Integrierte, unternehmensweite Lösungen
    • SentinelOne für AWS
      Gehostet in AWS-Regionen auf der ganzen Welt
    • Channel Partner
      Gemeinsam die richtigen Lösungen anbieten
    • SentinelOne for Google Cloud
      Vereinheitlichte, autonome Sicherheit, die Verteidigern einen Vorteil im globalen Maßstab verschafft.
    Programm-Übersicht→
  • Ressourcen
    Ressource-Center
    • Fallstudien
    • Datenblätter
    • eBooks
    • Reports
    • Videos
    • Webinars
    • White Papers
    • Events
    Alle Ressourcen anzeigen→
    Blog
    • Feature Spotlight
    • Für CISOs/CIOs
    • Von der Frontlinie
    • Identity
    • Cloud
    • macOS
    • SentinelOne Blog
    Blog→
    Technische Ressourcen
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Unternehmen
    Über SentinelOne
    • Über SentinelOne
      Der Branchenführer im Bereich Cybersicherheit
    • SentinelLABS
      Threat Research für moderne Threat Hunter
    • Karriere
      Die aktuellen Jobangebote
    • Presse & News
      Bekanntmachungen der Firma
    • Cybersecurity Blog
      Die neuesten Cybersecurity-Bedrohungen, News, & mehr
    • FAQ
      Antworten auf die am häufigsten gestellten Fragen
    • DataSet
      Die Live Data Plattform
    • S Foundation
      Eine sicherere Zukunft für alle
    • S Ventures
      Wir investieren in die nächste Generation von Sicherheit und Daten
Los geht'sKontakt
Background image for Was ist Phishing-resistente MFA? Moderne Sicherheit
Cybersecurity 101/Sicherheit der Identität/Phishing-resistente MFA

Was ist Phishing-resistente MFA? Moderne Sicherheit

Phishing-resistente MFA nutzt kryptografische Domain-Bindung, um den Diebstahl von Zugangsdaten zu verhindern. Erfahren Sie, wie FIDO2- und PKI-basierte Methoden funktionieren und warum CISA sie als Goldstandard bezeichnet.

CS-101_Identity.svg
Inhaltsverzeichnis
Was ist phishing-resistente MFA?
Wie phishing-resistente MFA mit Cybersicherheit zusammenhängt
Kernkomponenten phishing-resistenter MFA
Wie phishing-resistente MFA funktioniert
Phishing-resistente MFA vs. traditionelle MFA
Wie traditionelle MFA-Methoden versagen
Wie phishing-resistente MFA die Lücke schließt
Phishing-resistente MFA: Compliance und Vorschriften
Wesentliche Vorteile phishing-resistenter MFA
Herausforderungen bei der Implementierung phishing-resistenter MFA
Kompatibilität mit Legacy-Anwendungen
Integration in den Identitätslebenszyklus
Sich entwickelnde Angreifertaktiken
Häufige Fehler bei phishing-resistenter MFA
Best Practices für phishing-resistente MFA
Auf zentralisierter Identitätsinfrastruktur aufbauen
Zuerst auf besonders wertvolle Benutzer und Systeme fokussieren
Gestaffelte Durchsetzung implementieren
Mehrere phishing-resistente Methoden unterstützen
Registrierung mehrerer Authentifikatoren verlangen
Legacy-Authentifizierungsmethoden eliminieren
Phishing-resistente MFA mit SentinelOne stärken
Wichtige Erkenntnisse

Verwandte Artikel

  • Tailgating-Angriffe in der Cybersicherheit: Herausforderungen & Prävention
  • Was ist LDAP Injection? Funktionsweise und Schutzmaßnahmen
  • Was ist Broken Authentication? Ursachen, Auswirkungen & Prävention
  • Was ist Authentication Bypass? Techniken & Beispiele
Autor: SentinelOne | Rezensent: Dianna Marks
Aktualisiert: March 2, 2026

Was ist phishing-resistente MFA?

Ihr Benutzer hat um 2 Uhr morgens die fünfzehnte MFA-Push-Benachrichtigung genehmigt, weil die Warnungen nicht aufhörten. Der Angreifer hat nun authentifizierten Zugriff auf Ihr Netzwerk. Dieses Szenario tritt regelmäßig auf: MFA-Fatigue-Angriffe erscheinen in 14 % der in dem Verizon Data Breach Investigations Report 2025 analysierten Sicherheitsvorfälle und machen MFA-Fatigue zur dominierenden Umgehungsmethode. Social Engineering ist zur Hauptschwachstelle bei herkömmlicher Multi-Faktor-Authentifizierung geworden.

Phishing-resistente MFA beseitigt diese Schwachstelle durch eine kryptografische Architektur, die den Diebstahl von Zugangsdaten strukturell unmöglich macht. Laut dem National Institute of Standards and Technology erfordert phishing-resistente Authentifizierung „Passwort oder Biometrie + asymmetrische Schlüssel-Kryptografie (PIV, CAC, FIDO2)“. Die Cybersecurity and Infrastructure Security Agency (CISA) bezeichnet diesen Ansatz als „Goldstandard für MFA“ und identifiziert nur zwei zugelassene Implementierungen: FIDO/WebAuthn-Authentifizierung und PKI-basierte Authentifizierung.

