Inhalt

Zwei-Faktor-Authentifizierung (2FA) galt lange als Goldstandard für den Schutz von Benutzerkonten. Doch die Bedrohungslandschaft entwickelt sich weiter – und selbst 2FA ist nicht mehr unangreifbar.

Angreifer haben neue Methoden entwickelt, um diese zusätzliche Sicherheitsebene zu umgehen. Für IT-Administratoren und Security-Verantwortliche stellt sich daher die Frage: Wie lässt sich das Risiko minimieren, ohne die Benutzerfreundlichkeit massiv einzuschränken?

Eine praktikable Antwort lautet: Geo-Fencing.

Warum 2FA nicht mehr ausreicht

2FA basiert auf dem Prinzip, dass ein Angreifer nicht gleichzeitig über das Passwort und den zweiten Faktor (z. B. SMS-Code, App-Token) verfügt.

Doch in der Praxis zeigt sich: Diese Annahme ist nicht mehr uneingeschränkt gültig.

Gründe dafür sind:

  • Phishing-Angriffe in Echtzeit: Angreifer nutzen gefälschte Login-Seiten und leiten eingegebene Codes sofort weiter. 
  • SIM-Swapping: Kriminelle übernehmen Mobilfunknummern und fangen SMS-Codes ab.
  • Malware auf Endgeräten: Schadsoftware kann Authentifizierungs-Apps kompromittieren. 


Das Ergebnis: Selbst mit aktivierter 2FA sind Konten nicht automatisch sicher.

Neue Angriffsmethoden im Detail

Die jüngsten Cyberangriffe zeigen, wie raffiniert die Methoden geworden sind: 

  • Man-in-the-Middle-Angriffe: Tools wie Evilginx2 ermöglichen es, Login-Daten und Session-Cookies abzugreifen. 

  • Prompt-Bombing: Nutzer werden mit Authentifizierungsanfragen überflutet, bis sie aus Frust zustimmen. 

  • Session Hijacking: Angreifer stehlen aktive Sitzungen, ohne den zweiten Faktor erneut eingeben zu müssen. 


Diese Techniken machen deutlich: 2FA ist ein wichtiges, aber kein ausreichendes Sicherheitsmerkmal mehr.
 

Weitere Beispiele für Prozessautomatisierungen

Geo-Fencing bedeutet, den Zugriff auf Systeme anhand geografischer Kriterien zu beschränken. Konkret: Nur Anmeldungen aus definierten Regionen oder Ländern werden zugelassen.

Für Unternehmen mit klaren Standortstrukturen ist das ein effektiver zusätzlicher Schutz.

Beispiel: Wenn ein Unternehmen ausschließlich in der DACH-Region tätig ist, können Logins aus anderen Ländern blockiert oder zumindest mit zusätzlichen Prüfungen versehen werden.

Die Umsetzung erfolgt typischerweise auf zwei Ebenen:

  • Tenant-Ebene: Richtlinien in der Cloud-Umgebung (z. B. Microsoft 365 Conditional Access). 
  • Firewall-Ebene: Netzwerkseitige Sperrung unerwünschter IP-Bereiche. 

Vorteile und Grenzen von Geo-Fencing

Vorteile:

  • Reduziert das Risiko von Angriffen aus fremden Regionen. 

  • Einfach umsetzbar mit bestehenden Tools. 

  • Geringer zusätzlicher Aufwand für Administratoren. 

Grenzen:

  • Kein vollständiger Schutz: Angreifer können VPNs oder Proxys nutzen, um ihre Herkunft zu verschleiern. 

  • Für global agierende Unternehmen komplexer in der Umsetzung. 

Geo-Fencing ist also kein Allheilmittel, aber eine sinnvolle Ergänzung zu 2FA. 

Compliance-Aspekte und Best Practices 

Viele Compliance-Frameworks (z. B. ISO 27001, NIS2) fordern risikobasierte Zugriffskontrollen. Geo-Fencing kann hier ein wichtiger Baustein sein. Best Practices: 

  • Richtlinien definieren: Klare Regeln, aus welchen Regionen Zugriffe erlaubt sind. 

  • Monitoring aktivieren: Verdächtige Anmeldeversuche protokollieren und auswerten. 

  • Kombination mit weiteren Maßnahmen: MFA, Conditional Access, Device Compliance. 

Fazit: Kein Aktionismus, aber auch kein Abwarten

2FA bleibt wichtig, ist aber nicht ausreichend. Geo-Fencing bietet eine zusätzliche Schutzschicht, die mit wenig Aufwand implementiert werden kann.

Wer seine Sicherheitsstrategie zukunftssicher gestalten will, sollte jetzt handeln.

SAC Tipp

Prüfen Sie Ihre aktuellen Richtlinien und aktivieren Sie Geo-Fencing sowohl auf Tenant– als auch auf Firewall-Ebene.

So erhöhen Sie die Sicherheit signifikant – ohne die Benutzerfreundlichkeit zu opfern.

Der Artikel ist von

Tim Lehwald

Tim Lehwald arbeitet im Business Service und unterstützt den Vertrieb bei SAC durch die Koordination und Abwicklung von Kundenanfragen und internen Prozessen.

FAQ

Ist 2FA noch sinnvoll, wenn sie umgangen werden kann?

Ja. 2FA bleibt ein wichtiger Basisschutz und erschwert viele Angriffe. Sie ist aber nicht mehr ausreichend, weil Methoden wie Echtzeit-Phishing, SIM-Swapping oder Session Hijacking den zweiten Faktor aushebeln können. Sinnvoll ist deshalb, 2FA beizubehalten und um zusätzliche Maßnahmen wie Geo-Fencing und Conditional Access zu ergänzen.

Was ist Geo-Fencing und wie schützt es vor Angriffen?

Geo-Fencing beschränkt den Zugriff auf Systeme nach geografischen Kriterien: Nur Anmeldungen aus festgelegten Regionen oder Ländern werden zugelassen. Ist ein Unternehmen etwa nur in der DACH-Region tätig, lassen sich Logins aus anderen Ländern blockieren oder zusätzlich prüfen. Umgesetzt wird das auf Tenant-Ebene (z. B. Microsoft 365 Conditional Access) und auf Firewall-Ebene.

Reicht Geo-Fencing allein als Schutz aus?

Nein. Geo-Fencing senkt das Risiko von Angriffen aus fremden Regionen und ist mit wenig Aufwand umsetzbar. Angreifer können ihre Herkunft aber über VPNs oder Proxys verschleiern, und für global tätige Unternehmen ist die Umsetzung komplexer. Am besten wirkt Geo-Fencing in Kombination mit 2FA, Conditional Access, Device Compliance und Monitoring.

IT-Wissen für den Mittelstand

Mehr von dem Autor und SAC