Zum Inhalt springen
cyber-security.eu
DEEN

Multi-Faktor-Authentifizierung

MFA reduziert das Risiko kompromittierter Konten deutlich. Diese Seite erklärt verständlich, welche Verfahren wirklich tragen, wo Schwächen liegen und wie eine Einführung in der Praxis sinnvoll priorisiert wird.

Für wen ist diese Seite relevant?

Diese Seite richtet sich an IT- und Security-Verantwortliche, Administratoren, Auditoren und alle, die MFA in Organisationen einführen oder verbessern wollen.

Was ist MFA?

Multi-Faktor-Authentifizierung bedeutet, dass beim Anmelden mehrere unabhängige Nachweise verlangt werden, typischerweise aus den Kategorien Wissen, Besitz und Inhärenz. Wer nur das Passwort kennt, kommt nicht ans Konto.

Warum Passwörter allein nicht reichen

Passwörter werden über Phishing, Datenlecks, schwache Mehrfachnutzung und Schadsoftware regelmäßig kompromittiert. Ohne zweiten Faktor wird ein gestohlenes Passwort sofort zur Übernahme des Kontos.

Verfahren im Überblick

Push-MFA in einer Authenticator-App ist bequem, aber anfällig für Push-Bombing.

TOTP mit Einmalcode aus einer App ist solide und unabhängig vom Anbieter.

FIDO2 und Security Keys binden den zweiten Faktor an Hardware und sind gegen Phishing besonders robust.

Passkeys kombinieren Schlüsselmaterial mit Geräten und sind eine moderne Weiterentwicklung. Wo sie sauber unterstützt werden, sind sie eine gute Option.

SMS-Codes sind besser als nichts, aber gegen SIM-Swap und Phishing nicht robust.

Risiken: MFA-Fatigue und Push-Bombing

Wenn Angreifer ein gültiges Passwort haben, lösen sie wiederholt Push-Anfragen aus, bis der Benutzer aus Erschöpfung bestätigt. Gegenmaßnahmen sind Number Matching, geprüfte Geräte, Conditional Access und Awareness. Phishing-resistente Verfahren wie FIDO2 sind hier deutlich überlegen.

Priorisierung in der Praxis

Sinnvolle Reihenfolge: zuerst Admin-Konten, dann E-Mail und Cloud, dann VPN und externe Zugänge, dann kritische Systeme, dann breite Belegschaft. Service Accounts brauchen eigene Schutzkonzepte.

Praxisbeispiel

Ein Unternehmen führt MFA zuerst für alle Admins und das gesamte Microsoft 365-Tenant ein. Drei Wochen später wird ein Mitarbeiter-Passwort über Phishing abgegriffen. Die Anmeldung schlägt fehl, weil der zweite Faktor fehlt. Der Vorfall endet als Account Compromise-Versuch ohne Schaden.

Checkliste

  • MFA verpflichtend für alle Admin- und privilegierten Konten
  • MFA für E-Mail-, Cloud- und VPN-Zugänge
  • Phishing-resistente Verfahren wo möglich (FIDO2, Passkeys)
  • Number Matching statt einfacher Push-Bestätigung
  • Notfall- und Wiederherstellungswege dokumentiert
  • Service Accounts mit eigenem Schutzkonzept
  • Schulung zu MFA-Fatigue und Push-Bombing

Häufige Fragen

+Sind SMS-Codes ausreichend?

Besser als nichts, aber nicht phishing-resistent und anfällig für SIM-Swap. Wo verfügbar, sind App- oder FIDO2-Verfahren vorzuziehen.

+Was sind Passkeys?

Passkeys nutzen Schlüsselpaare auf dem Gerät und ersetzen Passwort plus zweiten Faktor. Sie sind besonders bequem und phishing-resistent, wenn der Dienst sie unterstützt.

+Hilft MFA gegen Token-Diebstahl?

Nur teilweise. Wenn Sitzungstoken nach erfolgreichem Login gestohlen werden, hilft MFA nicht mehr. Conditional Access und kürzere Sitzungen reduzieren das Risiko.

Verwandte Themen

Identity Security

Identitäten sind heute ein zentrales Angriffsziel. Wer Konten, Rollen und Berechtigungen sauber im Griff hat, reduziert das Risiko vieler Vorfälle deutlich.

Account Compromise

Ein kompromittierter Account ist heute eine der häufigsten Vorfallsformen. Diese Seite erklärt typische Ursachen, frühe Anzeichen und sinnvolle Erstmaßnahmen.

Microsoft 365 Security

Microsoft 365 ist für viele Organisationen das zentrale Arbeits- und Identitätsökosystem. Diese Seite ordnet die wichtigsten Sicherheitsbausteine ein, ohne Schritt-für-Schritt-Admin-Anleitungen.

Zero Trust

Zero Trust ist ein Architekturprinzip, kein Produkt. Es bedeutet: niemandem automatisch vertrauen, sondern jeden Zugriff bewusst prüfen - basierend auf Identität, Gerät und Kontext.

Phishing

Phishing ist nach wie vor einer der häufigsten Einstiegswege. Moderne Angriffe wirken professionell, nutzen vertraute Marken und passen sich an. Technische Filter, Awareness und ein einfacher Meldeweg gehören zusammen.

Business Email Compromise

Business Email Compromise zielt auf Geld- oder Datenflüsse über manipulierte Geschäftsmails - oft mit kompromittierten Postfächern oder täuschend echter Korrespondenz. Diese Seite ordnet Szenarien und Maßnahmen ein.