Traditionelle MFA-Methoden übertragen Zugangsdaten, die Angreifer abfangen und wiederverwenden können. SMS-Codes, Push-Benachrichtigungen und Einmalpasswörter sind nicht kryptografisch an legitime Authentifizierungsendpunkte gebunden. Ein Angreifer kann sie innerhalb ihres Gültigkeitsfensters zwischen dem Opfer und einer gefälschten Anmeldeseite weiterleiten. Phishing-resistente MFA verwendet asymmetrische Kryptografie, bei der private Schlüssel das Authentifizierungsgerät nie verlassen und Authentifizierungsherausforderungen kryptografisch an bestimmte Domains gebunden werden. Wenn Sie versuchen, sich auf einer Phishing-Seite zu authentifizieren, kann der Authentifikator keine gültige Signatur erzeugen, da die Domain nicht übereinstimmt. Die Authentifizierung schlägt fehl, bevor eine Benutzerinteraktion die Sicherheit gefährden kann.

Die Definition zu verstehen ist das eine. Zu erkennen, warum sie wichtig ist, erfordert einen Blick auf das Ausmaß der heute auf Organisationen abzielenden Angriffe auf Zugangsdaten.

Wie phishing-resistente MFA mit Cybersicherheit zusammenhängt

Das FBI Internet Crime Complaint Center erhielt im Jahr 2024 193.407 Phishing-Beschwerden, was eine erhebliche Cyberkriminalitätsaktivität darstellt, die dem wichtigsten Meldeweg der Bundesregierung zugeführt wurde. Der Missbrauch von Zugangsdaten war laut der Analyse von Verizon in den letzten 18 Monaten in 90 % der bestätigten Webanwendungs-Einbrüche enthalten.

Reale Vorfälle zeigen, warum traditionelle MFA bei entschlossenen Angreifern versagt. Im September 2022 erlitt Uber einen Einbruch, als ein Angreifer einen Mitarbeiter mit MFA-Push-Benachrichtigungen bombardierte, bis der Mitarbeiter eine genehmigte. Der Angreifer erhielt Zugriff auf interne Systeme, darunter Slack, Google Workspace und Schwachstellenberichte. Im Mai 2022 gab Cisco einen Einbruch bekannt, bei dem Angreifer mittels Voice Phishing einen Mitarbeiter dazu brachten, MFA-Push-Benachrichtigungen zu akzeptieren, nachdem sie VPN-Zugangsdaten gestohlen hatten. Das Ergebnis war unbefugter Zugriff auf interne Systeme und Datenexfiltration.

Die Bedrohungsinformationen der CISA zeigen, dass Gegner, darunter die Gruppe Scattered Spider, Techniken zum Abfangen und Weiterleiten von Zugangsdaten nutzen, um Netzwerkzugriff zu erlangen. Traditionelle MFA bietet gegen diese Methoden nur begrenzten Schutz. Phishing-resistente MFA verhindert sowohl den Diebstahl von Zugangsdaten offline als auch Phishing in Echtzeit, da jede Authentifizierungsanfrage neue kryptografische Herausforderungen erfordert, die Angreifer ohne den privaten Schlüssel auf dem Authentifizierungsgerät nicht fälschen können.

Sicherheitsoperationsteams, die Authentifizierungsmuster überwachen, benötigen auch Einblick in das Verhalten nach der Authentifizierung. Plattformen wie die Singularity Platform korrelieren Authentifizierungsereignisse mit Endpunktaktivitäten, um zu erkennen, wann Angreifer zu lateraler Bewegung oder Privilegieneskalation übergehen, nachdem legitime Benutzer authentifiziert wurden. Doch bevor Sie Monitoring einführen, müssen Sie die Bausteine verstehen, die phishing-resistente Authentifizierung ermöglichen.

Kernkomponenten phishing-resistenter MFA

Phishing-resistente MFA basiert auf einem grundlegend anderen Berechtigungsmodell als herkömmliche Authentifizierung. Anstelle von geteilten Geheimnissen, die beiden Parteien bekannt sind, werden asymmetrische Schlüsselpaaren verwendet, bei denen nur der Authentifikator den privaten Schlüssel besitzt.

Wenn Sie sich bei einem FIDO2-unterstützten Dienst registrieren, generiert Ihr Client-Gerät ein Schlüsselpaar, das nur für diese spezifische Anwendung funktioniert. Ihr privater Schlüssel verlässt das Gerät nie. Der Dienst registriert Ihren öffentlichen Schlüssel, besitzt aber niemals geheimes Berechtigungsmaterial. Jeder Dienst erhält ein einzigartiges Schlüsselpaar, wodurch eine Korrelation von Zugangsdaten über verschiedene Seiten hinweg verhindert wird. Biometrische Daten und private Schlüssel werden in sicherer Hardware gespeichert und sind so vor Gerätekompromittierung geschützt.

