MFA Sicherheit 2025 – Fatigue Angriffe verhindern mit Policies

MFA Sicherheit 2025 - Fatigue Angriffe verhindern mit Policies - IT-Glossary

Angreifer setzen bei MFA Fatigue auf ein simples Prinzip: Sie erzeugen viele Push-Anfragen in kurzer Zeit, bis ein gestresster Nutzer versehentlich bestätigt. Das funktioniert besonders gut, wenn Push ohne Kontext genutzt wird und keine Limits greifen. Die Folge sind Account-Übernahmen, obwohl MFA aktiviert ist.

Die gute Nachricht: Mit wenigen technischen und organisatorischen Maßnahmen lässt sich das Risiko deutlich senken. Du stellst die richtige Faktorwahl ein, führst Number Matching ein, begrenzt Anfragefrequenzen, erzwingst Kontextanzeigen und definierst klare Policies für Melden, Helpdesk und Notfälle. In diesem Leitfaden bekommst du einen praxisnahen Fahrplan vom Grundschutz bis zur Policy-Vorlage.

Was hinter MFA Fatigue steckt

Unter MFA Fatigue versteht man eine Serie von MFA-Prompts, die Nutzer ermüden sollen. Das beginnt oft mit einem geleakten Passwort oder Phishing. Der Angreifer versucht anschließend, sich ständig einzuloggen. Ohne Drosselung landen Dutzende Push-Anfragen auf dem Gerät. Sobald eine Bestätigung durchrutscht, ist der Zugriff da. Ziel ist deshalb, die Angriffsfläche zu verkleinern und jede Bestätigung bewusst zu machen.

Faktorwahl – welcher zweite Faktor wirklich trägt

Von Push ohne Kontext zu starken Faktoren

Push ohne Number Matching ist bequem, aber anfällig. Stelle, wo möglich, auf Number Matching um. Der Nutzer sieht eine Ziffer am Login und muss genau diese Zahl in der App eintippen. Das verhindert blindes Bestätigen. Noch robuster sind Passkeys bzw. FIDO2 Security Keys. Sie sind phishing-resistent und lassen sich nicht durch Flooding überreden. TOTP aus einer Authenticator App ist solider Standard. SMS sollte höchstens Fallback sein, da anfällig gegenüber SIM-Swap und Abgriff.

Kontext sichtbar machen

Aktiviere Kontext-Prompts: App-Name, Ort, IP- oder ASN-Hinweis und Gerätetyp. Je mehr relevante Details der Nutzer sieht, desto geringer die Chance auf eine Fehlbestätigung.

Technische Kontrollen – Fatigue im Keim ersticken

Limits und Abstände

Setze Rate Limiting für MFA-Anfragen. Eine sinnvolle Startkonfiguration sind maximal 3 Prompts in 5 Minuten mit cooldown von 15 Minuten nach Fehlschlägen. Wiederholte Anfragen aus gleicher IP oder neuem ASN solltest du zusammenfassen oder blockieren.

Risiko- und kontextbasierte Policies

Nutze Conditional Access bzw. risikobasierte Authentifizierung. Bei neuen Geräten, ungewöhnlichen Orten oder Atypical Travel erzwingst du stärkere Faktoren wie Security Key statt Push. Für Admin-Konten verbietest du Push komplett und verlangst Passkeys oder TOTP plus Hardware-Key.

Gerätezustand und Sitzungskontrolle

Verlange device compliance für sensible Apps. Setze Session Reauth nach Policy-Änderungen, Rollenwechseln oder längerer Inaktivität. So verhinderst du, dass ein einmaliger Fehlklick dauerhaften Zugriff gewährt.

Detection und Reaktion – Signale richtig auswerten

Erkennungsmerkmale

Auffällig sind viele MFA-Requests in kurzer Zeit, Prompts außerhalb der Arbeitszeiten, mehrere Faktoren nacheinander oder häufige Abbrüche. Korrelation mit Login-Fehlern, neuen IP-Ranges oder ungewöhnlichen User Agents verstärkt den Verdacht. In deinem SIEM sollten diese Muster Alarm auslösen.

Reaktionskette

Bei Verdacht setzt du das Konto temporär auf TOTP oder Key only, erzwungener Passwort-Reset, Sitzungen widerrufen, Tokens invalidieren und Weiterleitungsregeln im Postfach prüfen. Anschließend Nutzer informieren, kurz aufklären und das Konto nach Prüfung gezielt wieder freischalten.

Policies, die sich bewährt haben

MFA-Policy Kernpunkte

Lege erlaubte Faktoren fest: Passkeys oder FIDO2 als Standard für privilegierte Konten, TOTP für normale Nutzer, SMS nur als Fallback. Schreibe verbindlich Number Matching vor, wenn Push genutzt wird. Erfordere mindestens zwei registrierte Methoden plus Recovery Codes, die offline sicher verwahrt werden.

