Viele Unternehmen glauben, sie hätten das Identitätsrisiko mit SMS-Codes, Push-Benachrichtigungen oder Einmalcodes gelöst. Das ist besser als nichts, absolut. Aber es ist nicht dasselbe wie ein phishingresistenter Identitätsschutz. Die CISA macht klar, dass bestimmte Formen der Multifaktor-Authentifizierung durch Phishing, Push-Bombing und SIM-Swapping umgangen werden können und empfiehlt daher phishingresistente MFA als stärkeren Schutz (CISA, 2023).
Das ist wichtig – nicht als technische Spielerei, sondern als Geschäftsfrage.
NIST definiert Phishingresistenz so, dass das Authentifizierungsprotokoll verhindert, dass Geheimnisse oder gültige Authentifizierungsantworten an einen falschen Prüfer übermittelt werden, ohne dass der Schutz auf der Aufmerksamkeit des Nutzers beruht (NIST, 2025). Einfach gesagt: Der Mensch soll die Täuschung nicht allein erkennen müssen. Das System macht den Betrug technisch nutzlos. Hier kommen FIDO2, WebAuthn und Passkeys ins Spiel. Nicht weil sie modern klingen, sondern weil sie das Spielfeld verändern. Richtig implementiert wird die Anmeldung an die richtige Dienstleistung und Domäne gebunden. Eine gefälschte Anmeldeseite kann dann weder Passwort noch Code einfach stehlen und weiterverwenden.
Das bedeutet nicht, dass alle Risiken verschwinden. Das tun sie nie. Wiederherstellungsprozesse, Geräteverwaltung, Support, Lebenszyklus und Berechtigungssteuerung müssen weiterhin funktionieren. Aber die Mindestanforderung steigt. Und gerade die Mindestanforderung macht oft den Unterschied zwischen Vorfall und Krise aus.
Der Verizon Data Breach Investigations Report 2025 zeigt, dass gestohlene oder missbräuchlich genutzte Anmeldeinformationen weiterhin ein zentraler Einstiegspunkt für Angriffe sind, während die Ausnutzung von Schwachstellen stark zugenommen hat (Verizon, 2025). ENISA beschreibt gleichzeitig eine europäische Bedrohungslandschaft, in der öffentliche Einrichtungen, digitale Dienste, Transport, Finanzen und Industrie unter einem komplexeren Angriffsdruck leiden (ENISA, 2025).
In Schweden beobachten wir denselben Trend. Der Sicherheitsdienst beschreibt eine verschlechterte Sicherheitslage, bei der Cyberangriffe, Datenverletzungen und Einflussnahmen Teil eines breiteren Bedrohungsszenarios sind (Sicherheitsdienst, 2025). Die MSB zeigt zudem, dass viele Vorfälle weiterhin mit unbekannter Ursache gemeldet werden, gefolgt von Fehlern oder Systemausfällen (MSB, 2026). Das Letztere ist fast das Unangenehmste. Viele wissen, dass etwas passiert ist, aber nicht warum, wie oder wie weit es ging. Das ist nicht nur ein technisches Problem, sondern ein Führungsproblem.
Deshalb ist meine Aussage nicht, dass phishingresistente Identität die Silberkugel ist. Silberkugeln gehören in Märchen und schlechte Verkaufpräsentationen. Meine Aussage ist, dass phishingresistente Identitäts- und Zugangskontrolle eine der am meisten unterschätzten Grundfähigkeiten ist, die wir haben. Aber sie muss mit drei Dingen verbunden sein: Expositionskontrolle, Privilegienverwaltung und getesteter Wiederherstellung. Identität bestimmt oft, wie der Angreifer eindringt. Exposition bestimmt, wohin der Angreifer gehen kann. Privilegien bestimmen, wie viel Schaden der Angreifer anrichten kann. Wiederherstellung bestimmt, ob das Unternehmen überlebt.
Hier müssen wir aufhören, Cybersicherheit so zu betrachten, als würde sie nur im Serverraum stattfinden.
Eine Finanzabteilung denkt nicht an WebAuthn. Sie denkt an Rechnungen, Gehälter, Lieferanten und Liquidität. Eine Kommune denkt an Schule, Pflege, Wasser und kommunale Dienstleistungen. Ein Industrieunternehmen denkt an Produktion, Liefergenauigkeit und Kundenanforderungen. Stellen Sie also die richtigen Fragen: Was passiert, wenn Sie sich nicht anmelden können? Was passiert, wenn die falsche Person Administratorrechte erhält? Was passiert, wenn das Lohnsystem, das Ticketing oder die produktionsnahe IT ausfällt? Was passiert, wenn ein Lieferant mit Fernzugriff angegriffen wird? NIS2 und das schwedische Cybersicherheitsgesetz drehen sich praktisch genau darum: Risikomanagement, Vorfallmanagement, Kontinuität und Kontrolle über Abhängigkeiten. Nicht Ordner-VM. Nicht noch eine Checkliste, die die Revision überlebt, aber in der Praxis stirbt. Sicherheit muss in Verträge, Ausschreibungen, Cloud-Dienste, Systemintegrationen und externe Zugriffe einfließen.
