Erstgespräch vereinbaren

Starkiller und das Ende klassischer MFA: Warum CISOs jetzt umdenken müssen

Phishing Angreifer
iStock/Gangis_Khan
Inhaltsverzeichnis

Die meisten Sicherheitsstrategien der letzten Jahre folgten einer klaren Logik: Starke Passwörter kombiniert mit Multi-Faktor-Authentifizierung bieten einen wirksamen Schutz gegen Account-Übernahmen. Für lange Zeit war das auch richtig und ist es in vielen Szenarien noch immer. Doch die aktuelle Bedrohungslage zeigt deutlich, dass sich Angreifer weiterentwickelt haben.

Aktuelle Änderungen bei Phishing-Angriffstechniken

Phishing hat sich grundlegend verändert. Was früher auf gefälschten Webseiten und Social Engineering beruhte, ist heute ein hochgradig technisierter Angriff auf Authentifizierungsprozesse in Echtzeit. Plattformen wie Starkiller stehen exemplarisch für diese neue Generation von Angriffen. Sie nutzen sogenannte Adversary-in-the-Middle-Techniken, bei denen Angreifer als unsichtbarer Proxy zwischen Nutzer und legitimer Anwendung agieren. Das Opfer sieht dabei keine gefälschte Seite mehr, sondern interagiert mit der echten Login-Oberfläche. Nur dass sämtliche Eingaben, inklusive Zugangsdaten und MFA-Codes, in Echtzeit über die Infrastruktur des Angreifers laufen.

Diese Entwicklung hat weitreichende Konsequenzen für die Sicherheitsarchitektur von Unternehmen. Denn die Angriffe zielen nicht mehr primär auf das Stehlen von Zugangsdaten ab, sondern auf die Übernahme bereits authentifizierter Sessions. Sobald ein Nutzer sich erfolgreich anmeldet und die Multi-Faktor-Authentifizierung durchläuft, wird das Session-Token abgegriffen und ermöglicht dem Angreifer direkten Zugriff. Die Authentifizierung ist in diesem Moment technisch korrekt und dennoch ist das System kompromittiert. Genau darin liegt die strategische Herausforderung für CISOs: Klassische Sicherheitsmechanismen funktionieren wie vorgesehen, greifen aber nicht mehr an der richtigen Stelle.

Phishing Mail
iStock/champpixs

Die neue Realität: Angriffe auf Sessions statt auf Credentials

Die Analyse von Starkiller und vergleichbaren Phishing-as-a-Service-Plattformen zeigt deutlich, dass sich der Fokus der Angreifer verschoben hat. Während früher Passwörter das primäre Ziel waren, sind heute Session-Tokens und authentifizierte Verbindungen der eigentliche Schlüssel zum Zugriff. Dieser Paradigmenwechsel wird durch die Industrialisierung von Cybercrime zusätzlich beschleunigt. Moderne Phishing-Kits bieten vollständige Infrastrukturen mit Dashboards, Automatisierung und Echtzeit-Interaktion, sodass auch weniger technisch versierte Angreifer hochkomplexe Attacken durchführen können.

Gleichzeitig verlieren klassische Erkennungsmechanismen zunehmend an Wirksamkeit. Da keine gefälschten Seiten mehr im Spiel sind, greifen weder URL-Filter noch typische Phishing-Indikatoren. Selbst geschulte Nutzer können die Angriffe kaum erkennen, weil sie tatsächlich mit legitimen Systemen interagieren. Auch viele Security-Strategien basieren weiterhin auf der Annahme, dass eine erfolgreiche MFA-Abfrage einen sicheren Zustand darstellt. Genau diese Annahme wird durch AiTM-Angriffe widerlegt. MFA schützt den Login-Prozess – nicht jedoch die Integrität der Session danach.

Warum klassische MFA an ihre Grenzen stößt

Multi-Faktor-Authentifizierung bleibt ein essenzieller Bestandteil moderner Sicherheitskonzepte und reduziert nachweislich eine Vielzahl von Angriffen. Dennoch zeigen aktuelle Entwicklungen klar, dass insbesondere OTP-, SMS- und Push-basierte Verfahren strukturelle Schwächen haben. Sie sind übertragbar, in Echtzeit weiterleitbar und damit anfällig für genau die Proxy-Angriffe, die Plattformen wie Starkiller ermöglichen.

