Phishing resistant login: Was es ist, wie es funktioniert und warum klassische MFA nicht mehr reicht

Wenn das Schloss noch hält, aber der Schlüssel schon kopiert wurde

Es ist Donnerstagabend, kurz nach 22 Uhr, als ein Mitarbeiter eines US-amerikanischen Mobilfunkanbieters auf seinem Smartphone eine SMS öffnet. Die Nachricht sieht aus wie eine Routine-Benachrichtigung der eigenen IT, eine kleine Aufforderung, die Zugangsdaten erneut zu bestätigen. Ein Klick führt auf eine täuschend echt nachgebaute Login-Seite. Er gibt Benutzername und Passwort ein. Den per Push verschickten zweiten Faktor bestätigt er, weil die Anmeldemaske ihn dazu auffordert. In dem Moment, in dem er auf "Genehmigen" tippt, übernehmen die Angreifer die Sitzung. Wenige Stunden später liegen interne Quellcode-Repositories in fremden Händen.

Der Vorfall ist kein Einzelfall, sondern Teil einer ganzen Welle, die Sicherheitsforschende dem Akteur "Scattered Spider" zuschreiben. Was diese Welle so unangenehm macht, ist nicht ihre technische Raffinesse. Es ist die Tatsache, dass jede der betroffenen Organisationen Multi-Faktor-Authentifizierung im Einsatz hatte. Der zweite Faktor war da. Er hat nur nichts mehr verhindert.

Diese Beobachtung ist der Ausgangspunkt für alles, was folgt.

Phishing ist 2026 nach wie vor die häufigste Einstiegstür für Cyberangriffe. Das Bundesamt für Sicherheit in der Informationstechnik benennt sie in seinem Lagebericht 2024 als "die mit Abstand verbreitetste Methode" für initialen Zugriff. Was sich verändert hat, ist die Tatsache, dass auch klassische Multi-Faktor-Authentifizierung dem nicht mehr standhält. Phishing-resistenter Login ist die strukturelle Antwort darauf.

Phishing-resistenter Login bezeichnet Anmeldeverfahren, bei denen Angreifende selbst dann nicht in fremde Konten gelangen kann, wenn er Mitarbeitende erfolgreich täuscht. Die zwei dominanten Verfahren sind FIDO2/WebAuthn-Hardwareschlüssel und Passkeys. Beide ersetzen das geteilte Geheimnis (Passwort, Code, Token) durch Public-Key-Kryptografie und Origin Binding. Das Ergebnis: Selbst eine perfekte Phishing-Seite bekommt die Anmeldedaten nicht zu sehen, weil es keine mehr gibt, die abgegriffen werden könnten.

Die Konsequenzen reichen weiter, als die meisten Sicherheitsdiskussionen zugeben. Sie betreffen nicht nur die IT-Architektur, sondern die Frage, wie eine Belegschaft mit ihrem Arbeitgeber digital verbunden ist. Und das gilt für Mitarbeitende im Büro genauso wie für die rund 80 Prozent der weltweit Beschäftigten, die laut Gallup (2024) keinen festen Schreibtisch haben.

Was ist ein phishing resistant login?

Ein phishing-resistenter Login ist eine Authentifizierungsmethode, bei der das Anmeldemerkmal nicht zwischen Nutzer:in und Server übertragen wird, sondern lokal auf dem Endgerät verbleibt. Die Anmeldung erfolgt über kryptografische Beweise, die nur auf der echten Domain funktionieren. Angreifende auf einer gefälschten Login-Seite bekommt nichts, womit er sich später ausweisen könnte.

Der Unterschied zu klassischer MFA ist strukturell. Bei klassischer Multi-Faktor-Authentifizierung kombiniert man "etwas, das man weiß" (Passwort) mit "etwas, das man hat" (SMS-Code, Push-Bestätigung) oder "etwas, das man ist" (Fingerabdruck). Beide Faktoren werden – in der einen oder anderen Form – an den Server übermittelt. Beide lassen sich abfangen.

