Zwei-Faktor-Authentifizierung (MFA) ist deutlich besser als nur ein Passwort – aber sie ist nicht unknackbar. Moderne Angriffstechniken umgehen MFA regelmäßig, indem sie nicht das Passwort stehlen, sondern die bereits authentifizierte Sitzung. Wer sich auf MFA als alleinigen Schutz verlässt, wiegt sich in falscher Sicherheit.
Wie funktioniert das?
Zwei-Faktor-Authentifizierung bedeutet: Neben Deinem Passwort brauchst Du einen zweiten Faktor – zum Beispiel einen Code aus einer App, eine SMS oder einen Hardware-Schlüssel. Die Idee dahinter ist einfach: Selbst wenn jemand Dein Passwort kennt, kommt er ohne den zweiten Faktor nicht in Dein Konto.
Das funktionierte jahrelang gut. Doch Angreifer haben Methoden entwickelt, um MFA zu umgehen:
Adversary-in-the-Middle (AiTM): Das ist die gefährlichste und verbreitetste Methode. Der Angreifer schaltet sich zwischen Dich und die echte Webseite. Du siehst eine perfekte Kopie der Login-Seite (zum Beispiel von Microsoft 365). Du gibst Dein Passwort ein – der Angreifer leitet es an die echte Seite weiter. Du gibst Deinen MFA-Code ein – der Angreifer leitet auch den weiter. Die echte Seite akzeptiert beides und erstellt ein Session-Token. Dieses Token fängt der Angreifer ab. Ab jetzt braucht er weder Dein Passwort noch einen MFA-Code – er hat Deine aktive Sitzung gestohlen.
Session-Token-Diebstahl: Nachdem Du Dich erfolgreich angemeldet hast (mit Passwort und MFA), speichert Dein Browser ein Session-Token – ein Cookie, das beweist, dass Du authentifiziert bist. Malware oder bösartige Browser-Erweiterungen können dieses Token stehlen. Der Angreifer importiert das Token in seinen eigenen Browser und hat sofort Zugriff auf Dein Konto – ohne jemals Dein Passwort oder einen MFA-Code eingeben zu müssen.
MFA-Fatigue (Ermüdungsangriff): Bei Push-basierter MFA (wo Du auf "Genehmigen" tippst) bombardiert der Angreifer Dich mit Anfragen. Mitten in der Nacht, dutzende Male hintereinander. Irgendwann tippst Du genervt auf "Genehmigen", nur damit es aufhört – und der Angreifer ist drin.
SIM-Swapping: Wenn MFA per SMS funktioniert, kann ein Angreifer Deinen Mobilfunkanbieter überzeugen, Deine Nummer auf eine neue SIM-Karte zu übertragen. Dann empfängt er Deine SMS-Codes.
Social Engineering: Angreifer rufen beim Support an, geben sich als Du aus und lassen die MFA zurücksetzen. Bei großen Unternehmen funktioniert das erschreckend oft.
All diese Methoden zeigen: MFA ist eine zusätzliche Hürde, aber keine unüberwindbare Mauer. Besonders AiTM-Angriffe sind inzwischen so ausgereift und automatisiert, dass sie MFA im großen Stil umgehen können.
Beispiele aus der Praxis
RaccoonO365 ist eine 2025 entdeckte Phishing-Plattform, die gezielt Microsofts Multi-Faktor-Authentifizierung umgeht. Die Plattform funktioniert als Adversary-in-the-Middle: Sie sitzt zwischen dem Opfer und der echten Microsoft-365-Anmeldeseite. Das Opfer sieht eine perfekte Kopie, gibt seine Zugangsdaten und den MFA-Code ein – und RaccoonO365 fängt das Session-Token ab. Deutsche Unternehmen waren ein bevorzugtes Ziel. Die Angreifer hatten danach vollen Zugriff auf E-Mails, OneDrive und SharePoint der Opfer.
Der RedLine Stealer geht einen anderen Weg: Er stiehlt die Session-Cookies direkt vom infizierten Rechner. Wenn Du Dich bei einem Dienst angemeldet hast (mit Passwort und MFA), speichert Dein Browser ein Cookie. RedLine kopiert dieses Cookie. Der Angreifer kann es in seinen Browser importieren und ist sofort eingeloggt – ohne jemals ein Passwort oder einen MFA-Code gesehen zu haben. MFA wird komplett irrelevant, wenn die Sitzung selbst gestohlen wird.
Auch Emotet und seine Nachfolger setzten zunehmend auf den Diebstahl von Session-Tokens statt auf den Diebstahl von Passwörtern. Die Angreifer haben verstanden: Warum das Schloss knacken, wenn man den Schlüssel stehlen kann?
Wie schützt Deep Freeze davor?
Deep Freeze schützt auf mehreren Ebenen gegen MFA-Bypass-Angriffe. Erstens: Info-Stealer wie RedLine, die Session-Cookies stehlen, werden beim Neustart entfernt. Die Malware verschwindet, bevor sie Daten exfiltrieren kann – vorausgesetzt, Du startest regelmäßig neu. Zweitens: Alle gestohlenen Session-Tokens werden beim Neustart ungültig, weil der Browser-Zustand zurückgesetzt wird. Selbst wenn ein Angreifer ein Token gestohlen hat, funktioniert es nicht mehr, nachdem Du Deinen Rechner neu gestartet hast, weil die zugehörige Sitzung nicht mehr existiert. Drittens: Bösartige Browser-Erweiterungen, die als MFA-Bypass eingesetzt werden, verschwinden beim Neustart.
MFA ist wichtig und Du solltest sie überall aktivieren. Aber sie ist kein Allheilmittel – moderne Angriffe umgehen sie routinemäßig. Deep Freeze ergänzt MFA, indem es die Angriffswerkzeuge (Stealer, bösartige Erweiterungen) beim Neustart entfernt und gestohlene Sitzungsdaten wertlos macht.