PhishingCyberkriminalitätSchwachstellen

OAuth-Phishing: Die neue Angriffsmethode, die MFA umgeht

Von CyberDeutsch Redaktion
OAuth-Phishing: Die neue Angriffsmethode, die MFA umgeht
Zusammenfassung

Im Februar 2026 kam die Phishing-as-a-Service-Plattform EvilTokens online und kompromittierte innerhalb von fünf Wochen mehr als 340 Microsoft-365-Organisationen in fünf Ländern. Die Attacke nutzt eine bislang unterschätzte Schwachstelle: Sie umgeht Multi-Faktor-Authentifizierung durch Consent-Phishing, indem Nutzer auf gefälschten Anmeldescreens zur OAuth-Genehmigung verleitet werden. Anders als klassische Passwort-Phishing benötigt der Angreifer weder Zugangsdaten noch triggert er MFA-Warnungen – das System arbeitet wie beabsichtigt. Der Nutzer authentifiziert sich legitim, absolviert die zweite Faktor-Prüfung und klickt auf „Akzeptieren", woraufhin der Angreifer einen langlebigen Refresh-Token mit Zugriff auf Mail, Drive, Kalender und Kontakte erhält. Diese Token sind monatelang gültig und bleiben aktiv, selbst wenn das Passwort zurückgesetzt wird. Das Problem verschärft sich durch die exponentiell gestiegene Anzahl von OAuth-Konsenten im Arbeitsalltag – von KI-Agenten bis Browser-Erweiterungen. Deutsche Unternehmen und Behörden sind besonders gefährdet, da sie häufig cloudbasierte Produktivitätstools nutzen und oft noch unzureichende Überwachung der OAuth-Genehmigungen betreiben.

Die Funktionsweise von EvilTokens offenbart eine Sicherheitslücke in der Architektur moderner Authentifizierungssysteme. Nutzer erhalten eine Nachricht mit der Aufforderung, einen Code auf microsoft.com/devicelogin einzugeben und ihre MFA-Challenge zu bestätigen. Nachdem sie diesen Schritt abschließen, glauben sie, einen routinemäßigen Anmeldeprozess verifiziert zu haben. In Wahrheit haben sie dem Angreifer einen Refresh Token übermittelt – einen langlebigen Zugangsschlüssel, der Zugriff auf Mailbox, OneDrive, Kalender und Kontakte gewährt und mehrere Wochen oder sogar Monate gültig bleibt.

Das Kernproblem liegt in der sogenannten Consent-Phishing oder OAuth-Grant-Missbrauch. Während MFA-Systeme klassisches Passwort-Phishing effektiv blockieren, wurde die OAuth-Ebene in den meisten Sicherheitsarchitekturen nicht mit gleicher Rigorosität behandelt. Der Angreifer benötigt weder das Passwort noch löst er einen MFA-Prompt aus – und produziert keinen verdächtigen Anmeldeeintrag, der ein Eindringen signalisieren würde.

Die Situation wird durch ein Phänomen verschärft, das Security-Experten als “Consent Fatigue” bezeichnen: Wissensarbeiter sehen täglich eine Flut von Genehmigungsbildschirmen – von KI-Assistenten, Produktivitätstools, Browser-Erweiterungen und Cloud-Integrationen. Diese Normalisierung führt dazu, dass Genehmigungen quasi automatisch akzeptiert werden, ähnlich wie bei Cookie-Bannern.

Ein besonders kritisches Risiko entsteht durch “Toxic Combinations” – schädliche Kombinationen von Berechtigungen. Ein Finanzangestellter genehmigt einer KI-Anwendung Zugriff auf Kalender und Mailbox, einer anderen auf die gemeinsamen Laufwerke und einer dritten auf die CRM-Datenbank. Zusammen bilden diese Genehmigungen eine Sicherheitslücke, die keine einzelne Anwendung bewusst autorisiert hat. Diese Brücken sind in keinem einzelnen Audit-Log sichtbar.

Eine neue Klasse von Sicherheitsplattformen adressiert dieses Problem durch kontinuierliche Überwachung der Identity-Governance. Sie kartieren jede OAuth-Genehmigung und KI-Agent-Integration in Echtzeit, überwachen Verhaltensabweichungen und können Tokens auf Systemebene widerrufen – ohne dass der Nutzer sein Passwort ändern muss. Für deutsche Organisationen wird es zunehmend kritisch, solche Lösungen zu implementieren, um DSGVO-Compliance und Datenschutz zu gewährleisten.

Ähnliche Artikel