MFA (Multi-Faktor-Authentifizierung)

Multi-Faktor-Authentifizierung (MFA) - auch Zwei-Faktor-Authentifizierung (2FA) - ist die effektivste einzelne Maßnahme gegen die häufigste Angriffskategorie: kompromittierte Zugangsdaten. Microsoft schätzt, dass MFA 99,9 % aller Konto-Kompromittierungsangriffe verhindert.

Die drei Faktorkategorien

Kategorie	Beispiele	Stärke
Wissen	Passwort, PIN, Sicherheitsfrage	Niedrig (diebstahlgefährdet)
Besitz	TOTP-App, Hardware-Token (YubiKey), SMS	Mittel bis hoch
Biometrie	Fingerabdruck, Gesichtserkennung	Hoch (kontextabhängig)

Echte MFA kombiniert immer zwei unterschiedliche Kategorien. Passwort + Sicherheitsfrage = zwei Wissen-Faktoren = kein MFA.

MFA-Methoden im Vergleich

Methode	Sicherheit	Komfort	Phishing-resistent
SMS-OTP	Niedrig (SIM-Swap)	Hoch	Nein
TOTP (Authenticator-App)	Mittel	Mittel	Nein
Push-Benachrichtigung	Mittel	Hoch	Nein (MFA Fatigue)
FIDO2 / Passkey	Sehr hoch	Hoch	Ja
Hardware-Token (YubiKey)	Sehr hoch	Mittel	Ja

MFA Fatigue: Angreifer senden massenhaft Push-Anfragen, bis ein erschöpfter Nutzer versehentlich bestätigt. Gegenmaßnahme: Number Matching (Nutzer muss angezeigte Zahl eintippen) oder FIDO2.

FIDO2 / Passkeys - die Zukunft

FIDO2 (Fast IDentity Online 2) ist der aktuelle Goldstandard. Passkeys (die Consumer-Variante) nutzen das Gerät selbst als Authentifizierungsfaktor:

• Kein geheimes Passwort, das gestohlen werden kann
• Phishing-resistent: Passkeys sind domaingebunden
• Apple, Google und Microsoft unterstützen Passkeys nativ

NIS2 und ISO 27001

Beide Regularien fordern MFA explizit:

• NIS2 Art. 21: MFA oder ähnliche Lösungen als Pflichtmaßnahme für betroffene Einrichtungen
• ISO 27001:2022 A.8.5: Sichere Authentifizierung als Control

Die Empfehlung: MFA auf alle Konten mit Remote-Zugang und alle privilegierten Konten. Mindeststandard: TOTP. Ideal: FIDO2 für privilegierte Konten und Remote-Zugang.