Zurück zur Startseite

MFA-Wiederherstellung: Wenn der zweite Faktor den Schutz untergräbt

Veröffentlicht am 6. April 2026 · Lesezeit ca. 6 Minuten

Dr. Alexander Krause
Dr. Alexander Krause IT-Sicherheitsberater & Forscher am CISPA Helmholtz-Zentrum

Multi-Faktor-Authentifizierung gilt als einer der wirksamsten Schutzmechanismen gegen Account-Übernahmen. Doch was passiert, wenn der zweite Faktor verloren geht — das Smartphone kaputt, die Authenticator-App gelöscht, der Hardware-Token verschwunden? Eine Studie an der ACM CCS 2023 hat genau das untersucht: Wie gut funktioniert die Wiederherstellung von MFA-geschützten Konten in der Praxis? Die Ergebnisse sind ernüchternd.

Zwei Phasen, ein Ziel

Das Forschungsteam ging die Frage in zwei Schritten an.

In der ersten Phase wurden die Hilfe- und Supportseiten von 1.303 Websites analysiert, die MFA anbieten. Es ging darum herauszufinden, ob und wie diese Dienste den Wiederherstellungsprozess dokumentieren. Die zweite Phase war hands-on: Auf 71 Websites wurden echte Accounts angelegt, MFA aktiviert und dann der Verlust des zweiten Faktors simuliert. Kann man seinen Account zurückbekommen? Unter welchen Bedingungen?

Dokumentation? Fehlanzeige bei jedem Vierten

24,64 % der untersuchten Websites dokumentierten den MFA-Wiederherstellungsprozess schlicht gar nicht. Kein Hilfe-Artikel, keine FAQ, nichts.

Wo Dokumentation existierte, verteilte sie sich oft auf drei oder mehr verschiedene Hilfeseiten — ohne klare Struktur, teils mit widersprüchlichen Angaben. Die Studie identifizierte insgesamt 17 unterschiedliche Wiederherstellungsverfahren. Manche Websites kombinierten mehrere davon, andere boten nur einen einzigen Weg an.

Besonders problematisch: In keinem einzigen Fall stimmte die Dokumentation vollständig mit dem tatsächlichen Wiederherstellungsprozess überein. Nicht ein einziges Mal. Das bedeutet für Nutzer, dass sie sich auf die verfügbaren Anleitungen nicht verlassen können.

Was bedeutet eine Erfolgsquote von 52 % wirklich?

Von den 71 getesteten Accounts konnten 37 wiederhergestellt werden. Auf den ersten Blick klingt eine Quote von 52,11 % nach einem brauchbaren Ergebnis. Auf den zweiten Blick wird es heikel.

Denn in den meisten Fällen reichte allein der Zugang zum hinterlegten E-Mail-Konto aus, um den Account wiederherzustellen. Die gesamte MFA-Sicherheit reduzierte sich damit de facto auf die Sicherheit des E-Mail-Postfachs. Das ist ein fundamentales Problem: MFA soll ja gerade verhindern, dass ein einzelner Faktor — wie ein kompromittiertes Passwort oder ein gehacktes E-Mail-Konto — für den Zugriff genügt.

Wer also das E-Mail-Konto eines Nutzers kontrolliert, kann bei vielen Diensten die MFA-Absicherung schlicht umgehen.

Warum versagen Backup-Codes in fast der Hälfte der Fälle?

Backup-Codes gelten als Standard-Fallback bei MFA. Die Studie konfigurierte sie auf 39 der 71 Websites. Das Ergebnis: Nur bei 56 % dieser Accounts führten die Codes tatsächlich zur Wiederherstellung.

Warum? Manche Websites verlangten zusätzliche Verifikationsschritte, die nirgends dokumentiert waren. Andere akzeptierten die eigenen Backup-Codes schlicht nicht. Wieder andere hatten die Codes still und leise invalidiert, ohne die Nutzer darüber zu informieren.

Das wirft eine grundsätzliche Frage auf: Wenn Backup-Codes bei fast der Hälfte der Fälle versagen, sind sie dann überhaupt ein verlässliches Sicherheitsnetz?

