Was ist MFA?
MFA (Multi-Faktor-Authentifizierung, auch Zwei-Faktor-Authentifizierung/2FA als Sonderfall) ist ein Sicherheitsverfahren, das beim Login zwei oder mehr unabhängige Beweise der Identität verlangt. Die drei Faktorkategorien sind: Wissen (etwas, das man weiß: Passwort, PIN), Besitz (etwas, das man hat: Smartphone, Hardware-Token) und Biometrie (etwas, das man ist: Fingerabdruck, Gesichtserkennung). Selbst wenn ein Passwort kompromittiert wird, verhindert MFA den unbefugten Zugriff. Microsoft hat ermittelt, dass MFA 99,9 % aller automatisierten Angriffe auf Konten blockiert. Nach dem EU AI Act und der NIS2-Richtlinie gehört MFA zu den grundlegenden Sicherheitsanforderungen für betroffene Unternehmen.
MFA ist die einzige Sicherheitsmaßnahme, die laut Microsoft 99,9 % aller automatisierten Kontoübernahmen verhindert – und trotzdem ist sie in vielen Unternehmen noch nicht flächendeckend eingesetzt. Ein kompromittiertes Passwort ist ohne zweiten Faktor wertlos für den Angreifer.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| MFA blockiert automatisierte Angriffe | 99,9 % | Microsoft 2023 |
| Kompromittierte Zugangsdaten mit MFA nutzlos | ~99,9 % der Fälle | Microsoft |
| Unternehmen mit MFA-Pflicht (global) | ~62 % | Duo Security Report 2024 |
| Angriffe durch Credential Stuffing (2023) | >193 Milliarden | Akamai |
| SMS-OTP: Sicherheitsrating | Niedrig (SIM-Swapping möglich) | NIST SP 800-63B |
MFA-Methoden im Sicherheitsvergleich
| Methode | Faktor-Typ | Sicherheitsniveau | Benutzerfreundlichkeit | Phishing-resistent? |
|---|---|---|---|---|
| SMS-OTP (Einmal-Code per SMS) | Besitz | Niedrig | Hoch | Nein (SIM-Swapping) |
| E-Mail-OTP | Besitz | Niedrig–Mittel | Hoch | Nein (E-Mail-Kompromittierung) |
| TOTP-App (Google Auth, Authy) | Besitz | Mittel | Mittel | Nein (Phishing möglich) |
| Push-Notification (Authenticator App) | Besitz | Mittel | Sehr hoch | Nein (MFA-Fatigue-Angriffe) |
| FIDO2 / Passkey / Hardware-Key | Besitz (+ Biometrie) | Sehr hoch | Hoch | Ja (origin-bound) |
| Hardware-Token (RSA SecurID) | Besitz | Hoch | Mittel | Teilweise |
| Biometrie (Fingerabdruck, FaceID) | Biometrie | Hoch | Sehr hoch | Ja (lokal) |
| Zertifikat-basiert (Smart Card, PKI) | Besitz | Sehr hoch | Mittel | Ja |
MFA vs. 2FA – Unterschied
| Begriff | Bedeutung |
|---|---|
| 2FA (Zwei-Faktor-Authentifizierung) | Exakt zwei Faktoren (Sonderfall von MFA) |
| MFA (Multi-Faktor-Authentifizierung) | Zwei oder mehr Faktoren (Oberbegriff) |
In der Praxis werden beide Begriffe oft synonym verwendet. Technisch korrekt ist MFA der Oberbegriff.
Häufig gestellte Fragen (FAQ)
Was ist der Unterschied zwischen TOTP und FIDO2?
TOTP (Time-based One-Time Password, z. B. Google Authenticator) generiert einen 6-stelligen Code, der alle 30 Sekunden wechselt. Problem: Ein Angreifer kann den Code per Phishing in Echtzeit abfangen (Real-Time-Phishing). FIDO2/WebAuthn hingegen ist phishing-resistent: Die Authentifizierung ist an die exakte Domain gebunden (origin-bound). Ein gefälschtes Login-Portal erhält niemals einen gültigen FIDO2-Nachweis, weil die Domain nicht übereinstimmt. FIDO2 ist die sicherste MFA-Methode – implementiert über Hardware-Keys (YubiKey) oder Passkeys.
