MFA Fatigue Angriffe: Effektiver Schutz durch Number Matching in 2026
Inhaltsverzeichnis
- Einleitung: Die wachsende Gefahr der MFA-Müdigkeit
- Wie MFA-Fatigue-Angriffe funktionieren: Eine perfide Social-Engineering-Taktik
- Rechtliche Rahmenbedingungen: NIS-2 und IT-Sicherheitsgesetz 2.0 als unternehmerische Pflicht
- Der Nummern-Abgleich (Number Matching): Effektiver Schutz vor Push-Bombing
- Implementierung des Nummern-Abgleichs: Schritt-für-Schritt-Anleitung für IT-Administratoren
- Ergänzende Maßnahmen: Schulung, Conditional Access und weitere Best Practices ab 2026
- Verantwortung der Führungsebene: Haftung und Risikomanagement
- Fazit: Authentifizierung stärken für eine resiliente IT-Sicherheit
Einleitung: Die wachsende Gefahr der MFA-Müdigkeit
Die Multi-Faktor-Authentifizierung (MFA) gilt seit Langem als Goldstandard zur Absicherung von Benutzerkonten. Doch Cyberkriminelle entwickeln ihre Methoden stetig weiter. Eine der raffiniertesten und zunehmend erfolgreichen Angriffsmethoden ist die sogenannte MFA-Fatigue, auch als MFA-Müdigkeit oder Push-Bombing bekannt. Angreifer nutzen hierbei die menschliche Psyche aus, um selbst diese starke Sicherheitshürde zu überwinden. Für Unternehmen stellt dies eine erhebliche Bedrohung dar, die eine sofortige Anpassung der Sicherheitsstrategie erfordert. Ein wirksamer MFA Fatigue Angriffe Schutz ist kein Luxus mehr, sondern eine Notwendigkeit.
Dieser Leitfaden von MUNAS Consulting richtet sich an IT-Sicherheitsbeauftragte, CIOs und HR-Manager. Wir erklären, wie diese Angriffe funktionieren, welche rechtlichen Verpflichtungen bestehen und wie Sie mit der Implementierung von Number Matching (Nummern-Abgleich) einen robusten Schutzschild errichten können.
Wie MFA-Fatigue-Angriffe funktionieren: Eine perfide Social-Engineering-Taktik
Ein MFA-Fatigue-Angriff ist im Kern eine Form des Social Engineering, die auf Zermürbung und menschliche Fehler abzielt. Der Ablauf ist typischerweise wie folgt:
- Kompromittierung der Anmeldedaten: Der Angreifer gelangt zunächst in den Besitz der primären Anmeldedaten eines Mitarbeiters (z. B. Benutzername und Passwort). Dies geschieht oft durch Phishing, den Kauf von Daten aus früheren Datenlecks oder Malware.
- Auslösen der MFA-Anfrage: Der Angreifer versucht, sich mit den gestohlenen Daten bei einem Unternehmensdienst anzumelden. Dies löst eine legitime MFA-Anfrage aus, meist in Form einer Push-Benachrichtigung an die Authenticator-App auf dem Smartphone des Mitarbeiters.
- Das “Push-Bombing”: Nun beginnt der eigentliche Angriff. Der Angreifer wiederholt den Anmeldeversuch immer und immer wieder, teilweise dutzende oder hunderte Male. Das Smartphone des Opfers wird mit einer Flut von Push-Benachrichtigungen bombardiert, die alle eine Freigabe anfordern.
- Die psychologische Falle: Der Mitarbeiter ist von der ständigen Flut an Benachrichtigungen genervt, verwirrt oder verunsichert. In einem unachtsamen Moment, in der Hoffnung, die Störung zu beenden, oder in dem falschen Glauben, es handle sich um einen Systemfehler, tippt er auf “Genehmigen”.