Warnungen — oder das Fehlen derselben

Nur 22,54 % der Websites warnten bei der MFA-Einrichtung vor dem Risiko eines Account-Verlusts bei Verlust des zweiten Faktors. Drei von vier Diensten ließen Nutzer MFA aktivieren, ohne darauf hinzuweisen, was bei einem Geräteverlust passiert.

Einige Websites gingen einen merkwürdigen Weg. Sie warnten explizit, dass bei Verlust des zweiten Faktors kein Zugang mehr möglich sei — und ermöglichten dann trotzdem die Wiederherstellung. Das klingt nach einem positiven Ausgang, schafft aber Verwirrung und untergräbt das Vertrauen in die Sicherheitskommunikation. Wenn ein Dienst behauptet, dass kein Recovery möglich ist, versuchen technisch versierte Nutzer es möglicherweise gar nicht erst — obwohl es funktioniert hätte.

Warum gibt es keinen einheitlichen MFA-Recovery-Standard?

Die Studie fand 17 verschiedene Wiederherstellungsverfahren. E-Mail-basierte Recovery-Links, SMS-Codes, Backup-Codes, Support-Tickets mit Identitätsnachweis, Wartefristen, alternative Zweitfaktoren, telefonischer Support — die Liste ist lang und uneinheitlich.

Das Fehlen eines einheitlichen Standards bedeutet für Nutzer: Jeder Dienst kocht sein eigenes Süppchen. Wer MFA auf vielen Plattformen nutzt, muss sich mit einem Flickenteppich aus Prozessen auseinandersetzen. Für IT-Administratoren in Unternehmen ist das ein Albtraum — denn sie müssen diese Prozesse kennen und im Ernstfall schnell handeln können.

Was lässt sich daraus ableiten?

Die Autoren formulieren vier Empfehlungskategorien:

  • Vorbereiten (Prepare): Recovery-Informationen sollten bereits während der MFA-Einrichtung gesammelt und sicher hinterlegt werden. Backup-Codes generieren, alternative Zweitfaktoren registrieren, Recovery-E-Mail-Adressen prüfen.
  • Kommunizieren (Communicate): Anbieter müssen den Wiederherstellungsprozess klar, vollständig und an einer Stelle dokumentieren. Das Verteilen auf mehrere Hilfeseiten mit abweichenden Informationen ist kontraproduktiv.
  • Warten (Maintain): MFA-Konfigurationen und Wiederherstellungsoptionen brauchen regelmäßige Überprüfung. Backup-Codes ablaufen lassen, ohne zu benachrichtigen, darf nicht passieren.
  • Wiederherstellen (Recover): Websites sollten ihre dokumentierten Verfahren tatsächlich einhalten. Und Nutzer sollten beim Testen der Recovery-Optionen nicht erst auf den Ernstfall warten.

Relevanz für Unternehmen

Für Unternehmen, die MFA für ihre Mitarbeiter oder Kunden einsetzen, liefert diese Studie klare Handlungsfelder. Wer MFA ausrollt, muss auch den Recovery-Prozess mitdenken. Das beginnt bei der Dokumentation und endet bei regelmäßigen Tests der eigenen Verfahren.

Ein besonders kritischer Punkt: Wenn der Recovery-Prozess die MFA-Sicherheit auf E-Mail-Sicherheit reduziert, wird das gesamte Sicherheitskonzept ausgehöhlt. Unternehmen sollten prüfen, ob ihre eingesetzten Dienste und die eigenen Systeme robuste Recovery-Verfahren implementieren — Verfahren, die nicht den gesamten Sicherheitsgewinn der MFA wieder zunichte machen.

Die vollständige Studie ist frei zugänglich: Amft et al., „'We have Disabled MFA for You': An Evaluation of the Security and Usability of Multi-Factor Authentication Recovery Deployments“, ACM CCS 2023.

Dieser Artikel ist eine KI-generierte Zusammenfassung der wissenschaftlichen Publikation „’We have Disabled MFA for You‘: An Evaluation of the Security and Usability of Multi-Factor Authentication Recovery Deployments“ (ACM CCS 2023). Die Inhalte wurden redaktionell geprüft.

Sie möchten die MFA-Implementierung in Ihrem Unternehmen überprüfen? Kontaktieren Sie mich für eine Sicherheitsanalyse Ihrer Authentifizierungsprozesse.