Diese Missverständnisse rund um die Multifaktor-Authentifizierung (MFA) sollten Sie kennen. Wie MFA funktioniert und wie Sie Ihr Unternehmen optimal schützen.
Aktualisiert – 3. März 2025: Benutzername, Passwort, ein Klick – und dann die Bestätigung per Authenticator App: Auch wenn das mehrstufige Anmeldeprozedere zunächst gerne als lästig empfunden wird, gilt es doch längst als unverzichtbar. Hinter dem Vorgang steckt eine wichtige Schutzmaßnahme: die Multifaktor-Authentifizierung (MFA). Auch Microsoft hat Ende 2023 alle Unternehmensaccounts seiner Kunden auf MFA umgestellt. Allzu leicht lassen sich Passwörter ohne MFA knacken, insbesondere durch Social-Engineering-Methoden.
Mittelstand Heute klärt deshalb im Beitrag: Wie funktioniert MFA? Was müssen Unternehmen beachten, wenn sie die Schutzmaßnahme einrichten? Und welche Missverständnisse zum Thema MFA bestehen noch immer? Mittelstand Heute hat die Antworten auf die wichtigsten Fragen rund um die Multifaktor-Authentifizierung, die Unternehmen kennen sollten.
Das Prinzip MFA ist leicht erklärt: Will sich jemand bei einer Anwendung anmelden, verlangt die MFA mehrere Bestätigungsschritte, also nicht nur das Passwort (Ein-Faktor). So müssen User bei der Zwei-Faktor-Authentifizierung (2FA) zusätzlich zum herkömmlichen Passwort einen weiteren Schritt vornehmen – etwa ein Einmalpasswort (OTP) eingeben, sich mit biometrischen Daten ausweisen oder ein bestimmtes physisches Sicherheitsgerät besitzen. Sogar drei Faktoren sind möglich. Diese können aus folgenden Bereichen stammen:
Für Firmen ist der reine Passwortschutz heute zu wenig. Denn Angriffe auf die Wirtschaft erfolgen zunehmend digital, wie die aktuelle Bitkom-Studie zum Wirtschaftsschutz 2024 zeigt. So sehen sich inzwischen zwei Drittel (65 Prozent) der Unternehmen durch Cyberattacken in ihrer Existenz bedroht, 2023 waren es noch 52 Prozent.
Nicht verwunderlich: Denn schon ein einziges Datenleck kann weitreichende Folgen haben. Von Industriespionage über Ransomware bis zum Produktionsstillstand ist alles möglich. Und auch Phishing und Passwortklau sind beliebte Mittel für Hacker. Haben die Cybergangster einmal eine Identität gestohlen, können sie über den Firmenaccount auf das Unternehmensnetzwerk zugreifen. Und ab dann hält sie wenig auf. Schließlich gehen mit den Zugangsdaten umfangreiche Berechtigungen einher.
Die Multifaktor-Authentifizierung erschwert es den Angreifern hier, auf ein System oder eine Anwendung zuzugreifen, selbst wenn sie das Passwort kennen. Gerade für Firmen, die sensible Daten speichern oder verarbeiten, ist sie deshalb ein wichtiger Bestandteil des IT-Sicherheitsmanagements. Sie erhöht sowohl die Sicherheit der Systeme als auch die Integrität der Daten signifikant. Microsoft fand in einer Untersuchung heraus, dass MFA die Effektivität von Identitätsdiebstahl sogar um 99 Prozent verringert.
Im Zusammenhang mit MFA gibt es vor allem im B2B-Kontext noch einige Missverständnisse. Fünf davon sollen hier erklärt werden:
Der Besitzfaktor ist ein Kriterium, über das sich ein Nutzer authentifizieren kann. Doch bei der Multifaktor-Authentifizierung geht es grundsätzlich darum, sich über verschiedene Wege ausweisen zu können. Ein PIN oder Einmalpasswort kann per Mail versandt werden und lässt sich über den PC einsehen. Physische Authentifizierungs-Token müssen ebenfalls nichts mit einem Mobiltelefon zu tun haben.
