MFA-Bombing (MFA Fatigue / Push-Bombing)

MFA-Bombing (auch MFA Fatigue oder Push-Bombing) ist ein Angriff, bei dem Angreifer nach Erlangung von Zugangsdaten wiederholt Push-Authentifizierungsanfragen an das Mobilgerät des Opfers senden, um es durch anhaltende Benachrichtigungen zur unbeabsichtigten Bestätigung zu verleiten. CISA stuft MFA-Bombing als reale Bedrohung gegen Push-basierte MFA ein, die durch phishing-resistente Authentifizierungsmethoden wie FIDO2/Passkeys oder zahlenbasiertes Number-Matching wirksam verhindert werden kann. In IT-Ausschreibungen für Identitäts- und Zugangsmanagement sollten Auftraggeber explizit phishing-resistente MFA-Methoden nach NIST SP 800-63B als technische Mindestanforderung fordern und Push-only-MFA ausschließen.