Gestohlene Zugangsdaten sind der einfachste Weg in ein Unternehmen. Phishing-Mails und geleakte Passwortlisten liefern Angreifern täglich frisches Material, und ein einzelnes Passwort hält dem wenig entgegen. Multi-Faktor-Authentifizierung (MFA) setzt an dieser Schwachstelle an: Die Anmeldung verlangt zusätzliche, unabhängige Nachweise, die sich aus der Ferne deutlich schwerer stehlen lassen. Kaum eine andere Maßnahme senkt das Risiko von Kontoübernahmen so wirksam bei vergleichsweise geringem Aufwand.
Was ist Multi-Faktor-Authentifizierung?
Multi-Faktor-Authentifizierung bedeutet, dass eine Anmeldung mindestens zwei Nachweise aus unterschiedlichen Kategorien verlangt. Die klassischen Kategorien sind Wissen, also Passwort oder PIN, Besitz, etwa ein Smartphone, eine Smartcard oder ein Sicherheitsschlüssel, und Biometrie wie Fingerabdruck oder Gesichtserkennung. Entscheidend ist die Unabhängigkeit der Faktoren: Zwei Passwörter bilden keine MFA, weil beide derselben Kategorie entstammen und auf demselben Weg gestohlen werden können. Erst die Kombination verschiedener Kategorien zwingt Angreifer, mehrere Hürden gleichzeitig zu überwinden, zum Beispiel ein Passwort abzugreifen und zusätzlich an das Smartphone der Zielperson zu gelangen. Im Alltag zeigt sich MFA als zusätzliche Abfrage nach dem Passwort, dahinter steht ein eigenständiger, technisch getrennter Nachweis.
Wie funktioniert MFA?
Gemeinsam ist allen Verfahren der Ablauf: Nach dem ersten Faktor fordert der Dienst einen zweiten Nachweis an und gibt den Zugang erst nach dessen Prüfung frei. Die Verfahren unterscheiden sich jedoch deutlich in Bedienkomfort und Schutzwirkung:
- TOTP-Apps: Eine Authenticator-App erzeugt zeitbasierte Einmalcodes, die zusätzlich zum Passwort eingegeben werden. Solide Basis, aber auf gefälschten Anmeldeseiten abfangbar.
- Push-Bestätigung: Ein Anmeldeversuch löst eine Nachricht auf dem Smartphone aus, die der Nutzer bestätigt. Varianten mit Nummernabgleich erschweren gedankenloses Wegtippen.
- Hardware-Token: Ein separates Gerät erzeugt Codes oder bestätigt Anfragen. Der Faktor bleibt vom Arbeitsrechner getrennt und übersteht dessen Kompromittierung.
- FIDO2 und Passkeys: Kryptografische Schlüsselpaare sind an die echte Web-Adresse des Dienstes gebunden. Eine nachgebaute Phishing-Seite erhält schlicht keine gültige Antwort, weshalb diese Verfahren als Phishing-resistent gelten.
- SMS-Codes: Einmalcodes per SMS sind besser als ein Passwort allein, gelten aber wegen Angriffen wie SIM-Swapping als schwächste Variante.
- Backup-Verfahren: Wiederherstellungscodes und Ersatzfaktoren verhindern, dass ein verlorenes Smartphone Mitarbeitende aussperrt. Schwache Wiederherstellungswege hebeln starke Faktoren aus und gehören deshalb von Anfang an ins Konzept.
Eine Grenze haben alle Bestätigungsverfahren: Bei sogenannter MFA-Fatigue bombardieren Angreifer, die bereits das Passwort besitzen, die Zielperson mit Push-Anfragen, bis eine davon genervt bestätigt wird. Nummernabgleich, begrenzte Versuche und der Wechsel auf FIDO2 entschärfen dieses Muster.
Warum MFA wichtig ist
- Gestohlene Passwörter allein reichen für eine Kontoübernahme nicht mehr aus.
- Phishing-resistente Verfahren wie FIDO2 entziehen gefälschten Anmeldeseiten die Grundlage.
- Fernzugänge und Admin-Konsolen sind ohne zweiten Faktor ein leichtes Ziel.
- Cyber-Versicherer und Auditoren setzen MFA für kritische Zugänge inzwischen regelmäßig voraus.
- Die NIS-2-Richtlinie führt MFA ausdrücklich in ihrem Maßnahmenkatalog für das Risikomanagement auf.
- Die Einführung ist im Verhältnis zur Schutzwirkung günstig und schnell umsetzbar.
Typische Szenarien
- Alle Konten des Cloud-Arbeitsplatzes erhalten MFA-Pflicht, beginnend mit Administratoren und Postfächern mit weitreichenden Rechten.
- Der Fernzugriff über ZTNA oder VPN verlangt neben dem Passwort eine Bestätigung per App oder Sicherheitsschlüssel.
- Administrative Zugänge zu Servern und Netzwerktechnik werden auf Hardware-Schlüssel umgestellt.
- Ein Unternehmen führt Passkeys für Mitarbeitende ein und reduziert damit zugleich den Aufwand für Passwort-Rücksetzungen.
- Externe Dienstleister erhalten Zugriff erst nach Anmeldung mit einem zweiten Faktor.
MFA oder 2FA: Wo liegt der Unterschied?
Die Zwei-Faktor-Authentifizierung (2FA) ist ein Spezialfall der MFA: genau zwei Faktoren, während MFA als Oberbegriff zwei oder mehr zulässt. Jede 2FA ist damit eine MFA, umgekehrt gilt das nicht zwingend. Für die Praxis wichtiger als die Anzahl ist die Qualität der Faktoren. Ein Passwort plus SMS-Code ist formal 2FA, schützt aber deutlich schwächer als ein Passkey auf einem registrierten Gerät. Wer Sicherheitsanforderungen formuliert, sollte deshalb konkrete Verfahren benennen, statt allein die Faktorzahl vorzuschreiben. Auch Regulierer folgen dieser Logik und verlangen zunehmend Verfahren, die gegen Phishing bestehen. Für besonders schützenswerte Zugänge lohnt der Schritt zu Phishing-resistenten Verfahren mehr als ein dritter Faktor.
MFA bei KAEMI
KAEMI verankert MFA dort, wo sie im Unternehmensnetz die größte Wirkung entfaltet: beim Zugriff auf Anwendungen und Infrastruktur. In Projekten rund um SASE/SSE: Sicherer Zugriff wird die Anmeldung mit starken Faktoren zur Voraussetzung für jede Verbindung, geprüft werden dabei Identität und Gerätezustand gemeinsam. So entsteht ein Zugriffsmodell, bei dem ein gestohlenes Passwort allein keinen Weg mehr ins Unternehmensnetz öffnet. Bei Einführung und Rollout unterstützt KAEMI im Rahmen der Professional & Managed Services , von der Auswahl geeigneter Verfahren bis zur Anbindung bestehender Verzeichnisdienste. Wenn Sie MFA für Fernzugriff oder Verwaltungszugänge einführen möchten, sprechen Sie uns an .