MFA: Warum die App auf deinem Handy dich nicht schützt

MFA: Warum die App auf deinem Handy dich nicht schützt

Multi-Faktor-Authentifizierung (MFA) gilt als eine der wichtigsten Sicherheitsmaßnahmen im digitalen Zeitalter. Die Empfehlung ist überall dieselbe: „Aktiviere die Zwei-Faktor-Authentifizierung!“ Und ja, MFA ist deutlich besser als nur ein Passwort. Aber die weit verbreitete Annahme, dass eine Authenticator-App auf dem Smartphone einen nahezu perfekten Schutz bietet, ist gefährlich falsch. In diesem Artikel schauen wir uns an, warum — und was wirklich schützt.

Was ist MFA? Die drei Faktoren

Authentifizierung basiert auf drei grundlegenden Kategorien von Nachweisen:

• Wissen (etwas, das du weißt): Passwort, PIN, Sicherheitsfrage
• Besitz (etwas, das du hast): Smartphone, Hardware-Token, Smartcard
• Inhärenz (etwas, das du bist): Fingerabdruck, Gesichtserkennung, Iris-Scan

Multi-Faktor-Authentifizierung bedeutet, dass mindestens zwei dieser Kategorien kombiniert werden. Ein Passwort (Wissen) plus ein Code aus einer Authenticator-App (Besitz) ist die häufigste Kombination. Die Idee: Selbst wenn ein Angreifer dein Passwort kennt, braucht er zusätzlich Zugriff auf dein Smartphone.

Klingt logisch. Klingt sicher. Aber die Realität ist komplizierter.

SMS-Codes: Das schwächste Glied

Bevor wir über Authenticator-Apps sprechen, müssen wir den Elefanten im Raum adressieren: SMS-basierte Codes. Sie sind die älteste und unsicherste Form der Zwei-Faktor-Authentifizierung, und trotzdem nutzen sie noch Millionen von Diensten als Standard.

SIM-Swapping erklärt

Bei einem SIM-Swap-Angriff überzeugt der Angreifer deinen Mobilfunkanbieter, deine Telefonnummer auf eine neue SIM-Karte zu übertragen. Das klingt schwierig, ist aber erschreckend einfach:

1. Der Angreifer sammelt persönliche Daten über dich (Name, Adresse, Geburtsdatum — oft aus Datenlecks oder sozialen Medien verfügbar)
2. Er ruft beim Kundenservice deines Anbieters an und gibt sich als du aus
3. Er behauptet, sein Handy verloren zu haben und eine neue SIM zu benötigen
4. Der Kundenbetreuer aktiviert eine neue SIM — deine alte wird sofort deaktiviert
5. Alle SMS und Anrufe an deine Nummer gehen jetzt an den Angreifer

In den USA wurden allein 2023 laut FBI über 2.000 SIM-Swap-Angriffe mit einem Gesamtschaden von über 72 Millionen Dollar gemeldet — und die Dunkelziffer ist enorm. Prominente Opfer wie Twitter-Gründer Jack Dorsey, dessen Twitter-Account 2019 übernommen wurde, zeigen, dass auch technisch versierte Personen nicht immun sind.

SS7-Angriffe

Noch gravierender: Das SS7-Protokoll (Signalling System No. 7), das die weltweite Telekommunikationsinfrastruktur steuert, hat bekannte Schwachstellen, die seit Jahren nicht behoben werden. Über SS7 können Angreifer SMS-Nachrichten mitlesen, ohne den Mobilfunkanbieter zu kontaktieren. Diese Angriffe erfordern zwar spezialisiertes Wissen und Zugang zur Telekommunikationsinfrastruktur, sind aber für staatliche Akteure und organisierte Kriminalität nachweislich durchführbar.