Das NIST Cybersecurity Framework 2.0 beschreibt Cybersicherheit als Kreislauf von Governance, Identifikation, Schutz, Erkennung, Reaktion und Wiederherstellung (NIST, 2024). Das ist klug, weil es das Thema für die Führung verständlich macht. Was ist wichtig? Wie schützen wir es? Wie entdecken wir Abweichungen? Wie handeln wir? Wie kommen wir zurück?
Man kann einfach anfangen.
· Beginnen Sie mit den Konten, deren Übernahme den größten Schaden anrichten würde: Administratoren, Führungskräfte, Finanzen, Personal, IT, Fernzugriff, externe Berater und Systeme mit sensiblen Daten. Führen Sie dort phishingresistente Authentifizierung ein.
· Schließen Sie dann Ausnahmen. Alte Protokolle, geteilte Konten, externe Konten ohne Besitzer, Dienstkonten mit zu weitreichenden Rechten und Cloud-Apps außerhalb der zentralen Identität sind keine "Sonderfälle". Sie sind Hintertüren.
· Binden Sie den Zugriff an den Kontext. Wer meldet sich an? Von welchem Gerät? Von welchem Ort? Zu welcher Anwendung? Mit welcher Rolle? Bei welchem Risikoniveau? Bedingter Zugriff ist keine Magie, sondern gesunder Menschenverstand mit Governance.
· Machen Sie Privilegien zu frischen Waren. Administratorrechte sollten kein Dauerkomfort sein. Sie müssen zeitlich begrenzt, bedarfsorientiert und protokolliert sein.
· Und testen Sie die Wiederherstellung. Backup ist keine Datei, sondern eine Fähigkeit. Sie ist erst vorhanden, wenn sie geschützt, getrennt, wiederherstellbar und geübt ist.
Das sind nicht nur Kosten. Richtig umgesetzt sind es Investitionen in Lieferfähigkeit, Vertrauen, Marke und Wettbewerbsfähigkeit. Das Unternehmen, das echte Sicherheitsfähigkeit in Ausschreibungen, Prüfungen und Lieferantengesprächen nachweisen kann, wird bevorzugt ausgewählt. Punkt.
Wir müssen auch aufhören, den Menschen zum Sündenbock zu machen. Ein gestresster Mitarbeiter, der eine glaubwürdige E-Mail oder eine gefälschte Anmeldeseite sieht, ist nicht dumm. Er ist menschlich. Moderne Sicherheit muss daher so gestaltet sein, dass es einfach ist, richtig zu handeln, und schwer, Fehler zu machen. Awareness ist wichtig. Aber Awareness darf niemals die Entschuldigung für schwache Technik und schlechte Governance sein. Die bessere Frage ist nicht, warum der Nutzer geklickt hat, sondern warum ein menschlicher Fehler so gefährlich sein konnte.
Mein Fazit ist einfach: Der am meisten unterschätzte Schutzmechanismus ist nicht Firewall, EDR oder Awareness. Es ist standardmäßige phishingresistente Identitäts- und Zugangskontrolle, kombiniert mit Expositionskontrolle, strenger Privilegienverwaltung und getesteter Wiederherstellungsfähigkeit. Phishingresistente Identität ist die Zahnbürste der Cyberhygiene. Expositionskontrolle ist die Zahnseide. Die Wiederherstellungsübung ist der Zahnarztbesuch, den niemand gern macht, aber den alle bereuen, verschoben zu haben.
Und genau wie bei richtiger Hygiene geht es nicht darum, jemanden zu beeindrucken, sondern Probleme zu vermeiden, die schmerzen, Geld kosten und lange Reparaturen erfordern.
Quellen
CISA (2023).Implementing Phishing-Resistant MFA. Cybersecurity and Infrastructure Security Agency.
ENISA (2025).ENISA Threat Landscape 2025. Agentur der Europäischen Union für Cybersicherheit.
MSB (2026).Entwicklung der Cyberangriffe 2023–2025: Jahresbericht. Schwedische Behörde für Zivilschutz.
NIST (2024).Cybersecurity Framework 2.0. Nationales Institut für Standards und Technologie.
NIST (2025).Special Publication 800-63B: Digital Identity Guidelines, Authentication and Authenticator Management. Nationales Institut für Standards und Technologie.
Sicherheitsdienst (2025).Lagebild 2024–2025. Sicherheitsdienst.
Verizon (2025).2025 Data Breach Investigations Report. Verizon Business.
