Zum Inhalt springen
Zurück zur Übersicht Digitaler Schlüssel und Nutzerprofil als Symbol für gestohlene Zugangsdaten
Identity Security Entra ID MFA

Identity Security: Zugangsdaten als neues Einfallstor

4 Min. Lesezeit

Das Wichtigste in Kürze

  • Angreifer zielen 2026 primär auf gestohlene Identitäten statt auf technische Schwachstellen — Adversary-in-the-Middle (AitM)-Angriffe umgehen dabei auch klassische MFA-Methoden
  • SMS-basierte Einmalcodes und Push-Benachrichtigungen können durch AitM und MFA-Fatigue-Angriffe überwunden werden — FIDO2-Schlüssel und Passkeys sind phishing-resistent
  • Privileged Identity Management (PIM) in Entra ID reduziert das Schadensfenster kompromittierter Administratorkonten durch zeitlich begrenzte, beantragte Rechteaktivierung
  • Conditional Access sollte nicht nur aktiviert, sondern vollständig ausgeschöpft werden: Kontext-abhängige Regeln für Gerät, Land und Uhrzeit erhöhen die Erkennung verdächtiger Anmeldungen
  • Gleichzeitige Anmeldungen aus verschiedenen Ländern oder massenhafte Dateizugriffe sind Indikatoren kompromittierter Konten — automatisierte Erkennung ist dafür unverzichtbar

Das Angriffsmuster hat sich verändert. Statt technische Schwachstellen in Systemen auszunutzen, setzen Angreifer zunehmend auf den Diebstahl von Zugangsdaten. Gestohlene Benutzernamen und Passwörter, übernommene Sitzungen und Adversary-in-the-Middle-Angriffe (AitM), bei denen sich Angreifer zwischen Nutzer und Anmeldeseite schalten, gehören 2026 zu den häufigsten Angriffsvektoren.

Warum klassische Schutzmaßnahmen nicht mehr genügen

Multi-Faktor-Authentifizierung (MFA) war lange die wichtigste Empfehlung zum Schutz von Benutzerkonten. Das ist sie grundsätzlich noch immer. Aber nicht jede MFA-Methode bietet den gleichen Schutz. SMS-basierte Einmalcodes und Push-Benachrichtigungen auf dem Smartphone lassen sich durch AitM-Angriffe und sogenanntes MFA Fatigue (wiederholtes Senden von Push-Anfragen, bis der Nutzer genervt zustimmt) umgehen.

Stellen Sie sich vor, jemand hat Ihren Firmenausweis kopiert und kommt damit unbemerkt ins Gebäude. Die Tür ist abgeschlossen, der Schlüssel funktioniert, alles sieht regulär aus. Genau so funktionieren identitätszentrierte Angriffe: Der Angreifer meldet sich mit gültigen Zugangsdaten an und bewegt sich innerhalb Ihrer Systeme, ohne Alarm auszulösen.

Was Unternehmen konkret tun können

Phishing-resistente MFA einführen. FIDO2-Sicherheitsschlüssel und Passkeys bieten Schutz gegen AitM-Angriffe, weil sie kryptographisch an die legitime Anmeldeseite gebunden sind. Ein Angreifer, der eine gefälschte Anmeldeseite betreibt, kann die Authentifizierung nicht abfangen. Für privilegierte Konten (Administratoren, IT-Leitung) sollte diese Umstellung Priorität haben.

Conditional Access konsequent nutzen. Conditional Access Policies in Microsoft Entra ID ermöglichen es, Anmeldungen kontextabhängig zu bewerten. Meldet sich ein Nutzer von einem unbekannten Gerät, aus einem ungewöhnlichen Land oder außerhalb der Geschäftszeiten an, kann eine zusätzliche Prüfung oder eine Blockierung erfolgen. Viele Unternehmen haben Conditional Access aktiviert, nutzen aber nur einen Bruchteil der Möglichkeiten.

Privileged Access Management (PAM) einsetzen. Administrative Rechte sollten nicht dauerhaft vergeben werden. Mit Privileged Identity Management (PIM) in Entra ID werden Administratorrechte nur zeitlich begrenzt und auf Anfrage aktiviert. Das reduziert das Zeitfenster, in dem ein kompromittiertes Administratorkonto Schaden anrichten kann.

Zugriffsüberwachung etablieren. Ungewöhnliche Anmeldemuster, etwa gleichzeitige Anmeldungen aus verschiedenen Ländern oder massenhafte Zugriffe auf Dateien, sollten automatisiert erkannt werden. Microsoft Entra ID Protection und Sentinel bieten hierfür integrierte Werkzeuge.

Handlungsempfehlung

Beginnen Sie mit einer Bestandsaufnahme Ihrer aktuellen MFA-Methoden und Conditional-Access-Konfiguration. Häufig lässt sich das Schutzniveau mit vorhandenen Lizenzen und überschaubarem Aufwand deutlich erhöhen. Insbesondere die Umstellung privilegierter Konten auf phishing-resistente Authentifizierung ist ein Schritt mit hoher Wirkung bei vergleichsweise geringem Aufwand.

Haeufig gestellte Fragen

Was ist ein AitM-Angriff und warum umgeht er normale MFA?

Bei einem Adversary-in-the-Middle-Angriff schaltet sich der Angreifer zwischen Nutzer und echte Anmeldeseite. Der Nutzer gibt seine Zugangsdaten und den MFA-Code auf einer gefälschten Seite ein — der Angreifer leitet diese in Echtzeit an die echte Seite weiter und übernimmt die Sitzung. FIDO2-Schlüssel verhindern das, weil die Authentifizierung kryptographisch an die legitime Domain gebunden ist.

Für welche Konten sollte phishing-resistente MFA priorisiert werden?

Administratorkonten, IT-Leitungskonten und Konten mit Zugriff auf sensible Daten oder Finanztransaktionen sollten als Erste umgestellt werden. Diese Konten sind das attraktivste Ziel für Angreifer, und eine Kompromittierung hat die größten Auswirkungen. Für Standardnutzer ist ein schrittweiser Rollout sinnvoll.

Wie unterscheidet sich Privileged Identity Management (PIM) von einfacher Rollenzuweisung?

Bei klassischer Rollenzuweisung hat ein Administrator seine Rechte dauerhaft und sofort. Mit PIM werden Rechte nur auf Antrag und für einen definierten Zeitraum aktiviert. Der Antrag kann genehmigungspflichtig sein, und jede Aktivierung wird protokolliert. Selbst wenn das Konto kompromittiert wird, hat ein Angreifer zunächst keine administrativen Rechte.

Was sind typische Zeichen, dass ein Konto in meiner Umgebung kompromittiert ist?

Anzeichen sind: Anmeldung aus einem Land, in dem der Nutzer nicht tätig ist; Login zur unüblichen Zeit (z. B. 3 Uhr nachts); gleichzeitige Anmeldungen aus verschiedenen Regionen; plötzlicher massenhafter Zugriff auf Dateien oder das Versenden großer E-Mail-Mengen. Entra ID Protection erkennt diese Muster automatisch und kann Risiko-basierte Reaktionen auslösen.

Zurück zur Übersicht