Phishing-resistente Authentifizierung stützt sich auf drei primäre Authentifikatortypen:

  • Hardware-Sicherheitsschlüssel bieten gerätegebundene, nicht exportierbare Schlüssel, die in manipulationssicherer Hardware gespeichert werden. Sie verbinden sie per USB, NFC oder Bluetooth. Diese eignen sich am besten für Privileged Access Management, gemeinsam genutzte Arbeitsplatzumgebungen und Hochsicherheitsszenarien, die Hardware-Attestierung erfordern.
  • Plattform-Authentifikatoren sind direkt in Ihre Geräte integriert, etwa über Windows Hello, Apple Touch ID und Face ID. Laut Microsofts FIDO2-Dokumentation verwenden diese Authentifikatoren Hardware-Sicherheitsmodule: Trusted Platform Modules (TPMs) unter Windows, Secure Enclaves auf Apple-Geräten und hardwaregestützte Keystores auf Android. Sie authentifizieren sich über biometrische Funktionen und kryptografische Schlüssel, die in diesen hardwaregesicherten Modulen gespeichert sind.
  • Passkeys sind auffindbare FIDO-Zugangsdaten, die von Haus aus phishing-resistent sind. Gerätegebundene Passkeys werden in Hardware-Sicherheitsmodulen gespeichert und können nicht exportiert werden, was die höchste Sicherheit gewährleistet. Synchronisierte Passkeys werden geräteübergreifend per Ende-zu-Ende-Verschlüsselung in der Cloud synchronisiert und bieten Komfort, während sie dennoch die kryptografische Definition phishing-resistenter Authentifizierung erfüllen.

Jede dieser Komponenten nimmt an einer strukturierten Authentifizierungszeremonie teil, die Phishing durch kryptografische Domainbindung verhindert. Der folgende Abschnitt erläutert, wie diese Zeremonie Schritt für Schritt funktioniert.

Wie phishing-resistente MFA funktioniert

Die Authentifizierungszeremonie verhindert Phishing durch Domainbindung auf Protokollebene. Wenn Sie die Registrierung initiieren, generiert die Website der vertrauenden Partei eine kryptografische Herausforderung mit zufälligen, für diese Registrierung einzigartigen Daten. Ihr Client-Gerät erstellt ein einzigartiges Schlüsselpaar, das spezifisch für diese Domain ist.

Ihr Authentifikator signiert die Herausforderung mit dem neu erstellten privaten Schlüssel, und der FIDO-Server speichert den öffentlichen Schlüssel, der sowohl Ihrem Benutzerkonto als auch den Authentifikatormetadaten zugeordnet ist. Während der Authentifizierung fordert der Authentifikator eine biometrische Verifizierung, PIN-Eingabe oder Bestätigung der physischen Anwesenheit an. Das System prüft, ob die Domain mit einer registrierten Berechtigung für diesen spezifischen Ursprung übereinstimmt. Wenn Sie sich auf einer Phishing-Seite befinden, findet Ihr Authentifikator keine passende Berechtigung und die Authentifizierung schlägt fehl, bevor Sie die Sicherheit kompromittieren können.

Jede Authentifizierung erzeugt einzigartige kryptografische Signaturen, die nicht wiederverwendet oder weitergeleitet werden können. Dadurch werden Man-in-the-Middle-Angriffe unwirksam. Angreifer können Proxy-Seiten erstellen, die legitimen Diensten identisch sind, aber die kryptografische Challenge-Response ist an die spezifische Ursprungsdomain gebunden. Der Proxy kann die erforderliche Signatur nicht fälschen, da er die legitime Domain nicht kontrolliert und Ihren privaten Schlüssel nicht besitzt.

Dieser Schutz auf Protokollebene unterscheidet phishing-resistente MFA von den traditionellen Methoden, auf die sich die meisten Organisationen noch verlassen.

Phishing-resistente MFA vs. traditionelle MFA

Standard-MFA fügt der passwortbasierten Anmeldung einen zweiten Faktor hinzu, aber die meisten Implementierungen basieren weiterhin auf geteilten Geheimnissen, die Angreifer abfangen können. Der Unterschied zwischen traditionellen und phishing-resistenten Ansätzen besteht darin, ob Zugangsdaten während des Authentifizierungsprozesses selbst gestohlen werden können.

Wie traditionelle MFA-Methoden versagen

SMS- und sprachbasierte Einmalpasswörter werden über Telekommunikationsnetze übertragen, in denen Angreifer sie durch SIM-Swapping oder Ausnutzung des SS7-Protokolls abfangen können. Authenticator-Apps generieren zeitbasierte Codes, die Benutzer in Anmeldeformulare eingeben, und Echtzeit-Phishing-Proxys erfassen diese Codes, wenn Benutzer sie auf gefälschten Seiten eingeben. 

Push-Benachrichtigungen fordern Benutzer auf, Anmeldeanfragen zu genehmigen, aber MFA-Fatigue-Angriffe bombardieren Benutzer mit wiederholten Aufforderungen, bis sie eine genehmigen. Jede dieser Methoden überträgt eine wiederverwendbare Berechtigung oder hängt vom Urteilsvermögen des Benutzers ab, legitime von betrügerischen Anfragen zu unterscheiden.

Wie phishing-resistente MFA die Lücke schließt

Phishing-resistente MFA beseitigt beide Probleme. FIDO2/WebAuthn und PKI-basierte Authentifizierung verwenden asymmetrische Kryptografie, bei der private Schlüssel das Authentifizierungsgerät nie verlassen und jede Authentifizierungsantwort kryptografisch an die anfordernde Domain gebunden ist. Es wird keine Berechtigung über das Netzwerk übertragen, die ein Angreifer abfangen könnte. 