Bei phishing-resistenten Verfahren existiert kein zu übertragendes Geheimnis mehr. Das Endgerät beweist seinen Besitz eines privaten Schlüssels durch eine kryptografische Antwort auf eine Server-Anfrage. Der private Schlüssel verlässt das Gerät nie. Die Antwort ist nur für genau diese eine Anmeldung, an genau diese eine Domain, gültig.

Das US-amerikanische CISA (Cybersecurity and Infrastructure Security Agency) definiert in seinen Implementierungsleitlinien drei Verfahren, die sie phishing-resistant nennt: FIDO2/WebAuthn (inklusive Passkeys), PIV-Smartcards und vergleichbare zertifikatsbasierte Authentifizierungsmethoden. Alles andere – und das ist der unangenehme Teil – fällt durch.

Warum klassische MFA Phishing-Angriffe nicht mehr abwehrt

Es gab eine Zeit, in der die Empfehlung "Aktiviert MFA" eine ernsthafte Schutzwirkung hatte. Diese Zeit ist vorbei. Die Bedrohungslage hat sich verändert, und zwar in drei konkreten Mustern.

SMS-OTP ist seit Jahren kein sicherer Faktor mehr. SIM-Swapping-Angriffe, bei denen Angreifer die Mobilfunknummer einer Zielperson übernehmen, sind industrialisiert. Das US-amerikanische NIST hat SMS-basierte Einmalpasswörter bereits 2017 in seinen Sicherheitsrichtlinien (SP 800-63-3) als "deprecated" eingestuft. Die deutsche BSI-Richtlinie TR-03107 weist seit 2021 auf vergleichbare Schwächen hin. Trotzdem ist SMS-OTP in vielen Unternehmen noch der Standard, weil es einfach einzuführen ist.

Push-Benachrichtigungen sind anfällig für MFA-Fatigue. Angreifer mit gestohlenen Passwörtern lösen wiederholt Anmeldeversuche aus. Auf dem Smartphone der Zielperson erscheinen im Minutentakt Push-Benachrichtigungen. Irgendwann tippt jemand "Genehmigen" – aus Versehen, aus Müdigkeit, aus dem Wunsch, die Benachrichtigungen loszuwerden. Genau so gelang Angreifern 2022 der Einbruch bei Uber. Die Branche hat seither "Number Matching" eingeführt, eine Maßnahme, die das Problem mildert, aber nicht löst.

Adversary-in-the-Middle-Angriffe (AitM) hebeln auch zeitbasierte Codes aus. Die heute am weitesten verbreitete Angriffsmethode arbeitet mit einer Phishing-Seite, die als Reverse-Proxy zwischen Nutzer und echtem Server geschaltet ist. Sie zeigt der Mitarbeiterin eine perfekt nachgebildete Login-Maske, leitet ihre Eingaben an den echten Dienst weiter, fängt den TOTP-Code ab und übergibt ihn dem Server. Im selben Moment stiehlt sie das ausgestellte Session-Cookie. Der zweite Faktor war korrekt. Die Anmeldung war erfolgreich. Die Sitzung gehört dem Angreifer. Frameworks wie "Evilginx" automatisieren diesen Angriff, und sie sind frei verfügbar.

Eine Zahl, die in dieser Diskussion immer wieder genannt wird: Google hat im Jahr 2017 alle 85.000 Mitarbeitenden auf hardwarebasierte FIDO-Sicherheitsschlüssel umgestellt. In den darauffolgenden Jahren hat das Unternehmen, eigenen Berichten zufolge, kein einziges erfolgreiches Phishing eines Mitarbeiterkontos verzeichnet. Davor waren es jährlich tausende Versuche.

Die Lehre daraus ist nicht, dass Faktoren generell nichts taugen. Die Lehre ist, dass Faktoren, die auf einem geteilten Geheimnis beruhen, vom Angreifer abgefangen werden können – und dass nur Verfahren ohne geteiltes Geheimnis dieses Problem strukturell lösen.

Wie Phishing E-Mails den klassischen Login aushebeln

Das Bild vom unbeholfenen Phishing mit Tippfehlern und ungelenker Anrede ist überholt. Moderne Phishing E-Mails sind perfekt formuliert, oft KI-gestützt, an die Sprache und das Layout des realen Arbeitgebers angepasst, und sie werden zu Tageszeiten verschickt, an denen Aufmerksamkeit ohnehin niedrig ist – Montagmorgen, kurz vor Feierabend, oder mitten in einer Schichtwechselphase.

