
MFA-Fatigue-Angriff
Was ist ein MFA-Fatigue-Angriff?
Bei einem MFA-Fatigue-Angriff wird der Multi-Faktor-Authentifizierungsprozess so manipuliert, dass die Zielperson immer wieder Authentifizierungsanfragen erhält, bis sie schließlich entnervt oder versehentlich die erwartete Aktion ausführt. Im Prinzip funktioniert das ähnlich wie ein besonders hartnäckiges Klopfen, das schließlich auch den vorsichtigsten Hausbesitzer dazu verleiten kann, einem Eindringling die Tür zu öffnen.
Ein Beispiel für diese raffinierte Taktik ist der jüngste massive Angriff auf Uber durch die berüchtigte Hackergruppe Lapsus$. Dabei lösten die Angreifenden durch wiederholte Anmeldeversuche mit den gestohlenen VPN-Zugangsdaten eines externen Auftragnehmers eine Flut von Zwei-Faktor-Authentifizierungsanfragen aus. Da der Auftragnehmer zunächst nicht reagierte, gaben sich die Angreifenden als Mitglieder des technischen Support-Teams aus und brachten ihn dazu, die MFA-Anfrage zu akzeptieren und den unberechtigten Zugriff zu gewähren.
Der Vorfall bei Uber lehrt uns auf ernüchternde Art, dass MFA zwar ein wesentlicher Bestandteil der Cybersicherheit, aber nicht unüberwindbar ist. Die Tatsache, dass Cyberkriminelle mit ihren immer ausgefeilteren Taktiken selbst die mächtigsten Unternehmen ins Visier nehmen können, macht deutlich, wie wichtig ständige Wachsamkeit und ein mehrschichtiger Sicherheitsansatz sind. In der heutigen schnelllebigen Welt der digitalen Verteidigung kann die kleinste Nachlässigkeit dazu führen, dass Cyberkriminelle eine Schwachstelle finden, die sie nur allzu gerne ausnutzen.

Wie laufen MFA-Fatigue-Angriffe ab?
Beim MFA-Verfahren müssen Nutzende ihre Identität durch verschiedene sogenannte Faktoren nachweisen, um das System vor unerwünschten Zugriffen zu schützen. Dabei handelt es sich zum einen um eine Information, die nur der betreffenden Person bekannt ist (z. B. ein Passwort), zum anderen um ein Gerät, das die Person besitzt (z. B. ein Telefon) und zum dritten um ein biometrisches Merkmal (z. B. einen Fingerabdruck). Das Ganze funktioniert wie eine Schatztruhe mit mehreren Schlössern, die sich nur öffnen lässt, wenn alle Schlüssel zur Hand sind.
Bei einem MFA-Fatigue-Angriff wird versucht, die MFA-Anforderungen zu umgehen und auf andere Weise Zugriff auf ein Konto zu erlangen. Die Strategie besteht darin, das Opfer so lange mit Authentifizierungsanfragen zu bombardieren, bis seine Wachsamkeit irgendwann nachlässt.
Doch wie funktioniert das? Letztlich geht es hierbei nicht um Technik, sondern um Psychologie. Die Angreifenden nutzen eine menschliche Schwäche – in diesem Fall die Ermüdung des Opfers – aus, um sich Zugang zu verschaffen. Dabei läuft der MFA-Fatigue-Angriff in verschiedenen Phasen ab:

- Zugangsdaten beschaffen: Um durch einen erfolgreichen MFA-Fatigue-Angriff Zugriff auf ein Konto zu erlangen, benötigen die Angreifenden zunächst gültige Zugangsdaten. Dabei kann es sich um Login-Details handeln, die dem Opfer bei einem gezielten Phishing-Angriff entlockt oder im Dark Web gekauft wurden. Diese Zugangsdaten bilden das erste strategische Standbein für den MFA-Fatigue-Angriff.