Keine Benutzerentscheidung bestimmt, ob eine Anfrage legitim ist, da das Protokoll die Domainüberprüfung automatisch erzwingt. Google meldete nach der Einführung von FIDO-Sicherheitsschlüsseln keinen einzigen erfolgreichen Phishing-Angriff gegen seine über 85.000 Mitarbeiter, und Microsofts Implementierung phishing-resistenter MFA schützt nun 92 % der Mitarbeiterkonten mit diesen Methoden.

Die Lücke zwischen diesen Ansätzen wird sich weiter vergrößern, da Angreifer KI-gestütztes Social Engineering einsetzen, das das Abfangen von Zugangsdaten in Echtzeit schneller und überzeugender macht. Genau diese wachsende Lücke ist der Grund, warum Regulierungsbehörden und Standardisierungsgremien jetzt phishing-resistente Methoden vorschreiben.

Phishing-resistente MFA: Compliance und Vorschriften

Behördliche Vorgaben und globale Standards verlangen oder empfehlen inzwischen phishing-resistente Authentifizierung, wodurch Compliance neben den Sicherheitsvorteilen zum Haupttreiber für die Einführung wird.

Die wichtigsten Rahmenwerke, die die Einführung vorantreiben, sind:

  • OMB Memorandum M-22-09, veröffentlicht im Januar 2022 im Rahmen der Executive Order 14028, verpflichtete alle Bundesbehörden zur Implementierung phishing-resistenter MFA für Behördenmitarbeiter, Auftragnehmer und Partner als Teil einer Zero-Trust-Architekturstrategie. Das Memorandum legt ausdrücklich fest, dass Behörden Authentifizierungsmethoden, die nicht phishing-resistent sind, einschließlich SMS-Codes, Sprachanrufe, Einmalpasswörter und einfache Push-Benachrichtigungen, nicht mehr unterstützen dürfen. Auch öffentlich zugängliche Regierungssysteme müssen allgemeine Benutzern phishing-resistente Optionen anbieten.
  • CISAs Zero Trust Maturity Model positioniert phishing-resistente MFA als grundlegende Anforderung unter der Identity-Säule. Auf dem optimalen Reifegrad setzen Organisationen phishing-resistente Authentifizierung für alle Benutzer und alle Zugriffsszenarien ein.
  • NIST Special Publication 800-63B definiert Authentication Assurance Level 3 (AAL3) als erfordernis für hardwarebasierte, phishing-resistente Authentifikatoren mit kryptografischem Besitznachweis.

Über die US-Bundesregierung hinaus beeinflussen diese Anforderungen regulierte Branchen weltweit. Finanzinstitute, Gesundheitsorganisationen und Rüstungsunternehmen, die mit Bundesbehörden zusammenarbeiten, müssen die gleichen Authentifizierungsstandards erfüllen. Die NIS2-Richtlinie der Europäischen Union verlangt stärkere Authentifizierungskontrollen für Betreiber kritischer Infrastrukturen, und private Rahmenwerke wie PCI DSS 4.0 empfehlen nun phishing-resistente Authentifizierung für den administrativen Zugriff auf Karteninhaberdatenumgebungen.

Organisationen, die die Einführung verzögern, sind sowohl regulatorischen Risiken als auch Versicherungsfolgen ausgesetzt, da Cyberversicherer zunehmend phishing-resistente MFA für die Policenberechtigung verlangen. Unabhängig von der Compliance sprechen die Sicherheitsvorteile selbst für die Einführung.

Wesentliche Vorteile phishing-resistenter MFA

Sie eliminieren Angriffe durch Zugangsdaten-Phishing. Die 36 % der Verbraucher, die laut FIDO Alliance-Umfrage 2025 eine Kontoübernahme durch schwache oder gestohlene Zugangsdaten erlebten, erhalten Schutz durch kryptografische Bindung, die Credential Theft technisch unmöglich macht.

Phishing-resistente MFA schützt vor den Angriffen, die herkömmliche Authentifizierung systematisch kompromittieren:

  • SIM-Swapping-Angriffe, bei denen Angreifer Mobilfunkanbieter dazu bringen, die Kontrolle über Telefonnummern zu übertragen, scheitern, weil die Authentifizierung an kryptografische Schlüssel auf spezifischer Hardware und nicht an Telefonnummern gebunden ist.
  • Adversary-in-the-Middle-Angriffe, die Zugangsdaten und Sitzungstoken abfangen, scheitern, weil jede Authentifizierungsanfrage neue kryptografische Herausforderungen erfordert, die spezifisch für die legitime Domain sind.
  • MFA-Fatigue-Angriffe, die Benutzer mit Genehmigungsanfragen bombardieren, scheitern, weil die Authentifizierung den physischen Besitz des Authentifizierungsgeräts mit Benutzerpräsenzüberprüfung erfordert.

Diese Schutzmechanismen liefern konkrete Sicherheitsverbesserungen, aber Organisationen müssen auch über die Authentifizierungsebene hinaus Sichtbarkeit behalten, um anomale Zugriffsmuster zu erkennen, die auf eine Kontoübernahme durch nicht auf Zugangsdaten basierende Angriffsmethoden hindeuten. Um diese Vorteile zu realisieren, müssen jedoch mehrere Implementierungshürden überwunden werden.