Sobald die eine Anfrage genehmigt wurde, hat der Angreifer vollen Zugriff auf das Konto und kann sich im Netzwerk des Unternehmens ausbreiten, Daten stehlen oder Ransomware einsetzen. Der entscheidende Faktor ist nicht technisches Versagen, sondern die gezielte Ausnutzung menschlicher Ermüdung.
Rechtliche Rahmenbedingungen: NIS-2 und IT-Sicherheitsgesetz 2.0 als unternehmerische Pflicht
Im Jahr 2026 sind die Zeiten vorbei, in denen IT-Sicherheit eine rein technische Angelegenheit war. Gesetzliche Vorgaben wie die NIS-2-Richtlinie und das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) sind vollständig in Kraft und werden streng überwacht. Diese Gesetze verpflichten eine Vielzahl von Unternehmen, insbesondere aus dem Mittelstand, nachweisbare und dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu implementieren.
Ein simpler Push-basierter MFA-Mechanismus, der nachweislich anfällig für Ermüdungsangriffe ist, kann vor diesem Hintergrund nicht mehr als “Stand der Technik” gelten. Das Festhalten an einer solchen veralteten Methode stellt ein erhebliches Risiko im Sinne des gesetzlich geforderten Risikomanagements dar. Im Schadensfall kann dies gravierende Konsequenzen haben:
- Geschäftsführerhaftung: Die Geschäftsführung ist persönlich dafür verantwortlich, angemessene Sicherheitsvorkehrungen zu treffen. Ein Versäumnis, bekannte Schwachstellen wie MFA-Fatigue zu adressieren, kann als grobe Fahrlässigkeit gewertet werden und zu persönlicher Haftung führen.
- Meldepflichten und Bußgelder: Ein erfolgreicher Angriff muss gemäß NIS-2 innerhalb kurzer Fristen an die zuständigen Behörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Hohe Bußgelder drohen nicht nur für den Vorfall selbst, sondern auch für nachweislich unzureichende Schutzmaßnahmen.
- Verstoß gegen die DSGVO: MFA ist eine zentrale technisch-organisatorische Maßnahme (TOM) im Sinne von Artikel 32 der Datenschutz-Grundverordnung (DSGVO) zum Schutz personenbezogener Daten. Eine unzureichende Implementierung kann als Verletzung der DSGVO gewertet werden.
Ein proaktiver und robuster MFA Fatigue Angriffe Schutz ist somit nicht nur eine technische, sondern auch eine zwingende rechtliche und unternehmerische Verpflichtung.
Der Nummern-Abgleich (Number Matching): Effektiver Schutz vor Push-Bombing
Die effektivste und von Sicherheitsexperten empfohlene Methode zum Schutz vor MFA-Ermüdungsangriffen ist die Aktivierung des Nummern-Abgleichs (Number Matching). Diese Funktion hebt die Sicherheit von Push-Benachrichtigungen auf ein neues Level.
So funktioniert Number Matching:
Wenn ein Benutzer versucht, sich anzumelden, geschieht Folgendes:
- Die Anmeldeseite (z. B. Microsoft 365) zeigt eine zweistellige Nummer an.
- Die Authenticator-App auf dem Smartphone des Benutzers sendet eine Push-Benachrichtigung.
- Anstatt nur “Genehmigen” oder “Ablehnen” anzubieten, fordert die App den Benutzer auf, die auf dem Anmeldebildschirm angezeigte Nummer in der App einzugeben.
Dieser simple zusätzliche Schritt macht MFA-Fatigue-Angriffe praktisch unmöglich. Ein versehentliches “Durchwinken” einer Anfrage ist ausgeschlossen. Der Benutzer muss aktiv den Kontext herstellen, indem er die Nummer vom Bildschirm seines Computers abliest und auf seinem mobilen Gerät eingibt. Da der Angreifer, der sich von einem anderen Ort aus anmeldet, diese Nummer nicht sehen kann, kann er den Prozess nicht abschließen, selbst wenn das Opfer die Benachrichtigung öffnet.
