Securam Consulting Logo
Kontakt

Das große IT-Security-Glossar

Definition:

Multi-Factor Authentication

Was ist Multi-Factor Authentication?

Multi-Factor Authentication (MFA) ist ein Authentifizierungsverfahren, bei dem mindestens zwei voneinander unabhängige Faktoren erforderlich sind, um den Zugriff auf ein System oder eine Ressource zu gewähren. Diese Faktoren stammen aus verschiedenen Kategorien:

  • Wissensfaktor – etwas, das der Benutzer weiß (z. B. Passwort oder PIN)

  • Besitzfaktor – etwas, das der Benutzer besitzt (z. B. Token, Smartphone, Smartcard)

  • Inhärenzfaktor – etwas, das der Benutzer ist (z. B. Fingerabdruck, Gesichtserkennung)

MFA erhöht die Sicherheit erheblich im Vergleich zur klassischen Ein-Faktor-Authentifizierung. Selbst wenn ein Angreifer ein Passwort erlangt, benötigt er zusätzlich den zweiten (oder dritten) Faktor, was den unautorisierten Zugriff erschwert.

Technischer Aufbau & Varianten

Typische MFA-Formen:

  • Time-based One-Time Password (TOTP):
    Einmalpasswörter basierend auf Uhrzeit, z. B. durch Apps wie Google Authenticator, Microsoft Authenticator, Authy.

  • Push-Benachrichtigung:
    Der Benutzer erhält eine Anfrage auf sein mobiles Gerät und muss diese bestätigen (z. B. Duo Security, Okta Verify).

  • Hardware-Token (U2F/FIDO2):
    USB-basierte Geräte wie YubiKey oder Titan Key ermöglichen hardwarebasierte Authentifizierung.

  • Biometrische Verfahren:
    Gesichtserkennung (Face ID), Fingerabdrucksensoren oder Iriserkennung als zusätzlicher Schutzmechanismus.

  • SMS- & E-Mail-Codes:
    Werden zunehmend als unsicher bewertet, da sie anfällig für SIM-Swapping oder Phishing sind.

Integrationsbeispiele:

  • Login in Unternehmensnetzwerke (z. B. VPN, RDP)

  • Zugriff auf Cloud-Dienste (Microsoft 365, AWS, Google Cloud)

  • Schutz privilegierter Konten (z. B. Admin-Portale, Datenbanken)

Relevanz in der Praxis

MFA ist eine der effektivsten Maßnahmen zur Reduzierung von Identitätsdiebstahl und Kontoübernahmen. Besonders in folgenden Szenarien ist MFA heute unverzichtbar:

  • Remote Work & BYOD: Absicherung von mobilen Arbeitsplätzen

  • Cloud-Zugänge: Absicherung von SaaS-Diensten gegen Credential Stuffing

  • Regulierte Branchen: Umsetzung von PSD2 (starke Kundenauthentifizierung), HIPAA, DSGVO

Die Umsetzung von MFA wird durch Identity-Provider-Plattformen (Azure AD, Okta, Keycloak) stark vereinfacht und lässt sich auch als Bedingung in Conditional Access Policies integrieren.

Standards & regulatorische Anforderungen

  • NIST SP 800-63B: Empfehlungen zu Authentifizierungsfaktoren

  • PSD2: Starke Kundenauthentifizierung im Finanzsektor

  • DSGVO – Art. 32: Risikogerechte Schutzmaßnahmen

  • ISO/IEC 27001 – Annex A.9.4.2: Verwendung starker Authentifizierungsmethoden

  • CIS Controls v8 – Control 6.3: MFA für administrative Zugriffe

Verwandte Begriffe

  • Authentication

  • Identity and Access Management

  • Biometrie

  • TOTP

  • Single Sign-On

  • U2F

  • Conditional Access

  • Passwort-Manager

Beispiel aus der Praxis

Ein E-Commerce-Anbieter führte MFA für alle Mitarbeiter mit Admin-Rechten ein, nachdem ein Phishing-Vorfall zu einem Datenabfluss geführt hatte. Durch den Einsatz von Push-basierten Bestätigungen in Kombination mit Passwort-Änderungen konnte das Unternehmen innerhalb weniger Tage eine deutlich höhere Sicherheitsstufe etablieren. Die Einführung verlief dank zentraler Richtlinien über Azure AD nahezu reibungslos. Seitdem ist kein erfolgreicher unautorisierter Zugriff mehr aufgetreten.

 

zum Glossar