Herausforderungen bei der Implementierung phishing-resistenter MFA

Die Einführung phishing-resistenter MFA in einem Unternehmen ist keine einfache Konfigurationsänderung. Organisationen stehen vor architektonischen, betrieblichen und strategischen Hürden, die sorgfältige Planung erfordern.

Kompatibilität mit Legacy-Anwendungen

Legacy-Anwendungen stellen die größte architektonische Einschränkung dar. Laut CISA- und FIDO Alliance-Leitfäden erfordern FIDO2 und WebAuthn moderne Webbrowser und Betriebssysteme. Anwendungen, die Legacy-Authentifizierungsprotokolle verwenden, können FIDO2 ohne architektonische Anpassungen nicht direkt unterstützen.

Sie müssen Authentifizierungsmethoden den Anwendungsmöglichkeiten zuordnen: Moderne Webanwendungen unterstützen native FIDO2/WebAuthn, Legacy-Anwendungen benötigen möglicherweise PKI-basierte Authentifizierung oder Protokollbrückenlösungen, und die Betriebssystemanmeldung erfordert FIDO-Sicherheitsschlüssel oder Plattform-Authentifikatoren. Ältere Betriebssysteme benötigen möglicherweise externe Authentifikatoren wie FIDO2-Sicherheitsschlüssel. Die vollständige FIDO2-Migration kann sich bei komplexen IT-Umgebungen über mehrere Jahre erstrecken und erfordert gestaffelte Einführungsstrategien, die zunächst auf besonders wertvolle Benutzer und Systeme abzielen.

Integration in den Identitätslebenszyklus

Auch die Integration in das Identitätslebenszyklusmanagement erfordert sorgfältige Planung. Sie müssen die Bereitstellung und Entziehung von Authentifikatoren in bestehende IAM-Workflows integrieren, um Joiner-Mover-Leaver-Ereignisse zu unterstützen. Ihre FIDO-Server-Infrastruktur benötigt Self-Service-Funktionen für Benutzer, administrative Lebenszyklussteuerung, API-Gateway-Integration und Richtliniendurchsetzung, die mit dem zentralisierten ICAM-Modell für Unternehmensbereitstellungen abgestimmt sind.

Sich entwickelnde Angreifertaktiken

Angreifer passen sich Verteidigungsmaßnahmen an. Während phishing-resistente MFA Credential Phishing und traditionelle MFA-Umgehungstechniken eliminiert, weichen entschlossene Angreifer auf andere Methoden aus. Sie sind weiterhin mit Endpunktkompromittierung, Anwendungsschwachstellen, Social Engineering gegen andere Sicherheitskontrollen und Supply-Chain-Angriffen konfrontiert. Phishing-resistente MFA bietet starke Authentifizierungssicherheit, muss aber in umfassendere Defense-in-Depth-Strategien integriert werden. Selbst wenn diese Herausforderungen berücksichtigt werden, untergraben viele Organisationen ihre eigenen Implementierungen durch vermeidbare Fehler.

Häufige Fehler bei phishing-resistenter MFA

Organisationen, die phishing-resistente MFA einführen, können ihre Sicherheitslage dennoch durch Implementierungsfehler schwächen. Die gravierendsten Fehler führen genau die Schwachstellen wieder ein, die phishing-resistente Authentifizierung eigentlich beseitigen sollte.

  • Beibehaltung von Fallback-Optionen zu nicht-phishing-resistenten Methoden schafft ausnutzbare Sicherheitslücken. Organisationen setzen FIDO2 für die primäre Authentifizierung ein, behalten aber SMS-Codes oder Push-Benachrichtigungen als Backup-Optionen bei. Angreifer finden und nutzen diese Fallback-Mechanismen, indem sie Benutzer zu weniger sicheren Authentifizierungspfaden zwingen. Sie müssen alle Legacy-Authentifizierungsmethoden nach Abschluss der Einführung phishing-resistenter MFA eliminieren und Basis-Authentifizierung, SMS-Codes und Passwort-Only-Zugriff blockieren.
  • Unzureichende Geräte- und Plattformabdeckung schafft Umgehungsmöglichkeiten. Eine Einführungsplanung, die sich nur auf unternehmenseigene Geräte konzentriert, lässt Lücken für BYOD-Szenarien, den Zugriff von Auftragnehmern und Partner-Föderationen. Angreifer manipulieren Anmeldeprozesse, um MFA zu umgehen, indem sie behaupten, Geräte unterstützten keine starke Authentifizierung. Sie benötigen Durchsetzungsrichtlinien, die Authentifizierungs-Downgrade-Angriffe verhindern.
  • Fehlende Integration von Authentifikatoren in Identitätslebenszyklus-Workflows schafft operative Belastung und Sicherheitslücken. Die Bereitstellung von Authentifikatoren ohne automatisierte Provisionierung während des Onboardings oder automatisierte Entziehung beim Offboarding führt zu veralteten Zugangsdaten. Laut dem Identity Lifecycle Management Playbook von IDManagement.gov benötigen Organisationen Leitlinien, „wie phishing-resistente Authentifikatoren“ in Joiner-Mover-Leaver-Prozesse integriert werden. Manuelle Prozesse für das Credential Lifecycle Management sind nicht skalierbar und schaffen Zeitfenster, in denen ehemalige Mitarbeiter weiterhin Authentifizierungsmöglichkeiten behalten.
  • Unzureichende Planung für Kontowiederherstellung schafft zusätzliche Schwachstellen. Wenn Sie bei der Registrierung nicht mehrere Authentifikatoren verlangen, droht Benutzern mit nur einem Authentifikator eine Kontosperrung, falls sie ihren Sicherheitsschlüssel verlieren oder ihr Telefon ohne Credential-Migration ersetzen. Laut FIDO Alliance Enterprise Deployment Guide verhindert die Registrierung mehrerer Authentifikatoren Kontosperrungen. Wiederherstellungsmechanismen müssen phishing-resistente Eigenschaften beibehalten, um keine neuen Social-Engineering-Angriffsflächen zu schaffen.

