DEEN
Support Beratung anfragen
← Zurück zu News

Phishing in der Praxis: Was MFA wirklich verhindert

IT-Sicherheit 14. Mai 2026 ≈ 5 Min. Lesezeit

Multi-Faktor-Authentifizierung (MFA) gilt seit Jahren als „Pflicht" — und das zu Recht. In einer Arztpraxis, in der Mitarbeitende täglich mit E-Mails, Patientenportalen, KIM-Postfächern und Cloud-Diensten arbeiten, ist sie eine der wirkungsvollsten Maßnahmen gegen Kontomissbrauch. Was viele aber nicht wissen: MFA ist nicht gleich MFA. Je nachdem, welche Methode Sie einsetzen, schützen Sie sich vor unterschiedlich vielen Angriffsmustern — und nicht jede der heute üblichen Varianten hält modernen Phishing-Angriffen stand.

Was Phishing 2026 anders macht

Klassisches Phishing — die täuschend echte Mail mit Link auf eine Fake-Loginseite — funktioniert weiterhin. Neu ist die Echtzeit-Variante: Angreifer:innen schalten einen sogenannten Reverse Proxy zwischen Opfer und echte Anmeldeseite. Das Opfer gibt Benutzername, Passwort und sogar den Einmalcode aus der Authenticator-App ein — und der Angreifer reicht alles in Echtzeit an die echte Seite weiter. Am Ende sitzt der Angreifer in der angemeldeten Sitzung. Software-basierte Faktoren wie TAN per SMS oder TOTP-Codes (Google Authenticator, Microsoft Authenticator) halten dieser Angriffsform nicht stand. Das BSI bewertet sie deshalb explizit als nicht resistent gegen Echtzeit-Phishing.

Was wirklich schützt: phishing-resistente Verfahren

Der Schlüssel ist eine MFA, bei der der zweite Faktor nicht „weiterreichbar" ist — das heißt: gebunden an die echte Domain, die Sie ansteuern wollen. Drei Verfahren erfüllen das laut BSI:

  • FIDO2-Token (z. B. YubiKey, Titan Security Key): ein kleiner USB- oder NFC-Stick. Der Token signiert eine Anmeldung nur, wenn die aufgerufene Domain mit der Domain übereinstimmt, für die er ursprünglich registriert wurde. Eine Phishing-Domain bekommt schlicht keine gültige Antwort.
  • Passkeys: das gleiche kryptografische Prinzip, nur ohne separates Stück Hardware — der private Schlüssel liegt verschlüsselt im Apple-Schlüsselbund, in Google Password Manager oder einer passwort-Manager-App und wird per Touch ID / Face ID / Windows Hello entsperrt. Aus Anwendersicht: bequemer als ein Passwort, aus Sicherheitssicht: gleich gut wie ein FIDO2-Token.
  • Chip-TAN- und Personalausweis-basierte Verfahren: für Online-Banking und einzelne behördliche Dienste relevant — im Praxisalltag eher Spezialfall.

Passkeys sind aus Sicht des BSI eine sehr sichere Authentisierungslösung, da sie Passwörter vollständig ersetzen und damit durch die Nutzung kryptografischer Schlüsselpaare Phishing-Angriffe verhindern.

Was das für die Praxis bedeutet

Für eine durchschnittliche Praxis mit fünf bis fünfzehn Anmeldekonten (M365, KIM, Praxissoftware, Banking, Versicherer-Portale, Vertretungsplaner …) reicht in der Regel folgender Ansatz:

  1. Inventarisieren. Welche Konten gibt es? Wer hat Zugriff? Welche MFA ist aktuell eingerichtet? Eine simple Tabelle reicht.
  2. Priorisieren. M365-Postfach, KIM-Zugang, Banking, Praxissoftware-Admin — das sind die kritischen Konten. Hier zuerst auf Passkeys bzw. FIDO2-Token umstellen.
  3. Backup-Methode festlegen. Was passiert, wenn ein Mitarbeitender den Token verloren hat? Ohne diesen Plan blockieren Sie sich selbst aus.
  4. SMS-TAN abschalten. Wo möglich, ersetzen — SMS-Codes sind anfällig für SIM-Swapping und werden vom BSI als deutlich schwächer eingestuft.

Und das berühmte „komfortabel"?

Hier gibt es eine angenehme Wahrheit: Passkeys sind im Alltag schneller als die Kombination Passwort + Authenticator-Code. Ein Blick auf den Fingerabdrucksensor oder die Gesichtserkennung — fertig. Mitarbeitende, die anfangs skeptisch sind, sind nach zwei Wochen die ersten Befürworter:innen. Wenn Sie ohnehin mit Macs und iPhones arbeiten, ist die technische Hürde besonders niedrig: Apple-Geräte unterstützen Passkeys durchgängig im Schlüsselbund.

Was wir empfehlen

Wenn Sie heute „nur" einen TOTP-Code aus einer Authenticator-App nutzen, haben Sie schon einen sinnvollen Schritt gemacht — bitte verstehen Sie diesen Artikel nicht als „alles war umsonst". Aber bei den geschäftskritischen Konten (insbesondere alles, was Patientendaten oder Geldströme berührt) lohnt der Aufwand, auf phishing-resistente Verfahren umzusteigen. Wir helfen gern bei der Auswahl der passenden Hardware-Token, beim Rollout im Team und bei der Dokumentation für Ihr Sicherheits- und Datenschutzkonzept.

Quellen

  1. BSI: Bewertung von 2FA-Verfahren — Technische Betrachtung. bsi.bund.de /DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/Bewertung-2FA-Verfahren/
  2. BSI: #nis2know — Multi-Faktor-Authentisierung, kontinuierliche Authentifizierung und gesicherte Kommunikation. bsi.bund.de /DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/NIS-2-Infopakete/NIS-2-MFA/
  3. BSI: Technische Richtlinie TR-03107 – Anforderungen an Authentisierungslösungen. bsi.bund.de · PDF
  4. BSI-Presse, 30.01.2026: Wirksamer Schutz von Benutzerkonten — Der Ändere-dein-Passwort-Tag braucht ein Update. bsi.bund.de

Weitere Artikel

IT-Sicherheit · 04. März 2026

Backup ist nicht gleich Backup: Das 3-2-1-Prinzip in der Praxis

Weiterlesen Datenschutz · 22. März 2026

§203 StGB und IT-Dienstleister

Weiterlesen tomedo® · 28. April 2026

KIM 1.5: Was sich für Ihre Praxis ändert

Weiterlesen

Sicheres MFA für Ihre Praxis — ohne Reibung im Alltag.

Wir prüfen Ihre Konten, beraten zur passenden Methode und begleiten den Rollout.

Beratung anfragen