Die Mails enthalten Links auf hochwertig gefälschte Login-Seiten. Wer dort Zugangsdaten eingibt, hat sie übergeben, bevor er den Browser-Reflex bemerkt, der ihn vor zehn Jahren noch gewarnt hätte. Klassische Schutzmaßnahmen – Schulungen, Spam-Filter, Awareness-Programme – senken die Erfolgsrate, sie eliminieren sie nicht. Eine vom Anti-Phishing Working Group veröffentlichte Studie zählte allein im vierten Quartal 2024 über 989.000 Phishing-Angriffe weltweit, ein Niveau, das sich seit 2022 verdreifacht hat.

Wer auf dieser Bedrohungslage ein Sicherheitsmodell aufbaut, das davon ausgeht, dass Mitarbeitende eine echte von einer gefälschten Seite zuverlässig unterscheiden können, baut auf Sand. Phishing-resistente Authentifizierung verschiebt deshalb die Verantwortung weg vom menschlichen Auge und hin zur Architektur. Origin Binding macht es egal, ob die Mitarbeiterin die Fälschung erkennt. Selbst wenn sie es nicht tut, fließen keine verwertbaren Daten ab.

Das ist die strukturelle Wende. Sicherheit hängt nicht länger an der Wachsamkeit jedes einzelnen Beschäftigten in einer 5.000-Personen-Belegschaft.

Wie funktioniert phishing-resistente Authentifizierung technisch?

Wer das Prinzip einmal verstanden hat, sieht die Sicherheitslücke klassischer MFA mit anderen Augen. Es lohnt sich daher, zwei Minuten in die Mechanik zu investieren.

Public-Key-Kryptografie in einem Satz. Beim Einrichten eines phishing-resistenten Logins erzeugt das Endgerät ein Schlüsselpaar: einen privaten Schlüssel, der das Gerät nie verlässt, und einen öffentlichen Schlüssel, der an den Server übergeben wird. Der private Schlüssel ist im Secure Element des Geräts hinterlegt – auf dem iPhone in der Secure Enclave, auf Android im Hardware-Keystore, auf einem YubiKey im Sicherheitschip. Er ist auch für das Betriebssystem nicht im Klartext lesbar.

Challenge-Response statt geteilter Geheimnisse. Will sich die Mitarbeiterin anmelden, schickt der Server eine zufällige Zeichenfolge – die Challenge. Das Endgerät signiert diese Challenge mit dem privaten Schlüssel und sendet die Signatur zurück. Der Server prüft die Signatur mit dem zuvor hinterlegten öffentlichen Schlüssel. Niemals wird ein Geheimnis übertragen. Selbst wenn ein Angreifer die gesamte Kommunikation mitliest, kann er damit nichts anfangen.

Origin Binding ist der entscheidende Schritt. Die Browser-Schnittstelle WebAuthn bindet jede Signatur an die Domain, von der die Anfrage kommt. Sitzt eine Mitarbeiterin auf einer gefälschten Seite "login.firma-portal.com", wird der Browser die Signatur mit genau dieser Domain verknüpfen. Die echte Firma "firma-portal.de" akzeptiert sie nicht, weil sie für eine fremde Origin signiert wurde. Der Phishing-Versuch endet wirkungslos, ohne dass die Nutzerin überhaupt etwas merken müsste.

FIDO2 und Passkeys sind verwandt, aber nicht identisch. FIDO2 ist der offene Standard, den die FIDO Alliance gemeinsam mit dem W3C entwickelt hat. Er beschreibt, wie Authenticator (Hardwareschlüssel, Smartphone) und Server (Relying Party) kryptografisch miteinander sprechen. Passkeys sind eine Implementierung von FIDO2, bei der der private Schlüssel verschlüsselt zwischen Geräten desselben Nutzers synchronisiert werden kann – über iCloud Keychain, Google Password Manager oder einen Drittanbieter. Hardware security keys wie YubiKey speichern den Schlüssel ausschließlich lokal. Die Schutzwirkung gegen Phishing ist in beiden Fällen gleich.

