Multi-Faktor-Authentifizierung (MFA)

Security & Compliance beginner

Multi-Faktor-Authentifizierung (MFA) verlangt mehr als einen unabhängigen Identitätsnachweis – typischerweise ein Passwort plus einen zweiten Faktor wie Hardware-Key oder Einmalcode.

Kurzfassung

Multi-Faktor-Authentifizierung (MFA) verlangt vom Nutzer mehr als einen unabhängigen Identitätsnachweis. Üblich ist die Kombination aus „Wissen" (Passwort) und „Besitz" (Hardware-Key, Authenticator-App) oder „Inhärenz" (Biometrie).

Was ist MFA?

Bei reiner Passwortanmeldung reicht ein gestohlenes Passwort, um ein Konto zu übernehmen. MFA bricht diese Logik, indem es einen zweiten, unabhängigen Faktor beim Login verlangt. Verbreitete zweite Faktoren sind TOTP-Codes aus einer Authenticator-App, Push-Bestätigungen, FIDO2/WebAuthn-Hardware-Keys, SMS-Codes (mittlerweile wegen SIM-Swap-Angriffen weitgehend abgekündigt) und in das Gerät integrierte biometrische Prüfungen.

MFA wird typischerweise am Identity Provider erzwungen, damit jede über SSO geschützte Anwendung dieselbe Policy erbt. Moderne Setups drängen auf phishing-resistente Faktoren – primär FIDO2/Passkeys –, weil TOTP- und SMS-Faktoren weiterhin durch Adversary-in-the-Middle-Phishing-Kits replayed werden können. Risikobasiertes MFA fragt nur dann erneut nach, wenn der IdP einen ungewöhnlichen Ort, ein neues Gerät oder verdächtiges Verhalten erkennt – das hält den Alltag flüssig.

Für Infrastrukturzugriffe schützt MFA auf IdP-Ebene Mesh-VPN-Logins, Kubernetes-Dashboards, Cloud-Konsolen und jede an SSO gebundene Anwendung. Vorgaben wie NIS2 und DORA betrachten MFA für privilegierte Zugriffe zunehmend als Pflichtmaßnahme.

Warum ist MFA relevant?

  • Phishing-Resistenz: Verhindert, dass Passwortdiebstahl direkt zur Kontoübernahme führt
  • Compliance-Grundlage: Von NIS2, DORA, ISO 27001 und den meisten Cyberversicherern erwartet
  • Zentrale Steuerung: Wird am IdP für jede SSO-geschützte Anwendung erzwungen
  • Zero-Trust-Baustein: Starker Identitätsnachweis ist Voraussetzung für pro-Anfrage-Policies

Verwandte Begriffe

  • Single Sign-On: Schicht, auf der MFA typischerweise erzwungen wird
  • Identity Provider: Dienst, der die MFA-Flows ausführt
  • Zero Trust: Modell, das auf starken, MFA-gesicherten Identitäten aufsetzt
  • Keycloak: Open-Source-IdP mit Unterstützung für eine breite MFA-Faktorenpalette

Ähnliche Lösungen

Für Security & SOC Teams

Security-Teams schützen Organisationen nicht, weil sie Berichte erstellen. Sie schützen Organisationen, weil Schwachstellen kontinuierlich gemanagt werden. Wir arbeiten mit Security- und SOC-Teams zusammen, um Prozesse zu stärken, Risiken proaktiv anzugehen und Compliance-Anforderungen zu erfüllen. Wir konzentrieren uns auf umsetzbare Praktiken, nicht auf Theorie.

Mehr entdecken

Verwandte Begriffe

Single Sign-On (SSO)

Single Sign-On (SSO) erlaubt es Nutzern, sich einmal beim Identity Provider anzumelden und anschließend mehrere Anwendungen ohne erneute Eingabe von Anmeldedaten zu nutzen.

Mehr entdecken

Identity Provider (IdP)

Ein Identity Provider (IdP) ist der vertrauenswürdige Dienst, der Nutzer authentifiziert und Tokens oder Assertions ausgibt, mit denen Anwendungen Zugriffe gewähren.

Mehr entdecken

Zero Trust

Zero Trust ist ein Sicherheitsmodell, das Zugriff auf Basis fortlaufend geprüfter Identität und Policy gewährt – niemals aufgrund von Netzwerklage oder Perimeter.

Mehr entdecken

Keycloak

Keycloak ist eine Open-Source-Lösung für Identity and Access Management mit Single Sign-On, OAuth 2.0 und OpenID Connect.

Mehr entdecken

Wir sind für Sie da

Sie interessieren sich für unsere Trainings oder haben einfach eine Frage, die beantwortet werden muss? Sie können uns jederzeit kontaktieren! Wir werden unser Bestes tun, um alle Ihre Fragen zu beantworten.

Hier kontaktieren