Was sind MFA-Fatigue-Angriffe und wie schützt man sich?
MFA-Fatigue (auch Push-Bombing) nutzt Push-Benachrichtigungs-MFA aus: Der Angreifer kennt Benutzername und Passwort und sendet massenhaft Push-Anfragen an das Smartphone des Opfers. Genervt oder aus Versehen tippt das Opfer auf „Bestätigen". Schutzmaßnahmen: Number Matching (Nutzer muss eine angezeigte Nummer bestätigen, nicht nur tippen), Additional Context (App zeigt Ort und Gerät der Anfrage), Ratenlimitierung von Push-Anfragen, Wechsel zu phishing-resistenten Methoden (FIDO2, Passkeys).
Welche MFA-Methode soll ich für mein Unternehmen wählen?
Empfehlung nach Sicherheitsniveau: Höchste Sicherheit (Finanzsektor, Healthcare, KRITIS): FIDO2-Hardware-Keys (YubiKey) oder zertifikat-basierte MFA. Hohe Sicherheit (Standard Enterprise): Microsoft Authenticator oder ähnliche App mit Number Matching + Conditional Access. Mittlere Sicherheit (kleinere Unternehmen): TOTP-App (Authy, Microsoft Authenticator). Niedriger Standard (vermeiden): SMS-OTP (SIM-Swapping, SS7-Angriffe). NIST SP 800-63B empfiehlt, SMS-OTP nicht mehr als primären zweiten Faktor einzusetzen.
Ist MFA durch die NIS2-Richtlinie vorgeschrieben?
NIS2 schreibt keine spezifischen Technologien vor, aber „Maßnahmen zur Zugangskontrolle und Multi-Faktor-Authentifizierung" werden explizit als Sicherheitsanforderungen genannt (Art. 21 NIS2). Für die ~30.000 betroffenen Unternehmen in Deutschland ist MFA damit eine regulatorische Anforderung. Auch ISO 27001 (Annex A 9.4: Zugangskontrolle) und die DSGVO (Art. 32: technische Sicherheitsmaßnahmen) implizieren starke Authentifizierung. Ohne MFA ist eine Zertifizierung oder Compliance-Attestierung kaum begründbar.
Wie implementiere ich MFA in Microsoft 365?
Microsoft 365 bietet MFA über Azure AD (jetzt Microsoft Entra ID): 1) Admin Center → Azure Active Directory → Security → MFA. 2) Entra ID P1/P2 für Conditional Access Policies (MFA nur bei Risikoerkennung, von bestimmten Standorten etc.). 3) Microsoft Authenticator App als empfohlene Methode (Number Matching, Passwordless). 4) Security Defaults aktivieren für alle, die kein P1/P2 haben (erzwingt MFA für alle Admins automatisch). Tipp: Phishing-resistente MFA (FIDO2) für Administratoren-Konten ist Best Practice.
Fazit
MFA ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen – und damit Pflicht in jeder ernsthaften IT-Sicherheitsstrategie. Die Wahl der richtigen MFA-Methode ist entscheidend: SMS-OTP bietet nur grundlegenden Schutz, während FIDO2/Passkeys phishing-resistente Sicherheit der nächsten Generation bieten. Mit der NIS2-Richtlinie wird MFA für Zehntausende Unternehmen in Deutschland zur gesetzlichen Anforderung.
Erstellt vom IT-Expertenteam der You Logic AG
Die You Logic AG ist ein IT-Dienstleister aus Wiesbaden mit über 13 Jahren Erfahrung und mehr als 2.500 verwalteten Arbeitsplätzen im Rhein-Main-Gebiet. Unser Qualitätsmanagement ist an den Grundsätzen der ISO 9001:2015 ausgerichtet.
LinkedIn