Welche Authentifizierungsmethode gilt als phishing-resistant?

Die Liste ist, wenn man sie ehrlich aufschreibt, kürzer als viele erwarten.

Als phishing-resistent gelten:

• FIDO2/WebAuthn-Hardware security keys (z. B. YubiKey, Titan Security Key)

• Passkeys auf Smartphones, Tablets und Laptops, sofern sie WebAuthn-kompatibel sind

• PIV-Smartcards mit Public-Key-Infrastruktur (vor allem in Behörden und Verteidigung verbreitet)

• Plattform-Authenticatoren mit biometrischer Entsperrung (Face ID, Touch ID, Windows Hello), wenn sie über WebAuthn angesprochen werden

Nicht phishing-resistent sind:

• Passwörter

• SMS-Codes (TAN, OTP)

• E-Mail-Codes

• TOTP-Codes aus Authenticator-Apps

• Push-Benachrichtigungen (auch mit Number Matching nur teilweise widerstandsfähig)

• Magic Links per E-Mail

• Sicherheitsfragen

Biometrie ist ein Sonderfall, der oft missverstanden wird. Ein Fingerabdruck oder Gesichtsscan ist nicht "phishing-sicher", weil er biometrisch ist, sondern nur dann, wenn er als lokale Entsperrung eines kryptografischen Schlüssels dient. Die Biometrie verlässt das Endgerät nicht. Was den Server erreicht, ist eine kryptografische Signatur, kein biometrisches Merkmal. Diese Unterscheidung ist nicht akademisch, sondern entscheidet über die DSGVO-Konformität der eingesetzten Lösung.

Phishing-resistenter Login in der Praxis: Was die Implementierung wirklich bedeutet

Hier wird es konkret, und hier scheitern die meisten Projekte. Nicht an der Technik. An der Umsetzung über eine heterogene Belegschaft hinweg.

Ein Office-Team mit MacBooks und Firmen-iPhones ist relativ einfach zu versorgen. Microsoft Entra ID (vormals Azure AD), Google Workspace und Okta unterstützen FIDO2 und Passkeys nativ. Ein paar Klicks in der Konsole, ein Rollout-Plan, eine Schulung – das Office-Setup ist machbar.

Komplexer wird es, sobald man ehrlich auf die Belegschaft schaut, die nicht am Schreibtisch sitzt.

Mitarbeitende ohne PC-Arbeitsplatz haben oft keine Firmen-E-Mail-Adresse, manchmal keinen Firmen-Account im klassischen Sinn, fast nie ein Firmen-Notebook. Was sie haben, ist ein privates Smartphone und einen Spind. Wenn das Authentifizierungskonzept davon ausgeht, dass am Anfang jeder Anmeldekette ein Active-Directory-Eintrag mit hinterlegter Mail-Adresse steht, ist es für diese Belegschaft nicht implementierbar.

Schichtarbeitende wechseln häufig das Endgerät. Die Kassiererin im Drogeriemarkt arbeitet morgens an Terminal A, nachmittags an Terminal B. Die Mechanikerin nutzt am Montag das Tablet im Werk Süd, am Dienstag das im Werk Nord. Hardware security keys pro Person sind in dieser Realität ein logistisches Problem: Sie müssen ausgegeben, ersetzt, eingezogen werden – und sie verschwinden zuverlässig in privaten Taschen.

Mitarbeitende ohne Schreibtisch haben Anmeldevorgänge oft mehrfach pro Schicht, weil sie zwischen Systemen wechseln: Lager, Schichtplan, Sicherheitsmeldung, HR-Antrag. Jede zusätzliche Anmeldung kostet Zeit, die zu Lasten der eigentlichen Arbeit geht. Sicherheitsmaßnahmen, die in dieser Umgebung Reibung erzeugen, werden umgangen – nicht, weil die Belegschaft sich nicht an Regeln hält, sondern weil die Architektur an der Realität vorbeigebaut wurde.

Die einzige Lösung, die in dieser Konstellation funktioniert, ist eine, bei der das eigene Smartphone der Mitarbeitenden zum kryptografischen Schlüssel wird – und bei der die Plattform, die das verwaltet, mobile-first, offline-fähig und DSGVO-konform aufgebaut ist.