TOTP-Apps: Besser, aber nicht perfekt

Authenticator-Apps wie Google Authenticator, Microsoft Authenticator und Authy verwenden das TOTP-Verfahren (Time-based One-Time Password, RFC 6238). Sie gelten als deutlich sicherer als SMS — zu Recht. Aber sie haben fundamentale Schwachstellen, die oft übersehen werden.

Wie TOTP funktioniert

Bei der Einrichtung teilen Server und App ein gemeinsames Geheimnis — den sogenannten Seed oder Shared Secret. Dieses Geheimnis wird typischerweise als QR-Code dargestellt, den du mit der App scannst. Ab diesem Zeitpunkt generieren Server und App unabhängig voneinander alle 30 Sekunden denselben 6-stelligen Code, indem sie das Shared Secret mit dem aktuellen Zeitstempel in einen HMAC-SHA1-Hash einspeisen.

Das Problem liegt im Namen: Shared Secret. Es gibt ein Geheimnis, und es wird geteilt. Bei der Einrichtung wird es über das Netzwerk übertragen (als QR-Code oder als Zeichenkette). Es liegt auf dem Server. Es liegt in deiner App. Es liegt möglicherweise in einem Cloud-Backup. Jeder dieser Orte ist ein potenzieller Angriffspunkt.

Angriffsvektoren auf App-basierte MFA

1. SIM-Swapping (betrifft SMS, aber auch App-Recovery)

Selbst wenn du eine Authenticator-App statt SMS nutzt, kann SIM-Swapping dich treffen: Viele Dienste bieten als Fallback-Option SMS-Codes an oder nutzen die Telefonnummer für die Account-Wiederherstellung. Ein Angreifer, der deine Nummer übernimmt, kann oft über diese Umwege die App-basierte MFA umgehen.

2. Malware auf dem Smartphone

Dein Smartphone ist ein Computer — und wie jeder Computer kann es mit Malware infiziert werden. Banking-Trojaner wie Cerberus, Vultur und SharkBot können:

• Den Bildschirminhalt aufzeichnen und TOTP-Codes mitlesen
• Benachrichtigungen abfangen (Push-basierte MFA)
• Accessibility-Dienste missbrauchen, um Codes automatisch auszulesen
• Überlagerungsangriffe durchführen („Bitte geben Sie Ihren Code hier ein“)

Wenn ein Angreifer bereits Zugang zu deinem Gerät hat, bietet eine Authenticator-App auf demselben Gerät keinen zusätzlichen Schutz. Der „Besitz“-Faktor (Smartphone) ist kompromittiert, und damit ist die gesamte MFA-Kette gebrochen.

3. Phishing mit Real-Time Proxy

Dies ist der verheerendste Angriff auf Software-basierte MFA und verdient besondere Aufmerksamkeit. Tools wie evilginx2 und Modlishka fungieren als transparente Reverse-Proxies zwischen dir und dem echten Login-Server:

1. Du erhältst eine Phishing-E-Mail mit einem Link zu einer gefälschten Login-Seite
2. Die Seite sieht identisch aus, weil sie in Echtzeit die echte Seite spiegelt
3. Du gibst dein Passwort ein — der Proxy leitet es an den echten Server weiter
4. Der echte Server fragt nach dem MFA-Code — der Proxy zeigt dir die Abfrage
5. Du gibst den TOTP-Code ein — der Proxy leitet ihn in Echtzeit weiter
6. Der Server akzeptiert den Code und sendet ein Session-Cookie — der Proxy fängt es ab
7. Der Angreifer hat jetzt dein Session-Cookie und ist eingeloggt

Der gesamte Vorgang dauert Sekunden und ist für das Opfer nicht erkennbar. Der TOTP-Code ist gültig, der Login funktioniert, alles scheint normal — aber der Angreifer hat eine vollständig authentifizierte Session gestohlen. Dieser Angriff funktioniert gegen jede Form von Software-MFA: TOTP, Push-Benachrichtigungen, SMS — alles, was manuell eingegeben oder bestätigt wird.