- MFA-Anfragen auslösen: Nachdem die Angreifenden so die erste Verteidigungslinie umgangen haben, lösen sie eine Flut von MFA-Push-Benachrichtigungen an die Zielperson aus. In diesen sekundären Sicherheitsanfragen wird das Opfer zumeist aufgefordert, einen an sein Telefon oder seine E-Mail-Adresse gesendeten Code einzugeben oder eine Authentifizierungsanfrage über eine spezielle App zu bestätigen.
- Zielperson zermürben: Da eine MFA-Benachrichtigung mit großer Wahrscheinlichkeit nicht ausreicht, werden die Angreifenden versuchen, die Zielperson durch ein regelrechtes Bombardement von Authentifizierungsanfragen zu irritieren. Daher die Bezeichnung „Fatigue“ – das Opfer wird zermürbt, bis es ermüdet und schließlich entnervt oder aus Versehen die erwartete Aktion ausführt. Im Hintergrund koordinieren die Angreifenden inzwischen ihr raffiniertes Vorgehen.
- Über verschiedene Kanäle überzeugen: In manchen Fällen gehen die Angreifenden noch einen Schritt weiter und geben sich als Mitglieder des technischen Support-Teams aus oder verleiten die Zielperson mit anderen Social-Engineering-Methoden dazu, die MFA-Anfrage zu akzeptieren. Ein Beispiel hierfür ist der jüngste Vorfall bei Uber, bei dem sich die Angreifenden Zugang zu den Systemen des Unternehmens verschafften, indem sie die Zielperson per WhatsApp anschrieben und überredeten, die Anfrage zu bestätigen.
- Unberechtigten Zugriff erlangen: Mit der Validierung durch die Zielperson haben die Angreifenden die Multi-Faktor-Authentifizierung umgangen, die als einer der stärksten Sicherheitsmechanismen gilt. Sie können ungehindert in das System eindringen und beispielsweise sensible Daten stehlen, Kunden betrügen oder nach und nach das gesamte Netzwerk infiltrieren.
Sobald die Angreifenden Zugang zu Ihrem Konto haben, können sie bis in den letzten Winkel Ihres Netzwerks vordringen und enormen Schaden verursachen – von Datenschutzverletzungen über finanzielle Verluste bis hin zu rechtlichen Konsequenzen für einzelne Beschäftigte und die gesamte Organisation.
Die Folgen eines MFA-Fatigue-Angriffs: Auswirkungen auf Organisationen
Die negativen Auswirkungen eines MFA-Fatigue-Angriffs gehen weit über die unmittelbare Sicherheitsverletzung hinaus. Jede Organisation speichert in ihren Systemen sensible Informationen wie Kundendaten, Geschäftsgeheimnisse oder Finanzunterlagen. Gelingt es Angreifenden, sich einzuschleichen, können sie diese Informationen entwenden und Ihre digitale Welt ins Chaos stürzen. Sehen wir uns an, welche Folgen ein erfolgreicher MFA-Fatigue-Angriff für Organisationen haben kann:
- Finanzieller Verlust: MFA-Fatigue-Angriffe können Ihre Organisation dort treffen, wo es weh tut – beim Geld. Sie können nicht autorisierte Transaktionen und betrügerische Machenschaften, Störungen des Geschäftsbetriebs und sogar Gerichtskosten und Geldstrafen nach sich ziehen. Nicht selten müssen Organisationen Ressourcen von Wachstumsinitiativen abziehen, um durch solche Angriffe verursachte Schäden zu kompensieren.
- Störungen des Geschäftsbetriebs: Ein MFA-Fatigue-Angriff kann Sand ins Getriebe Ihrer Organisation streuen und Störungen verursachen, zu Ausfällen führen und Verwirrung stiften. Und bis Ihr Team die Folgen behoben hat, sind Zeitpläne in Verzug, Mitarbeitende gestresst und Geschäftsbeziehungen verloren.