Hier kommt Flip ins Spiel. Eine KI-native Mitarbeiter-App wie Flip dient nicht nur als Kanal für Mitarbeiterkommunikation und mobiles Intranet, sondern wird zur Identity Fabric, durch die Mitarbeitende mit einer einzigen, starken Anmeldung Zugriff auf alle relevanten Systeme erhalten. Mit Flip Identity entsteht eine phishing-resistente Multi-Faktor-Authentifizierung, die für genau die Belegschaften gebaut ist, die in klassischen Identity-Architekturen durchs Raster fallen.

Damit endet die Erwähnung des Produkts.

Was sich für die Mitarbeitenden tatsächlich ändert

Der Satz "Wir haben jetzt phishing-resistente MFA" sagt einer Lagerleiterin nichts. Was sie merkt, ist, ob ihr Arbeitstag leichter oder schwerer wird.

In gut umgesetzten Projekten ist die Antwort: leichter. Eine passwortlose Authentifizierung über Passkey oder ein an das Smartphone gebundenes Verfahren ersetzt das morgendliche Eintippen eines achtzehnstelligen Passworts. Die Mitarbeiterin entsperrt ihr Telefon biometrisch, die Anmeldung an der Schichtplan-App, am Lagersystem und am HR-Self-Service ist erledigt. Der Sicherheitsgewinn ist strukturell. Der UX-Gewinn ist sofort spürbar.

In schlecht umgesetzten Projekten passiert das Gegenteil: Hardware security keys, die niemand dabei hat, Fallback-Codes, die niemand kennt, und eine IT, die "kurz" eingreifen muss, wenn ein Gerät verloren geht – dabei dauert "kurz" 48 Stunden. Wer in einem Drei-Schicht-System arbeitet, kann das nicht hinnehmen.

Der Unterschied liegt nicht in der Technik. Er liegt in der Frage, ob die Implementierung von der Realität der Mitarbeitenden ausgegangen ist oder von der Architektur eines klassischen Office-IDPs.

Phishing-Resistant MFA und Zero Trust: Warum das Eine ohne das Andere wenig bringt

Zero Trust ist seit Jahren das strategische Rahmenwerk, an dem sich seriöse Sicherheitsarchitekturen orientieren. Das Prinzip lautet: Vertraue nichts und niemandem standardmäßig, prüfe jede Anfrage neu, gehe davon aus, dass das Netzwerk bereits kompromittiert ist.

Phishing-resistente Authentifizierung ist innerhalb dieses Rahmens kein "weiteres" Element. Sie ist die Grundlage. Wenn die Identität, von der aus jede weitere Zugriffsentscheidung abgeleitet wird, kompromittiert werden kann, fällt das ganze Gebäude zusammen. Zero Trust ohne phishing-resistente MFA ist wie ein Hochsicherheitstrakt mit einem nachgemachten Hauptschlüssel.

Umgekehrt ist phishing-resistente MFA ohne Zero Trust nur ein punktuell sicheres Anmeldeverfahren. Was nach der Anmeldung passiert – welche Systeme wie verbunden sind, wie weit eine Sitzung reicht, wie schnell ein Zugriff entzogen werden kann –, entscheidet darüber, wie viel Schaden ein erfolgreicher Angriff tatsächlich anrichtet.

Beide Konzepte gehören zusammen. Erst die Architektur insgesamt hält.

Warum diese Architekturentscheidung die Zukunft eines Unternehmens prägt

Die Frage, wer wie auf welche Systeme zugreift, klingt nach einem IT-Detail. In Wahrheit ist sie eine der wenigen Architekturentscheidungen, die ein Unternehmen über zehn Jahre prägen wird.

Drei Gründe.

Erstens: Hackerattacken abwehren ist 2026 nicht mehr eine Frage von "ob", sondern von "wann". Der Bitkom-Lagebericht zur Wirtschaftsschutz-Studie 2024 beziffert den Schaden durch Datendiebstahl, Industriespionage und Sabotage in der deutschen Wirtschaft auf rund 267 Milliarden Euro pro Jahr. Wer in dieser Bedrohungslage auf einer Identity-Architektur arbeitet, deren Grundannahme – das geteilte Geheimnis – seit Jahren angreifbar ist, trägt ein strukturelles Risiko, das sich nicht durch noch ein Endpoint-Tool kompensieren lässt.

