Phishing-resistente Authentifizierung
Phishing-resistente Authentifizierung bezeichnet Anmelde-Verfahren, bei denen kein abfischbares Geheimnis übertragen wird und die Anmeldung fest an die echte Adresse des Dienstes gebunden ist – eine gefälschte Seite läuft damit ins Leere.
Phishing-resistente Authentifizierung ist die Eigenschaft, die moderne Verfahren wie Passkeys von klassischen Passwort- und Code-Logins abhebt. Sie beschreibt kein einzelnes Produkt, sondern ein Schutzniveau.
In einfachen Worten
Klassische Anmeldungen verlangen ein Geheimnis, das man eintippt: ein Passwort, oft ergänzt um einen Einmal-Code. Genau das ist die Angriffsfläche – ein eingetipptes Geheimnis lässt sich auf einer nachgebauten Seite abgreifen und sofort weiterverwenden. Phishing-resistente Verfahren entfernen diese Angriffsfläche auf zwei Wegen. Erstens wird kein Geheimnis mehr übertragen: Das Gerät beweist den Besitz eines privaten Schlüssels, ohne ihn preiszugeben. Zweitens merkt sich der Zugang bei der Einrichtung, zu welcher echten Web-Adresse er gehört, und gibt eine Unterschrift nur heraus, wenn die aufrufende Adresse exakt passt. Eine gefälschte Seite liegt unter einer anderen Adresse – und bekommt deshalb nichts. Der Schutz entsteht nicht durch Aufmerksamkeit der Nutzer, sondern weil die Technik den Fehler gar nicht mehr zulässt. Umgesetzt wird das heute vor allem über Passkeys und Hardware-Schlüssel auf Basis von WebAuthn und FIDO2.
Wozu brauche ich das?
Phishing-resistente Verfahren gehören zuerst an die Zugänge, auf die es Angreifer am häufigsten abgesehen haben: das E-Mail-Postfach, Verwaltungsoberflächen, Buchhaltung und den Zugang zur eigenen Website. Sie ergänzen Maßnahmen, die in die Gegenrichtung wirken – etwa die Absicherung der eigenen Absenderadresse, damit niemand im Namen des Betriebs schreibt. Selbst wenn jemand auf eine täuschend echte Mail hereinfällt und dem Link folgt, gibt es am Ziel nichts zu holen, weil die Authentifizierung an die echte Adresse gebunden ist.
Beispiel aus der Praxis
Eine Mitarbeiterin klickt auf einen Link in einer gut gemachten Mail und landet auf einer Seite, die dem Anmeldefenster ihres Postfachs exakt gleicht. Mit einem klassischen Passwort plus Code wäre der Zugang in diesem Moment verloren. Mit einem phishing-resistenten Verfahren passiert nichts: Das Gerät erkennt, dass die Adresse nicht zur hinterlegten passt, und verweigert die Unterschrift. Es gibt kein Eingabefeld, in das sich ein verwertbares Geheimnis tippen ließe – der Angriff endet ergebnislos.
Wirtschaftlicher Nutzen
Phishing ist der häufigste Einstieg in fremde Konten, und Schulung allein beseitigt das Risiko nicht, weil ein einziger unaufmerksamer Moment genügt. Phishing-resistente Authentifizierung verlagert den Schutz von der Wachsamkeit des Menschen in die Technik – und macht damit eine ganze Angriffsklasse wirkungslos statt nur seltener. Der wirtschaftliche Wert liegt im vermiedenen Schaden aus Konto-Übernahmen: abgeflossene Daten, missbräuchliche Zahlungen, gekaperte Außenkommunikation. Flankiert von einem Passwort-Manager für die Übergangszeit entsteht ein Schutzniveau, das mit reinen Passwort-Verfahren nicht erreichbar ist.
Typische Fehler
- Phishing-Schutz allein in Schulungen gesucht – ein unaufmerksamer Moment genügt, die technische Lücke bleibt.
- Klassisches Zwei-Faktor mit Code für vollständig phishing-resistent gehalten – Codes lassen sich in Echtzeit weiterleiten.
- Das phishing-resistente Verfahren nur an Nebenzugänge gehängt, das Postfach aber bei Passwort und Code belassen.
- Keinen Ersatz-Schlüssel hinterlegt – fällt das einzige Gerät aus, ist der phishing-resistente Zugang gesperrt.
- Den Schutz als reines Technikthema behandelt, ohne Verantwortung und Notfall-Weg im Betrieb zu klären.
Worauf achten?
- Phishing-resistente Verfahren über Passkeys oder Hardware-Schlüssel zuerst am E-Mail-Postfach einrichten.
- Code-basiertes Zwei-Faktor nicht als gleichwertig behandeln – es ist besser als nichts, aber nicht phishing-resistent.
- Für jeden phishing-resistenten Zugang einen zweiten Schlüssel oder Wiederherstellungs-Weg vorhalten.
- Die Absicherung der eigenen Absenderadresse als Gegenstück mitdenken, damit Betrüger nicht im Firmennamen schreiben.
- Verantwortung für die Zugangs-Ordnung benennen, statt sie stillschweigend vorauszusetzen.
Häufig gestellte Fragen
Was bedeutet phishing-resistent?
Ein Anmelde-Verfahren ist phishing-resistent, wenn kein abfischbares Geheimnis übertragen wird und die Anmeldung an die echte Adresse des Dienstes gebunden ist. Eine gefälschte Seite bekommt nichts Verwertbares, weil sie unter einer anderen Adresse liegt.
Ist Zwei-Faktor mit Code phishing-resistent?
Nur eingeschränkt. Wird der Code auf einer gefälschten Seite eingegeben, kann ein Angreifer ihn in Echtzeit weiterreichen. Vollständig phishing-resistent sind Verfahren ohne eintippbares Geheimnis, etwa Passkeys oder Hardware-Schlüssel.
Wie wird phishing-resistente Authentifizierung umgesetzt?
Heute vor allem über Passkeys und Hardware-Schlüssel auf Basis der Standards WebAuthn und FIDO2. Sie binden die Anmeldung kryptografisch an die echte Adresse und übertragen kein Geheimnis.