Security Briefing

Session Hijacking: Warum MFA allein nicht schützt

Multi-Faktor-Authentifizierung gilt als Standard. Zu Recht – sie verhindert die Mehrheit der passwortbasierten Angriffe. Sie verhindert jedoch nicht Session Hijacking: Angreifer klinken sich nach dem erfolgreichen Login in eine bereits authentifizierte Sitzung ein. Der Nutzer hat sich korrekt angemeldet, der Angreifer übernimmt danach – ohne Passwort, ohne MFA-Code. Besonders kritisch: Microsoft 365, Azure und ähnliche Cloud-Dienste sind anfällig, wenn Sicherheitskonfigurationen nicht explizit auf diesen Angriffsvektor ausgerichtet sind. Für Entscheider bedeutet das: MFA-Einführung ist notwendig, aber nicht ausreichend. Die Frage ist, ob Ihre Sicherheitskonfiguration auch nach dem Login greift.

Veröffentlicht 13.04.2026
Aktualisiert 14.04.2026
Autor Mike Pluemer

Executive Summary

Multi-Faktor-Authentifizierung (MFA) ist ein wirksamer Standard gegen passwortbasierte Angriffe. Sie adressiert jedoch nur den Anmeldeprozess – nicht die Sicherheit der Sitzung danach.

Beim sogenannten Session Hijacking übernehmen Angreifer eine bereits authentifizierte Sitzung. Der Nutzer hat sich korrekt angemeldet, MFA wurde erfolgreich durchgeführt – und dennoch erhält der Angreifer Zugriff. Für Unternehmen entsteht damit ein Risiko, das durch klassische Authentifizierungsmechanismen nicht abgedeckt ist.

Einordnung der Bedrohung

Session Hijacking ist kein theoretisches Szenario, sondern ein zunehmend genutzter Angriffsansatz:

  • Angreifer stehlen Session-Tokens über Phishing, Malware oder kompromittierte Endgeräte
  • Die Authentifizierung wird umgangen, da die Sitzung bereits als vertrauenswürdig gilt
  • Sicherheitsmechanismen greifen häufig nicht mehr, da sie primär auf den Login ausgerichtet sind

Besonders relevant ist dieser Angriffsvektor in Cloud-Umgebungen mit persistenten Sitzungen und Single Sign-on.

Relevanz für die Geschäftsleitung

Die zentrale Implikation ist strategisch:

Die Einführung von MFA reduziert Risiken – eliminiert sie aber nicht.

Für die Geschäftsleitung bedeutet das:

  • Sicherheitskonzepte müssen über den Login hinaus gedacht werden
  • Risiken entstehen zunehmend nach erfolgreicher Authentifizierung
  • Klassische Kennzahlen zur Sicherheitsreife (z. B. MFA-Quote) greifen zu kurz

Damit verschiebt sich der Fokus von Zugangskontrolle hin zu kontinuierlicher Sitzungs- und Zugriffskontrolle.

Kritische Angriffsflächen

Besonders anfällig sind moderne Cloud-Umgebungen:

  • Microsoft 365 und Azure mit persistenten Sitzungen
  • Anwendungen mit Single Sign-on (SSO)
  • Umgebungen ohne konsequente Session-Überwachung und -Validierung

Wenn Sicherheitskonfigurationen nicht gezielt auf diesen Angriffsvektor ausgelegt sind, bleiben diese Systeme trotz MFA angreifbar.

Typische Fehlannahmen

  • MFA wird als ausreichender Schutz betrachtet
  • Authentifizierung wird mit Sicherheit gleichgesetzt
  • Sitzungen werden als technisch stabil, aber nicht als sicherheitskritisch gesehen

Diese Annahmen führen dazu, dass relevante Risiken systematisch unterschätzt werden.

Was jetzt entscheidend ist

Unternehmen sollten ihre Sicherheitsstrategie gezielt erweitern:

  • Absicherung von Sitzungen, nicht nur von Logins
  • Einsatz von kontextbasierter Zugriffskontrolle (z. B. Gerät, Standort, Verhalten)
  • Verkürzung und Kontrolle von Session-Laufzeiten
  • Fähigkeit zur Erkennung und Unterbrechung kompromittierter Sitzungen
  • Stärkere Integration von Endpoint-, Identitäts- und Zugriffssignalen

Ziel ist eine Sicherheitsarchitektur, die auch nach erfolgreicher Anmeldung wirksam bleibt.

Implikation für Entscheider

Session Hijacking zeigt eine strukturelle Schwäche vieler Sicherheitsarchitekturen:
Der Fokus liegt auf dem Zugang – nicht auf der Nutzung.

Für Entscheider ergibt sich daraus eine klare Fragestellung:

Greift Ihre Sicherheitsstrategie auch dann, wenn sich ein Angreifer bereits innerhalb einer gültigen Sitzung befindet?

Die Antwort darauf entscheidet maßgeblich über die tatsächliche Resilienz gegenüber modernen Angriffen.

Kontext

Relevanz im eigenen Umfeld einordnen

Die dargestellten Entwicklungen lassen sich je nach Organisation unterschiedlich bewerten und priorisieren. Für eine strukturierte Einordnung im eigenen Kontext stehen wir zur Verfügung.

Gespräch anfragen