Allen diesen Fehlern ist gemeinsam, dass sie Lücken schaffen, die Ihre Authentifizierungsposition auf die gleichen Schwächen zurückführen, die phishing-resistente MFA beseitigen sollte. Die folgenden Best Practices helfen, sie zu vermeiden.

Best Practices für phishing-resistente MFA

Erfolgreiche Implementierungen folgen einem strukturierten Ansatz, der Sicherheitsgewinne mit betrieblicher Bereitschaft in Einklang bringt. Diese Praktiken basieren auf CISA-Leitlinien, FIDO Alliance-Empfehlungen für Unternehmen und dokumentierten Implementierungen von Bundesbehörden.

Auf zentralisierter Identitätsinfrastruktur aufbauen

Beginnen Sie mit zentralisierten Plattformen für Identity, Credential und Access Management. Die FIDO-Implementierung des US-Landwirtschaftsministeriums, von CISA als Erfolgsgeschichte dokumentiert, nutzte bestehende SSO-Plattformen zur Aktivierung von FIDO-Authentifizierungsmethoden. Das USDA bot Benutzern ohne PIV-Karten phishing-resistente Authentifizierung auf Basis zentralisierter Architektur. Sie erreichen schnellere Einführung und bessere Benutzererfahrung, wenn Sie auf bestehender Identitätsinfrastruktur aufbauen.

Zuerst auf besonders wertvolle Benutzer und Systeme fokussieren

Setzen Sie phishing-resistente MFA sofort für Systemadministratoren, Führungskräfte, Juristen, HR-Mitarbeiter und das Top-Management ein. Konzentrieren Sie sich auf besonders gefährdete Ressourcen wie E-Mail-Systeme, Dateiserver, Remote-Access-Systeme und Administrationskonsolen. Sie reduzieren die Risikokonzentration und sammeln operative Erfahrung mit begrenzten Benutzergruppen, bevor Sie den unternehmensweiten Rollout starten.

Gestaffelte Durchsetzung implementieren

Beginnen Sie damit, phishing-resistente Zugangsdaten an Benutzer zu verteilen, die für passwortlose Authentifizierung auf verwalteten Geräten bereit sind. Gehen Sie zu Richtliniendurchsetzung über, die phishing-resistente MFA für den Ressourcenzugriff verlangt. Schließen Sie die Umstellung ab, indem Sie alle Benutzer verpflichten, sich mit phishing-resistenten Zugangsdaten zu authentifizieren. Dieser gestufte Ansatz vermeidet operative Störungen und verbessert die Sicherheitslage in jeder Phase.

Mehrere phishing-resistente Methoden unterstützen

Planen Sie hybride Authentifizierungsstrategien, die sowohl FIDO2- als auch PKI-basierte Methoden unterstützen. FIDO2 bietet optimale Benutzererfahrung für Cloud-Anwendungen, während PKI-zertifikatbasierte Authentifizierung eine ausgereifte Infrastruktur für Legacy-Systeme mit strengen regulatorischen Anforderungen liefert. Die Unterstützung mehrerer phishing-resistenter Methoden bietet Flexibilität, ohne die Sicherheit durch Rückgriff auf nicht-phishing-resistente Optionen zu gefährden.

Registrierung mehrerer Authentifikatoren verlangen

Verlangen Sie bei der Erstanmeldung die Registrierung mehrerer Authentifikatoren, um Kontosperrungen zu verhindern. Organisationen können sowohl Plattform-Authentifikatoren als auch Hardware-Sicherheitsschlüssel verlangen oder mehrere Authentifikatoren desselben Typs als Backup-Zugangsdaten unterstützen. Wiederherstellungsprozesse sollten kryptografische Sicherheitseigenschaften durch Mechanismen wie Backup-Authentifikatoren oder sichere Kontowiederherstellungsverfahren beibehalten.

Legacy-Authentifizierungsmethoden eliminieren

Erzwingen Sie die vollständige Eliminierung von Legacy-Authentifizierungsmethoden, sobald die Einführung ausreichend abgeschlossen ist. Ihre Policy Engine blockiert Basis-Authentifizierung, SMS-Codes, Passwort-Only-Zugriff und traditionelle Push-Benachrichtigungen in allen Anwendungen. Regelmäßige Audits identifizieren Anwendungen, die noch Legacy-Authentifizierung akzeptieren, und priorisieren deren Migration oder Außerbetriebnahme.

