logo ntadmins

MFA-Müdigkeit und Prompt Bombing: Wenn Sicherheit nach hinten losgeht

28. Oktober 2025
hacker Pixa NT PeteLinforth
Quelle: Pete Linforth, Pixabay

Die Multi-Faktor-Authentifizierung, kurz MFA, schützt Konten gut vor Angriffen. Zusätzlich zum Passwort braucht ein Benutzer noch etwas anderes. Das ist zum Beispiel ein Code auf dem Handy oder der eigene Fingerabdruck. So wird der Datenklau viel schwieriger. Aber Kriminelle im Internet lernen schnell dazu und finden neue Wege. Eine dieser Gefahren ist die MFA-Müdigkeit. Sie entsteht durch Angriffe, die man als „Prompt Bombing“ bezeichnet.

Beim „Prompt Bombing“ nutzen Cyber-Kriminelle aus, dass sich Benutzer durch die ständigen Anfragen gestört fühlen und verschaffen sich so Zugang zu deren Konten. Daher sollten Systembetreuer wissen, wie solche Angriffe funktionieren und warum es immer mehr davon gibt. Dabei lautet die Aufgabe, dass Unternehmen ihren Schutz verbessern, ohne die Benutzer zu stören.

Prompt Bombing ist eine einfache, aber sehr erfolgreiche Methode. Die Angreifer kennen dabei den Benutzernamen und das Passwort des Opfers. Dann versuchen sie, sich immer und immer wieder anzumelden. Das erzeugt viele Push-Nachrichten oder Anfragen zur Bestätigung auf dem Handy des Benutzers. Diese fühlen sich mindestens gestört, reagieren genervt oder verwirrt und wollen die vielen Nachrichten stoppen. Deshalb genehmigen sie die Anfrage schlussendlich doch.

Auf das Konto von Prompt Bombing gehen bereits einige große Sicherheitsvorfälle. Das zeigt: Angreifer sind mit Beharrlichkeit und psychologischen Tricks genauso erfolgreich wie mit komplizierten Techniken.

  • Meldungs-Fatigue: Nach Dutzenden von eingehenden Meldungen denken Benutzer vielleicht an einen Fehler. Sie genehmigen dann eine Anfrage, ohne groß darüber nachzudenken.
  • Social Engineering: Hier geben sich die Angreifer als IT-Mitarbeiter aus und fordern die Benutzer auf, die Anmeldung zu bestätigen.
  • Timing: Angreifer senden Anfragen bevorzugt spät in der Nacht oder während stressiger Arbeitsperioden. Das erhöht die Chance, dass jemand versehentlich zustimmt.

Prompt Bombing erweist sich in der Praxis als eine kostengünstige Methode, die schnell funktioniert und die problemlos viele Nutzer erreicht. Deshalb nutzen Angreifer sie gerne, um in Firmennetzwerke einzudringen. MFA-Müdigkeit entsteht aus einem Konflikt zwischen Sicherheit und Benutzerfreundlichkeit. Zu viele Anfragen frustrieren die Nutzer. Zu wenige schaffen Sicherheitslücken.

Häufige Schwachstellen sind:

  • Push-basierte MFA: Anfragen, die man mit nur einem Klick bestätigt, sind bequem, lassen sich aber auch besonders leicht ausnutzen.
  • Fehlender Kontext: Viele Anfragen zeigen keine Einzelheiten wie etwa einen Ort oder die Art des betreffenden Geräts. Benutzer wissen also nicht, wer oder was die Anfrage stellt.
  • Mangelnde Schulung: Mitarbeiter erkennen unerwartete MFA-Anfragen oft nicht oder nehmen Verdachtsfälle nicht ernst. Das wiederrum führt dazu, dass diese Fälle nicht gemeldet werden.

Wenn Benutzer die Sicherheitsvorkehrungen als lästig empfinden, suchen sie nach Abkürzungen. Genau darauf verlassen sich die Angreifer.

Firmen sollten deshalb ihre Multi-Faktor-Authentifizierung mit einigen praktischen Schritten verbessern und gleichzeitig den Frust der Benutzer verringern. Dazu zählen die folgenden Punkte:

Mehr als Push-Bestätigungen: Push-Benachrichtigungen allein bergen Risiken. Sichere Wege sind der Zahlenabgleich (Nutzer geben einen Code vom Anmeldebildschirm in die App ein) oder die biometrische Prüfung, wie über einen Fingerabdruck oder die Gesichtserkennung. Diese Verfahren halten Angreifer davon ab, durch ständiges Ausprobieren ans Ziel zu kommen.

  • Kontextinformationen: Eingabeaufforderungen sollten Standort, Gerätetyp und Zeitpunkt des Anmeldeversuchs anzeigen. Wenn Benutzer sehen, dass eine Anfrage aus einer unbekannten Stadt oder von einem unbekannten Gerät stammt, ist es weitaus weniger wahrscheinlich, dass sie diese einfach genehmigen.
  • Die Anzahl der Anfragen zeitlich begrenzen: Systeme sollten die Zahl der MFA-Anmeldeversuche innerhalb eines festgelegten Zeitraums begrenzen. Mehrere schnell aufeinanderfolgende Eingabeaufforderungen sperren das Konto oder lösen eine Warnung aus.
  • Benutzer schulen: Jede Firma sollte ihre Mitarbeiter darin zu schulen, Angriffe zu erkennen, die speziell MFA-Fatigue ausnutzen. Benutzer sollten sich ihrerseits bewusst sein, dass unerwartete Eingabeaufforderungen auf einen möglichen Einbruch hindeuten und man sie sofort melden sollte. Kontinuierlich stattfindende Awareness Trainings machen Sicherheit zu einem gemeinsamen Verantwortungsbereich und nicht mehr nur zur alleinigen Aufgabe der IT.
  • Adaptive Authentifizierung: Die adaptive oder risikobasierte MFA passt die Sicherheitsanforderungen an die jeweilige Situation an. Eine Anmeldung von einem bekannten Gerät in einem vertrauenswürdigen Netzwerk braucht eventuell weniger Schritte. Anmeldeversuche von bislang unbekannten Orten oder zu ungewöhnlichen Zeiten werden zusätzlich überprüft. Dieses Gleichgewicht sorgt für starke Sicherheit ohne ständige Störungen.

Die Rolle von Zero Trust

Der Zero-Trust-Ansatz geht davon aus, dass kein Benutzer, kein Gerät und keine Anwendung von Natur aus vertrauenswürdig sind. Jede Zugriffsanfrage erfordert eine kontinuierliche Überprüfung.

Dabei prüft das System zum Beispiel den Zustand des Geräts, den Sicherheitsstatus und die Reputation des Netzwerks sowie das Verhalten des Benutzers. Innerhalb dieses Rahmens ist MFA eine wichtige Ebene, aber keine eigenständige Lösung. Integriert man MFA in ein Zero-Trust-Modell, verbessert das die Sicherheit insgesamt.

Dazu kommen eine Überwachung an den Endpoints, Zugriffskontrollen und weitere Analysen. So verlässt man sich nicht allein auf eine einzelne Sicherheitsmaßnahme.

Die MFA-Müdigkeit verweist auf einen wichtigen Punkt: Menschliches Verhalten ist ein zentraler Bestandteil von Cyber-Sicherheit. Angreifer beschränken sich längst nicht nur auf technische Schwachstellen. Sie machen sich auch den Frust und die Überlastung der Anwender zunutze. Das ist genauso wirkungsvoll wie früher schwache Passwörter.

Um weiterhin sicher zu bleiben, sollten Firmen ihre MFA modernisieren. Und zwar so, dass sie einerseits widerstandsfähiger wird, andererseits aber die Benutzer nicht verprellt. Weniger Anfragen, zusätzlicher Kontext und adaptive Methoden tragen dazu bei, Vertrauen und Compliance aufrechtzuerhalten.

Die Multi-Faktor-Authentifizierung bleibt einer der Eckpfeiler der Cyber-Sicherheit. Das bestätigt auch der soeben veröffentlichte „Microsoft Digital Defense Report 2025“. Nach Angaben der Wochenzeitschrift „Die Zeit“ lag Deutschland an vierter Stelle der von Cyber-Angriffen betroffenen Staaten. Mehr als 97 Prozent aller Identitätsangriffe sind groß angelegte Passwortangriffe. Hier spielt eine Phishing-resistente MFA ihre Stärke aus. Laut dem Bericht sei sie in der Lage solche Angriffe zu mehr als 99 Prozent zu blockieren, auch wenn den Angreifern Benutzername und Passwort bekannt seien.

Der Erfolg hängt aber von einer durchdachten Umsetzung der MFA ab. Verlässt man sich zu sehr auf Push-Nachrichten, öffnet das Tür und Tor für Fatigue-Angriffe, die das Vertrauen in ein System untergraben. Will man den Angreifern einen Schritt voraus sein, ohne die Benutzer zu stören, sollten Firmen auf intelligente Anfragen, kontextbezogene Daten, Benutzerschulungen und adaptive Kontrollen setzen. Ein Gleichgewicht zwischen Benutzerfreundlichkeit und robusten Sicherheitsmaßnahmen ist entscheidend, um Benutzer und ihre Daten zu schützen.

John Trest ist Chief Learning Officer bei der VIPRE Security Group.

VIPRE Security Group

Lesen Sie auch

Angriffskette GhostNetwork

YouTube-Geisternetzwerk: 3000 bösartige Videos mit Malware entfernt

security NT Pixa Elchinator

Cyber-Sicherheits-Trends 2026: KI und KRITIS im Fokus

cyber NT Pixa PeteLinforth

Cyber-Resilienz: Plattform-Endpoint-Schutz wird zur strategischen Weichenstellung