Multi-Faktor-Authentifizierung
Authentifizierungsverfahren, das mindestens zwei unabhängige Faktoren kombiniert, um die Identität eines Nutzers zu verifizieren.
Multi-Faktor-Authentifizierung (MFA) ist ein Sicherheitsverfahren, bei dem ein Nutzer seine Identität durch mindestens zwei voneinander unabhängige Faktoren nachweisen muss. Im Gegensatz zur klassischen Anmeldung nur mit Benutzername und Passwort schließt MFA den häufigsten Angriffsvektor — kompromittierte Zugangsdaten — erheblich. Laut Microsoft blockiert MFA über 99,9 % aller automatisierten Angriffe auf Konten.
Die drei Faktor-Kategorien
MFA kombiniert Faktoren aus mindestens zwei der folgenden Kategorien: Wissen (etwas, das der Nutzer kennt — Passwort, PIN), Besitz (etwas, das der Nutzer hat — Smartphone, Hardware-Token, Smartcard) und Inhärenz (etwas, das der Nutzer ist — Fingerabdruck, Gesichtserkennung, Iris-Scan). Entscheidend ist, dass die Faktoren aus unterschiedlichen Kategorien stammen. Zwei Passwörter hintereinander sind kein MFA, da beide in die Kategorie Wissen fallen.
MFA-Methoden im Vergleich
| Methode | Faktor | Phishing-resistent | Praxistauglichkeit |
|---|---|---|---|
| SMS-Code (OTP) | Besitz | Nein — anfällig für SIM-Swapping und SS7-Abfang | Hoch, aber unsicher |
| Authenticator-App (TOTP) | Besitz | Nein — Codes können über Echtzeit-Phishing-Proxys abgefangen werden | Gut, weit verbreitet |
| Push-Benachrichtigung | Besitz | Eingeschränkt — anfällig für MFA-Fatigue-Angriffe | Gut, sofern Number Matching aktiv |
| FIDO2/WebAuthn (Passkey) | Besitz + ggf. Inhärenz | Ja — kryptografisch an die Domain gebunden | Sehr gut, wachsende Verbreitung |
| Hardware-Token (YubiKey) | Besitz | Ja — physischer Schlüssel, kein übertragbares Geheimnis | Gut, erfordert Logistik |
FIDO2/WebAuthn ist der einzige Ansatz, der Phishing auf Protokollebene verhindert, da die Authentifizierung kryptografisch an die Domain des Dienstes gebunden ist. Ein gefälschter Login-Server kann die Challenge nicht weiterleiten.
Angriffe auf MFA
MFA ist kein Allheilmittel. Angreifer haben Techniken entwickelt, die bestimmte MFA-Methoden gezielt umgehen. Echtzeit-Phishing-Proxys (Adversary-in-the-Middle) leiten Anmeldedaten und TOTP-Codes in Echtzeit an den echten Dienst weiter und kapern die resultierende Session. MFA-Fatigue-Angriffe bombardieren den Nutzer mit Push-Benachrichtigungen, bis dieser genervt bestätigt — Number Matching in Microsoft Entra ID oder Duo entschärft diesen Vektor. SIM-Swapping überträgt die Mobilfunknummer des Opfers auf eine neue SIM-Karte und fängt SMS-basierte Codes ab. Gegen all diese Angriffe schützt nur phishing-resistentes MFA auf Basis von FIDO2.
MFA und Zero Trust
In einer Zero-Trust-Architektur ist MFA keine optionale Ergänzung, sondern eine Grundvoraussetzung. Conditional-Access-Richtlinien in Microsoft Entra ID verknüpfen MFA mit zusätzlichen Signalen: Geräte-Compliance, Standort, Risikobewertung und Anwendungssensitivität. So kann für den Zugriff auf unkritische Anwendungen vom verwalteten Gerät eine einfache MFA-Abfrage genügen, während der Zugriff auf Tier-0-Ressourcen ein phishing-resistentes Token erfordert. IAM und PAM setzen MFA als zentrale Kontrollschicht ein.
Relevanz für KMUs
Wir finden in Assessments regelmäßig, dass MFA zwar für Administratoren aktiviert ist, aber nicht für alle Nutzer — oder dass SMS als zweiter Faktor im Einsatz ist, obwohl sicherere Alternativen verfügbar wären. Der wichtigste erste Schritt ist die Aktivierung von MFA für sämtliche Konten, nicht nur für privilegierte Zugänge. In der Praxis lässt sich das in Microsoft-365-Umgebungen über Entra ID Security Defaults mit wenigen Klicks umsetzen. Für Organisationen, die den nächsten Schritt gehen wollen, ist die Migration auf FIDO2-Passkeys oder Hardware-Token die wirksamste Maßnahme gegen modernes Phishing.