Ein Login ist heute viel mehr als Benutzername plus Passwort.
Die ISO 27001 fordert explizit technisch sichere Anmeldeverfahren in der Anforderung A.8.5 - aber auch organisatorisch in den Anforderungen A.5.15, A.5.16 und A.5.17.
Wer Anwendungen, Dienste oder Admin-Zugänge sauber absichern will, muss sich überlegen, wie sich Nutzer zuverlässig anmelden, wie Angriffe erschwert werden und wie das Ganze trotzdem benutzbar bleibt. Genau daran scheitern viele Lösungen: technisch irgendwie sicher, aber im Alltag frustrierend zu benutzen. Oder bequem - aber zu leicht anzugreifen.
Die kurze Antwort
Ein gutes Anmeldeverfahren hat heute meistens diese Eigenschaften:
- es verlässt sich nicht nur auf ein Passwort,
- es nutzt starke oder möglichst phishing-resistente Faktoren,
- es verrät bei Fehlern nicht unnötig viel,
- es erkennt auffällige Login-Muster,
- und es bietet sinnvolle Fallbacks, wenn ein Verfahren einmal nicht funktioniert.
Genau darin liegt der Unterschied zwischen "Login funktioniert irgendwie" und "Login ist wirklich sauber gebaut".
Passwort allein ist heute zu wenig
Dass reine Passwortlösungen für hochsensible Zugänge nicht mehr ausreichen, ist keine steile These mehr, sondern schlicht die praktische Realität. Passwörter können wiederverwendet, erraten, abgephisht oder aus Datenlecks missbraucht werden. Mehrstufige Verfahren sind deshalb der vernünftige Standard, und starke Varianten wie Sicherheitsschlüssel oder Passkeys sind klassischen schwächeren zweiten Faktoren inzwischen deutlich überlegen.
Für viele Anwendungen ist die richtige Denke deshalb nicht:
Brauchen wir MFA überhaupt?
Sondern eher:
Welche Form von MFA oder passwortloser Anmeldung passt hier wirklich?
Die beste Richtung: phishing-resistent statt nur "auch noch ein zweiter Faktor"
Nicht jede MFA ist gleich gut.
OTP per SMS oder einfache Push-Bestätigungen sind besser als gar nichts, aber sie sind nicht die stärkste Lösung. Für besonders sensible Zugänge sind heute phishing-resistente Verfahren die bessere Richtung. Dazu gehören vor allem Sicherheitsschlüssel und moderne passkey-basierte Anmeldungen. Passkeys ersetzen Passwörter durch kryptografische Schlüssel, sind phishing-resistent und verbessern oft sogar die Nutzererfahrung, weil sie schneller und fehlerärmer funktionieren.
Das ist der wichtige Punkt: Mehr Sicherheit muss nicht automatisch mehr Frust bedeuten.
Passkeys und Security Keys sind oft die bessere Antwort
Viele Unternehmen denken bei sicherem Login noch zuerst an Passwort plus App-Token. Das funktioniert, ist aber nicht immer die beste Endstufe.
Passkeys sind heute interessant, weil sie drei Dinge gleichzeitig verbessern können:
- sie machen Passwortdiebstahl unattraktiver,
- sie senken Phishing-Risiken,
- und sie können den Login für Nutzer spürbar vereinfachen.
Für Admin-Zugänge oder andere besonders kritische Bereiche sind Hardware-Sicherheitsschlüssel oft weiterhin eine sehr starke Lösung. Für breitere Benutzergruppen können Passkeys eine sehr gute Richtung sein, wenn Plattform und Anwendungen das sauber unterstützen.
Gute Authentifizierung braucht immer einen Fallback
Biometrie funktioniert nicht immer. Geräte gehen verloren. Nutzer sitzen offline. Ein neues Gerät ist noch nicht eingerichtet. Genau deshalb braucht ein sauberes Anmeldeverfahren immer einen durchdachten Fallback.
Sinnvoll sind zum Beispiel:
- Backup-Codes,
- Offline-fähige Authenticator-Apps,
- alternative starke Anmeldewege für Ausnahmefälle.
Schwächere Verfahren wie SMS sollte man nicht als Lieblingslösung bauen, sondern eher als Notnagel betrachten, wenn nichts Besseres praktikabel ist.
Gute Benutzerführung verrät Angreifern nicht zu viel
Ein häufiger Fehler steckt nicht in der Kryptografie, sondern in der Oberfläche.
Wenn ein Login klar sagt:
- "Benutzer existiert nicht";
- "Passwort falsch";
- "Konto gesperrt";
dann hilft das nicht nur ehrlichen Nutzern, sondern oft auch Angreifern. Genau deshalb sollten Fehlermeldungen beim Login generisch bleiben. Eine Anwendung sollte bei fehlgeschlagenen Anmeldungen möglichst gleichförmig reagieren, statt Rückschlüsse auf Benutzername, Passwort oder Kontostatus zu erlauben.
