Multi-Faktor-Authentifizierung (MFA)

Gestohlene Zugangsdaten sind der einfachste Weg in ein Unternehmen. Phishing-Mails und geleakte Passwortlisten liefern Angreifern täglich frisches Material, und ein einzelnes Passwort hält dem wenig entgegen. Multi-Faktor-Authentifizierung (MFA) setzt an dieser Schwachstelle an: Die Anmeldung verlangt zusätzliche, unabhängige Nachweise, die sich aus der Ferne deutlich schwerer stehlen lassen. Kaum eine andere Maßnahme senkt das Risiko von Kontoübernahmen so wirksam bei vergleichsweise geringem Aufwand.

Was ist Multi-Faktor-Authentifizierung?

Multi-Faktor-Authentifizierung bedeutet, dass eine Anmeldung mindestens zwei Nachweise aus unterschiedlichen Kategorien verlangt. Die klassischen Kategorien sind Wissen, also Passwort oder PIN, Besitz, etwa ein Smartphone, eine Smartcard oder ein Sicherheitsschlüssel, und Biometrie wie Fingerabdruck oder Gesichtserkennung. Entscheidend ist die Unabhängigkeit der Faktoren: Zwei Passwörter bilden keine MFA, weil beide derselben Kategorie entstammen und auf demselben Weg gestohlen werden können. Erst die Kombination verschiedener Kategorien zwingt Angreifer, mehrere Hürden gleichzeitig zu überwinden, zum Beispiel ein Passwort abzugreifen und zusätzlich an das Smartphone der Zielperson zu gelangen. Im Alltag zeigt sich MFA als zusätzliche Abfrage nach dem Passwort, dahinter steht ein eigenständiger, technisch getrennter Nachweis.

Wie funktioniert MFA?

Gemeinsam ist allen Verfahren der Ablauf: Nach dem ersten Faktor fordert der Dienst einen zweiten Nachweis an und gibt den Zugang erst nach dessen Prüfung frei. Die Verfahren unterscheiden sich jedoch deutlich in Bedienkomfort und Schutzwirkung:

  • TOTP-Apps: Eine Authenticator-App erzeugt zeitbasierte Einmalcodes, die zusätzlich zum Passwort eingegeben werden. Solide Basis, aber auf gefälschten Anmeldeseiten abfangbar.
  • Push-Bestätigung: Ein Anmeldeversuch löst eine Nachricht auf dem Smartphone aus, die der Nutzer bestätigt. Varianten mit Nummernabgleich erschweren gedankenloses Wegtippen.
  • Hardware-Token: Ein separates Gerät erzeugt Codes oder bestätigt Anfragen. Der Faktor bleibt vom Arbeitsrechner getrennt und übersteht dessen Kompromittierung.
  • FIDO2 und Passkeys: Kryptografische Schlüsselpaare sind an die echte Web-Adresse des Dienstes gebunden. Eine nachgebaute Phishing-Seite erhält schlicht keine gültige Antwort, weshalb diese Verfahren als Phishing-resistent gelten.
  • SMS-Codes: Einmalcodes per SMS sind besser als ein Passwort allein, gelten aber wegen Angriffen wie SIM-Swapping als schwächste Variante.
  • Backup-Verfahren: Wiederherstellungscodes und Ersatzfaktoren verhindern, dass ein verlorenes Smartphone Mitarbeitende aussperrt. Schwache Wiederherstellungswege hebeln starke Faktoren aus und gehören deshalb von Anfang an ins Konzept.

Eine Grenze haben alle Bestätigungsverfahren: Bei sogenannter MFA-Fatigue bombardieren Angreifer, die bereits das Passwort besitzen, die Zielperson mit Push-Anfragen, bis eine davon genervt bestätigt wird. Nummernabgleich, begrenzte Versuche und der Wechsel auf FIDO2 entschärfen dieses Muster.

Warum MFA wichtig ist

  • Gestohlene Passwörter allein reichen für eine Kontoübernahme nicht mehr aus.
  • Phishing-resistente Verfahren wie FIDO2 entziehen gefälschten Anmeldeseiten die Grundlage.
  • Fernzugänge und Admin-Konsolen sind ohne zweiten Faktor ein leichtes Ziel.
  • Cyber-Versicherer und Auditoren setzen MFA für kritische Zugänge inzwischen regelmäßig voraus.
  • Die NIS-2-Richtlinie führt MFA ausdrücklich in ihrem Maßnahmenkatalog für das Risikomanagement auf.
  • Die Einführung ist im Verhältnis zur Schutzwirkung günstig und schnell umsetzbar.

Typische Szenarien

  • Alle Konten des Cloud-Arbeitsplatzes erhalten MFA-Pflicht, beginnend mit Administratoren und Postfächern mit weitreichenden Rechten.
  • Der Fernzugriff über ZTNA oder VPN verlangt neben dem Passwort eine Bestätigung per App oder Sicherheitsschlüssel.
  • Administrative Zugänge zu Servern und Netzwerktechnik werden auf Hardware-Schlüssel umgestellt.
  • Ein Unternehmen führt Passkeys für Mitarbeitende ein und reduziert damit zugleich den Aufwand für Passwort-Rücksetzungen.
  • Externe Dienstleister erhalten Zugriff erst nach Anmeldung mit einem zweiten Faktor.

