Wir kennen das alle: Ein gutes Gefühl, wenn MFA aktiviert ist. „Da kann ja nichts passieren", denken viele IT-Teams. Leider ein Irrglaube.
Denn genau hier setzen moderne Angriffe an, und holen dich dort ab, wo du dich sicher fühlst.
Was heute nicht mehr reicht
Die Bedrohungslandschaft hat sich fundamental verändert. Drei Angriffsvektoren zeigen, warum MFA allein nicht genügt:
- MFA-Fatigue-Attacken: Angreifer lösen massenhaft MFA-Prompts aus, bis ein Nutzer „aus Versehen" auf „Zulassen" tippt
- Session Hijacking: Tokens werden aus Browsern oder Speicher extrahiert. Die MFA wurde bereits erfolgreich durchlaufen
- Phishing 2.0: Tools wie Evilginx umgehen klassische Login-Seiten komplett und fangen Tokens in Echtzeit ab
Warum Entra ID Protection ein Must-Have ist
Entra ID Protection erkennt Bedrohungen, die über den Login-Moment hinausgehen:
- Anomales Anmeldeverhalten: ungewohnter Standort, unbekanntes Device, ungewöhnliche Uhrzeit
- Geleakte Credentials: automatisch aus dem Dark Web abgeglichen
- Riskante Session-Tokens: verdächtige Nutzungsmuster nach dem Login
Und es reagiert automatisch:
- Erzwingt Reauthentifizierung bei verdächtigen Sessions
- Blockiert riskante Logins sofort
- Erzwingt MFA-Neuanmeldung oder Passwortwechsel
So startest du
- Lizenz-Check: Entra ID P2 (oder M365 E5) ist Voraussetzung
- User Risk Policy aktivieren, z. B. bei hohem Risiko → Login blockieren
- Sign-In Risk Policy aktivieren, z. B. bei mittlerem Risiko → MFA erzwingen
- Monitor & Tune: Azure Security Alerts einrichten und regelmäßig prüfen
Fazit
MFA ist der Anfang, aber nicht das Ziel. Mit Entra ID Protection hebst du deine Sicherheit auf das nächste Level und bist den Angreifern endlich wieder einen Schritt voraus.