Die Befolgung dieser Praktiken verschafft Ihnen eine starke Authentifizierungsgrundlage, aber Authentifizierung allein deckt nicht die gesamte Angriffsfläche ab. Sie benötigen auch Einblick in das, was nach erfolgreicher Anmeldung der Benutzer geschieht.

Phishing-resistente MFA mit SentinelOne stärken

SentinelOne's Singularity Platform bietet Funktionen zur Erkennung und Reaktion auf Identitätsbedrohungen (ITDR), die die Authentifizierungssicherheit auf Aktivitäten nach der Anmeldung ausweiten. Die Plattform korreliert Authentifizierungsereignisse mit Endpunktverhalten, Netzwerkaktivität und Benutzeraktionen. Purple AI beschleunigt die Untersuchung von Authentifizierungsanomalien durch Abfragen in natürlicher Sprache, reduziert das Alarmaufkommen um 88 % und verringert den manuellen Aufwand von Sicherheitsteams bei der Analyse von Authentifizierungsmustern. Sie erhalten Einblick in Anomalien bei der Authentifizierungsgeschwindigkeit, geografisch unmögliche Szenarien, Geräte-Fingerprint-Änderungen und Abweichungen im Zugriffsmuster, die auf Missbrauch von Zugangsdaten hindeuten.

Singularity Identity schützt Ihre Identitätsinfrastruktur mit Echtzeitabwehr für Active Directory und Cloud-Identitätsanbieter einschließlich Entra ID. Wenn Verhaltensanomalien auf ungewöhnliche Privilegieneskalation, Credential Dumping-Versuche oder laterale Bewegung nach Authentifizierungsereignissen hindeuten, rekonstruiert die Storyline-Technologie der Singularity Platform die vollständige Angriffserzählung, ermöglicht schnellere Untersuchungen und autonome Reaktionen.

Phishing-resistente MFA schafft eine strukturell sichere Authentifizierungsgrundlage. Sie maximieren diese Investition, indem Sie ergänzende Cybersecurity-Tools einsetzen, die Aktivitäten nach der Authentifizierung überwachen, Verhaltensanomalien erkennen, die auf Kompromittierung hindeuten, und autonom auf Bedrohungen reagieren, die Schwachstellen jenseits der Zugangsdatenebene ausnutzen.

Fordern Sie eine Demo bei SentinelOne an, um zu sehen, wie die Korrelation von Authentifizierungsereignissen mit Endpunktverhalten vollständige Bedrohungstransparenz liefert.

Verringern Sie das Identitätsrisiko in Ihrer gesamten Organisation

Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.

Demo anfordern

Wichtige Erkenntnisse

Phishing-resistente MFA eliminiert Credential Phishing durch asymmetrische Kryptografie und Domainbindung, die Credential Theft strukturell unmöglich macht. CISA bezeichnet FIDO/WebAuthn und PKI-basierte Authentifizierung als die einzigen zugelassenen phishing-resistenten Methoden. 

Traditionelle MFA versagt systematisch gegen moderne Angriffe, wobei MFA-Fatigue in 14 % der Vorfälle auftritt und Credential Abuse 90 % der Webanwendungs-Einbrüche verursacht.

FAQs

Phishing-resistente MFA ist eine Form der Multi-Faktor-Authentifizierung, die asymmetrische Kryptografie und Domain-Bindung verwendet, um den Diebstahl von Zugangsdaten strukturell unmöglich zu machen. CISA erkennt zwei Implementierungen an: FIDO/WebAuthn und PKI-basierte Authentifizierung. 

Private Schlüssel verlassen das Authentifizierungsgerät niemals, und jede Authentifizierungsanfrage wird an eine spezifische Domain gebunden. Besucht ein Benutzer eine Phishing-Seite, kann der Authentifikator keine gültige Antwort erzeugen, da die Domain nicht übereinstimmt.

Authenticator-Apps generieren zeitbasierte Einmalpasswörter, die Benutzer bei Echtzeit-Angriffen zum Diebstahl von Zugangsdaten auf Phishing-Seiten eingeben können, wodurch Angreifer diese Zugangsdaten an legitime Dienste weiterleiten können. 

FIDO2 erstellt kryptografische Signaturen, die an bestimmte Domains gebunden sind. Ihr Authenticator kann für Phishing-Seiten keine gültigen Signaturen erzeugen, da die Domain nicht mit den registrierten Zugangsdaten übereinstimmt. Die Authentifizierung schlägt fehl, bevor Sie eine Aktion ausführen können, die die Sicherheit gefährdet.

Phishing-resistente MFA verhindert den Diebstahl von Zugangsdaten und die Umgehung der Authentifizierung, schützt jedoch nicht vor Angriffen nach der Authentifizierung wie laterale Bewegung, Privilegieneskalation und Datenexfiltration. 

Sie benötigen Verhaltensanalysen, Endpoint-Sicherheitslösungen und Identitätsüberwachungstools, um Angriffe zu erkennen und zu stoppen, die nach einer legitimen Authentifizierung stattfinden. Starke Sicherheit erfordert phishing-resistente Authentifizierung, die mit Endpoint-Tools und autonomen Reaktionsfunktionen integriert ist.