4. Cloud-Backup der Authenticator-App

Seit 2023 synchronisiert Google Authenticator TOTP-Secrets in die Google Cloud. Das bedeutet: Alle deine Shared Secrets liegen jetzt nicht nur auf deinem Gerät, sondern auch in der Google-Cloud. Wenn dein Google-Konto kompromittiert wird (und dagegen schützt dich die Authenticator-App ja gerade), hat der Angreifer Zugriff auf alle deine TOTP-Codes. Ein Teufelskreis.

Authy speicherte Secrets von Anfang an in der Cloud — und wurde 2024 selbst zum Opfer eines Datenlecks, bei dem die Telefonnummern von 33 Millionen Nutzern enthüllt wurden.

4b. Push-basierte MFA und MFA-Fatigue

Einige Dienste und Authenticator-Apps (z.B. Microsoft Authenticator, Duo) bieten statt TOTP-Codes eine Push-Benachrichtigung: Der Nutzer tippt bei der Anmeldung einfach auf „Genehmigen“ auf dem Smartphone. Bequem, aber anfällig für einen spezifischen Angriff: MFA-Fatigue (auch MFA-Bombing). Dabei bombardiert der Angreifer das Opfer mit Dutzenden Push-Anfragen — mitten in der Nacht, während eines Meetings, beim Autofahren. Irgendwann tippt das genötigte Opfer auf „Genehmigen“, nur um Ruhe zu haben. Genau so wurde im September 2022 Uber gehackt: Ein 18-jähriger Angreifer der Lapsus$-Gruppe überschwemmte einen Mitarbeiter mit MFA-Push-Anfragen und kontaktierte ihn gleichzeitig per WhatsApp als vermeintlicher IT-Support. Der Mitarbeiter genehmigte — und der Angreifer hatte Vollzugriff auf Ubers interne Systeme. Auch Cisco wurde 2022 über denselben Angriffsvektor kompromittiert.

Die Lehre: Push-basierte MFA ist zwar bequemer als TOTP-Codes, aber nicht sicherer — sie verlagert den Angriff lediglich von Code-Diebstahl zu Social-Engineering-Druck. Microsoft hat reagiert und „Number Matching“ eingeführt (der Nutzer muss eine auf dem Bildschirm angezeigte Zahl eingeben statt nur zu tippen), aber auch das schützt nicht gegen einen Real-Time-Proxy-Angriff.

5. Social Engineering

Der simpelste Angriff ist oft der effektivste: „Guten Tag, hier ist die IT-Abteilung. Wir führen gerade Wartungsarbeiten durch. Könnten Sie mir bitte den Code aus Ihrer Authenticator-App vorlesen?“ Klingt absurd, funktioniert aber überraschend häufig — besonders in stressigen Situationen oder bei weniger technikaffinen Mitarbeitern. Der Nobelium-Angriff auf SolarWinds nutzte ähnliche Methoden.

Warum Hardware-MFA (FIDO2/WebAuthn) diese Probleme löst

Hardware-Sicherheitsschlüssel wie der YubiKey verwenden das FIDO2/WebAuthn-Protokoll und lösen die oben beschriebenen Probleme auf fundamentaler kryptografischer Ebene:

• Kein geteiltes Geheimnis: Statt eines Shared Secrets verwendet FIDO2 asymmetrische Kryptografie. Der private Schlüssel existiert nur auf dem Hardware-Token und verlässt diesen niemals. Selbst wenn der Server gehackt wird, erhält der Angreifer nur den öffentlichen Schlüssel — damit kann er nichts anfangen.
• Domain-Binding (Origin Verification): Der Sicherheitsschlüssel prüft kryptografisch, ob die anfragende Domain die korrekte ist. Bei einem Phishing-Proxy auf einer gefälschten Domain verweigert der Schlüssel die Antwort. Evilginx2, Modlishka und alle ähnlichen Tools sind damit wirkungslos.
• Kein Copy-Paste möglich: Es gibt keinen 6-stelligen Code, den man ablesen, abfotografieren, per Telefon durchgeben oder durch Malware mitlesen könnte. Die kryptografische Signatur erfolgt direkt auf dem Hardware-Chip.
• Physischer Touch erforderlich: Jede Authentifizierung erfordert eine physische Berührung des Tokens. Selbst wenn ein Angreifer Remote-Zugriff auf deinen Computer hat, kann er den Touch nicht simulieren.
• Kein Cloud-Sync: Der private Schlüssel existiert auf dem physischen Chip. Er kann nicht in die Cloud synchronisiert, nicht durch ein Backup extrahiert und nicht durch Malware kopiert werden.

Vergleich: Software-MFA vs. Hardware-MFA

Hier ein direkter Vergleich der Sicherheitseigenschaften:

• Phishing-Schutz: Software-MFA — keiner (Real-Time Proxy umgeht es). Hardware-MFA — vollständig (Domain-Binding).
• Malware-Resistenz: Software-MFA — gering (Codes auf demselben Gerät). Hardware-MFA — hoch (separates Gerät, kein Code).
• SIM-Swap-sicher: Software-MFA — nur wenn kein SMS-Fallback. Hardware-MFA — vollständig (keine Telefonnummer involviert).
• Replay-Angriffe: Software-MFA — möglich innerhalb des 30s-Fensters. Hardware-MFA — unmöglich (Challenge-Response mit Nonce).
• Server-Breach-Risiko: Software-MFA — Shared Secret kompromittiert. Hardware-MFA — nur öffentlicher Schlüssel betroffen.
• Social Engineering: Software-MFA — Code kann abgefragt werden. Hardware-MFA — nichts zum Vorlesen oder Abfragen.

Wann reicht Software-MFA?

Trotz aller Schwachstellen: Software-MFA ist deutlich besser als gar keine MFA. Für viele Anwendungsfälle ist sie ausreichend:

• Nicht-kritische Accounts (Social Media, Shopping, Foren)
• Dienste, die kein FIDO2 unterstützen
• Situationen, in denen kein Hardware-Token verfügbar ist
• Als zusätzlicher Faktor neben einem Hardware-Schlüssel (Defense in Depth)

Wann braucht man Hardware-MFA?

Für die folgenden Konten und Szenarien solltest du auf Hardware-Schlüssel bestehen:

• E-Mail: Dein E-Mail-Konto ist der Schlüssel zu allen anderen Konten (Passwort-Reset)
• Banking und Finanzen: Direkter finanzieller Schaden bei Kompromittierung
• Admin-Zugänge: Server, Cloud-Infrastruktur, Datenbanken
• Entwickler-Konten: GitHub, GitLab, npm — Supply-Chain-Angriffe sind verheerend
• Passwort-Manager: Wenn dieser fällt, fallen alle Konten
• Unternehmens-SSO: Ein kompromittiertes SSO-Konto gibt Zugang zu allen verbundenen Diensten

Unternehmen, die sensible Daten verarbeiten, sollten Hardware-MFA nicht als Option, sondern als Pflicht für alle Mitarbeiter mit privilegiertem Zugang betrachten. Die Kosten (50-100 Euro pro Mitarbeiter für zwei YubiKeys) sind ein Bruchteil der potenziellen Kosten eines erfolgreichen Angriffs. Laut dem IBM Cost of a Data Breach Report 2025 liegt der durchschnittliche Schaden eines Datenlecks bei über 4,5 Millionen US-Dollar — davon hätten viele durch Hardware-MFA verhindert werden können.

Was tun bei Verlust des Hardware-Tokens?