MFA oder 2FA: Wo liegt der Unterschied?

Die Zwei-Faktor-Authentifizierung (2FA) ist ein Spezialfall der MFA: genau zwei Faktoren, während MFA als Oberbegriff zwei oder mehr zulässt. Jede 2FA ist damit eine MFA, umgekehrt gilt das nicht zwingend. Für die Praxis wichtiger als die Anzahl ist die Qualität der Faktoren. Ein Passwort plus SMS-Code ist formal 2FA, schützt aber deutlich schwächer als ein Passkey auf einem registrierten Gerät. Wer Sicherheitsanforderungen formuliert, sollte deshalb konkrete Verfahren benennen, statt allein die Faktorzahl vorzuschreiben. Auch Regulierer folgen dieser Logik und verlangen zunehmend Verfahren, die gegen Phishing bestehen. Für besonders schützenswerte Zugänge lohnt der Schritt zu Phishing-resistenten Verfahren mehr als ein dritter Faktor.

MFA bei KAEMI

KAEMI verankert MFA dort, wo sie im Unternehmensnetz die größte Wirkung entfaltet: beim Zugriff auf Anwendungen und Infrastruktur. In Projekten rund um SASE/SSE: Sicherer Zugriff wird die Anmeldung mit starken Faktoren zur Voraussetzung für jede Verbindung, geprüft werden dabei Identität und Gerätezustand gemeinsam. So entsteht ein Zugriffsmodell, bei dem ein gestohlenes Passwort allein keinen Weg mehr ins Unternehmensnetz öffnet. Bei Einführung und Rollout unterstützt KAEMI im Rahmen der Professional & Managed Services , von der Auswahl geeigneter Verfahren bis zur Anbindung bestehender Verzeichnisdienste. Wenn Sie MFA für Fernzugriff oder Verwaltungszugänge einführen möchten, sprechen Sie uns an .

Häufige Fragen zu Multi-Faktor-Authentifizierung (MFA)

Was zählt bei MFA als eigenständiger Faktor?

Ein eigenständiger Faktor stammt aus einer eigenen Kategorie: Wissen wie ein Passwort, Besitz wie ein Smartphone oder Sicherheitsschlüssel, Biometrie wie ein Fingerabdruck. Zwei Nachweise derselben Kategorie, etwa Passwort und Sicherheitsfrage, bilden keine echte MFA. Wichtig ist außerdem die technische Trennung: Liegen Passwort und Codegenerator auf demselben kompromittierten Gerät, schrumpft der Zugewinn deutlich.

Welche MFA-Verfahren gelten als Phishing-resistent?

Verfahren auf Basis von FIDO2, also Passkeys und Hardware-Sicherheitsschlüssel, sowie zertifikatsbasierte Anmeldungen mit Smartcards. Sie binden den Nachweis kryptografisch an die echte Adresse des Dienstes, eine nachgebaute Anmeldeseite bekommt daher keine verwertbare Antwort. Einmalcodes aus Apps oder per SMS lassen sich dagegen auf Phishing-Seiten abfangen und in Echtzeit weiterverwenden.

Was ist MFA-Fatigue und was hilft dagegen?

MFA-Fatigue bezeichnet Angriffe, bei denen Täter mit gestohlenem Passwort so lange Push-Anfragen auslösen, bis die genervte Zielperson eine davon bestätigt. Dagegen helfen Nummernabgleich zwischen Anmeldebildschirm und App, eine Begrenzung der Anfragen, Schulung der Beschäftigten und langfristig der Umstieg auf FIDO2-Verfahren, bei denen es keine bestätigbare Anfrage mehr gibt.

Ist SMS als zweiter Faktor noch vertretbar?

SMS-Codes sind deutlich besser als ein Passwort allein, aber die schwächste MFA-Variante: Sie lassen sich per SIM-Swapping, über Schwachstellen im Mobilfunknetz oder auf Phishing-Seiten abfangen. Als Übergangslösung für Konten mit geringem Schutzbedarf vertretbar, für Administratoren, Fernzugänge und Finanzfreigaben sollten Sie auf App-basierte Verfahren oder Passkeys wechseln.

Verlangt NIS-2 den Einsatz von MFA?

Die NIS-2-Richtlinie zählt Multi-Faktor-Authentifizierung und kontinuierliche Authentifizierungslösungen ausdrücklich zu den Maßnahmen des Cyber-Risikomanagements, deren Einsatz betroffene Unternehmen prüfen und angemessen umsetzen müssen. Für Fernzugriffe, privilegierte Konten und zentrale Verwaltungssysteme ist MFA damit faktisch gesetzt. Wie streng die Umsetzung ausfällt, richtet sich nach Risiko und Kritikalität der jeweiligen Systeme.

Sie möchten das Thema im eigenen Netzwerk angehen? Sprechen Sie mit KAEMI, anforderungsorientiert und mit Betrieb aus einer Hand.