Zum Hauptinhalt springen
Informationssicherheit / NIS2

Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung (MFA) ist ein Verfahren, bei dem die Identität einer Person durch mindestens zwei unabhängige Faktoren aus verschiedenen Kategorien (Wissen, Besitz, Inhärenz) nachgewiesen wird.

Die Multi-Faktor-Authentifizierung (MFA) ist ein Sicherheitsverfahren, bei dem ein Zugang erst gewährt wird, wenn eine Person ihre Identität durch mindestens zwei voneinander unabhängige Faktoren belegt. Diese Faktoren stammen aus unterschiedlichen Kategorien: Wissen (z. B. Passwort oder PIN), Besitz (z. B. Smartphone, Hardware-Token oder Smartcard) und Inhärenz (z. B. Fingerabdruck, Gesichts- oder Iriserkennung). Erst die Kombination unabhängiger Faktoren erschwert es Angreifern, sich Zugang zu verschaffen, da der Diebstahl eines einzelnen Faktors nicht mehr ausreicht.

MFA gilt als eine der wirksamsten Maßnahmen gegen Identitätsdiebstahl, Phishing und kompromittierte Zugangsdaten. Mit der NIS2-Richtlinie und ihrer nationalen Umsetzung gewinnt MFA zusätzlich an Bedeutung: Sie ist ausdrücklich als technische Mindestmaßnahme zur Risikobehandlung vorgesehen. Betroffene Einrichtungen müssen MFA oder kontinuierliche Authentifizierungslösungen insbesondere für den Fernzugriff, für privilegierte Konten und für geschäftskritische Systeme einsetzen. Auch der BSI IT-Grundschutz und die ISO/IEC 27001 fordern eine starke Authentifizierung als Bestandteil der Zugriffskontrolle.

Bei der Umsetzung ist die Qualität der Faktoren entscheidend: Phishing-resistente Verfahren wie FIDO2/WebAuthn oder Hardware-Sicherheitsschlüssel bieten ein deutlich höheres Schutzniveau als SMS-basierte Einmalpasswörter, die durch SIM-Swapping oder Abfangen kompromittiert werden können. MFA sollte zudem in ein übergreifendes Identity-and-Access-Management eingebettet, risikobasiert ausgesteuert und durch klare Notfall- und Wiederherstellungsprozesse für verlorene Faktoren ergänzt werden. Die Geschäftsleitung trägt nach NIS2 die Verantwortung dafür, dass solche Maßnahmen wirksam umgesetzt und überwacht werden.

Rechtliche Grundlage

Art. 21 Abs. 2 lit. j NIS2-Richtlinie (EU) 2022/2555; ISO/IEC 27001 (A.5.17, A.8.5); BSI IT-Grundschutz (ORP.4, IDM)

Praxisbeispiel

Eine als besonders wichtige Einrichtung eingestufte Maschinenbau-GmbH stellt im Rahmen der NIS2-Betroffenheitsprüfung fest, dass Administratoren bisher nur mit Passwort auf die Fernwartungszugänge der Produktionssteuerung zugreifen. Der Informationssicherheitsbeauftragte führt phishing-resistente MFA per FIDO2-Sicherheitsschlüssel für alle privilegierten Konten und VPN-Zugänge ein, hinterlegt einen Ersatzschlüssel im Tresor und dokumentiert die Maßnahme im Statement of Applicability. Bei der nächsten internen Prüfung dient das Protokoll als Nachweis, dass die nach Art. 21 NIS2 geforderte starke Authentifizierung umgesetzt ist.

Häufige Fragen

Ja. Artikel 21 Abs. 2 lit. j der NIS2-Richtlinie nennt den Einsatz von Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierungslösungen ausdrücklich als Risikomanagementmaßnahme. Besonders wichtige und wichtige Einrichtungen müssen MFA insbesondere für Fernzugriff und privilegierte Konten umsetzen.
Unabhängige Faktoren stammen aus verschiedenen Kategorien: Wissen (Passwort, PIN), Besitz (Token, Smartphone, Smartcard) und Inhärenz (biometrische Merkmale). Zwei Passwörter sind kein MFA, da beide aus derselben Kategorie stammen und nicht unabhängig voneinander kompromittiert werden.
Phishing-resistente Verfahren wie FIDO2/WebAuthn oder Hardware-Sicherheitsschlüssel bieten das höchste Schutzniveau. SMS- oder E-Mail-basierte Einmalpasswörter sind anfälliger für SIM-Swapping und Abfangen und sollten nur als Übergangslösung oder für Konten mit niedrigem Schutzbedarf eingesetzt werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

NIS-2-Richtlinie Identity- und Access-Management Zugriffskontrolle Privileged-Access-Management Phishing
Zurück zum Glossar