Ein sicherer Login muss auch Angriffe erkennen können
Es reicht nicht, den Zugang technisch stark zu machen. Sie müssen auch merken, wenn etwas auffällig läuft.
Sinnvoll ist deshalb:
- erfolgreiche und fehlgeschlagene Logins protokollieren,
- auffällige Muster erkennen,
- bei ungewöhnlich vielen Fehlversuchen reagieren,
- und sicherheitsrelevante Login-Ereignisse sichtbar machen.
Normale Nutzer und Admins sollten nicht gleich behandelt werden
Nicht jeder Zugang braucht dieselbe Regelung. Interne Standardanwendungen mit geringem Risiko dürfen benutzbar bleiben. Hochkritische Admin-Zugänge, Remote-Zugriffe oder besonders sensible Anwendungen sollten dagegen deutlich strenger abgesichert werden.
Das bedeutet in der Praxis:
- für normale Nutzer eine starke, aber "reibungsarme" Anmeldung,
- für privilegierte Konten höhere Anforderungen,
- und für besonders kritische Systeme noch einmal strengere Leitplanken.
Genau diese risikobasierte Abstufung macht den Unterschied zwischen pragmatischer Sicherheit und blindem Gießkannenprinzip.
Sitzungen gehören mit zur sicheren Anmeldung
Login-Sicherheit endet nicht im Moment der Anmeldung.
Wenn Sitzungen endlos offen bleiben, schwächt das auch ein gutes Login. Deshalb sind je nach Risiko zusätzliche Schutzmechanismen sinnvoll, zum Beispiel:
- automatische Abmeldung bei Inaktivität,
- begrenzte Sitzungsdauer,
- zusätzliche Prüfungen bei besonders sensiblen Aktionen,
- oder Einschränkungen nach Standort, Zeitfenster oder Kontext.
Das muss nicht überall maximal streng sein. Aber es sollte bewusst entschieden werden und zum Risiko der jeweiligen Anwendung passen.
Der häufigste Fehler: Alles technisch denken, aber den Nutzer vergessen
Viele Anmeldeverfahren scheitern nicht daran, dass sie zu schwach sind, sondern daran, dass sie schlecht eingeführt werden.
Dann erleben Nutzer:
- zu viele Medienbrüche,
- unklare Fallbacks,
- unnötige Sperren oder
- verwirrende Fehlermeldungen.
Das Ergebnis ist dann meist vorhersehbar: Umgehung, Supportaufwand, Frust und am Ende wieder Sicherheitsausnahmen. Gute Authentifizierung ist deshalb immer auch gute Produktentscheidung und nicht nur Sicherheitsentscheidung. Dass Passkeys oft zugleich sicherer und schneller sein können, passt genau in diese Richtung.
FAQ
Für viele sensible Anwendungen und Unternehmenszugänge nein. Ein Passwort allein ist heute meist nicht mehr die richtige Endstufe. Mehrstufige oder passwortlose Verfahren sind deutlich robuster.
Das kommt auf den Anwendungsfall an. Moderne passwortlose Verfahren wie Passkeys können sowohl sicherer als auch benutzerfreundlicher sein. Für viele kritische Zugänge sind sie heute eine sehr starke Richtung.
Als Übergang oder Fallback kann das vorkommen. Als bevorzugte Hauptlösung für kritische Zugänge ist es heute eher schwach im Vergleich zu stärkeren, phishing-resistenten Verfahren.
Weil zu genaue Fehlermeldungen bei der Benutzer- oder Kontenerkennung helfen können. Gute Login-Antworten bleiben deshalb generisch.
Sinnvolle Fallbacks, Logging, Erkennung auffälliger Login-Muster, angemessene Sitzungsregeln und eine risikobasierte Abstufung zwischen normalen und privilegierten Zugängen.
Strengere Anforderungen als bei normalen Nutzern: starke oder phishing-resistente Faktoren, klare Trennung von Standard- und Adminzugang sowie mehr Überwachung. Das ergibt sich schon aus der höheren Kritikalität solcher Konten.
Unser Tipp
Sichere Anmeldung heißt heute nicht mehr einfach: Passwort und los geht's. Ein sauberes Anmeldeverfahren kombiniert starke Faktoren, gute Benutzerführung, sinnvolle Fallbacks, Login-Überwachung und eine klare Risikologik. Wenn das gut gemacht ist, wird der Zugang nicht nur sicherer, sondern oft auch angenehmer zu benutzen. Genau das sollte das Ziel sein.
Interesse geweckt?
Wenn Sie Ihre Anmeldeverfahren im Rahmen einer ISO 27001-Vorbereitung so aufbauen oder überarbeiten wollen, dass sie sicher sind, ohne Nutzer unnötig zu nerven, sprechen Sie mit uns oder schreiben uns etwas gleich hier rechts unten auf der Seite in den Chat!