Zwei-Faktor-Authentifizierung steht vor dem Aus

Die Ära der herkömmlichen Zwei-Faktor-Authentifizierung (2FA) geht zu Ende. Diese Woche zwingen neue US-Regulierungen und eine hartnäckige Phishing-Plattform Unternehmen weltweit zum radikalen Umdenken bei der Zugriffssicherheit.

US-Behörden erklären SMS-Codes für unsicher

Die Wende begann mit einer deutlichen Warnung der US-Cybersicherheitsbehörde CISA am 18. März. Auslöser war ein schwerer Angriff auf den Medizintechnik-Konzern Stryker. Die Behörde drängt seither unmissverständlich auf den Einsatz phishing-resistenter Authentifizierungsmethoden.

Phishing-Plattformen machen herkömmliche Sicherheitsmaßnahmen wie SMS-Codes zunehmend wirkungslos und gefährden die Unternehmenssicherheit. Dieser Experten-Guide zeigt Ihnen in 4 Schritten, wie Sie Ihre Organisation effektiv vor modernen Hacker-Methoden und Phishing-Angriffen schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr: So schützen Sie Ihr Unternehmen vor Phishing

Einen Tag später folgte der regulatorische Hammer: Das US-Programm FedRAMP für Cloud-Sicherheit legte einen Entwurf vor, der SMS-Codes, Push-Benachrichtigungen und Einmalpasswörter-Tokens offiziell als nicht ausreichend einstuft. Ab sofort gelten nur noch Hardware-Security-Keys oder FIDO-Passkeys als sicher genug für Behörden und deren Zulieferer. Die Kommentarfrist für diese neue Richtlinie endet am 22. April.

Cyberkriminelle umgehen 2FA mühelos

Der regulatorische Druck ist dringend nötig, wie eine neue Bedrohungsanalyse zeigt. Das Phishing-as-a-Service-Angebot Tycoon2FA kann gängige Zwei-Faktor-Verfahren systematisch aushebeln. Die Plattform fängt Sitzungs-Cookies und Authentifizierungstoken in Echtzeit ab.

Das Erschreckende: Trotz einer erfolgreichen Schlagaktion von Europol Anfang März, bei der 330 Domains beschlagnahmt wurden, ist die Plattform wieder aktiv. Angreifer nutzten einfach neue Infrastruktur. „Das zeigt, wie verwundbar traditionelle 2FA-Methoden sind“, kommentiert ein Sicherheitsexperte.

Microsoft treibt passwortlose Zukunft voran

Als Reaktion auf die verschärfte Lage baut Microsoft seine Sicherheitsplattform Entra massiv aus. Auf der RSAC-Konferenz kündigte der Konzern die allgemeine Verfügbarkeit einer externen MFA-Anbindung an. Unternehmen können nun spezialisierte Drittanbieter direkt integrieren.

Während die technologischen Anforderungen an die IT-Sicherheit steigen, hinken viele Betriebe bei der Umsetzung wirksamer Schutzmaßnahmen noch hinterher. Dieser kostenlose Leitfaden zeigt auf, wie Sie Ihr Unternehmen mit einfachen Strategien gegen Cyberkriminelle wappnen, ohne das Budget zu sprengen. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Zudem werden Entra-Passkeys nahtlos in Windows Hello eingebettet, aktuell in der Vorschau. Ab April kommt eine adaptive Risikobehebung hinzu, die Nutzern bei verdächtigen Aktivitäten automatisch einen sicheren Wiederzugriff ermöglicht – ohne IT-Helpdesk.

Unternehmen hinken hinterher

Eine aktuelle Studie zum Stand passwortloser Authentifizierung offenbart eine gefährliche Lücke zwischen Wissen und Handeln. Zwar identifizieren 64 Prozent der Sicherheitsverantwortlichen FIDO-Passkeys korrekt als Standard – 2025 waren es nur 40 Prozent.

Doch die Realität in den Unternehmen sieht anders aus: 76 Prozent setzen noch immer auf legacy-Passwörter. Viele Pilotprojekte für passwortlose Systeme sind gestartet, flächendeckende Rollouts bleiben aber die Ausnahme. Nach einem Sicherheitsvorfall fließen jedoch 61 Prozent der Investitionen in Identitätsprüfung und 57 Prozent in verbesserte MFA-Systeme.

Die Botschaft dieser Woche ist klar: Der Abschied von SMS-Codes und einfachen Push-Benachrichtigungen hat begonnen. Für Unternehmen, besonders in sensiblen Bereichen wie Finanzen und Gesundheit, wird die Umstellung auf phishing-resistente Methoden in den nächsten 12 bis 18 Monaten zur Überlebensfrage. Die sichere Anmeldung der Zukunft ist passwortlos, kontextsensitiv und für den Nutzer oft unsichtbar.

boerse | 68954116 |