Multi-Faktor-Authentifizierung (MFA) gilt bei allen Security Experten als Standardempfehlung für bessere Sicherheit. Trotzdem sehen wir immer wieder erfolgreiche Angriffe auf Accounts, obwohl eine Form der MFA aktiv war. Das Problem hierbei ist nicht, dass MFA grundsätzlich nicht funktioniert. Aber: auch MFA-Methoden können unterschiedlich angegriffen werden.

U.a. wird oft gefragt: Sind Hardware-Tokens die bessere MFA? Eine erste kurze Antwort kann lauten: Für besonders schützenswerte Zugänge auf jeden Fall - aber nicht automatisch für alle Nutzer- und Nutzungstypen.

Wie können MFA Verfahren angegriffen werden?

Viele Organisationen haben unterschiedliche Formen von MFA eingeführt und fühlen sich danach völlig sicher in Bezug auf derartige Angriffe der Benutzer-Authentifizierung. Professionelle Angreifer haben sich aber angepasst. MFA-Verfahren und deren spezifische Schwächen können angegriffen werden.

Bekannte Beispiele sind:

“Phishing-Proxies”, die zuerst Passwörter und danach Einmal-Codes abfangen und umleiten
“Push-Fatigue” Angriffe, bei denen Nutzer eine große Zahl beunruhigender gefälschter MFA-Anfragen erhalten, um danach abschließend zu einer fingierten Neuanmeldung gelockt zu werden
Smartphones hosten MFA Apps und sind zwar praktisch, aber haben als Allzweckgeräte ebenso eine allgemein große Angriffsfläche

Die wichtigste Erkenntnis lautet deshalb: MFA ist nicht gleich MFA, Methoden und deren Anwendung sind spezifisch auszuwählen.

Smartphone-basierte MFA-Optionen: praktisch und schnell ausrollbar, Sicherheitsniveau muss spezifisch bewertet werden

Smartphone-basierte MFA hat klare Vorteile. Fast jeder Nutzer besitzt ein Smartphone. Die Einführung ist vergleichsweise günstig, schnell und für viele Nutzer vertraut. TOTP-Codes funktionieren auch offline, Push-Verfahren mit Number Matching verbessern die Bedienbarkeit, und Passkeys, die in einer Betriebssystemplattform gespeichert werden, bieten eine sehr komfortable Nutzererfahrung.

Für viele Standardanwendungen und die allgemeine Belegschaft kann die Auswahl einer solchen MFA-Methode über ein Smartphone eine sinnvolle Balance aus Sicherheit, Kosten und Benutzbarkeit darstellen.

Aber MFA Methoden im Zusammenhang mit Smartphones haben meist auch Grenzen. Z.B. können TOTP-Codes abgefangen werden. Push-MFA kann durch Fatigue-Angriffe missbraucht werden. Bring-Your-Own-Device-Szenarien erzeugen Compliance-Fragen. Gerätewechsel können zu hohem Helpdesk-Aufwand führen. Smartphone-zu-Cloud-Synchronisationen von z.B. Passkeys verändern das Vertrauensmodell: erzeugte Credentials für den 2-ten Faktor sind dann nicht mehr nur lokal an ein Gerät gebunden sondern liegen in einem Cloud Account mit neuen Angriffsvektoren.

Kurz gesagt: Bequemlichkeit ist nicht automatisch hohe Sicherheit.

Hardware-Tokens: stärker, aber operativ anspruchsvoller

Hardware-Tokens sind dedizierte physische Komponenten zur Speicherung von “Credentials” des 2ten Faktors. Solchermaßen gespeicherte private Schlüssel bleiben durch die jeweilige Hardware geschützt. Es gibt USB/NFC Hardware-Tokens kommerzieller Anbieter oder nutzbare Hardware-Komponenten in Endgeräten wie z.B. Windows und MacOS Trust Platform Modules (TPMs).

Das MFA Verfahren FIDO2/WebAuthn (Fast Identity Online in Kombination mit Web Authentication API) nutzt solche hardware-gespeicherten Tokens und erzeugt einen sehr starken Schutz gegen Phishing. Der Nutzer gibt kein wiederverwendbares Geheimnis in eine Webseite ein. Stattdessen sendet der angesprochene Web-Dienst eine Challenge, und FIDO2 signiert diese mit einem privaten Schlüssel, der spezifisch für diese Anwendung erzeugt wurde.

MFA - Die Qual der Wahl- phishing visual

Hardware-gespeicherte Credentials haben praktische Sicherheitsvorteile: Sie sind unabhängig von einem privaten Smartphone, trennen berufliche und private Identität klarer und eignen sich besonders gut für Administratoren, Entwickler mit Produktionszugriffen, Executives sowie Finance-, HR- und Legal-Rollen.

Leider haben Hardware-Tokens ebenso Nachteile. Sie müssen beschafft, inventarisiert, verteilt und ersetzt werden. Nutzer können sie verlieren. Backup-Verfahren für Gerätewechsel oder -verlust sind daher hier Pflicht. Dazu kommen Anschlussfragen: USB-A, USB-C, NFC oder Lightning? Und natürlich braucht es Schulung der Anwender für die Initialisierung dieser MFA-Verfahren.