Zweitens: Die Zukunft des sicheren Einloggens ist passwortlos, und die regulatorische Richtung verstärkt das. Die NIS-2-Richtlinie, die seit 2024 in nationales Recht überführt wird, erhöht die Anforderungen an Identitätsmanagement in kritischen und wichtigen Einrichtungen erheblich. Auch außerhalb des regulatorischen Pflichtbereichs werden Wirtschaftsprüfer, Versicherer und Großkunden in den nächsten Jahren genauer hinschauen, wie phishing-resistent ein Unternehmen aufgestellt ist. Wer heute eine Identity Fabric aufbaut, in der phishing-resistente Verfahren der Standard sind, hat in fünf Jahren keinen Migrationsschmerz.

Drittens: Identität ist die Schnittstelle zwischen Mensch und Unternehmen. Eine sichere, schnelle, würdige Anmeldung ist eines der ersten Erlebnisse, die eine Mitarbeiterin mit ihrem Arbeitgeber jeden Morgen hat. Wer hier Reibung erzeugt, sendet die Botschaft: "Du bist eine Risikoquelle." Wer Vertrauen schafft, signalisiert: "Wir haben das durchdacht. Du kannst dich auf deine Arbeit konzentrieren." Das ist nicht trivial, vor allem nicht in Belegschaften, deren operative Mitarbeitende über Jahre das Gefühl hatten, von der Digitalisierung übergangen zu werden.

Sicherheit, die ihre Belegschaft ausschließt oder demütigt, ist keine Sicherheit. Sie ist nur eine andere Form von Risiko.

Fazit: Was die Maria-Stuart-Lektion uns 2026 noch zu sagen hat

Maria Stuart vertraute einem Schlüssel, den jemand anderes längst kopiert hatte. Der Mitarbeiter des US-amerikanischen Mobilfunkanbieters vertraute einem Push-Dialog, der genau so aussah wie der echte. In beiden Fällen war das Sicherheitsversprechen formal eingehalten – ein verschlüsselter Brief, eine Multi-Faktor-Authentifizierung – und in beiden Fällen war es bereits gebrochen, bevor das Opfer überhaupt eine Chance hatte, das zu bemerken.

Das ist die Kernlektion phishing-resistenter Authentifizierung. Sicherheit, die auf einem geteilten Geheimnis beruht, ist nur so stark wie die Annahme, dass das Geheimnis nicht abgefangen wird. Diese Annahme hält 2026 nicht mehr stand. Die Cybersecurity and Infrastructure Security Agency hat phishing-resistente MFA deshalb 2022 als "Gold Standard" für sichere Authentifizierung eingestuft – nicht als nice-to-have, sondern als das einzige Verfahren, das gegen die heute vorherrschenden Angriffsmuster strukturell standhält.

Was das für ein Unternehmen bedeutet, hängt nicht in erster Linie von der Technik ab. Es hängt davon ab, ob die Implementierung jede Mitarbeiterin erreicht – die im Office, die im Werk, die in der Filiale, die im Lager. Wer eine Identity-Architektur baut, die den Schreibtisch als Standard voraussetzt, schließt 80 Prozent der Belegschaft systematisch aus. Wer sie vom Smartphone aus denkt, das die Mitarbeitenden ohnehin in der Tasche haben, baut ein Sicherheitsmodell, das tatsächlich trägt.

Phishing-resistenter Login ist insofern keine IT-Initiative. Er ist eine Aussage darüber, wie ernst ein Unternehmen seine Belegschaft nimmt – und wie ernst es seine eigene Zukunft nimmt.

Quellenangabe: BSI, Lagebericht zur IT-Sicherheit in Deutschland 2024; CISA, Implementing Phishing-Resistant MFA, Fact Sheet, 2022; Anti-Phishing Working Group, Phishing Activity Trends Report Q4 2024; Gallup, State of the Global Workplace 2024.

FAQ: Phishing-resistenter Login