MFA
MFA (Multi-Faktor-Authentifizierung) ist ein Sicherheitsverfahren, bei dem du deine Identitaet durch mindestens zwei unterschiedliche Faktoren nachweisen musst, bevor du Zugriff auf ein System, eine Anwendung oder ein Konto erhaeltst. Anstatt dich nur mit Benutzername und Passwort anzumelden, bestaetigt ein zweiter (oder dritter) Faktor, dass du wirklich derjenige bist, der du vorgibst zu sein.
Das Grundprinzip ist einfach: Selbst wenn ein Angreifer dein Passwort stiehlt - etwa durch Phishing oder ein Datenleck - kann er sich ohne den zweiten Faktor nicht anmelden. Laut Microsoft kann MFA bis zu 99,9 Prozent aller identitaetsbasierten Angriffe verhindern. Deshalb ist MFA heute in Unternehmen nicht nur eine Empfehlung, sondern oft eine Pflicht - besonders durch Vorschriften wie die NIS2-Richtlinie der EU.
Die drei Faktorkategorien
MFA kombiniert Faktoren aus unterschiedlichen Kategorien, um die Sicherheit zu erhoehen. Die drei Hauptkategorien sind:
| Kategorie | Beschreibung | Beispiele |
|---|---|---|
| Wissen | Etwas, das nur du kennst | Passwort, PIN, Sicherheitsfrage |
| Besitz | Etwas, das nur du hast | Smartphone, Hardware-Token (YubiKey), Smartcard |
| Biometrie | Etwas, das du bist | Fingerabdruck, Gesichtserkennung, Iris-Scan |
Wichtig: Fuer echte MFA muessen die Faktoren aus verschiedenen Kategorien stammen. Zwei Passwoerter (beide aus der Kategorie Wissen) waeren keine echte Multi-Faktor-Authentifizierung, da beide auf die gleiche Weise kompromittiert werden koennten.
Gaengige MFA-Methoden
TOTP (Time-based One-Time Password)
TOTP ist die am weitesten verbreitete Methode fuer App-basierte Authentifizierung. Eine Authenticator-App wie Google Authenticator oder Microsoft Authenticator generiert alle 30 Sekunden einen neuen sechsstelligen Code basierend auf einem geheimen Schluessel und der aktuellen Uhrzeit. Der Server berechnet den gleichen Code und vergleicht ihn mit deiner Eingabe.
Der Vorteil: TOTP funktioniert offline und benoetigt keine Internetverbindung auf dem Smartphone. Die Codes sind nur kurze Zeit gueltig, was die Sicherheit erhoeht.
Push-Benachrichtigungen
Bei dieser Methode erhaeltst du eine Benachrichtigung auf deinem Smartphone, wenn jemand versucht, sich in dein Konto einzuloggen. Du siehst Details wie Standort und Geraet des Anmeldeversuchs und kannst diesen bestaetigen oder ablehnen. Moderne Implementierungen wie Microsoft Authenticator verwenden zusaetzlich einen Nummernabgleich: Du musst eine auf dem Anmeldebildschirm angezeigte Zahl in der App eingeben, was Phishing erschwert.
SMS-Codes
SMS-basierte Einmalcodes waren lange der Standard, gelten heute aber als unsicher. Das Problem: SMS-Nachrichten koennen durch SIM-Swapping abgefangen werden. Dabei ueberzeugt ein Angreifer den Mobilfunkanbieter, die Telefonnummer des Opfers auf eine neue SIM-Karte zu uebertragen. Behoerden wie die CISA (US-Cybersicherheitsbehoerde) raten daher von SMS-basierter MFA ab. Trotzdem ist SMS-MFA immer noch besser als gar keine MFA.
Hardware-Token und FIDO2
Hardware-Sicherheitsschluessel wie der YubiKey gelten als sicherste MFA-Methode. Sie basieren auf dem FIDO2-Standard, der asymmetrische Kryptografie verwendet: Fuer jede Website wird ein eindeutiges Schluesselpaar erzeugt. Der private Schluessel verlässt niemals das Geraet und wird nie auf einem Server gespeichert.
Der grosse Vorteil: FIDO2 ist phishing-resistent. Der Hardware-Token prueft automatisch, ob er mit der echten Domain kommuniziert. Eine gefaelschte Phishing-Website kann den Token nicht austricksen, selbst wenn sie optisch identisch aussieht.
2FA vs. MFA
Die Begriffe werden oft verwechselt: 2FA (Zwei-Faktor-Authentifizierung) bedeutet genau zwei Faktoren. MFA ist der Oberbegriff fuer zwei oder mehr Faktoren. Jede 2FA ist also MFA, aber nicht jede MFA ist 2FA - ein System mit drei Faktoren waere MFA, aber nicht 2FA.
Passkeys - die Zukunft der Authentifizierung
Passkeys sind eine Weiterentwicklung von FIDO2 und sollen Passwoerter langfristig ersetzen. Ein Passkey ist ein kryptografischer Schluessel, der auf deinem Geraet gespeichert wird. Zur Authentifizierung entsperrst du ihn mit Biometrie (Fingerabdruck, Face ID) oder einer PIN.
Es gibt zwei Varianten: Synced Passkeys werden ueber Cloud-Dienste (iCloud, Google) zwischen deinen Geraeten synchronisiert. Device-bound Passkeys bleiben auf einem einzelnen Geraet und bieten hoechste Sicherheit. Grosse Anbieter wie Apple, Google und Microsoft unterstuetzen Passkeys bereits.
MFA in der Praxis
Als Fachinformatiker fuer Systemintegration wirst du MFA regelmaessig konfigurieren und verwalten. Typische Aufgaben sind die Einrichtung von MFA in Microsoft Entra ID (frueher Azure AD), das Deployment von Hardware-Token an Mitarbeiter und das Troubleshooting bei gesperrten Konten.
Auch Fachinformatiker fuer Anwendungsentwicklung benoetigen MFA-Wissen: Moderne Webanwendungen muessen OAuth 2.0 und OpenID Connect unterstuetzen, um sich in bestehende Identitaetssysteme zu integrieren. Bibliotheken wie Passport.js (Node.js) oder Spring Security (Java) vereinfachen die Implementierung.
Best Practices fuer Unternehmen
- Risikobasierter Ansatz: Externe Zugaenge (VPN, Cloud-Apps) und privilegierte Konten (Admins) haben hoechste Prioritaet
- Phasenweise Einfuehrung: Zuerst externe Zugaenge schuetzen, dann kritische interne Systeme, zuletzt alle Mitarbeiter
- Phishing-resistente Methoden bevorzugen: Hardware-Token und Passkeys vor TOTP, TOTP vor SMS
- Backup-Codes bereitstellen: Fuer den Fall, dass Mitarbeiter ihr MFA-Geraet verlieren
- Mitarbeiterschulung: Benutzer muessen verstehen, warum MFA wichtig ist und wie sie Phishing erkennen
Quellen und weiterfuehrende Links
- Microsoft Learn: Funktionsweise von MFA - Offizielle Microsoft-Dokumentation
- BSI: Zwei-Faktor-Authentisierung - BSI-Empfehlungen fuer Verbraucher
- FIDO Alliance: Passkeys - Offizielle Passkey-Dokumentation
- RFC 6238: TOTP - TOTP-Spezifikation der IETF
- WebAuthn-Spezifikation (W3C) - Offizieller WebAuthn-Standard