Welchen Umfang strebt das Unternehmen bei einem MFA-Projekt an? Sollen alle Zugänge zum Firmennetzwerk über eine Multifaktor-Authentifizierung verfügen? In diesem Fall wird der Aufwand dementsprechend hoch sein. Ist es jedoch das Ziel, zuerst die privilegierten Identitäten zu schützen, hält sich die Komplexität des Projekts in Grenzen – und wird trotzdem effektiv sein. Schließlich bergen die privilegierten Zugänge die höchsten Gefahren. Ihre Anwender verfügen über weitreichende Berechtigungen und können auf geschäftskritische Daten und Systeme zugreifen. Dementsprechend kann es bereits ein solider Grundschutz sein, wenn Anwender-Logins mit einer Zwei-Faktor-Authentifizierung gesichert sind.
In Unternehmen herrscht gerne die Ansicht: „Wenn ein Passwort schnell geknackt ist, wie lange kann da ein zweiter Faktor aufhalten?“ Genau hier liegt der Vorteil der MFA: Die Kombination schützt ungleich effektiver als die Summe der einzelnen Faktoren. So erklärt auch Marijn Schuurbiers, Leiter des Europäischen Zentrums für Cyberkriminalität (EC3) von Europol, einen nicht genannten Vorfall, den die Behörde untersucht hat: „Wir haben Untersuchungen durchgeführt, bei denen Ransomware-Kriminelle überwacht wurden. Bei einigen Untersuchungen haben wir gesehen, wie sie versucht haben, sich Zugang zu Unternehmen zu verschaffen – aber sobald sie dabei auf die Zwei-Faktor-Authentifizierung gestoßen sind, haben sie dieses Opfer sofort fallen gelassen und sich dem nächsten zugewandt.“
Stimmt, das ist schließlich der Hintergedanke. Zunächst führt es erst einmal zu Mehraufwand: Der verlorene Faktor muss ersetzt werden. Ein stichhaltiges Argument gegen MFA ist das trotzdem nicht. Verglichen mit einer kompromittierten Firmen-IT ist der Preis verkraftbarer. Der Mehraufwand für eine Wiederbeschaffung lässt sich zudem minimieren, wenn das Unternehmen den Verlust eines Faktors vorab einkalkuliert: schon beim Roll-Out, indem es User Self Services etabliert.
Je mehr Faktoren überprüft werden, desto länger dauert der Login-Vorgang. Für digital weniger versierte Mitarbeiter kann das eine Herausforderung sein. Hier müssen Kosten und Nutzen abgewogen werden. Auf der Kostenseite stehen ein zusätzlicher Schulungsaufwand und unter Umständen überschaubare Produktivitätseinbußen. Abmildern lässt sich dies durch Conditional Access und Single Sign-on (SSO).
Wie MFA funktioniert, hängt von den eingesetzten Faktoren ab – unter den folgenden sechs können Firmen wählen:
MFA mit Microsoft Authenticator App Push ist eine Methode, um sich online sicher zu authentifizieren und den zweiten Faktor für MFA abzubilden. Die App sendet eine Push-Benachrichtigung an das Smartphone des Benutzers, und der Nutzer muss die auf dem Bildschirm erscheinende Zahl in der Authenticator-App eintragen. Diese Methode gehört zu den sichersten MFA-Methoden.
FIDO2 ist ein offener Standard für die Benutzerauthentifizierung, der kryptografische Anmeldeinformationen verwendet, die vor Phishing-Angriffen geschützt sind. FIDO2 kann zum Beispiel mit Hilfe von USB-Sticks oder RFID-Chips zur sicheren Authentifizierung genutzt werden. Diese Methode gehört genauso wie die Push-App-basierte Authentifizierung zu den sichersten MFA-Methoden.
Eine biometrische Authentifizierung nutzt einzigartige körperliche Merkmale, beispielsweise den Fingerabdruck, um die Identität zu bestätigen. Da keine Codes erforderlich sind, erhöht sich die Usability.
Bei dieser Methode kommt eine mobile App zum Einsatz, die einen Einmalcode (OTP) generiert. Der Nutzer muss diesen während des Anmeldevorgangs eingeben. Die App erzeugt fortlaufend neue Codes, was zusätzlich zur Sicherheit beiträgt. Diese Methode lässt sich unter Umständen durch einen Angreifer aushebeln.
Hierbei wird ein physisches Gerät, oft ein Token oder Schlüsselanhänger, verwendet, um den Einmalcode (OTP) zu generieren. Die Hardware sorgt für eine zusätzliche Sicherheitsschranke, da der User den Token physisch präsent haben muss. Diese Methode lässt sich ebenfalls unter Umständen durch einen Angreifer umgehen.
