NIS-2: Mehrfaktorauthentifizierung – Mehr Sicherheit beim Zugang

Nur ein Passwort reicht heute für viele Zugänge nicht mehr aus. Das ist keine Panikmache, sondern seit Jahren gelebte Realität. NIST nennt die Aktivierung von MFA auf allen Konten, die es unterstützen, ausdrücklich essentiell, um Cyberrisiken zu reduzieren. CISA formuliert es noch direkter: MFA ist ein starker Schutzmechanismus, der Daten und Anwendungen durch eine zusätzliche Verifizierungsschicht absichert.

Die kurze Antwort

Mehrfaktorauthentifizierung bedeutet, dass sich eine Person nicht nur mit einem Passwort anmeldet, sondern mit mindestens einem weiteren Faktor. Das kann zum Beispiel ein Sicherheitsschlüssel, eine Authenticator-App oder ein biometrisches Merkmal sein. Das BSI empfiehlt die Umsetzung von MFA mit geeigneten Wissens- und Besitzfaktoren. Gleichzeitig weisen NIST und CISA darauf hin, dass nicht jede Form von MFA gleich stark ist: SMS-Codes und einfache Einmalcodes sind besser als gar nichts, aber deutlich schwächer als phishing-resistente Verfahren.

Was MFA eigentlich ist

Mehrfaktorauthentifizierung kombiniert mehrere unterschiedliche Nachweise der Identität. Klassisch sind das drei Arten von Faktoren: etwas, das Sie wissen, etwas, das Sie besitzen, und etwas, das Sie sind. Es geht um zwei oder mehr solcher Nachweise, um die Identität beim Login zu prüfen. Das BSI spricht im NIS-2-Kontext von Multi-Faktor-Authentisierung unter Nutzung geeigneter Wissens- und Besitzfaktoren.

Warum ein Passwort allein zu wenig ist

Ein Passwort kann gestohlen, erraten, wiederverwendet oder über Phishing abgegriffen werden. Genau deshalb reduziert ein zweiter Faktor das Risiko deutlich. MDA ist ein starker Schutz, Konten sind so erheblich besser abgesichert

Der häufigste Denkfehler

Der häufigste Denkfehler lautet: "Wir haben doch gute Passwörter, das reicht."

Das ist zu kurz gedacht. Gute Passwörter bleiben wichtig, aber sie lösen das Grundproblem nicht: Wenn ein Passwort trotzdem in falsche Hände gerät, ist der Zugang offen. Genau deshalb sollte MFA immer aktiviert werden, wenn der Dienst das unterstützt.

Nicht jede MFA ist gleich gut

Das ist ein wichtiger Punkt. Viele Unternehmen denken bei MFA automatisch: Hauptsache irgendein zweiter Faktor.

Aber: manche MFA-Verfahren sind anfälliger für Phishing sind als andere. Besonders SMS-Codes und klassische One-Time-Passwords können über Phishing-Kampagnen oder Umleitungsangriffe abgefangen werden. NIST nennt FIDO-Authentifikatoren in Verbindung mit WebAuthn als die heute am weitesten verbreitete Form phishing-resistenter Authentifikatoren.

Was in der Praxis oft gut funktioniert

Für viele Unternehmen ist ein pragmatischer Einstieg sinnvoll:

• MFA für E-Mail-Konten;
• MFA für VPN- und Remote-Zugänge;
• MFA für Cloud-Dienste wie Microsoft 365 oder Google Workspace;
• MFA für Admin-Zugänge;
• MFA für sensible Fachanwendungen.

Das ist kein Zufall. Gerade E-Mail und administrative Konten sind oft besonders attraktive Angriffsziele. Das BSI hebt im NIS-2-Infopaket MFA und gesicherte Kommunikation als eigenständiges Handlungsfeld hervor. CISA empfiehlt Unternehmen ebenfalls ausdrücklich, MFA breit einzuführen und vor allem für geschäftskritische Konten verbindlich zu machen.

Am stärksten: phishing-resistente Verfahren

Wenn es um besonders sensible oder privilegierte Zugänge geht, reicht "irgendeine MFA" oft nicht mehr aus. Wichtig hier: FIDO-basierte Authentifikatoren sind klar die phishing-resistentere Methode. Das können separate Hardware-Keys sein oder integrierte Plattform-Authentifikatoren auf Smartphone oder Laptop. Wer also wirklich robuste MFA will, sollte nicht bei SMS oder simplen TOTP-Codes stehenbleiben, sondern prüfen, wo phishing-resistente Verfahren sinnvoll und machbar sind.

MFA ist kein Freifahrtschein

MFA ist stark, aber nicht magisch. Sie ersetzt keine saubere Benutzerverwaltung, keine vernünftigen Berechtigungen und keine Aufräumarbeit bei Alt-Konten. MFA ist eine zusätzliche Schutzschicht, keiune Komplettlösung. Genau deshalb ist MFA am stärksten, wenn sie mit sauberem Zugriffsmanagement, starken Passwörtern und einer sinnvollen Trennung privilegierter Konten zusammenkommt.

Was bei der Einführung oft vergessen wird

Die technische Aktivierung ist nur ein Teil. In der Praxis brauchen Unternehmen auch Antworten auf diese Fragen:

• Welche Konten bekommen zuerst MFA?
• Welche Verfahren sind für welche Rollen geeignet?
• Wie läuft der Fallback, wenn ein Mitarbeiter sein Gerät verliert?
• Wie werden neue Geräte registriert?
• Wer darf Ausnahmen genehmigen?

Organisationen müssen selbst (auf Grundlage ihrer Anforderungen und am besten risikobasiert) entscheiden, wie sie MFA oder kontinuierliche Authentifizierung am besten umsetzen. Das zeigt: Es geht nicht nur um Technik, sondern auch um eine klare Einbettung in Prozesse.

Der Nutzer muss mitgenommen werden

MFA scheitert selten am Grundprinzip, aber oft an schlampiger Einführung. Wenn Mitarbeiter nicht wissen, warum sie MFA nutzen sollen, wie sie funktioniert oder was bei Verlust eines Geräts zu tun ist, steigt Frust statt Sicherheit.

Was will der Auditor sehen?

Ein Auditor will in der Regel nicht nur hören: "Wir haben MFA irgendwo aktiviert." Er will erkennen, dass klar geregelt ist, für welche Zugänge MFA verpflichtend ist, welche Verfahren eingesetzt werden, wie Ausnahmen behandelt werden und wie die Umsetzung nachvollziehbar gesteuert wird. Im NIS-2-Kontext hat das BSI MFA ausdrücklich als relevanten Maßnahmenbereich hervorgehoben. Ein sauber geregelter, wirklich genutzter MFA-Ansatz wirkt hier deutlich stärker als eine lose Behauptung.

FAQ

Interesse geweckt?

Wenn Sie MFA in Ihrem Unternehmen so einführen wollen, dass sie im Alltag funktioniert und nicht nur auf dem Papier gut aussieht, dann lassen Sie uns sprechen oder schreiben Sie uns etwas gleich hier rechts unten auf der Seite in den Chat!