Genau wie der junge Mann vom Planeten Krypton kam die Multi-Faktor-Authentifizierung (MFA) daher, um uns vor Phishing-Angriffen, gestohlenen Passwörtern und schlechter Cyber-Hygiene zu retten. Aber wie bei jeder Superheldengeschichte gab es mit der Zeit auch immer mehr Risse.
Heute ist MFA nicht nur eine Verteidigungslinie, sondern auch eine Quelle von Frustration und Selbstgefälligkeit und, in einigen Fällen, von neuen Schwachstellen. Die Sicherheitsexperten wissen das, die Nutzer spüren es – und die Angreifer lernen, wie man sie ausnutzen kann. Die hässliche Wahrheit? Wir leiden unter MFA-Müdigkeit. Und so zu tun, als wäre das nicht der Fall, verschlimmert das Problem nur.
Die Psychologie hinter der MFA-Müdigkeit
Die größte Gefahr im Bereich der MFA sind nicht die Hacker, sondern das menschliche Verhalten. Jedes Mal, wenn ein Benutzer eine weitere Authentifizierungsaufforderung erhält, einen weiteren Code kopieren oder eine weitere App öffnen muss, entsteht ein leichter kognitiver Stress. Dieser leichte Stress verwandelt sich aber nach und nach in Ermüdung, und ehe man sich versieht, geraten Cyber-Versicherungsgesellschaften ins Schwitzen. Dabei handelt es sich um dieselbe mentale Erschöpfung, die Menschen dazu bringt, Sicherheitsgurte nicht anzulegen oder Software-Updates erst spät herunterzuladen. Und das nicht, weil ihnen Sicherheit egal ist, sondern weil die ständig verlangte Wachsamkeit sie erschöpft.
Wenn Sicherheitsmaßnahmen als übertrieben oder lästig empfunden werden, suchen Nutzer nach Abkürzungen. Dann werden Passwörter für verschiedene Geräte genutzt, Überprüfungen übersprungen oder Eingabeaufforderungen automatisch genehmigt. Natürlich haben die Angreifer schnell gelernt, ein solches Verhalten als Waffe zu nutzen. Durch das sogenannte „Prompt Bombing“ werden die Nutzer mit Anmeldeanfragen überflutet, bis sie so genervt sind, dass sie auf „Genehmigen“ klicken. Das funktioniert deshalb so gut, weil MFA-Müdigkeit unsere Abwehrkräfte immer mehr schwächt.
Die Ironie dabei ist, dass MFA ursprünglich vor „faulen“ Gewohnheiten bei der Passwortnutzung schützen sollte, nun aber selbst eine Form von „digitaler Faulheit“ fördert. Die Unternehmen stehen dadurch vor dem Dilemma, eigentlich strengere Kontrollen durchsetzen zu müssen, aber ihre Mitarbeitenden nicht noch mehr belasten wollen. Die entsprechende Lösung sind nicht mehr, sondern intelligentere Warnmeldungen.
Wenn Schutzmaßnahmen zur Schwäche werden
Die Stärken der MFA sind von dem Vertrauen zwischen dem Nutzer und dem System abhängig. Aber wenn dieses Vertrauen abnimmt, können selbst die besten Protokolle nicht mehr viel bewirken. Die Angreifer nutzen den psychologischen Druck durch ständige Warnmeldungen aus und verleiten Nutzer dazu, Zugriffe zu genehmigen, die sie nicht genehmigen sollten. Der Uber-Hack im Jahr 2022 ist dafür ein unrühmliches Beispiel: Angreifer bombardierten Mitarbeitende mit MFA-Anfragen, bis sie nachgaben. Und nur einen Fingertipp später war das ganze Netzwerk kompromittiert.
Das ist leider kein Einzelfall. Der Anstieg der MFA durch Push-Benachrichtigungen hat für ein falsches Gefühl von Bequemlichkeit gesorgt, das oft das Sicherheitsgefühl überlagert. Müdigkeit durch zu viele Push-Benachrichtigungen führt zu einem konditionierten Verhalten, bei dem die Nutzer auf „Ja“ tippen, ohne noch irgendwelche Details zu lesen. Das ist eine menschliche Schwäche, die eine technologische Sicherheitsvorkehrung kaum verhindern kann. Und je problemloser die Authentifizierungsverfahren werden, desto unauffälliger werden die Gefahren.
Es ist so, dass Sicherheitsteams nicht einfach „härter trainieren“ können. Aufklärungskampagnen sind zwar hilfreich, beheben jedoch keine Fehler im System selbst. Wenn Sicherheit nur möglich ist, wenn die Nutzer ständig wachsam sind, ist das entsprechend Verfahren bereits gescheitert. Verhindern lässt sich das, indem die MFA intelligenter, kontextbezogen und weniger abhängig von ständigen Nutzereingaben gemacht wird.
Der Aufstieg der intelligenteren MFA: Kontext und Anpassung
Die nächste MFA-Generation braucht nicht noch mehr Faktoren, sondern einen besseren Kontext. Adaptive MFA nutzt beispielsweise Verhaltensanalysen und Geräteerkennung, um zu entscheiden, wann ein Benutzer zur Identifikation aufgefordert werden soll. Wenn Sie sich von Ihrem üblichen Laptop aus, in Ihrem Heimnetzwerk und zu Ihrer üblichen Zeit anmelden, sind keine zusätzlichen Maßnahmen erforderlich. Wenn Sie sich jedoch mit einem neuen Gerät oder in einem anderen Land verbinden wollen, sollte die MFA zum Einsatz kommen.