Prompt- und Eskalationsregeln

Definiere Obergrenzen je Zeitraum, einen cooldown bei mehreren Fehlschlägen und sofortige Sperre der Push-Methode bei auffälligen Mustern. Lege fest, dass Nutzer MFA-Prompts ablehnen und sofort melden sollen, wenn sie keinen Login auslösen. Die Meldung muss niedrigschwellig sein, zum Beispiel per Report-Button oder dedizierter Adresse.

Helpdesk- und Notfallverfahren

Der Helpdesk prüft Identität mit mehreren Faktoren aus unabhängigen Systemen. Temporäre Freigaben sind zeitlich knapp, protokolliert und nutzen starke Faktoren. Break-Glass-Accounts existieren zweifach, liegen offline dokumentiert, haben lange Passwörter und werden getrennt überwacht. Jeder Einsatz wird sofort nachgezogen und Secrets werden rotiert.

Schulung und Kommunikation – der Mensch als Sensor

Nutzer verstehen Fatigue schnell, wenn du es konkret machst. Erkläre die drei Fragen: Erwarte ich diesen Login, passt Ort und Gerät, erkenne ich die App. Bitte um konsequentes Ablehnen unerwarteter Prompts und sofortiges Melden. Zeige in Screenshots, wie Number Matching aussieht und wie Kontextdetails zu prüfen sind. Betone, dass Fehlklicks passieren können und das Ziel schnelles Melden ist, nicht Schuldzuweisung.

Minimaler Einführungsplan

Beginne mit Admin- und Finanzkonten und stelle auf Passkeys oder TOTP um. Aktiviere Number Matching für Push, setze Rate Limits und cooldowns und definiere Alarmregeln im SIEM. Erweitere danach auf alle Nutzer, rolle Awareness mit kurzem Guide aus und führe monatliche Reviews zu MFA-Ereignissen durch. So entsteht ein laufender Prozess, kein einmaliges Projekt.

FAQ kompakt

Ist Push damit tot

Nein. Mit Number Matching, Kontext und Limits bleibt Push brauchbar. Für kritische Rollen sind Passkeys die bessere Wahl.

Reicht TOTP

TOTP ist solide und offline-fähig. Gegen Phishing und Consent-Angriffe helfen Passkeys besser. Nutze TOTP als starken Fallback.

Was tun bei häufigen Fehlalarmen

Überprüfe Schwellenwerte, Zeitzonen und Geräteflotten. Passe Policies fein an, statt Limits abzuschalten.

Fazit

MFA Fatigue ist kein Naturgesetz. Mit Number Matching, starken Faktoren wie Passkeys, Rate Limiting, risikobasierten Policies und einer klaren Reaktionskette stoppst du Flooding zuverlässig. Kombiniere Technik, Regeln und Schulung, halte Prozesse leichtgewichtig und überprüfe sie regelmäßig. So bleibt dein Login sicher, verständlich und alltagstauglich.

weitere Inhalte:

  1. MFA einführen: Strategie, Richtlinien, Fallbacks
    Mehrfaktor-Authentifizierung (MFA) schützt Konten auch dann, wenn ein Passwort bekannt wird. Für Einsteiger klingt das oft kompliziert, in der Praxis ist ein Rollout aber gut beherrschbar – wenn du schrittweise vorgehst, klare Richtlinien definierst und einen sauberen Fallback planst. In...

  2. Zero Trust erklärt: Leitfaden für Unternehmen – 2025
    Angriffe werden raffinierter, Mitarbeitende arbeiten mobil, Anwendungen laufen verteilt in Cloud und On-Prem. Klassische Perimeter-Sicherheit reicht dafür nicht mehr. Zero Trust setzt genau hier an: Vertraue niemandem per Default, prüfe jede Anfrage, gib nur minimale Rechte und überwache kontinuierlich. In...

  3. Phishing erkennen 2025 – Das Playbook für IT-Teams
    Phishing ist heute der schnellste Weg in dein Netzwerk. Angreifer setzen auf Eile, Neugier und Vertrauen. Sie imitieren Marken, Vorgesetzte oder Lieferanten und locken über E-Mail, SMS, Messenger oder Anrufe. 2025 siehst du vermehrt QR-Phishing, MFA-Prompt-Bombing und Consent-Phishing über schadhafte...

  4. Progressive Web App (PWA)
    Progressive Web Apps (PWA) stellen eine moderne Art der Webanwendungen dar, die die Funktionalität von nativen Apps mit den Vorteilen von Webseiten kombiniert. Sie nutzen fortschrittliche Webtechnologien, um eine benutzerfreundliche und schnelle Anwendung zu schaffen, die auf allen Geräten funktioniert...

  5. Multi-Faktor-Authentifizierung (MFA)
    Multi-Faktor-Authentifizierung (MFA) ist eine Sicherheitsmethode, bei der mindestens zwei verschiedene Faktoren zur Identitätsprüfung verwendet werden. Dies erhöht die Sicherheit von Online-Konten und Systemzugriffen erheblich, indem es Angreifern erschwert wird, unbefugt auf geschützte Ressourcen zuzugreifen....

/0 Kommentare/von
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert