Warum Phishing-resistent nicht phishing-sicher bedeutet

Präzise Sprache ist in der Sicherheit entscheidend. Das Verständnis von phishing-resistenter im Vergleich zu phishing-sicherer Authentifizierung prägt, wie Organisationen Risiken bewerten, Ressourcen zuweisen und mit Stakeholdern kommunizieren. Diese Unterscheidung beeinflusst alles – von Anbieterangaben über Berichte an den Vorstand bis hin zu Nutzererwartungen.

Genauigkeit bei Aussagen schafft Glaubwürdigkeit bei technischen und leitenden Zielgruppen. Phishing-resistente Authentifizierungsmethoden verringern die Wahrscheinlichkeit eines erfolgreichen Diebstahls von Zugangsdaten erheblich, beseitigen jedoch nicht jeden Angriffsvektor. 

In diesem Kontext ist eine Authentifizierungsmethode die Technik oder Technologie, mit der die Identität eines Benutzers überprüft wird, z. B. Passkeys oder Hardware-Token, und die darauf ausgelegt ist, Phishing-Angriffen zu widerstehen. Die Behauptung, ein Authentifizierungsmechanismus sei gegen Phishing „sicher“, suggeriert absoluten Schutz – eine Garantie, die keine Technologie leisten kann. Angreifer passen sich an und finden Wege, selbst robuste Kontrollen durch Social Engineering, Sitzungs-Hijacking oder die Kompromittierung von Geräten zu umgehen.

Kontrollen von Ergebnissen zu unterscheiden, verdeutlicht, was Sicherheitsinvestitionen tatsächlich leisten. Starke Authentifizierung ist notwendig, reicht aber für umfassenden Schutz nicht aus. Standard-MFA wie OTP-Codes oder Push-Benachrichtigungen ist zwar weit verbreitet, bleibt jedoch anfällig für Phishing und Adversary-in-the-Middle-Angriffe – im Gegensatz zu phishing-resistenten Methoden wie Passkeys, die verhindern, dass Angreifer über gefälschte Anmeldeseiten Zugangsdaten stehlen. 

Sie adressieren jedoch keine Bedrohungen, die nach erfolgreicher Authentifizierung auftreten oder die Authentifizierung vollständig umgehen. Organisationen, die starke Kontrollen mit vollständiger Sicherheit gleichsetzen, schaffen falsches Vertrauen und lassen Lücken unbehandelt.

Die Kommunikation auf Führungsebene erfordert eine sorgfältige Einordnung bei Berichten an Vorstände und Führungskräfte. Sicherheitsteams können durch die Einführung phishing-resistenter Authentifizierung eine messbare Risikoreduzierung nachweisen, ohne absolute Garantien abzugeben. Die Sprache sollte Fortschritte widerspiegeln, zum Beispiel: „Wir haben Credential-Phishing als initialen Zugriffsvektor für 87 % unserer Nutzerbasis eliminiert.“ Das vermittelt Wirkung, ohne zu viel zu versprechen. Dieser Ansatz erhält Vertrauen und erkennt zugleich an, dass Sicherheit ein kontinuierlicher Aufwand gegen sich weiterentwickelnde Bedrohungen bleibt.

Die Definition von phishing-resistent konzentriert sich auf Authentifizierungsmethoden, die Zugangsdaten kryptografisch an bestimmte Origins binden und sie dadurch auf gefälschten Domains unbrauchbar machen. Wenn ein Benutzer versucht, sich zu authentifizieren, prüft der Browser oder Authenticator die Origin der anfragenden Website anhand der registrierten Zugangsdaten. Stimmen die Origins nicht überein – und auf einer Phishing-Website würden sie das nicht –, schlägt die Authentifizierung stillschweigend fehl. 

Diese origin-gebundene Kryptografie verhindert Phishing-Kits und Relay-Angriffe, die darauf angewiesen sind, Zugangsdaten abzufangen und erneut abzuspielen. Diese phishing-resistenten Zugangsdaten unterscheiden sich grundlegend von herkömmlichen Passwörtern, da sie nicht extrahiert und auf betrügerischen Websites wiederverwendet werden können. Public-Key-Kryptografie bildet die Grundlage dieser Mechanismen und ermöglicht die sichere Generierung und Verifizierung kryptografischer Schlüsselpaare für die Authentifizierung.

Hardwaregestützte Authenticatoren bieten durch phishing-resistente Sicherheitsschlüssel eine zusätzliche Vertrauensebene. Diese physischen Geräte speichern kryptografisches Material in manipulationsresistenter Hardware und verhindern so eine Extraktion, selbst wenn das verbundene Gerät kompromittiert ist. Der private Schlüssel wird sicher auf dem Gerät des Benutzers gespeichert und niemals an den Server übertragen, sodass sensible Authentifizierungsdaten geschützt bleiben. Diese Geräte speichern kryptografische Schlüssel sicher und schützen sie vor Diebstahl oder Manipulation. 

Das Gerät des Benutzers spielt eine entscheidende Rolle beim Schutz von Authentifizierungsdaten. Sicherheitsschlüssel erfordern eine Anwesenheitsprüfung des Benutzers – typischerweise einen Tastendruck oder eine biometrische Prüfung – und stellen so sicher, dass die Authentifizierung mit menschlicher Absicht erfolgt und nicht durch Malware-Automatisierung. FIDO-Sicherheitsschlüssel gelten als Goldstandard für phishing-resistente Authentifizierung und sind kryptografisch gegen Remote-Angriffe geschützt.

Passwortlose und resistente Authentifizierungsmethoden sind keine identischen Kategorien, auch wenn sie sich häufig überschneiden. Beim Vergleich von phishing-resistenten und passwortlosen Ansätzen ist es wichtig zu verstehen, dass Lösungen für passwortlose Authentifizierung ersetzen Passwörter durch Alternativen wie Biometrie, Magic Links oder Einmalcodes.2

Allerdings widerstehen nicht alle passwortlosen Methoden Phishing-Angriffen. SMS-Codes und Push-Benachrichtigungen sind passwortlos, bleiben aber anfällig für Abfangen und Social Engineering. Echte Phishing-Resistenz erfordert eine kryptografische Bindung an Origins – eine Funktion, die in FIDO2-Passkeys und FIDO-Sicherheitsschlüsseln vorhanden ist, bei vielen passwortlosen Implementierungen jedoch fehlt.

Phishingresistente Authentifizierung schließt den häufigsten Vektor für Erstzugriffe, doch mehrere Angriffstypen bestehen auch nach der Implementierung sicherer Authentifizierungsmethoden für Anwendungen fort.

Bösartige Anwendungen können OAuth-Berechtigungen anfordern, die die primäre Authentifizierung vollständig umgehen. Ein Angreifer erstellt eine scheinbar legitime Drittanbieter-Anwendung und verleitet Benutzer dazu, ihr Zugriff auf Unternehmensressourcen zu gewähren. Nach der Erteilung funktionieren diese Berechtigungen unabhängig von der Authentifizierungsmethode des Benutzers. Die Anwendung erhält Token, die Datenzugriff ermöglichen, bis sie ausdrücklich widerrufen werden. Organisationen müssen erteilte Zustimmungen überwachen und Richtlinien implementieren, die einschränken, welche Anwendungen Zugriff auf sensible Scopes anfordern dürfen. Diese Phishing-Angriffe zielen auf die Autorisierungsebene statt auf die Authentifizierung ab.

Bei der Authentifizierung werden Sitzungs-Token erzeugt, die in Browser-Cookies oder im lokalen Speicher gespeichert werden. Angreifer, die diese Token kompromittieren, erhalten Zugriff, ohne sich authentifizieren zu müssen. Malware, Cross-Site-Scripting-Schwachstellen oder Netzwerkabfangriffe können Sitzungs-Token nach erfolgreicher Authentifizierung kompromittieren. Phishingresistente Methoden schützen den Moment der Authentifizierung, sichern aber nicht zwangsläufig die anschließende Sitzung. Kurzlebige Token, sichere Cookie-Attribute und Anforderungen zur erneuten Authentifizierung bei sensiblen Aktionen mindern dieses Risiko, beseitigen es jedoch nicht.

Malware auf einem Endpunkt kann Benutzeraktivitäten unabhängig von der Stärke der Authentifizierung beobachten und manipulieren. Keylogger, Bildschirmaufzeichnungstools und UI-Overlay-Angriffe wirken, nachdem die Authentifizierung abgeschlossen ist. Ein Angreifer mit Kontrolle über das Gerät kann Transaktionen genehmigen, Daten exfiltrieren oder auf andere Systeme übergreifen, während der legitime Benutzer weiterhin authentifiziert ist. Endpunktschutz, Anwendungs-Sandboxing und Privileged Access Management bieten zusätzliche Verteidigungstiefe über Authentifizierungskontrollen hinaus. Selbst FIDO-Sicherheitsschlüssel können nicht vor Bedrohungen schützen, die nach erfolgreicher Authentifizierung auf kompromittierten Geräten auftreten.

Sprachanrufe, Chatnachrichten und die Nachahmung des Helpdesks zielen auf Menschen statt auf technische Kontrollen ab. Ein Angreifer könnte einen Benutzer dazu bringen, Aktionen auszuführen, die Zugriff gewähren, etwa Remote-Administrationstools zu installieren, für Passwortzurücksetzungen vorgesehene Einmalcodes weiterzugeben oder betrügerische Transaktionen zu genehmigen. Zu verstehen, wie Sie einen Phishing-Angriff erkennen geht über das Erkennen gefälschter Anmeldeseiten hinaus und umfasst das Erkennen von Manipulation über alle Kommunikationskanäle hinweg. Passkeys verhindern den Diebstahl von Zugangsdaten, verhindern aber nicht, dass ein Angreifer jemanden dazu bringt, im authentifizierten Zustand schädliche Aktionen auszuführen. Diese raffinierten Phishing-Angriffe nutzen menschliche Psychologie statt technischer Schwachstellen aus.

Umfassender Schutz erfordert mehrere Kontrollen, die Bedrohungen in unterschiedlichen Phasen adressieren und mit phishingresistenter Authentifizierung zusammenwirken.

Bedingter Zugriff und Risikosignale bewerten Kontext über Authentifizierungsdaten hinaus. Prüfungen des Gerätesicherheitsstatus stellen sicher, dass Endpunkte Sicherheits-Baselines erfüllen, bevor Zugriff gewährt wird. Standortanalysen markieren Authentifizierungsversuche aus ungewöhnlichen geografischen Regionen. Verhaltenssignale erkennen Anomalien in Zugriffsmustern, etwa schnell aufeinanderfolgende Anmeldevorgänge von weit auseinanderliegenden Standorten, die auf kompromittierte Zugangsdaten oder Sitzungen hindeuten.

Sitzungsschutz begrenzt die Gefährdung durch gestohlene Token mithilfe zeitbasierter und risikobasierter Kontrollen. Kurzlebige Token laufen schnell ab und erzwingen eine erneute Authentifizierung, die die fortbestehende Legitimität überprüft. Risikoadaptive erneute Authentifizierung fordert Benutzer heraus, wenn sie auf sensible Ressourcen zugreifen oder wenn Verhaltenssignale auf eine mögliche Kompromittierung hindeuten. Globale Abmeldefunktionen ermöglichen die sofortige Beendigung von Sitzungen auf allen Geräten, wenn verdächtige Aktivitäten auftreten. Außerdem versprechen neue Standards wie Token Binding und gerätegebundene Sitzungen, phishingresistente Eigenschaften auf die Sitzungen selbst auszuweiten, nicht nur auf die anfängliche Authentifizierung.

Erkennungs- und Reaktionsfunktionen decken Bedrohungen auf, die präventive Kontrollen umgehen. Warnungen bei anomalen Einwilligungserteilungen identifizieren potenziellen OAuth-Missbrauch, bevor erheblicher Schaden entsteht. Die Erkennung von Sitzungsanomalien kennzeichnet Szenarien mit unmöglichen Reisen oder ungewöhnliche Muster beim Datenzugriff. Die Integration von Authentifizierungssystemen, Plattformen zur Endpunkterkennung sowie Tools für Sicherheitsinformationen und Ereignisverwaltung bietet korrelierte Transparenz über die gesamte Angriffsfläche hinweg. Diese Systeme helfen dabei, Phishing-Angriffe zu erkennen, die auf Schwachstellen nach der Authentifizierung abzielen.

Schulungen zum Sicherheitsbewusstsein müssen über die klassische Erkennung von Phishing hinausgehen. Benutzer müssen Risiken nach der Authentifizierung verstehen, darunter Consent-Phishing, Sitzungsdiebstahl und Social-Engineering-Taktiken, die auf authentifizierte Benutzer abzielen. Schulungen sollten ausdrücklich Szenarien behandeln, in denen starke Authentifizierung erfolgreich ist. Dennoch bestehen Bedrohungen weiterhin, daher sollte die Aufklärung über Phishing-Angriffe sowohl den Diebstahl von Anmeldedaten als auch die Ausnutzung nach der Authentifizierung abdecken, damit Benutzer erkennen können, wann eine authentifizierte Sitzung kompromittiert sein könnte oder wann sie dazu manipuliert werden, übermäßige Berechtigungen zu gewähren.

Die phishingresistenten Authentifizierungsfunktionen von Bitwarden sind direkt in Workflows zur Passwortverwaltung integriert. Die native Unterstützung für Passkeys und FIDO-Sicherheitsschlüssel ermöglicht Unternehmen und Enterprise-Organisationen, für Phishing anfällige Passwörter abzuschaffen und gleichzeitig den Komfort zu erhalten, den Benutzer erwarten.

Bitwarden kann dazu beitragen, Microsoft-Office-Konten, einschließlich solcher in Microsoft Office 365, vor Phishing-Angriffen zu schützen, indem Zugangsdaten gesichert und starke Authentifizierung durchgesetzt werden. Domaingebundenes automatisches Ausfüllen verhindert die Eingabe von Anmeldedaten auf gefälschten Websites, indem Anmeldefelder auf Domains, die nicht mit gespeicherten Anmeldedaten übereinstimmen, nicht ausgefüllt werden. Dieser Ansatz ist darauf ausgelegt, Schutz vor Phishing-Angriffen zu bieten, die auf Anmeldedaten abzielen.

Die Verbesserung der Kontosicherheit gegen Phishing erstreckt sich auf die Durchsetzung von Organisationsrichtlinien über die Administratorkonsole. Sicherheitsteams können Zwei-Faktor-Authentifizierung vorschreiben, Authentifizierungsmethoden auf phishingresistente Optionen beschränken und Authentifizierungsereignisse in der gesamten Organisation überwachen.

Die Unterstützung für FIDO-Sicherheitsschlüssel und andere Hardware-Sicherheitsschlüssel stellt sicher, dass Organisationen den stärksten verfügbaren Schutz implementieren können. Diese Geräte speichern kryptografische Schlüssel sicher, schützen sie vor Diebstahl oder Manipulation und ermöglichen eine sichere Zugriffskontrolle.

Bitwarden Access Intelligence bietet kontinuierliche Überwachung auf kompromittierte Anmeldedaten und benachrichtigt Administratoren, wenn Passwörter der Organisation in Datensätzen aus Sicherheitsverletzungen auftauchen, bevor Angreifer sie ausnutzen können.

Integrierte Sicherheitsberichte identifizieren schwache, wiederverwendete oder kompromittierte Passwörter im gesamten Tresor und ermöglichen so eine proaktive Behebung, bevor Phishing-Angriffe stattfinden. Ereignisprotokolle bieten Prüfpfade für Authentifizierungsaktivitäten und unterstützen Erkennungs- und Reaktionsworkflows, die anomales Verhalten identifizieren.

Bitwarden verbessert die Phishing-Resistenz von Organisationen außerdem durch den Einsatz fortschrittlicher Authentifizierungsmethoden, die vor raffinierten Phishing-Bedrohungen schützen. Zusammen schaffen diese Funktionen eine Grundlage für phishingresistente Authentifizierung, die sowohl die Schutzwirkung starker Kontrollen als auch die zusätzlichen Ebenen berücksichtigt, die für umfassende Sicherheit erforderlich sind.