Die Einführung des Nummern-Abgleichs ist ein entscheidender Schritt, um den Schutz vor MFA Fatigue Angriffen von einer reaktiven Hoffnung (der Mitarbeiter klickt nicht) zu einer proaktiven Sicherheitskontrolle (der Angreifer kann nicht fortfahren) zu wandeln.
Implementierung des Nummern-Abgleichs: Schritt-für-Schritt-Anleitung für IT-Administratoren
Die Aktivierung von Number Matching ist bei führenden Identitätsanbietern wie Microsoft Entra ID (ehemals Azure AD) ein unkomplizierter Prozess. IT-Administratoren sollten einen gestaffelten Rollout-Plan verfolgen.
Schritt 1: Analyse und Kommunikation
Informieren Sie sich, welche Ihrer Anwendungen und Benutzergruppen von der Umstellung betroffen sind. Bereiten Sie eine klare Kommunikationsstrategie vor, um die Mitarbeiter über die bevorstehende Änderung und deren sicherheitsrelevanten Hintergrund zu informieren. Erklären Sie, *warum* diese zusätzliche Maßnahme zum Schutz des Unternehmens und ihrer eigenen Daten eingeführt wird.
Schritt 2: Konfiguration im Admin Center (Beispiel Microsoft Entra ID)
- Navigieren Sie zum Microsoft Entra Admin Center.
- Gehen Sie zu Schutz > Authentifizierungsmethoden > Microsoft Authenticator.
- Wählen Sie den Reiter Konfigurieren aus.
- Ändern Sie die Einstellung für “Nummernabgleich erfordern” auf Aktiviert. Sie können hier auch den “Anwendungskontext” aktivieren, der dem Benutzer anzeigt, welche Anwendung die Anmeldung anfordert.
- Wählen Sie aus, ob die Richtlinie für alle Benutzer oder nur für ausgewählte Gruppen gelten soll.
Schritt 3: Gestaffelter Rollout
Beginnen Sie mit einer Pilotgruppe, idealerweise der IT-Abteilung, um den Prozess zu testen und Feedback zu sammeln. Überwachen Sie die Anmeldeprotokolle auf mögliche Probleme. Nach einem erfolgreichen Testlauf weiten Sie die Aktivierung schrittweise auf das gesamte Unternehmen aus.
Schritt 4: Aktualisierung der Dokumentation
Passen Sie Ihre internen Anleitungen und das Onboarding-Material für neue Mitarbeiter an, um den neuen Anmeldeprozess mit Number Matching abzubilden.
Ergänzende Maßnahmen: Schulung, Conditional Access und weitere Best Practices ab 2026
Number Matching ist ein mächtiges Werkzeug, doch ein umfassender MFA Fatigue Angriffe Schutz erfordert eine mehrschichtige Verteidigungsstrategie.
- Mitarbeiterschulungen: Schulen Sie Ihre Mitarbeiter regelmäßig darin, die Anzeichen eines MFA-Fatigue-Angriffs zu erkennen. Die wichtigste Regel lautet: Genehmigen Sie niemals eine MFA-Anfrage, die Sie nicht selbst ausgelöst haben. Etablieren Sie einen klaren Prozess, wie und wo solche verdächtigen Anfragen sofort gemeldet werden müssen.
- Richtlinien für bedingten Zugriff (Conditional Access): Nutzen Sie die volle Kraft Ihres Identitätsanbieters. Konfigurieren Sie Richtlinien, die Anmeldungen basierend auf Risiko, Standort, Gerät oder Netzwerk blockieren oder eine stärkere Authentifizierung erzwingen. So können Sie beispielsweise Anmeldungen aus untypischen Ländern für die meisten Benutzer von vornherein unterbinden.
- Überwachung der Anmeldeprotokolle: Analysieren Sie regelmäßig die Anmeldeaktivitäten. Eine hohe Anzahl fehlgeschlagener MFA-Versuche für ein einzelnes Konto ist ein klares Indiz für einen laufenden Angriff und sollte umgehend eine Alarmierung auslösen.