- Rufschädigung: Kunden, Mitarbeitende und Stakeholder haben Ihnen ihre persönlichen Daten anvertraut. Wenn Ihre Verteidigung ins Wanken gerät, kann dieses Vertrauen schwinden und Ihr Ruf Schaden nehmen. Laut einem Bericht von Forbes Insights können Datenschutzverletzungen den Ruf einer Organisation am stärksten schädigen. Das zeigt, wie wichtig es ist, Ihre Daten vor MFA-Fatigue-Angriffen zu schützen.
- Kundenabwanderung: Wenn Kunden einmal von einem MFA-Fatigue- oder einem ähnlichen Angriff betroffen waren, fühlen sie sich möglicherweise bei einer anderen Organisation besser aufgehoben. Wettbewerber, die ihren Kunden ein Gefühl größerer Sicherheit vermitteln, sind also im Hinblick auf die Kundentreue im Vorteil.
- Rechtliche Konsequenzen: In vielen Branchen müssen Organisationen Datensicherheits-, Datenschutz- und andere Vorschriften wie das Das EU-Cybersicherheitsgesetz, die Datenschutz-Grundverordnung (DSGVO) und die DORA-Verordnung (Digital Operational Resilience Act) einhalten. Ein erfolgreicher MFA-Fatigue-Angriff kann einen Verstoß gegen diese Vorschriften zur Folge haben, der mit Bußgeldern und Strafen geahndet wird.
- Mangelnde Innovation: Die Furcht vor Sicherheitsverletzungen kann Sie und Ihre Mitarbeitenden davon abhalten, neue Technologien einzuführen, und damit Ihr Wachstum und Ihre Flexibilität behindern.
- Langfristige Auswirkungen: MFA-Fatigue-Angriffe können die Pläne Ihrer Organisation durcheinanderbringen und Sie zwingen, erhebliche Anstrengungen zu unternehmen, um Vertrauen wiederherzustellen, Sicherheitsmaßnahmen zu verstärken und Ihren Kurs neu zu bestimmen. Das kann ein langer Weg sein, der viel Geduld und großen Einsatz erfordert.
MFA-Fatigue-Angriffe: Beispiele aus dem echten Leben
Uber ist längst nicht die einzige Organisation, die Opfer eines MFA-Fatigue-Angriffs wurde. Dass selbst modernste Schutzmaßnahmen diese Angriffe nicht verhindern konnten, zeigt, wie wichtig es ist, ständig auf der Hut zu sein und Bedrohungen zu erkennen.
Cisco: Die gefährliche Kombination von Vishing und MFA Bombing
Das renommierte Technologieunternehmen Cisco Systems wurde erst kürzlich Opfer eines Cyberangriffs auf seine Sicherheitssysteme. Die Angreifenden verleiteten eine Zielperson durch eine Reihe von Anrufen vermeintlicher Beschäftigter einer Support-Organisation dazu, die Anmeldedaten für ihr Google-Konto preiszugeben. Nachdem die Angreifenden an die benötigten Informationen gelangt waren, verschafften sie sich durch die Anmeldung neuer Geräte für die Multi-Faktor-Authentifizierung unberechtigten Zugang zu den VPN-Netzwerken von Cisco und erweiterten dort ihre Berechtigungen. Anschließend richteten sie Hintertüren ein, durch die sie tiefer in die Server und Netzwerke des Unternehmens eindringen und Daten entwenden konnten.
Der Angreifer UNC2447, der zu einer Gruppe mit Verbindungen nach Russland gehört, hat dabei nach eigenen Angaben 3.000 Dateien mit insgesamt 2,8 GB Daten gestohlen. Diese Dateien können vertrauliche Informationen über die Geschäfte, Kunden und Partner des Unternehmens enthalten, weshalb Stakeholder einen erheblichen Reputations- und Vertrauensverlust befürchten. Darüber hinaus besteht die Gefahr, dass die gestohlenen Daten für böswillige Zwecke wie Identitätsdiebstahl oder gezielte Cyberangriffe auf andere Unternehmen missbraucht werden.
