Da Cyberattacken immer weiter zunehmen, ist es in vielen Bereichen bereits Pflicht, mehr als nur eine Authentifizierungsmaßnahme (Multi-Faktor-Authentifizierung) zu ergreifen. Doch haben Hacker mittlerweile eine Technik entwickelt, diese zu umgehen: den MFA-Fatigue-Angriff. Sicherheitsexperte CyberArk zeigt auf, welche Varianten derzeit auftreten und welche Abwehrmaßnahmen helfen.
Zu den aktuell größten Cybergefahren zählen Phishing-Angriffe. Fast täglich sind dabei neue Varianten zu beobachten. Je schützenswerter die Daten sind, desto wichtiger ist also eine Multi-Faktor-Authentifizierung (MFA). Neben der E-Mail-Adresse oder einem anderen Benutzernamen, sind für die Authentifizierung dann beispielsweise ein Kennwort und biometrische Daten oder ein Einmal-Code erforderlich.
Die CyberArk Labs haben fünf gängige Phishing-Attacken der jüngsten Vergangenheit identifiziert. Darauf aufbauend gibt CyberArk folgende Tipps zur Verringerung der Cyberrisiken:
1. SMS- und Voice-Phishing
MFA-Fatigue-Attacken, die SMS- und Voice-Phishing nutzen, um sich als vertrauenswürdige Quellen auszugeben „ermüden“ die Nutzer mit zahlreichen MFA-Pushes bis sie Zugang zu den Zielsystemen erhalten. Da die Angreifer immer wieder neue Wege finden, um MFA-Anwendungen und Sicherheitskontrollen zu umgehen, empfiehlt sich die Nutzung von Phishing-resistenten MFA-Faktoren wie FIDO, QR-Codes oder physischen Tokens, um diese Bemühungen zu vereiteln.
Eine wirkungsvolle Abwehrmethode gegen MFA-Fatigue-Attacken ist auch die Änderung der MFA-Konfiguration. So können zum Beispiel Push-Benachrichtigungen durch One-Time Passwords (OTPs) ersetzt werden. Die OTP-Nutzung ist zwar weniger komfortabel, kann aber das MFA-Fatigue-Risiko minimieren.
Ein benutzerfreundlicherer Ansatz besteht darin, für eine erfolgreiche MFA-Authentifizierung einen Nummernabgleich zu verlangen. Dabei wird Benutzern, die auf MFA-Push-Benachrichtigungen mit der Authenticator-App antworten, eine Zahlenfolge angezeigt. Sie müssen sie in die App eingeben, um den Prozess abzuschließen.
2. Social-Engineering-Angriffe
Eine wirksame Methode zum Schutz vor Social Engineering sind Security-Awareness-Trainings für die Mitarbeiter. Routinemäßig sollten Schulungen durchgeführt werden, um das sicherheitsbewusste Verhalten in der Unternehmenskultur zu verankern und die Mitarbeiter über die Entwicklung von Social-Engineering- und Phishing-Angriffstechniken zu informieren.
Aber auch technische Schutzmaßnahmen müssen getroffen werden. Dazu zählt etwa die Nutzung von Spam-Filtern, die verhindern, dass verdächtige E-Mails oder unerwünschte Anhänge wie Gewinnspiele oder infizierte Bewerbungen in die Posteingänge der Mitarbeiter gelangen.
3. Identitätskompromittierung durch Diebstahl von Zugangsdaten
Awareness-Kampagnen können nicht immer verhindern, dass ein Benutzer Opfer eines Phishing wird – zum Beispiel durch Man-in-the-Middle-Angriffe. Folglich muss eine Verteidigungsstrategie auch ein Endpoint Privilege Management beinhalten, das die clientseitigen Credentials schützt und den Diebstahl von Cookies verhindert, der ein MFA-Bypassing ermöglichen kann.
4. Seitwärtsbewegungen von Angreifern im Netzwerk
Hacker bewegeben sich oft "seitwärts" im Netzwerk, um weitere Systeme und Server zu kompromittieren und die Zugriffsrechte auszuweiten – bis hin zu Domain-Controllern.
Eine Abwehrmaßnahme dagegen ist die Durchsetzung des Least-Privilege-Prinzips in der gesamten Infrastruktur, auch im Hinblick auf Anwendungen und Daten. Hier kommen intelligente Berechtigungskontrollen ins Spiel, die den Zugriff für alle Identitäten verwalten, sichern und überwachen.
5. Datenexfiltration
Bei einem der jüngsten Phishing-Vorfälle versuchten Angreifer, wieder in das Netzwerk einzudringen, nachdem sie Daten gestohlen hatten, aber anschließend entdeckt worden waren. Dabei zielten sie auf Mitarbeiter ab, die nach dem obligatorischen Zurücksetzen der Anmeldedaten möglicherweise nur einzelne Zeichen an ihren Passwörtern geändert hatten.
Die Angreifer waren in diesem Fall nicht erfolgreich, aber er zeigt, wie wichtig sichere Passwortverfahren sind. Idealerweise wird dabei eine Lösung genutzt, die automatisch eindeutige und sichere Passwörter generiert und regelmäßig rotiert.
