Phishing-resistente MFA: FIDO2, Passkeys und Hardware-Token im Unternehmenseinsatz
Warum klassische MFA (TOTP/SMS) nicht mehr ausreicht und wie phishing-resistente Authenticator-Methoden wie FIDO2, Passkeys und YubiKey echten Schutz bieten. Mit Implementierungsleitfaden für Microsoft 365, Azure AD und On-Premises-Umgebungen.
Jan Hörnemann Chief Operating Officer · Prokurist TL;DR
Klassische MFA-Method
Diese Zusammenfassung wurde KI-gestützt erstellt (EU AI Act Art. 52).
Inhaltsverzeichnis (5 Abschnitte)
„Wir haben MFA aktiviert - wir sind sicher.” Diese Aussage hört man oft. Aber MFA ist nicht gleich MFA. Angriffe wie Adversary-in-the-Middle (AiTM) Phishing umgehen klassische TOTP- und Push-MFA spielend - und wurden 2023-2024 in mehreren hochkarätigen Angriffskampagnen eingesetzt. Phishing-resistente MFA ist keine Zukunftstechnologie, sondern heute verfügbar und für kritische Konten unverzichtbar.
Das Problem: Warum klassische MFA nicht genug ist
MFA-Typen und ihre Schwachstellen
Level 1 - SMS-OTP (schwächste Form):
- Angriff: SIM-Swapping, SS7-Angriffe, SMS-Weiterleitung
- Reales Beispiel: 2020-2021 zahlreiche Account-Takeovers via SIM-Swap
- Status: Von NIST als “Restricted Authenticator” eingestuft
- Für kritische Systeme NICHT mehr verwenden!
Level 2 - TOTP (Google Authenticator, Authy):
- Angriff: Real-time Phishing (Angreifer leitet 30s-Code weiter)
- Tools: Evilginx2, Muraena - transparent proxied Phishing
- Ablauf:
- Opfer öffnet Phishing-Link (exakter Klon der Login-Seite)
- Evilginx steht transparent dazwischen
- Opfer gibt User/Pass/TOTP ein
- Evilginx leitet sofort an echten Dienst weiter
- Angreifer erhält Session-Cookie → authentifiziert!
- TOTP-Code wurde korrekt eingegeben, trotzdem gehackt!
Level 3 - Push-Authentifizierung (Microsoft Authenticator, Duo):
- Angriff: MFA Fatigue (Push-Bombing)
- Ablauf:
- Angreifer kennt User/Passwort (aus Breach)
- Angreifer sendet 50x Push-Anfragen nachts
- Schlaftrunken/genervter User bestätigt irgendwann
- Account kompromittiert trotz MFA!
- Reale Vorfälle: Uber-Hack 2022, Caesars Entertainment 2023
Level 4 - Hardware-OTP (YubiKey im OTP-Modus):
- Besser: Hardware-basiert, kein Smartphone nötig
- Aber: OTP kann bei real-time Phishing noch weitergeleitet werden
- Immer noch nicht vollständig phishing-resistent
Level 5 - FIDO2/Passkeys (phishing-resistent):
- Kryptografisch an die Domain gebunden
- Phishing UNMÖGLICH: anderer Domain → privater Key passt nicht
- KEINE Codes die weitergeleitet werden könnten
FIDO2 und WebAuthn - wie phishing-resistente MFA funktioniert
Registrierung (einmalig)
- Server sendet Challenge an Browser
- Browser/Authenticator generiert Schlüsselpaar (privat/öffentlich)
- Privater Schlüssel bleibt AUF DEM GERÄT/TOKEN (verlässt es nie!)
- Öffentlicher Schlüssel + Origin (Domain!) wird beim Server registriert
Authentifizierung
- Server sendet Challenge + erwartete Origin (z.B. login.microsoft.com)
- Authenticator prüft: aktuelle Origin = registrierte Origin?
- Nur wenn match: Challenge mit privatem Schlüssel signieren
- Unterschrift → Server verifiziert mit gespeichertem öffentlichen Schlüssel
Phishing-Schutz durch Origin-Binding
- Echte Domain:
login.microsoft.com→ Authenticator signiert ✓ - Phishing-Domain:
login.micr0soft.com→ Authenticator verweigert ✗
Kein Code der weitergeleitet werden kann. Keine Push-Notification die bestätigt werden kann. Kryptografisch unmöglich zu phishen!