University of Queensland: Gezielter Angriff mit trügerischen MFA-Anfragen
Bei einem ähnlichen Vorfall wurde Personal der University of Queensland Australia zum Ziel eines MFA-Bombing-Angriffs. Die Zielperson erhielt plötzlich eine MFA-Benachrichtigung in ihrem persönlichen Account, die sie arglos bestätigte, ohne zu ahnen, welche Lawine sie mit dieser scheinbar unbedeutenden Entscheidung auslösen würde. Die Angreifenden nutzten den so erlangten Zugriff, um den kompromittierten Account zu manipulieren und betrügerische E-Mail-Nachrichten an Mitarbeitende und Studierende der Universität zu versenden. Mit der in diesen Nachrichten enthaltenen MFA-Anfrage lockten sie die Empfänger auf eine geschickt gefälschte Microsoft-Anmeldeseite, wo sie die eingegebenen Anmeldedaten abgriffen. So bauten sie auf einem zunächst einfachen Angriff ein komplexes Täuschungsmanöver auf.
Solche Fälle betreffen uns unmittelbarer, als wir denken. MFA-Fatigue-Angriffe zielen nicht nur auf Organisationen ab, sondern können auch unbeteiligte Privatpersonen schädigen. Denken Sie nur an all die persönlichen Daten, die Unternehmen speichern, deren Dienste wir häufig in Anspruch nehmen. Wenn eines dieser Unternehmen gehackt wird, sind auch unsere persönlichen Daten in Gefahr. Um das zu vermeiden, können sich Organisationen und Einzelpersonen mit verschiedenen Maßnahmen vor MFA-Fatigue-Angriffen schützen.
Maßnahmen zur Abwehr von MFA-Fatigue-Angriffen
Multi-Faktor-Authentifizierung ist die erste Verteidigungslinie zum Schutz unserer digitalen Identitäten und Unternehmensressourcen. Doch parallel zur Technologie entwickeln sich auch die Taktiken der Angreifenden weiter. Ihre Absicht ist klar: Sie versuchen, die Nutzenden so lange abzulenken und zu zermürben, bis sie in einem Moment der Schwäche in das System eindringen können. Es geht also nicht darum, einen Code zu knacken oder eine Firewall zu überwinden, sondern vielmehr um die Psychologie der Erschöpfung.
Um solche Angriffe wirksam zu bekämpfen, müssen Organisationen und Einzelpersonen beide Seiten im Blick haben – die neuesten Entwicklungen in der Cybersicherheit wie auch die neuen Angriffsmethoden der Cyberkriminellen, um diese auszuhebeln. Im Folgenden haben wir einige wirksame Taktiken zur Abwehr von MFA-Fatigue-Angriffen zusammengestellt:

- Nutzen Sie starke Passwörter: Sichere Passwörter sind die wichtigste Schutzbarriere gegen Hacker. Erstellen Sie daher für jedes Konto ein einzigartiges, starkes Passwort. Achten Sie darauf, Passwörter nicht wiederzuverwenden – sonst sind nach einer Sicherheitsverletzung auch Ihre anderen Konten gefährdet.
- Nutzen Sie bewährte MFA-Apps oder -Geräte: Verwenden Sie MFA-Apps oder -Geräte vertrauenswürdiger Anbieter wie Google Authenticator und Microsoft Authenticator oder Hardware-Token wie YubiKey. Diese können Einmal-Codes generieren, die Sie bei der Anmeldung zusammen mit Ihrem Passwort eingeben müssen.
- Setzen Sie auf biometrische Authentifizierung: Biometrische Authentifizierungsmethoden wie Fingerabdruck- oder Gesichtserkennung stellen eine zusätzliche Schutzfunktion bereit, die schwer zu überlisten ist und die Sicherheit Ihres Authentifizierungsprozesses enorm erhöht.
