Phishing-resistente MFA

Q: Was ist eine MFA und was bedeutet „phishing-resistente MFA“?

MFA bedeutet, dass Sie sich zusätzlich zum Passwort mit einem zweiten Faktor wie Handy oder Sicherheitsschlüssel anmelden. Eine phishing-resistente MFA erkennt automatisch gefälschte Seiten und blockiert den Login.

Q: Was ist ein Passkey?

Ein Passkey ist ein kryptografischer Sicherheitsschlüssel, der Passwörter und klassische MFA-Codes durch eine hardwaregestützte Anmeldung ersetzt – meist per USB, NFC oder Bluetooth.

Q: Ist ein Passkey wirklich sicherer als Passwort + SMS-Code?

Ja, denn er ist an Gerät, Benutzer und Domain gebunden. Ein Angreifer kann ihn nicht abfangen oder kopieren, wie z. B. einen SMS-Code.

Q: Wie unterscheiden sich Passkeys von Passwort-Managern?

Ein Passwort-Manager speichert Zugangsdaten, während ein Passkey diese komplett durch eine moderne, sichere, gerätebasierte Anmeldung ersetzt.

Q: Können Sie Passkeys auch mobil nutzen?

Ja – auf Smartphones per NFC, Bluetooth oder über geräteintern gespeicherte Passkeys. Sicherheitsschlüssel unterstützen auch USB-C oder Lightning.

Q: Kann ein Hacker Ihren Passkey stehlen?

Nur bei physischem Zugriff auf Ihr Gerät und den Schlüssel. Selbst dann verhindern Schutzmechanismen wie Fingerabdruck oder FaceID einen Missbrauch.

Wie Sie phishing-resistente MFA schützt:

Wenn Sie z.B. FIDO2, Windows Hello for Business oder zertifikatsbasierte Authentifizierung (CBA) verwenden und:

auf einen Phishing-Link klicken,
sich auf der Fake-Seite befinden und versuchen, sich mit Ihren Microsoft 365-Zugangsdaten einzuloggen,

…dann passiert Folgendes:

Die Fake-Seite kann keine gültige Authentifizierungsanfrage an den FIDO2-Key stellen, weil sie nicht die echte Domäne (login.microsoftonline.com) hat.
Ihr Gerät/Authentifikator erkennt die falsche Domain und verweigert die Herausgabe einer Antwort (Challenge bleibt unbeantwortet).
Kein Token wird erzeugt – somit kann auch kein Zugriff auf Ihr Konto erfolgen.

Warum? Die Authentifizierung ist technisch so gestaltet, dass sie nur auf der echten(!) Webseite funktioniert.

🚫Was phishing-resistente MFA nicht verhindert:

Auch wenn Ihr Konto durch die Authentifizierung geschützt ist, können trotzdem andere Dinge passieren, wenn Sie auf einen Phishing-Link klicken:

🚫 Social Engineering-Angriffe: Die Seite könnte Sie verleiten, andere sensible Informationen einzugeben (z. B. Kontonummer, Telefonnummer, andere Systeme).
🚫 Malware-Downloads: Manche Phishing-Seiten enthalten Dateien oder Scripte, die versuchen, Schadsoftware auf Ihrem System zu installieren.
🚫 Zugang zu Drittplattformen: Falls Sie sich mit dem gleichen Kennwort bei einem anderen Dienst (z.B. Paypal, Facebook / Insta / Meta, Amazon, etc.), mit einer weniger gut geschützten Authentifizierung (z.B. kein MFA) einloggen, können diese kompromittiert werden.

FAQ zur phishing-resistenten MFA

1. Was ist Phishing?

Phishing ist eine der häufigsten Cyberangriffsformen im Business Umfeld. Dabei versuchen Angreifer, über gefälschte E-Mails oder Webseiten an Ihre Zugangsdaten zu geschäftlichen Systemen wie Microsoft 365 oder z.B. Ihrem VPN-Zugang zu gelangen.

Die Nachrichten wirken oft täuschend echt und sehen aus, als wären diese von Ihrem IT-Dienstleister, der Geschäftsführung oder Microsoft. Das Ziel dabei ist, Sie auf eine manipulierte Login-Seite zu leiten und zur Eingabe Ihres Benutzernamens samt Passwort oder MFA-Code zu verleiten.

Gelangen Angreifer so in Ihr Firmenkonto, können sie E-Mails mitlesen, Dateien verschlüsseln oder im Namen der Firma weitere Betrugsversuche starten. Ein Klick auf den falschen Link reicht dabei oft schon aus, weshalb ein starker, phishing-resistenter Login-Schutz entscheidend ist.

2. Was ist eine MFA und was bedeutet „phishing-resistente MFA“?

MFA (Multi-Faktor-Authentifizierung) bedeutet, dass Sie sich nicht nur mit einem Passwort anmelden, sondern zusätzlich z. B. mit Ihrem Handy oder einem Sicherheitsschlüssel (Medium zur Speicherung der Passkeys).