- Förderung von FIDO2 und Passkeys: Auch wenn Number Matching aktuell der beste Schutz vor Push-Bombing ist, blicken Sie in die Zukunft. Phishing-resistente Methoden wie FIDO2-Sicherheitsschlüssel oder Passkeys bieten einen noch höheren Schutz und sollten als Teil Ihrer langfristigen Sicherheitsstrategie für besonders privilegierte Konten evaluiert werden.
Verantwortung der Führungsebene: Haftung und Risikomanagement
Die Verantwortung für einen angemessenen Schutz vor Cyberangriffen liegt nicht allein bei der IT-Abteilung. Die Geschäftsführung, CIOs und auch HR-Manager tragen eine entscheidende Mitverantwortung. Die Bedrohung durch MFA-Fatigue-Angriffe ist seit Jahren bekannt. Das Ignorieren dieser Gefahr und das Festhalten an veralteten MFA-Methoden stellt ein bewusstes Inkaufnehmen eines hohen Risikos dar.
Für die Führungsebene bedeutet dies:
- Risikomanagement: Die Implementierung von Number Matching muss als Teil des gesetzlich vorgeschriebenen Risikomanagementprozesses nach NIS-2 bewertet und priorisiert werden.
- Budget und Ressourcen: Stellen Sie sicher, dass die IT-Abteilung die notwendigen Ressourcen hat, um moderne Sicherheitsmaßnahmen wie diese umzusetzen und zu verwalten.
- Sicherheitskultur: Fördern Sie eine unternehmensweite Sicherheitskultur. HR-Manager spielen hier eine Schlüsselrolle, indem sie Sicherheitsschulungen als festen und verpflichtenden Bestandteil des Mitarbeiter-Lebenszyklus verankern.
Ein erfolgreicher Angriff aufgrund von MFA-Fatigue ist nicht nur ein technisches Problem, sondern ein Versäumnis der organisatorischen und strategischen Führung.
Fazit: Authentifizierung stärken für eine resiliente IT-Sicherheit
MFA-Fatigue-Angriffe sind eine ernstzunehmende und weitverbreitete Bedrohung, die die Wirksamkeit traditioneller Push-Benachrichtigungen untergräbt. Unternehmen können es sich im Jahr 2026 angesichts der strengen rechtlichen Rahmenbedingungen und der persönlichen Haftung der Geschäftsführung nicht mehr leisten, diese Schwachstelle zu ignorieren.
Der Schutz vor MFA Fatigue Angriffen durch die Implementierung von Number Matching ist ein einfacher, kostengünstiger und äußerst effektiver Schritt zur Härtung Ihrer IT-Sicherheitsarchitektur. In Kombination mit kontinuierlichen Mitarbeiterschulungen und intelligenten Zugriffsrichtlinien schaffen Sie eine robuste Verteidigungslinie, die den Kriminellen einen entscheidenden Schritt voraus ist.
Überprüfen Sie Ihre Authentifizierungsstrategie noch heute. Warten Sie nicht auf den ersten erfolgreichen Angriff. Wenn Sie Unterstützung bei der Analyse und Umsetzung benötigen, steht Ihnen das Team von MUNAS Consulting zur Seite. Erfahren Sie mehr über unsere Ansätze für eine umfassende Daten- und IT-Sicherheit auf unserer Webseite.
Ergänzende Artikel zum Thema
- E-Mail-Identitätsdiebstahl stoppen: DMARC, DKIM, SPF für B2B-Sicherheit
- WhatsApp-Gruppen im Elternbeirat: Datenschutzrechtliche Grenzen für Kitas und Schulen
- TOMs Leitfaden: Technische und organisatorische Maßnahmen praxisnah
- Sichere elektronische Patientenakten: DSGVO, Technik und Praxis
- IT‑Sicherheit im Gesundheitswesen: Praxisorientierter Schutzplan