- Begrenzen Sie die Anmeldeversuche: Die Begrenzung der Authentifizierungsanfragen bewirkt, dass Angreifende nach einer bestimmten Anzahl erfolgloser Anmeldeversuche ausgesperrt werden. Das verringert ihre Chancen, sich mit einem Bombardement von Anfragen Zugang zu verschaffen.
- Schulen und trainieren Sie Nutzende: Kontinuierliches Awareness-Training befähigt Ihr Team, verdächtige MFA-Anfragen zu erkennen, und sensibilisiert Mitarbeitende für angemessene Cyberhygiene und proaktive Wachsamkeit.
- Melden Sie verdächtige Aktivitäten: Ein einfaches Meldeverfahren beschleunigt die Untersuchung und Bearbeitung verdächtiger MFA-Anfragen. Selbst wenn die Anfrage nicht bestätigt wird, weist der Eingang einer solchen MFA-Anfrage darauf hin, dass das Konto Ziel eines Angriffs ist. Deshalb sollten diese Anfragen grundsätzlich gemeldet werden, damit das IT-Team reagieren und weitere MFA-Bombing-Angriffe auf das Konto verhindern kann.
- Führen Sie Nummernabgleich in MFA-Anwendungen ein: Bei einem Nummernabgleich müssen die Nutzenden prüfen, ob die angezeigte Nummer mit der an ihr Authentifizierungsgerät gesendeten Nummer übereinstimmt. Diese zusätzliche Prüfung ist schwer zu manipulieren und kann die Wahrscheinlichkeit eines erfolgreichen MFA-Fatigue-Angriffs erheblich verringern. Ihre Wirksamkeit wurde von der CISA bestätigt, die den Nummernabgleich erst kürzlich als Methode zum Schutz vor MFA-Fatigue-Angriffen empfohlen hat. Auch große Technologieunternehmen wie Microsoft haben ihn bereits als Standardfunktion in ihre Authentifizierungs-App aufgenommen.
- Überwachen Sie Kontoaktivitäten: Verfolgen Sie alle Aktivitäten in Ihrem Konto. Aktivieren Sie Push-Benachrichtigungen zu verdächtigen Anmeldeversuchen oder Kontoänderungen. Wenn Ihnen etwas merkwürdig vorkommt, reagieren Sie sofort, indem Sie Ihr Passwort ändern oder den Vorfall melden. Nutzen Sie robuste Überwachungssysteme zur Echtzeit-Verfolgung von Authentifizierungsereignissen.
- Nutzen Sie kontextbezogene Authentifizierung: Implementieren Sie Zugriffskontrollen, die den Benutzerkontext – wie den Standort, das Gerät und den Zeitpunkt des Zugriffs – berücksichtigen. Dieser intelligente Ansatz sorgt dafür, dass nur wirklich notwendige Authentifizierungsanfragen gesendet und die Nutzenden nicht unnötig belästigt werden.
- Nutzen Sie adaptive Authentifizierung: Diese Funktion stimmt die Authentifizierungsanforderungen auf das Risikoprofil der jeweiligen Nutzenden ab. Bei Routineaufgaben werden weniger Anfragen versendet, während verdächtige Aktivitäten genauer untersucht werden.
- Regelmäßige Audits und Verbesserungen: Routinemäßige Audits Ihres Authentifizierungssystems sind unerlässlich. Analysieren Sie fehlgeschlagene Anmeldeversuche, erfolgreiche Anmeldungen sowie alle Muster, die auf Angriffe hindeuten könnten. Halten Sie die Dynamik aufrecht, indem Sie Ihre Abwehrstrategie laufend optimieren.
- Aktualisieren Sie Geräte und Systeme regelmäßig: Sorgen Sie dafür, dass Ihre Geräte, MFA-Apps und Betriebssysteme immer auf dem neuesten Stand sind und die neuesten Sicherheits-Patches und Schutzfunktionen enthalten. Ältere Versionen können bekannte Schwachstellen aufweisen, die sie anfällig für MFA-Fatigue-Angriffe machen.
Ist Passwortlosigkeit die Lösung?