Verlangen Sie von Benutzern, dass sie während der Erstanmeldung mehrere Authentifikatoren registrieren, einschließlich sowohl Plattform-Authentifikatoren als auch Hardware-Sicherheitsschlüssel. Sichern Sie Backup-Authentifikatoren getrennt von den primären Geräten. 

Implementieren Sie Identitätsprüfungsprozesse für Wiederherstellungsszenarien, die die Anforderungen an phishingsichere Authentifizierung aufrechterhalten, indem kryptografische Verifizierungsmethoden anstelle von Fallback-Mechanismen verwendet werden. Vermeiden Sie Wiederherstellungsprozesse, die phishingsichere Anforderungen durch SMS-Codes, E-Mail-Links oder wissensbasierte Authentifizierung umgehen.

Synchronisierte Passkeys erfüllen die kryptografische Definition von phishing-resistenter Authentifizierung durch Public-Key- Kryptografie und Domain-Bindung, wobei Cloud-Synchronisierung mit Ende-zu-Ende-Verschlüsselung für den Zugriff über mehrere Geräte hinweg verwendet wird. Organisationen, die die NIST Authentication Assurance Level 3 (AAL3) einhalten müssen, müssen gerätegebundene Authentifikatoren mit Hardware-Attestierung verwenden. 

Richten Sie die Bereitstellung von Authentifikatoren an den organisatorischen Risikoprofilen aus: Hardware-Sicherheitsschlüssel für privilegierten Zugriff, gerätegebundene Passkeys für unternehmenseigene Geräte und synchronisierte Passkeys für die allgemeine Belegschaft.

Altsysteme stellen Authentifizierungsherausforderungen dar, die eine klare Priorisierung der Modernisierung erfordern. Für Anwendungen, die PKI-Zertifikatsauthentifizierung unterstützen, setzen Sie als Zwischenlösung Smartcard-basierte Lösungen ein. 

Für Systeme, die FIDO2 nicht nativ unterstützen, implementieren Sie Protokollbrücken als temporäre Maßnahme. Planen Sie mehrjährige Modernisierungsstrategien für komplexe Altsystemumgebungen und beseitigen Sie nach Abschluss alle Legacy-Authentifizierungs-Backups.

Erfahren Sie mehr über Sicherheit der Identität

Passkey vs. Security Key: Unterschiede & AuswahlhilfeSicherheit der Identität

Passkey vs. Security Key: Unterschiede & Auswahlhilfe

Passkeys vs Security Keys: Vergleichen Sie FIDO2-Anmeldedatentypen nach Vertrauensniveau, Attestierung, Wiederherstellung und Bereitstellungsmodellen für Unternehmen. Erfahren Sie, welche Option zu Ihrer Umgebung passt.

Mehr lesen
Adaptive Multi-Faktor-Authentifizierung: Ein vollständiger LeitfadenSicherheit der Identität

Adaptive Multi-Faktor-Authentifizierung: Ein vollständiger Leitfaden

Adaptive MFA passt die Authentifizierungsstärke basierend auf einer Echtzeit-Risikoanalyse an und überwacht Sitzungen kontinuierlich, um Token-Diebstahl-Angriffe zu stoppen, die herkömmliche MFA umgehen.

Mehr lesen
Identity Provider (IDP) Sicherheit: Was es ist & warum es wichtig istSicherheit der Identität

Identity Provider (IDP) Sicherheit: Was es ist & warum es wichtig ist

Erfahren Sie, wie Intrusion Detection Systeme und FIDO2-Authentifizierung IdP-Angriffe auf Ihre Infrastruktur stoppen.

Mehr lesen
Was ist NTLM? Windows NTLM-Sicherheitsrisiken und MigrationsleitfadenSicherheit der Identität

Was ist NTLM? Windows NTLM-Sicherheitsrisiken und Migrationsleitfaden

NTLM ist ein Windows-Authentifizierungsprotokoll mit kritischen Schwachstellen. Erfahren Sie mehr über Pass-the-Hash-Angriffe, Relay-Risiken und Migration vor Oktober 2026.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern
  • Fangen Sie an!
  • Demo anforden
  • Produkt-Tour
  • Warum SentinelOne
  • Preise & Pakete
  • FAQ
  • Kontakt
  • Kontaktieren Sie uns
  • Support
  • SentinelOne Status
  • Sprache
  • Plattform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support-Services
  • Branchen
  • Energieversorger
  • Öffentlicher Sektor
  • Finanzsektor
  • Gesundheitswesen
  • Hochschulen
  • Fertigungsindustrie
  • Retail
  • Regionale & kommunale Verwaltung
  • Cybersecurity for SMB
  • Ressourcen
  • Blog
  • Labs
  • Fallstudien
  • Videos
  • Produkt-Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • White Papers
  • Presse
  • News
  • Ransomware Anthologie
  • Unternehmen
  • Über uns
  • Unsere Kunden
  • Karriere
  • Partner
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle Rechte vorbehalten.

Hinweis zum Datenschutz Nutzungsbedingungen

Deutsch