MFA Multi-Faktor-Authentifizierung.

MFA is the requirement that authentication uses two or more factors from different categories (knowledge, possession, inherence). Not all MFA is equal: SMS and email codes are phishable, push notifications get fatigued, hardware tokens and passkeys are the strong forms. NIS 2 and DORA both mandate "strong" MFA on critical access.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Die Einschätzung der Cyber Academy

MFA is the requirement that authentication uses two or more factors from different categories (knowledge, possession, inherence). Not all MFA is equal: SMS and email codes are phishable, push notifications get fatigued, hardware tokens and passkeys are the strong forms. NIS 2 and DORA both mandate "strong" MFA on critical access.

Was als Faktor zählt, und warum das wichtig ist

Die Multi-Faktor-Authentifizierung verlangt zwei oder mehr Identitätsnachweise aus unterschiedlichen Kategorien, sodass die Kompromittierung eines Nachweises das Konto nicht an einen Angreifer ausliefert. Die drei klassischen Kategorien sind Wissen (etwas, das man weiß, etwa ein Passwort oder eine PIN), Besitz (etwas, das man hat, etwa ein Telefon, ein Sicherheitsschlüssel oder eine Smartcard) und Inhärenz (etwas, das man ist, etwa ein Fingerabdruck oder ein Gesicht). Das entscheidende Wort ist hier unterschiedlichen.

Zwei Passwörter sind keine Multi-Faktor-Authentifizierung, denn sie gehören zur selben Kategorie und unterliegen denselben Angriffen. Ein Passwort plus ein Code von einem separaten Gerät hingegen schon, denn ein Angreifer muss nun zwei voneinander unabhängige Kontrollen gleichzeitig überwinden.

Hier treffen auch MFA und Identitätsmanagement aufeinander. Die MFA stärkt nur den Authentifizierungsschritt, den Moment, in dem ein Nutzer nachweist, wer er ist. Sie sagt nichts darüber aus, was dieser Nutzer anschließend tun darf, was die Autorisierung betrifft, noch über Provisionierung, Deprovisionierung oder Zugriffsüberprüfungen. Betrachten Sie die MFA als eine gehärtete Schicht innerhalb eines umfassenderen IAM-Programms, nicht als Ersatz für das Least-Privilege-Prinzip oder für das Bereinigen verwaister Konten.

Nicht jede MFA ist gleich

Die wichtigste Erkenntnis für die Praxis ist, dass die MFA auf einem Spektrum der Stärke liegt, und der Unterschied ist nicht kosmetisch. Einmalcodes per SMS und E-Mail sind besser als ein Passwort allein, aber sie sind phishbar: Eine überzeugende gefälschte Anmeldeseite fordert das Opfer schlicht auf, den Code einzugeben, und ein Angreifer leitet ihn in Echtzeit weiter. SIM-Swapping verschlimmert die SMS-Variante zusätzlich.

Push-Benachrichtigungsfreigaben fügen einen Fingertipp hinzu, laden aber zur MFA-Müdigkeit ein, bei der ein Angreifer, der das Passwort bereits besitzt, den Nutzer mit Freigabeaufforderungen überflutet, bis ein müder Nutzer eine davon akzeptiert. Die starken Formen sind Besitzfaktoren, die an die legitime Website gebunden sind: Hardware-Sicherheitsschlüssel und Passkeys auf Basis von FIDO2 und WebAuthn. Da der Berechtigungsnachweis kryptografisch an die echte Domain gebunden ist, gibt er nichts an eine nachgeahmte Seite preis. Diese Eigenschaft ist gemeint, wenn von phishing-resistenter MFA die Rede ist.

MFA-Methoden nach Widerstandsfähigkeit gegen verbreitete Angriffe
MethodeKategoriePhishing-resistentTypische Schwäche
Code per SMS oder E-MailBesitz (schwach)NeinAuf gefälschten Seiten weitergeleitet, SIM-Swap
Authenticator-App TOTPBesitzNeinCode kann in Echtzeit abgephisht werden
Push-FreigabeBesitzNeinMFA-Müdigkeit und versehentliche Freigabe
Hardware-Schlüssel (FIDO2)BesitzJaKosten und Logistik der Registrierung
Passkey (WebAuthn)Besitz plus InhärenzJaWiederherstellung und Gerätebindung

Regulatorischer und normativer Kontext

Die MFA hat sich in der gesamten europäischen Cyberregulierung von einer Empfehlung zu einer Erwartung gewandelt. NIS 2 verpflichtet wesentliche und wichtige Einrichtungen, Maßnahmen der Cyberhygiene und der Zugangskontrolle zu ergreifen, wobei die Multi-Faktor- oder kontinuierliche Authentifizierung ausdrücklich für die Sicherheit des Zugangs genannt wird. DORA stellt vergleichbare Erwartungen an den Finanzsektor, wo die starke Authentifizierung kritische Funktionen und den Fernzugriff schützt.