FIDO2 Authenticator-Typen
Roaming Authenticator:
- Hardware-Security-Token (YubiKey, FIDO2-Key)
- Gerät ist unabhängig vom Endgerät
- Auch auf fremdem PC nutzbar
Platform Authenticator:
- Integriert im Gerät (Windows Hello, macOS Face ID, Fingerprint)
- An spezifisches Gerät gebunden (kein anderes Gerät möglich)
- Einfachste Nutzererfahrung
Passkeys (FIDO2 + Cloud-Sync):
- Privater Schlüssel verschlüsselt in Cloud synchronisiert
- Apple Keychain, Google Password Manager, 1Password
- Phishing-resistent + geräteübergreifend
- Diskussion: Cloud-Sync schwächt Hardware-Schutz etwas
Implementierung in Microsoft 365 / Entra ID
Schritt 1: Authentifizierungsmethoden konfigurieren
Entra ID → Sicherheit → Authentifizierungsmethoden
FIDO2-Schlüssel aktivieren:
- FIDO2-Sicherheitsschlüssel: Aktiviert
- Zulässige AAGUID-Liste (optional, für YubiKey-Whitelisting):
- YubiKey 5:
2fc0579f-8113-47ea-b116-bb5a8db9202a
- YubiKey 5:
Microsoft Authenticator (Passkey im Authenticator):
- Passkey aktivieren
- Nutzt Plattform-Authenticator des Smartphones (Face ID/Fingerprint)
- KEINE Push-Notification mehr (phishing-resistent!)
Windows Hello for Business:
- Aktiviert für alle Benutzer
- Nutzt TPM-Chip im PC
- PIN/Biometrie → kryptografisch sicher
- FIDO2-kompatibel für alle FIDO2-fähigen Apps
Schritt 2: Conditional Access - FIDO2 erzwingen
Für kritische Admins:
- Name: “Require Phishing-Resistant MFA for Admins”
- Users: Alle Rollen (Global Admin, Security Admin, etc.)
- Apps: Alle Apps
- Grant: “Require authentication strength” → Authentication Strength: “Phishing-resistant MFA”
- Erlaubt: FIDO2, Windows Hello, Certificate-based Auth
- NICHT erlaubt: SMS, TOTP, Push
Für normale User (Stufenweise):
| Stufe | Methode |
|---|---|
| Stufe 1 | TOTP als Minimum (sofort) |
| Stufe 2 | Push mit Number Matching (gegen MFA-Fatigue) |
| Stufe 3 | Passkeys für alle (Ziel) |
Number Matching (Sofortmaßnahme gegen Push-Bombing):
- Benutzer sieht Nummer auf Login-Seite
- Muss dieselbe Nummer in Authenticator-App eingeben
- Push-Bombing scheitert: Angreifer kennt Nummer nicht
- Aktivieren: Entra ID → Authenticator → Number Matching: Enabled
Schritt 3: YubiKey Deployment für Admins
Empfehlung für Admin-Accounts:
- Hardware: YubiKey 5C NFC oder YubiKey 5 NFC
- USB-C + NFC: PC + Smartphone
- FIDO2 + Smart Card + OTP (mehrere Protokolle)
- Preis: ~55 EUR/Stück
- Mindestens 2 Keys pro Admin (Backup!)
YubiKey in Entra ID registrieren:
- Benutzer → Sicherheitsinformationen
- “Anmeldemethode hinzufügen” → “Sicherheitsschlüssel”
- USB-YubiKey einlegen → PIN setzen → berühren
- FIDO2-Key ist registriert
Bulk-Provisioning für viele User:
- Microsoft Entra ID bietet Temporary Access Pass (TAP)
- Admin stellt TAP aus → Benutzer registriert YubiKey selbst
- TAP läuft nach 1-24h ab → nur YubiKey gültig
Passkeys im Unternehmenseinsatz
Was sind Passkeys?
FIDO2-Schlüssel die in Password-Manager/Cloud synchronisiert werden. Standard: W3C WebAuthn + FIDO Alliance.