Die häufigste Sorge: „Was, wenn ich meinen YubiKey verliere?“ Hier die Antwort:

1. Zweiter Key: Registriere immer einen Backup-Schlüssel. Verwahre ihn sicher an einem anderen Ort.
2. Backup-Codes: Die meisten Dienste bieten beim Einrichten von MFA einmalig Backup-Codes an. Drucke sie aus und verwahre sie offline.
3. Recovery-Prozess: Informiere dich vorab, wie die Account-Wiederherstellung bei deinen kritischen Diensten funktioniert. Im Notfall zählt jede Minute.

Mit dieser dreistufigen Absicherung — primärer Key, Backup-Key, Backup-Codes — ist ein vollständiger Ausschluss praktisch unmöglich.

Fazit

MFA ist nicht gleich MFA. Die Authenticator-App auf deinem Smartphone ist ein riesiger Fortschritt gegenüber reinen Passwörtern — aber sie ist kein unfehlbarer Schutzschild. SIM-Swapping, Malware, Phishing-Proxies und Cloud-Backups untergraben die Sicherheitsgarantien, die viele Nutzer in Software-MFA sehen. Für deine kritischsten Konten führt kein Weg an Hardware-Schlüsseln vorbei. FIDO2/WebAuthn mit physischen Tokens ist der einzige Ansatz, der alle gängigen Angriffsvektoren auf kryptografischer Ebene eliminiert — nicht nur erschwert, sondern tatsächlich eliminiert. Die Frage ist nicht ob, sondern welche deiner Konten Hardware-MFA verdienen.

Konkrete Handlungsempfehlungen

Wenn du nach diesem Artikel deine MFA-Strategie überdenken möchtest, hier ein konkreter Fahrplan:

1. Inventur machen: Liste alle Konten auf, bei denen du MFA aktiviert hast. Welche nutzen SMS? Welche TOTP? Welche Push?
2. SMS-MFA eliminieren: Ersetze SMS-Codes überall durch TOTP-Apps oder — besser — Hardware-Schlüssel. Entferne deine Telefonnummer als Fallback-Option, wo immer möglich.
3. Hardware-Schlüssel für kritische Konten: E-Mail, Passwort-Manager, GitHub, Cloud-Infrastruktur, Banking — registriere für diese Konten einen YubiKey oder vergleichbaren FIDO2-Schlüssel.
4. Cloud-Sync deaktivieren: Wenn du Google Authenticator nutzt, deaktiviere den Cloud-Sync. Oder wechsle zu einer App ohne Cloud-Anbindung (z.B. Aegis auf Android, Open-Source und offline).
5. Backup-Codes sichern: Drucke die Recovery-Codes aller kritischen Konten aus und verwahre sie offline an einem sicheren Ort. Digital gespeicherte Backup-Codes auf einem kompromittierten Gerät sind wertlos.
6. Zweiten Hardware-Key registrieren: Kaufe zwei FIDO2-Schlüssel, registriere beide bei allen kritischen Diensten, bewahre den Backup-Schlüssel getrennt vom primären auf.

Der Aufwand für diese Schritte ist überschaubar — ein Nachmittag genügt für die meisten Nutzer. Der Sicherheitsgewinn ist dagegen enorm und schützt dich vor Angriffsvektoren, die täglich tausende Opfer fordern.

Quellen & Referenzen

• RFC 6238 — TOTP — Time-Based One-Time Password Algorithm Spezifikation
• FBI Internet Crime Complaint Center (IC3) — SIM-Swapping-Statistiken und Warnungen
• IBM Cost of a Data Breach Report — Jährlicher Bericht zu Kosten von Datenlecks (4,5 Mio. USD Durchschnitt)
• FIDO Alliance — FIDO2/WebAuthn — Standard für phishing-resistente Hardware-Authentifizierung
• Uber Security Incident 2022 — Dokumentation des MFA-Fatigue-Angriffs durch Lapsus$
• Krebs on Security — Investigative Berichte zu SIM-Swapping und Phishing-Angriffen
• Yubico — Hardware-Sicherheitsschlüssel als Alternative zu Software-MFA