Passwortlose Authentifizierung ist eine vielversprechende Lösung zur Abwehr von MFA-Fatigue-Angriffen – ein pragmatischer Ansatz für mehr Sicherheit, ohne die Komplexität zu erhöhen. Sie eliminiert genau die Faktoren, die sonst zu einer Ermüdung der Nutzenden führen: ständig eingehende Anfragen und die Verwaltung vieler verschiedener Passwörter.
Die passwortlose Authentifizierung kombiniert biometrische Verfahren wie die Fingerabdruck- oder Gesichtserkennung mit Hardware-Token und mobilgerätebasierten Verfahren. Diese personalisierten Identifikationsmerkmale lassen sich jeder Person eindeutig zuordnen, was Angriffe auf Konten erheblich erschwert. Darüber hinaus optimiert die passwortlose Authentifizierung den Prozess der Multi-Faktor-Anmeldung. Die Authentifizierung erfolgt schneller, erfordert weniger Schritte und ist weniger verwirrend. Das erhöht nicht nur die Sicherheit, sondern sorgt auch für eine harmonischere Interaktion zwischen den Nutzenden und den Sicherheitsmaßnahmen.
Mit der zunehmenden Verbreitung biometrischer Technologien bieten passwortlose Verfahren einen flexiblen und skalierbaren Sicherheitsansatz, der Einzelpersonen ebenso wie Organisationen entgegenkommt. Dabei ist allerdings zu beachten, dass die passwortlose Authentifizierung zwar dem Problem der MFA-Fatigue entgegenwirkt, aber auch einige Herausforderungen mit sich bringt. In diesem Zusammenhang sind vor allem der Schutz der biometrischen Daten und die Frage der Gerätesicherheit zu nennen. Wie bei jeder Sicherheitsstrategie muss auch hier zwischen Nutzererlebnis, Datenschutz und Wirksamkeit abgewogen werden.

MFA Bombing abwehren: So können sich Organisationen schützen
MFA ist ein starker Schutzschild gegen Cyberbedrohungen. Doch noch wirksamer wird sie, wenn man den Faktor Mensch mit einbezieht. Organisationen sollten nicht nur auf die Technik setzen, sondern sich bewusst machen, dass ihre Mitarbeitenden die erste Verteidigungslinie bilden. Durch gezielte Sensibilisierung und kontinuierliches Awareness-Training können sie ihren Schutz vor einer Vielzahl von Bedrohungen stärken. Die gamifizierten E-Learning-Module von SoSafe vermitteln komplexe Cybersicherheitskonzepte in kompakten, ansprechenden und leicht verständlichen Lerneinheiten. Mit interaktiven Quizfragen und praxisnahen Inhalten werden den Mitarbeitenden komplizierte Themen Stück für Stück erklärt, ohne sie zu überfordern oder in ihrer täglichen Arbeit zu behindern.
Ebenso entscheidend ist es, bei einem MFA-Fatigue-Angriff rasch auf mögliche Datenschutzverstöße zu reagieren. Mit einem Klick auf den Phishing-Meldebutton können Ihre Mitarbeitenden jederzeit sofort einen Alert an die IT-Abteilung senden. Auch unser Rapid Awareness-Chatbot Sofie spielt eine wichtige Rolle bei der schnellen Reaktion auf Vorfälle. Mit seiner Hilfe können Manager Alerts direkt über MS Teams im gesamten Unternehmen versenden und alle Kräfte für die Abwehr drohender Angriffe mobilisieren.
Ebenso wie die Angreifenden ihre Taktiken ständig weiterentwickeln, müssen auch die Organisationen ihre Sicherheitsstrategien kontinuierlich überprüfen und verstärken, damit sie den Bedrohungen durch Cyberangriffe angemessen begegnen können. Der Schlüssel zu einer robusteren Cyber-Sicherheitslandschaft ist ein ganzheitlicher Ansatz, der effektive Technologie mit einem starken Fokus auf den Faktor Mensch kombiniert.