Hierbei bekommt der User eine eindeutige Bestätigungsnummer (OTP/SMS TAN) per SMS auf sein Mobiltelefon. Der erhaltene Code muss während des Anmeldevorgangs eingegeben werden. Dies ist eine einfache und auch die am weitesten verbreitete Methode; sie ist jedoch leider auch die unsicherste und sollte deshalb gemieden werden.
Der Ablauf variiert je nach gewählter Authentifizierungsmethode, grundsätzlich gilt: Nachdem sich der Anwender mit seinen Login-Daten eingewählt hat, muss er einen weiteren Authentifizierungsschritt durchführen. Diese Vorgangsweise hält Angreifer davon ab, einzudringen, selbst wenn sie Benutzernamen und Passwort kennen. MFA ist so eine robuste Verteidigungslinie gegen Cyberattacken.
Multifaktor-Authentifizierung zu implementieren, benötigt einen systemischen Ansatz, der die Sicherheit auf verschiedenen Ebenen gezielt mitdenkt. Im Folgenden finden Sie die fünf wichtigsten Maßnahmen, wenn sie MFA erfolgreich einführen wollen. Nutzen Sie dabei am besten eine Checkliste. So gewährleisten Sie, dass alle wichtigen Schritte abgedeckt sind.
Identifizieren Sie potenzielle Schwachstellen und Bereiche, die Sie durch MFA besser schützen könnten.
Priorisieren Sie kritische Systeme oder Datenbanken, die Sie besonders sichern wollen.
Legen Sie klare Richtlinien fest, wie und wann die Multifaktor-Authentifizierung zum Einsatz kommt.
Klären Sie sie darüber auf, wie sie diese richtig nutzen. Vergessen Sie auch nicht, die Belegschaft für potenzielle Sicherheitsrisiken zu sensibilisieren.
Überprüfen Sie regelmäßig die Funktionalität und etablieren Sie Wartungsverfahren, um mögliche Schwachstellen zu beheben.
Multifaktor-Authentifizierung ist nicht nur eine Option, sondern eine Notwendigkeit. Sie durchbricht die Schwächen herkömmlicher Passwortsicherungen und erhöht dadurch die Sicherheit der Firmennetzwerke und -daten. Trotz verbreiteter Missverständnisse über ihren Nutzen und die vermeintliche Komplexität der Einführung ist sie eine nicht zu unterschätzende Verteidigungslinie – vor allem für eine Zero-Trust-Infrastruktur, in der Misstrauen als Grundprinzip gilt. Jeder Zugriff erfordert hierbei eine klare Authentifizierung – mit MFA gehen Unternehmen den robusten Weg.
Weitere Fragen rund um Multifaktor-Authentifizierung, deren Antworten Sie kennen sollten:
Die Zwei-Faktor-Authentifizierung ist eine Form der Multifaktor-Authentifizierung. Bei der 2FA kommen zwei Faktoren zum Einsatz, bei der MFA zwei oder mehr Faktoren.
Das sind Gegenstände, die zur Authentifizierung von Nutzern dienen: USB-Sticks oder Chipkarten, die ein System zweifelsfrei erkennt. PINs oder Einmalpasswörter, die per Mail oder SMS versendet werden, fallen ebenfalls in diese Gruppe.
Die passwortlose Authentifizierung bietet Benutzern die Möglichkeit, sich selbst zu verifizieren, ohne dass sie sich dabei Passwörter merken oder diese manuell eingeben müssen.
Die zusätzliche Authentifizierung wird bei gewissen Voraussetzungen grundsätzlich erzwungen, beispielsweise bei Auffälligkeiten wie der "impossible travel" (zu Deutsch: "unmögliche Reise"): Meldet sich ein Mitarbeiter normalerweise immer um 9:00 MEZ aus Berlin an, plötzlich jedoch kommt der Log-in-Versuch um 19:00 EDT aus New York, wird der Zugang erst einmal verwehrt und eine weitere Authentifizierung abgefragt.
Mit SSO können sich Nutzer einmal einloggen und sind dann für alle Systeme und Anfragen, für die sie berechtigt sind, authentifiziert.