- Apple: iCloud Keychain (iOS 16+, macOS Ventura+)
- Google: Google Password Manager (Android, Chrome)
- Microsoft: Windows Hello
- Plattformübergreifend: 1Password, Bitwarden, Dashlane
Vorteile von Passkeys im Enterprise-Kontext
- Einfachste Nutzererfahrung: Face ID / Fingerprint / PIN
- Kein Hardware-Token nötig
- Cross-Device: iPhone + Windows PC funktioniert
- Phishing-resistent (Origin-Binding)
- Kein Passwort mehr nötig (passwordless!)
Herausforderungen
- Geräteverlust: Backup-Methode nötig
- BYOD: privater iCloud Keychain auf Firmen-App?
- Unternehmens-Verwaltung: zentrale Policy-Kontrolle eingeschränkt
- Ältere Systeme: Legacy-Apps nicht WebAuthn-fähig
Empfehlung für Rollout
Phase 1: Pilot-User (20-50 Personen)
- Microsoft Authenticator Passkey aktivieren
- Conditional Access: nur für Pilot-Group
- Feedback sammeln
Phase 2: Expansion
- Alle normalen User → Passkey als bevorzugte Methode
- TOTP als Fallback behalten (noch)
Phase 3: Phishing-resistant Only
- Conditional Access: nur phishing-resistente Methoden
- TOTP/SMS für normale User abschalten
- Hardware-Tokens für Admins und privilegierte User
Passwordless-Journey
| Zeitpunkt | Status |
|---|---|
| Heute | Passwort + TOTP |
| 3 Monate | Passwort + Push (Number Matching) |
| 6 Monate | Passwort + Passkey/FIDO2 |
| 12 Monate | Passkey ONLY (kein Passwort mehr!) |
On-Premises: FIDO2 für AD-Umgebungen
Windows Hello for Business (WHfB) On-Premises
Voraussetzungen:
- Windows 10 1903+ / Windows Server 2016+
- Active Directory mit PKI (für Certificate Trust)
- Oder: Azure AD Hybrid Join (empfohlen)
Hybrid-Modus (AD + Entra ID):
- Azure AD Connect installieren + konfigurieren
- Hybrid-Joined Devices: AD + Entra ID
- WHfB Policy via Intune oder GPO
- Benutzer: PIN/Biometrie beim nächsten Login
GPO für Windows Hello for Business:
Computerkonfiguration → Administrative Vorlagen
→ Windows-Komponenten → Windows Hello for Business
→ Windows Hello for Business aktivieren: Aktiviert
→ PIN-Mindestlänge: 6
→ Biometrische Authentifizierung: AktiviertFIDO2 für SSH (Linux-Server)
ssh-keygen -t ecdsa-sk # SK = Security Key
# Generiert FIDO2-gebundenes SSH-Schlüsselpaar
# Private Key auf YubiKey gespeichert
# SSH-Login: YubiKey berühren erforderlich
# Selbst gestohlener ~/.ssh/id_ecdsa_sk ist nutzlos ohne YubiKey!Smart Card / PIV (für sehr hohe Sicherheitsanforderungen)
- X.509-Zertifikat auf Hardware-Token (YubiKey PIV, CAC)
- Starke Authentifizierung in Windows + VPN + Webapps
- PKCS#11 für Linux-Integration
- Teurer und komplexer als FIDO2, aber höchste Sicherheit
Phishing-resistente MFA ist keine Frage des “Ob”, sondern des “Wann”. AWARE7 unterstützt bei der strategischen Auswahl und Implementierung - vom Pilot bis zum vollständigen Rollout für alle Mitarbeiter.
Monatlicher Threat Report
Chris Wojzechowski bewertet einmal im Monat die aktuelle Bedrohungslage aus Sicht eines Informationssicherheitsexperten. Sein 30-köpfiges Team ist näher an realen Cyberbedrohungen dran als kaum jemand sonst — mit konkreten Handlungsempfehlungen, die Sie am nächsten Morgen umsetzen können.
Bestseller-Autor (Wiley-VCH) · M.Sc. Internet-Sicherheit · Bekannt aus Handelsblatt & WamS
Zuletzt behandelt
1x im Monat · Kein Spam · Jederzeit abbestellbar · Datenschutz
Nächster Schritt
Unsere zertifizierten Sicherheitsexperten beraten Sie zu den Themen aus diesem Artikel — unverbindlich und kostenlos.
Kostenlos · 30 Minuten · Unverbindlich
