IT Security12. Mai 2026

Die 2FA-Lüge: Warum dein Konto leer ist, obwohl du den Code hattest

Ein technischer Bericht zum Session-Hijacking: Warum 2FA nicht hilft, wenn die Sitzung gestohlen wird.

#2FA#Session Hijacking#Infostealer#Security
Die 2FA-Lüge: Warum dein Konto leer ist, obwohl du den Code hattest

Über 700 Euro in 24 Stunden weg. 2FA war aktiv, starkes Passwort, SMS-Code auf dem Handy. Trotzdem leer. Der Angreifer hat nicht das Passwort gestohlen. Er hat die Sitzung gestohlen.

Beitragsbild: Der infizierte Gaming-PC.

Beitragsbild: Der infizierte Gaming-PC.

Marc Weidner, IT-Technical Consultant

Der Angriff: Ein harmloser Game-Mod

Alles begann mit einem Mod für eine Gaming-Umgebung. Bei der Installation wurden Admin-Rechte erteilt. Klassischer Fehler. Im Hintergrund aktivierte sich ein Infostealer, keine laute Ransomware, sondern ein stiller Dieb.

Technische Spuren im System: DLL-Sideloading im Verzeichnis ...\Destager\, WMI-Persistenz über einen SCM Event Log Filter, Massenzugriff auf den Windows-Anmeldetresor (Event-ID 5379).

Bild 1: Visualisierung der Infektion und Datenexfiltration.

Bild 1: Visualisierung der Infektion und Datenexfiltration.

Warum 2FA versagt

Die Zwei-Faktor-Authentifizierung prüft den Login-Vorgang. Der Angreifer loggt sich aber gar nicht ein. Er übernimmt die bestehende Sitzung. Gestohlene Session-Cookies werden in seinen eigenen Browser importiert. PayPal, Google, Amazon sehen keinen Unterschied. Für sie ist der Angreifer du.

Bild 2: Die invasive Übernahme der Sitzung.

Bild 2: Die invasive Übernahme der Sitzung.

14 Abbuchungen zu je 51,75 Euro, neue Geschenkadressen, digitale Gutscheine. Automatisiert, in Minuten. Das Handy bleibt stumm. 2FA wird nicht erneut abgefragt.

Was bleibt

Ein starkes Passwort plus 2FA schützt nicht, wenn der Nutzer Admin-Rechte an Schadsoftware vergibt. Der einzige Ausweg ist anderes Nutzerverhalten.

Bild 3: Der notwendige Wipe (Löschvorgang) zur Bereinigung.

Bild 3: Der notwendige „Wipe" (Löschvorgang) zur Bereinigung.

2FA schützt den Login. Was danach mit der laufenden Sitzung passiert, prüft niemand.