Die kontextbezogene Authentifizierung reduziert unnötige Eingabeaufforderungen und kontrolliert gleichzeitig risikoreiche Aktivitäten. Sie behandelt Sicherheitsaspekte wie einen Thermostat, der sich an Umweltveränderungen anpasst, anstatt immer auf Hochtouren zu laufen. Das Ergebnis? Weniger Unterbrechungen, mehr Vertrauen und weniger Müdigkeit.
Dieser Ansatz passt auch zur Zero-Trust-Architektur, die Nutzer kontinuierlich überprüft, anstatt direkt nach einer einzigen Anmeldung Vertrauen zu schenken. Eine solche Kombination reduziert den Bedarf an MFA-Abfragen und gewährleistet gleichzeitig eine strikte Überwachung. Es geht dabei nicht um die Abschaffung der MFA, da es weiterhin sinnvolle Anwendungsbereiche für sie gibt. Aber die Frage ist nicht, wann sie eingesetzt wird, sondern wie...
Warum die Benutzererfahrung wichtiger denn je ist
Wir betrachten Cybersicherheit selten unter dem Aspekt der Benutzererfahrung, aber genau das wird durch das Phänomen der MFA-Müdigkeit deutlich. Durch die Art der Schnittstelle zwischen Menschen und Sicherheitssystemen entscheidet sich, ob die Menschen sie angemessen nutzen oder gegen sie rebellieren. Jeder zusätzliche Schritt im Anmeldeprozess belastet die Aufmerksamkeit, und an einem modernen Arbeitsplatz, der voller Benachrichtigungen, E-Mails und Besprechungen ist, wiegt eine solche Belastung schwer.
Die besten MFA-Systeme geben den Benutzern das Gefühl, geschützt zu werden – nicht bestraft. Biometrie, Single Sign-On (SSO) und Passkeys sind Schritte zur Reduzierung des Stresses, ohne dabei die Sicherheit zu beeinträchtigen. Sie machen die Authentifizierung zu etwas Intuitivem statt zu etwas Aufdringlichem. Allerdings integrieren noch immer zu viele Unternehmen MFA nachträglich in ihre Altsysteme, wodurch die Nutzer weiterhin mit mehreren Tokens und Passwörtern jonglieren müssen.
Ein stärker auf den Menschen ausgerichteter Ansatz sieht auch die die Benutzerfreundlichkeit als Sicherheitsmerkmal. Er erkennt an, dass Menschen, und nicht Richtlinien, das schwächste Glied sind – und zugleich die stärkste Verteidigung. Nur wenn die MFA sich nahtlos in die Arbeitsabläufe integriert, tritt die Müdigkeit in den Hintergrund. Anderenfalls wird sie zu einer Hintertür für Angreifer.
Die Rolle von Schulungen und Kultur
Selbst die fortschrittlichsten Authentifizierungstools haben ohne eine starke Sicherheitskultur keinen Erfolg, insbesondere in Nischenbereichen wie dem Finanzwesen. Schulungen müssen über Compliance-Checklisten hinausgehen und sich auf bewusstes Verhalten konzentrieren. Die Mitarbeitenden müssen nicht nur verstehen, wie MFA funktioniert, sondern auch, wie Angreifer ihre Ermüdungserscheinungen ausnutzen könnten. Ein weiterer guter Ansatz ist die Erstellung einer Kompetenzmatrix dazu, welche Teammitglieder über die passenden Fähigkeiten für die jeweilige Situation verfügen (Phishing, Reaktion auf Katastrophen usw.).
Aber Schulungen allein reichen nicht. Eine gute Sicherheitskultur beginnt an der Spitze: Schauen Sie sich an, was Branchenführer wie Microsoft dazu sagen. Wenn die Unternehmensleitung gute Sicherheitspraktiken vorlebt und die IT-Richtlinien zugleich die Zeit und den Komfort der Benutzer berücksichtigen, folgen die Mitarbeitenden ihrem Beispiel. Das Ziel ist nicht, die Menschen paranoid zu machen, sondern ihnen ein besseres Bewusstsein zu verschaffen.
Unternehmen, die Cybersicherheit als gemeinsame Verantwortung und nicht als Belastung für die IT betrachten, verzeichnen ein stärkeres Engagement und weniger Sicherheitsverstöße. MFA-Müdigkeit ist also letztlich ein Symptom für Diskrepanzen zwischen Technologien und Nutzern, Sicherheit und Arbeitsabläufen. Zum Schließen dieser Lücke ist ebenso viel Einfühlungsvermögen wie Fachwissen nötig.
Fazit
MFA-Müdigkeit ist kein Problem der Nutzer, sondern ein Designfehler. Unsere aktuellen Systeme sind in einem Zeitalter ständiger Ablenkungen auf die ständige Aufmerksamkeit der Menschen angewiesen. Aber je mehr Warnmeldungen wir sehen, desto weniger nehmen wir ihre Bedeutung wahr. Die Angreifer wissen das natürlich. Also nutzen sie unsere Müdigkeit aus, und ebenso unsere Vertrautheit mit den Verfahren sowie unseren Wunsch, etwas einfach „hinter uns zu bringen“.
Der Weg in die Zukunft führt über intelligentere, adaptive Systeme, die Schutz und Benutzerfreundlichkeit vereinen. MFA sollte keine lästige Pflicht sein, sondern greifbar gemachtes Vertrauen. Die hässliche Wahrheit ist, dass Müdigkeit real ist. Aber sie kann auch vermieden werden. Die Zukunft der Authentifizierung gehört denen, die Sicherheitsverfahren mühelos statt anstrengend machen.
Hinweis: Dieser Blog Artikel wurde von einem Gastautor geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die des Autors bzw. der Autorin und geben nicht unbedingt die von GlobalSign wieder.
