IT-Security · Social Engineering

Sie hacken nicht die MFA – sie rufen den Helpdesk an

🕑 Lesezeit: ca. 7 Minuten | Stand: Juni 2026

Viele Unternehmen haben viel Geld in Perimeter, Endpoint-Schutz und Multi-Faktor-Authentifizierung gesteckt – und fühlen sich dadurch sicher. Genau dieses Sicherheitsgefühl nutzen Angreifer aus. Denn sie greifen nicht die Technik an. Sie greifen die hilfsbereiteste Stelle im Unternehmen an: den Helpdesk.

„Wenn sich ein Reset social-engineeren lässt, wird MFA von der Barriere zur bloßen Bremsschwelle.“

Die Masche Schritt für Schritt

Gruppen wie „Scattered Spider“ tauchen aus gutem Grund immer wieder in behördlichen Warnungen auf. Ihr Vorgehen ist brutal praktisch und folgt fast immer demselben Muster:

Vorbereitung: Das Passwort stammt oft schon aus einem früheren Leak. Über Social Media und öffentliche Quellen sammeln die Angreifer PII – bis hin zu den letzten Ziffern der Sozialversicherungsnummer oder dem Geburtsdatum.

Der Anruf: Als gestresster Mitarbeiter – gern als C-Level – ruft der Angreifer den Helpdesk an: neues Handy, ausgesperrt, dringend. Der Tonfall erzeugt Druck und Hilfsbereitschaft.

Der Reset: Der Agent setzt Passwort und MFA zurück – und der Angreifer registriert ein eigenes Gerät als neuen zweiten Faktor.

Übernahme: Account-Takeover in der SSO-Umgebung, laterale Bewegung, Datenabfluss – häufig endet es in Ransomware oder Erpressung.

Ergänzt wird das durch „MFA-Bombing“ (Push-Benachrichtigungen im Sekundentakt, bis das Opfer entnervt bestätigt) und SIM-Swapping, um Einmalcodes abzufangen.

⚠ Der Preis eines Anrufs

Beim Angriff auf MGM Resorts 2023 überzeugte ein Angreifer den Helpdesk, die MFA eines Mitarbeiters zurückzusetzen. Mit diesem Zugang wurde Ransomware ausgerollt – der Vorfall kostete das Unternehmen über 100 Millionen US-Dollar. Auch mehrere britische Handelsketten wurden zuletzt über genau diesen Weg kompromittiert.

Warum gerade der Helpdesk?

Hilfsbereitschaft als Schwachstelle

Der Service-Desk ist darauf trainiert, schnell zu helfen. Genau diese Kultur lässt sich gegen das Unternehmen wenden.

Hohes Ticketaufkommen

Bei vielen Anfragen geht die eine bösartige im Lärm unter. Mehr Rauschen bedeutet weniger Aufmerksamkeit pro Fall.

Schwache Verifikation

Wo Identität nur über Name, Rolle und internes Vokabular geprüft wird, reicht gute Recherche zum Bestehen der „Prüfung“.

Ausgelagerter Support

Verteilte oder externe IT-Teams bedeuten uneinheitliche Schulung und inkonsistente Prüfprozesse – ein gefundenes Fressen.

So härten Sie Ihren Service-Desk

✓ Strenge Identitätsprüfung bei jedem Reset – verbindlich, nicht nach Bauchgefühl. Name und Rolle sind kein Nachweis.

✓ Out-of-Band-Verifikation über einen bekannten Zweitkanal (z. B. Rückruf auf die hinterlegte Nummer, Bestätigung durch den Vorgesetzten).

✓ Erkennungsregeln auf privilegierte Identitätsaktionen: neue Authenticator-Registrierung, Änderung der Recovery-Methode, Rollen-Eskalation.

✓ Druck als Warnsignal behandeln: Dringlichkeit und C-Level-Status dürfen die Prüfung nicht aushebeln, sondern müssen sie verschärfen.

✓ Phishing-resistente MFA (FIDO2) statt SMS-/Push-Codes, um MFA-Bombing und SIM-Swap die Grundlage zu entziehen.

✓ Least Privilege & Just-in-Time: Selbst ein übernommenes Konto darf nicht sofort Vollzugriff bedeuten.

✓ Helpdesk-Prozesse regelmäßig testen – mit simulierten Anrufen, nicht nur mit Phishing-Mails.

ℹ Besonders relevant für MSPs und IT-Dienstleister

Wer als Dienstleister den Support für viele Kunden bündelt, ist ein hochattraktives Ziel: Ein erfolgreich manipulierter Reset kann gleich mehrere Mandanten betreffen. Dokumentierte Verifikationsprozesse, getrennte Berechtigungen pro Kunde und lückenlose Audit-Trails sind hier nicht Komfort, sondern Pflicht.

Fazit

MFA ist wichtig – aber sie schützt nur, solange sie nicht per Telefon zurückgesetzt werden kann. Der Helpdesk ist zur neuen Front geworden, weil er Technik mit menschlichem Vertrauen verbindet. Wer seine Reset- und Verifikationsprozesse härtet, Druck als Warnsignal versteht und privilegierte Identitätsaktionen überwacht, nimmt dieser Masche die Grundlage. Sicherheit endet nicht bei der Technik – sie beginnt beim nächsten Anruf.

2 starke Produkte die Ihnen garantiert helfen werden!

AD Account Guard – AD-Sicherheit auf den Punkt

Compliance Mandatory Check Professional – Regeln waren noch nie so einfach zu kontrollieren