Die Kernaussage: Die Verwendung von Hardware-Tokens braucht starkes Lifecycle-Management.

Ein Hardware-Token ist keine einzelne MFA-Methode

Kommerzielle Hardware-Tokens sind nicht „die MFA-Methode“. Sie sind Plattformen für mehrere Verfahren, z.B.:

FIDO2/WebAuthn
residente Passkeys
TOTP über token-integrierte Apps
One-Time-Password-Mechanismen für Legacy-Anwendungen
Smartcard-Szenarien
OpenPGP

Dieses Verständnis ist wichtig, weil nicht jedes dieser Verfahren denselben Schutz bietet. TOTP auf einem Hardware-Token erhöht zwar die Sicherheit der Speicherung des Secrets, ist aber weiterhin nicht so phishing-resistent wie das Verfahren FIDO2/WebAuthn. Wer also „Hardware-Token“ sagt, sollte präzisieren, welcher MFA-Mechanismus dort gemeint ist.

Die stärkste Empfehlung lautet daher nicht einfach „YubiKey verwenden“, sondern: Wo möglich FIDO2/WebAuthn mit Hardware-Security-Keys einsetzen.

Die MFA-Frage ist auch eine Vertrauensfrage

Erst “Threat Modeling”, dann Auswahl MFA-Methoden

Bevor man Tools auswählt, sollte man zuerst das eigene MFA-Konzept risikobasiert erarbeiten. Gute Leitfragen sind:

Kann ein 2ter Faktor abgefangen werden?
Kann Malware ein Secret stehlen?
Kann ein Nutzer zu Freigaben verleitet werden?
Was passiert, wenn physische Dinge verloren gehen?
Ist der Recovery-Prozess stärker als potenzielle Angreifer?

Gerade der letzte Punkt wird oft unterschätzt. Eine MFA-Lösung ist nur so stark wie ihr schwächster möglicher Recovery- oder Fallback-Pfad. Wenn ein verlorener Hardware-Token über einen schwachen Helpdesk-Prozess durch den Falschen erlangt werden kann, ist die technische Stärke des Tokens ausser Kraft gesetzt.

Pragmatische Entscheidungsregeln

Nicht jeder Nutzertyp braucht dieselbe MFA-Stärke. Eine sinnvolle Matrix könnte z.B. so aussehen:

Für normale Mitarbeitende können zugelassene Authenticator-Apps oder Betriebsplattform-Passkeys ausreichend sein, sofern Risikoanalyse und Anwendungen dazu passen.
Für privilegierte Accounts und Entwickler mit Produktionszugängen können FIDO2-kompatible Hardware-Tokens verpflichtend sein.
Für Finance, HR, Legal und Executives sollten Hardware-Tokens in Betracht gezogen werden, weil diese Rollen ein besonders attraktives Ziel für Angriffe sind.

Die Grundregel lautet: Die Stärke des gewählten MFA-Verfahrens muss zum Risiko des Nutzertyps passen.

Was Organisationen konkret tun sollten …

Organisationen sollten sich schrittweise von SMS und anderen einfachen Push-Freigaben entfernen.

Wo möglich, sollte phishing-resistente MFA bevorzugt werden. Der Einstieg sollte bei den Nutzertypen mit den höchsten Risiken beginnen: privilegierte Administratoren, Produktionszugänge und kritische Geschäftsbereiche.

Hardware-Tokens sollten doppelt ausgegeben werden: ein primärer Token und ein sicher verwahrter Backup-Token - sonst kann im Verlustfall nicht mehr zügig weiter gearbeitet werden. Zusätzlich müssen Verlust-, Ersatz- und Recovery-Prozesse dokumentiert und regelmäßig überprüft werden.

Das TOTP-Verfahren kann weiterhin eine Rolle spielen, insbesondere für Legacy-Systeme oder Fallback-Szenarien. Es sollte aber als nicht sicher phishing-resistenter betrachtet werden.

Fazit: Hardware-Tokens sind sehr sicher - aber nicht immer die beste Antwort für jeden Anwendungsfall

Hardware-Tokens sind besonders dann ein passendes MFA-Verfahren, wenn es um hohe Sicherheit, privilegierte Zugriffe und phishing-resistente Authentifizierung geht. In Kombination mit FIDO2/WebAuthn bieten sie einen deutlich stärkeren Schutz als klassische OTP- oder einfache Push-Verfahren.

Für normale Nutzer können Smartphone-gespeicherte Passkeys oder gut verwaltete Authenticator-Apps dennoch die bessere Balance aus Sicherheit, Nutzerfreundlichkeit und Rollout-Aufwand sein.

Die eigentliche Frage lautet daher nicht: „Hardware- oder Smartphone-based?“, sondern: Welche Risiken wollen wir für welche Nutzergruppe absichern - und welche MFA-Methode liefert das passende Schutzniveau?