„Phishing hat eine neue Stufe der Innovation erreicht. Die jüngsten Ereignisse zeigen, wie weit Angreifer gehen, um ihre ahnungslosen Opfer zu täuschen. Betroffen sind auch solche Mitarbeiter, die denken, dass sie dank MFA gefahrlos agieren“, erklärt Michael Kleist, Area Vice President DACH bei CyberArk.
Ein wirksamer Anti-Phishing-Schutz müsse deshalb einerseits technische Lösungen umfassen und andererseits auch die menschliche Komponente berücksichtigen, so Kleist weiter. Schließlich sei davon ausgehen, dass unerwünschte Klicks letztlich immer unvermeidlich seien.
Folglich sollten auch Bedrohungen prinzipiell frühzeitig erkannt werden, bevor ein größerer Schaden entsteht. Außerdem müsse die Security mehrstufig aufgebaut sein, um im Falle des Falles den Angreifer in der nächsten Verteidigungslinie abfangen zu können.
Themen:
LESEN SIE AUCH
Media Alert: Hacker fishen verstärkt bei Endanwendern
Defense-in-Depth heißt das Gebot der Stunde
“Der Versicherungsmarkt bröckelt: Pflicht-Cyberversicherungen als Rettungsanker für Unternehmen?“
Trotz regelmäßiger Warnungen ergreifen viele Unternehmen nicht die notwendigen Maßnahmen, um ihre IT-Infrastruktur effektiv abzusichern. Die Passivität führt zu immensen wirtschaftlichen Schäden und bringt auch den Versicherungsmarkt ins Wanken. Ziehen sich Versicherer aus dem Segment zurück, entsteht eine fatale Entwicklung für die Unternehmen und den Markt.
Nach Crowdstrike-Update: Bitkom und BSI starten Umfrage zu IT-Systemausfällen
Am 19. Juli 2024 führte ein fehlerhaftes Crowdstrike-Update zu Systemabstürzen bei geschätzt 8,5 Mio. Windows-Geräten weltweit. Erwartet werden Versicherungsschäden von 1,5 Mrd. Dollar. Der Digitalverband Bitkom und das Bundesamt für Sicherheit in der Informationstechnik (BSI) initiieren Umfrage/Studie, um die Dimensionen der Schäden durch Systemausfälle zu erfassen.
Forensische Detekteien – Experten der Kriminologie in der digitalen Welt
Die digitale Welt entwickelt sich rasant - auch in Verbindung mit kriminellen Handlungen. Wer heute Schritt halten und sich absichern möchte, muss gut informiert sein.
KI sorgt für volle Auftragsbücher und ein breiteres Risikoprofil
Größere Risiken in der IT-Branche: Komplexe Anforderungen und ein rasantes Entwicklungstempo erweitern die Rolle vieler IT-Dienstleister vom operativen Umsetzer zum strategischen Mitgestalter der digitalen Transformation und zum Full-Service-Anbieter.
EU-Kommission hält an FIDA-Verordnung fest – Open Finance bleibt auf der Agenda
Nachdem zunächst Berichte die Runde machten, dass die EU-Kommission ihre Pläne zur Regulierung von Open Finance gestoppt habe, zeigt das finale Arbeitsprogramm nun ein anderes Bild: Die FIDA-Verordnung bleibt auf der politischen Agenda. Branchenverbände begrüßen die Kehrtwende und fordern eine praxisnahe Umsetzung.
LVM: Eine Million Versicherte nutzen Kundenportal
Die LVM Versicherung hat mit ihrem Kundenportal „Meine LVM“ einen wichtigen Erfolg erreicht: Über eine Million Kundinnen und Kunden nutzen inzwischen die digitalen Services des Portals.

Künstliche Intelligenz wird erwachsen: Die wichtigsten KI-Trends 2025
Verschärfter Wettbewerb, Agentic AI und wachsender regulatorischer Druck prägen die KI-Welt 2025. Pegasystems wirft einen Blick auf die fünf entscheidenden Trends, die Unternehmen jetzt im Auge behalten sollten.
Elektronische Patientenakte - Schwerwiegende Schwachstellen, Daten nicht sicher
Einen tiefen Einblick in die Problematik liefert der Bericht des Chaos Computer Clubs (CCC), der auf dem 38. Chaos Communication Congress vorgestellt wurde.
Digitale Betriebsmodelle: Laufen kleinere Versicherer den großen davon?
Veraltete Systeme, demografischer Wandel und regulatorische Anforderungen setzen Versicherer unter Druck. Besonders kleinere Häuser nutzen ihre Agilität, um digitale Betriebsmodelle schneller anzupassen und Marktanteile zu sichern, stellt Maxim Pertl, Partner für Asset- Owners & Managers DACH & CEE bei Clearwater Analytics, im Interview heraus.
Industrieversicherung: OPEN RISK DATA Association gegründet
Mit der Gründung des OPEN RISK DATA Association e.V. soll der digitale Austausch von Risikodaten in der Industrieversicherung revolutioniert werden.