Beide Rahmenwerke neigen zum starken Ende des Spektrums, anstatt jede MFA als ausreichend zu betrachten. Dieselbe Stoßrichtung zeigt sich in den Leitlinien des NIST, die phishing-resistente Authentifikatoren für Zugänge mit hohem Wert bevorzugen, sowie in Referenzrahmen wie ISO/IEC 27001 und den CIS Controls, die die MFA als grundlegende Schutzmaßnahme der Zugangskontrolle behandeln.

Was Praktiker tatsächlich tun, ist die Einführung nach Risiko zu staffeln. Sie schützen zuerst privilegierte und administrative Konten, dann den Fern- und internetexponierten Zugang, dann die allgemeine Nutzerschaft, und sie wählen phishing-resistente Methoden überall dort, wo die Auswirkung einer Kompromittierung hoch ist. Sie planen Wiederherstellung und Registrierung sorgfältig, da verlorene Faktoren ein realer betrieblicher Aufwand sind, und sie achten auf Muster von Müdigkeit und Umgehung. Gut umgesetzt nimmt die MFA einem gestohlenen Passwort leise seinen Wert. Als Häkchen umgesetzt, vermittelt sie ein falsches Sicherheitsgefühl, während der phishbare Kanal offen bleibt.

Frequently asked questions

01Sind zwei Passwörter eine Multi-Faktor-Authentifizierung?

Nein. Zwei Passwörter sind beide Wissensfaktoren, sie unterliegen also denselben Angriffen gleichzeitig. Echte MFA kombiniert Faktoren aus unterschiedlichen Kategorien, zum Beispiel etwas, das man weiß, plus etwas, das man hat, oder etwas, das man ist.

02Warum gilt SMS-basierte MFA als schwach?

SMS-Codes können in Echtzeit abgephisht werden, denn eine gefälschte Anmeldeseite fordert das Opfer schlicht auf, den Code einzugeben, während ein Angreifer ihn weiterleitet. SIM-Swap-Angriffe können die Nachricht zudem vollständig umleiten. SMS ist immer noch besser als ein Passwort allein, aber nicht phishing-resistent.

03Was ist phishing-resistente MFA?

Es ist eine Authentifizierung, bei der der Berechtigungsnachweis kryptografisch an die legitime Website gebunden ist, sodass er nicht auf einer nachgeahmten Seite wiederverwendet werden kann. In der Praxis bedeutet dies FIDO2-Hardware-Sicherheitsschlüssel und WebAuthn-Passkeys, die einer gefälschten Domain nichts Nutzbares preisgeben.

04Was ist MFA-Müdigkeit?

Es ist ein Angriff, bei dem jemand, der bereits ein gültiges Passwort besitzt, den Nutzer mit Push-Freigabeaufforderungen überflutet, bis eine müde oder abgelenkte Person auf Genehmigen tippt. Nummernabgleich und das Begrenzen von Aufforderungen helfen, aber phishing-resistente Methoden beseitigen die Schwäche vollständig.

05Verlangen NIS 2 und DORA tatsächlich MFA?

Beide erwarten starke Maßnahmen zur Zugangskontrolle und Authentifizierung für kritische Zugänge, und die Multi-Faktor- oder kontinuierliche Authentifizierung ist ausdrücklich Teil dieses Instrumentariums. Der Schwerpunkt liegt auf starken Methoden, anstatt jede Form von MFA als ausreichend zu betrachten.

Benötigen Sie mehr als eine Definition?

Buchen Sie ein kostenloses 20-minütiges Orientierungsgespräch. Wir ordnen die Kohorte zu, die diesen Begriff in eine auditreife Praxis verwandelt.