Das Kernproblem liegt darin, dass diese Formen der MFA nicht an den Kontext der Anfrage gebunden sind. Sie prüfen, ob ein Nutzer im Besitz eines zweiten Faktors ist aber nicht, ob die Anfrage tatsächlich von der legitimen Anwendung stammt oder ob ein Angreifer im Hintergrund vermittelt. Dadurch entsteht eine Lücke zwischen erfolgreicher Authentifizierung und sicherer Nutzung, die gezielt ausgenutzt wird. Das bedeutet, dass MFA zwar weiterhin notwendig ist, aber nicht mehr als ausreichende Schutzmaßnahme betrachtet werden kann. Sie ist zur Baseline geworden, nicht mehr zum Differenzierungsmerkmal.

iStock/Torsten Asmus

Warum moderne MFA-Ansätze wie Authn die richtige Antwort sind

Vor diesem Hintergrund wird deutlich, dass sich die Anforderungen an Authentifizierung grundlegend verändert haben. Moderne Lösungen müssen phishing-resistent sein und dürfen sich nicht einfach weiterleiten oder reproduzieren lassen. Genau hier setzen Ansätze wie die MFA-Lösung von Authn an. Statt auf übertragbare Einmalcodes zu setzen, basiert diese auf Mechanismen, die an Gerät, Kontext und die tatsächliche Ziel-Domain gebunden sind. Dadurch wird verhindert, dass ein Angreifer die Authentifizierung über einen Proxy übernehmen kann.

Ein weiterer entscheidender Unterschied liegt in der Betrachtung der gesamten Session. Moderne Authentifizierung endet nicht mit dem Login, sondern bezieht kontinuierlich Kontextinformationen wie Gerät, Standort und Verhalten ein. Dadurch kann auch nach erfolgreicher Anmeldung überprüft werden, ob eine Session legitim ist oder Anomalien aufweist. Diese Kombination aus phishing-resistenter Authentifizierung und kontinuierlicher Validierung adressiert genau die Schwachstellen, die aktuelle Angriffstechniken ausnutzen.

Daraus ergibt sich eine klare strategische Konsequenz: Die Absicherung von Identitäten darf nicht beim Login aufhören. Stattdessen muss der gesamte Lebenszyklus einer Session betrachtet werden. Lösungen wie Authn bieten hier keinen inkrementellen Fortschritt, sondern einen notwendigen architektonischen Wandel. In einer Welt, in der Angriffe industrialisiert und hochgradig skalierbar sind, braucht es Sicherheitsmechanismen, die nicht auf Nutzerverhalten vertrauen, sondern technisch nicht umgehbar sind.

Die entscheidende Frage ist daher nicht mehr, ob MFA implementiert ist, sondern welche Art von MFA eingesetzt wird und ob sie den Anforderungen moderner Angriffe standhält.

Sprechen Sie mit uns, wenn Sie wissen wollen

  • ob Ihre aktuelle MFA gegen Angriffe standhält
  • wie Sie Session-Hijacking effektiv verhindern
  • und wie eine zukunftssichere Identity-Architektur aussieht

Kontaktieren Sie uns für eine unverbindliche Erstberatung und einen Security-Check Ihrer bestehenden Umgebung.

NDR im Krankenhaus: Warum Cybersecurity kritisch ist

blaue digitale Verbindungen
Krankenhäuser werden zunehmend Ziel von Cyberangriffen. Wie Network Detection and Response hilft, komplexe Kliniknetzwerke zu überwachen und Bedrohungen frühzeitig zu erkennen.
Weiterlesen

Vom Honeypot zur Deception-Technologie

Honigtopf
Angreifer bewegen sich oft monatelang unbemerkt im Netzwerk. Deception-Technologie macht sie sichtbar, bevor echter Schaden entsteht.
Weiterlesen

Passwortleaks steigen massiv – warum jetzt der Zeitpunkt für moderne MFA ist

Die Gefahr durch Passwortdiebstahl steigt rasant. Klassische Passwörter bieten heute praktisch keine Sicherheit mehr. MFA ist die Lösung!
Weiterlesen

Cybersicherheit mit der Cyber Security Strategie von ujima

Wir analysieren Ihre Cyber Security und beraten Sie zu weiterführenden Maßnahmen, um Ihr Unternehmen digital so sicher wie möglich zu machen.

  1. Info-Telefonat vereinbaren
  2. Von Cyber Security Spezialisten beraten lassen
  3. Cybersicherheit steigern und Ihr Unternehmen bulletproof machen
Erstgespräch vereinbaren

kostenfrei und unverbindlich

+49 69 153 22 793 - 0

Rufen Sie uns direkt an

Brandneu: 197 € 0 € Pentesting-Strategien 2026

Die wichtigsten Maßnahmen, die jeder IT-Verantwortliche 2026 ergreifen sollte!

Jetzt Report sichern