Eine phishing-resistente MFA erkennt automatisch, ob Sie sich auf der echten Webseite befinden, und funktioniert nur dort. Selbst wenn Sie versehentlich auf eine gefälschte Seite klicken, wird der Login blockiert, weil der Schlüssel die Webadresse prüft und nur mit der echten Seite kommuniziert, für die er eingerichtet wurde.

3. Was ist ein Passkey?

Ein Passkey ist ein ¹ kryptografischer Sicherheitsschlüssel, der Passwörter und klassische MFA-Codes durch eine hardwaregestützte Anmeldung ersetzt – meist per USB, ² NFC oder Bluetooth.

¹ Ein kryptografischer Sicherheitsschlüssel ist eine Zeichenfolge, die in Verschlüsselungsverfahren verwendet wird, um Daten zu ver- oder entschlüsseln.

² NFC steht für „Near Field Communication“ auf Deutsch: Nahfeldkommunikation. In der Praxis wird NFC z. B. für kontaktloses Bezahlen mit dem Smartphone oder der Karte genutzt.

4. Wie schützt ein Passkey vor Phishing?

Ein Passkey funktioniert nur auf der echten Webseite bzw. App und blockiert Anmeldeversuche auf gefälschten Seiten. Er ist somit phishing-resistent.

5. Ist ein Passkey wirklich sicherer als Passwort + SMS-Code?

Ja, denn er ist an Gerät, Benutzer und ¹ Domain gebunden. Ein Angreifer kann ihn nicht abfangen oder kopieren, wie z. B. einen SMS-Code.

Ein Passkey funktioniert nur mit der Domain, z. B. ¹ login.microsoftonline.com – mit der er registriert wurde. Selbst wenn ein Angreifer eine täuschend echte Phishing-Seite erstellt (z. B. (Domain) micros0ft-login.com), erkennt der Passkey den Unterschied und blockiert die Anmeldung.

6. Wie unterscheiden sich Passkeys von Passwort-Managern?

Ein Passwort-Manager speichert Zugangsdaten und ein Passkey ersetzt diese komplett durch eine moderne, sichere, gerätebasierte Anmeldung.

7. Können Sie Passkeys auch mobil nutzen?

Ja – Auf Smartphones per NFC, Bluetooth oder über geräteintern gespeicherte Passkeys. Einige Sicherheitsschlüssel bieten ebenfalls eine Schnittstelle zu einem USB-C- oder Lightning-Anschluss.

8. Was passiert, wenn Sie Ihren Sicherheitsschlüssel verlieren?

Sie können sich mit Ihrem zweiten Passkey anmelden. Falls nötig, hilft Ihre IT-Abteilung (smartworx) beim Zurücksetzen.

9. Was passiert, wenn Sie Ihr Handy verlieren?

Auch hier gilt: Sie können sich mit einem Backup-Passkey oder einem Sicherheitsschlüssel anmelden. Alternativ setzt Ihre IT-Abteilung (smartworx) den Zugang für ein neues Gerät zurück.

10. Kann ein Hacker Ihren Passkey stehlen?

Nur, wenn der Hacker physischen Zugriff auf Ihr Gerät und den Sicherheitsschlüssel hat. Selbst dann wäre ein Missbrauch durch Schutzmechanismen wie z.B. Fingerabdruck oder FaceID nur bedingt möglich.

11. "In der Firma bin ich doch sicher, können Sie das dort deaktivieren?"

Die Authentifizierung wird pro Gerät einmal zur Einrichtung benötigt und ist im Anschluss nur bei Auffälligkeiten (z.B. Neuer Standort oder Gerät) erforderlich. Ein generelles Deaktivieren ist nicht empfohlen. Phishing kann überall stattfinden, egal ob im Büro oder im Homeoffice.

Fazit

Wenn Sie ausschließlich phishing-resistente MFA verwenden und auf einer Phishing-Seite Ihre Anmeldedaten eingeben, ist Ihr Microsoft 365-Konto sehr gut geschützt, da:

keine gültige Authentifizierung möglich ist,
kein Token erzeugt wird,
der Authentifikator die Phishing-Seite blockiert.

Wichtig: Aber “sehr gut geschützt” bedeutet nicht “sicher”. Maßnahmen wie phishing-resistente MFA schützen nicht vor allen Gefahren, wie z.B. Social Engineering oder andere Malware. Persönliche Wachsamkeit und weitere Sicherheitssoftware-Lösungen sollten diese Maßnahmen immer flankieren.

KONTAKT

Sie haben Fragen zur phishing-resistenten MFA?

Vielleicht sind wir genau der Partner, den Sie suchen. smartworx ist ein IT-Systemhaus mit Sitz in Overath. Von hier aus betreut smartworx Kunden deutschlandweit. Sie haben eine Frage? Wir freuen uns auf Ihre Nachricht oder Anruf!

Besuchen Sie uns:

Zum Alten Wasserwerk 9, 51491 Overath

Zum Google-Routenplaner

Rufen Sie an:

+49 2204 / 586 120-69

Jetzt anrufen

Per E-Mail

hallo@smartworx.de

Jetzt E-Mail senden