Multi-Faktor-Authentifizierung (MFA)
Multi-Faktor-Authentifizierung (MFA) ist ein Sicherheitsverfahren, das den Zugang zu IT-Systemen durch die Kombination von mindestens zwei unabhängigen Identifikationsfaktoren schützt – typischerweise Wissen (Passwort), Besitz (Smartphone) oder biometrische Merkmale (Fingerabdruck).
Ausführliche Erklärung
Die Multi-Faktor-Authentifizierung kombiniert verschiedene Faktorkategorien, um sicherzustellen, dass nur berechtigte Personen Zugang zu Systemen erhalten. Die klassischen Faktoren sind: Wissen (Passwort, PIN), Besitz (Smartphone mit Authenticator-App, Hardware-Token, Smartcard) und Inhärenz (Fingerabdruck, Gesichtserkennung). Selbst wenn ein Angreifer beispielsweise durch Phishing an ein Passwort gelangt, bleibt der Zugriff ohne den zweiten Faktor verwehrt. Eine verbreitete Form ist die Zwei-Faktor-Authentifizierung (2FA), etwa beim Geldabheben: Bankkarte plus PIN.
Für kleine und mittlere Unternehmen ist MFA längst keine Kür mehr, sondern faktischer Standard. Die DSGVO schreibt MFA zwar nicht explizit vor, verlangt jedoch in Art. 32 Abs. 1 angemessene technische Maßnahmen nach dem Stand der Technik. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt MFA ausdrücklich und im Rahmen der NIS-2-Umsetzung ist MFA für betroffene Einrichtungen seit 2026 verpflichtend. Auch Cyberversicherungen setzen MFA zunehmend als Vertragsvoraussetzung voraus.
Die Wahl der Methode hängt vom Schutzbedarf ab. Für die meisten KMU bieten Authenticator-Apps wie Microsoft Authenticator oder Google Authenticator eine gute Balance aus Sicherheit und Benutzerfreundlichkeit. Sie funktionieren offline und sind deutlich sicherer als SMS-Codes, die anfällig für SIM-Swapping sind. Für besonders kritische Konten – etwa Administratorzugänge oder Geschäftsführerkonten – empfehlen Sicherheitsexperten hardwarebasierte FIDO2-Sicherheitsschlüssel, da diese phishing-resistent sind und Angriffe auf gefälschten Anmeldeseiten automatisch erkennen.
Der wichtigste Aspekt bei der Einführung ist die konsequente Durchsetzung: MFA sollte für alle Benutzerkonten gelten, nicht nur für ausgewählte Gruppen. Zugriffe auf E-Mail-Systeme, Cloud-Dienste, VPN-Verbindungen und sensible Daten sollten prioritär abgesichert werden. Gleichzeitig ist Mitarbeiterschulung entscheidend, um Akzeptanz zu schaffen und Angriffsmethoden wie MFA-Fatigue-Attacken vorzubeugen, bei denen Angreifer durch massenhafte Authentifizierungsanfragen Nutzer zum versehentlichen Bestätigen verleiten.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 18 Mitarbeiterinnen in Linz führt MFA für den Zugriff auf Microsoft 365 und ihr Kanzleisoftware-System ein. Nach einer kurzen Schulung installieren alle Mitarbeitenden die Microsoft Authenticator App auf ihren Smartphones. Bei der Anmeldung geben sie zunächst ihr Passwort ein und bestätigen dann per App-Code den Zugriff. Die drei Geschäftsführer erhalten zusätzlich FIDO2-Hardware-Schlüssel für administrative Zugriffe.
Code-Beispiel
// Beispiel: MFA-Prüfung mit TOTP (Time-based One-Time Password)
import pyotp
# Geheimer Schlüssel (wird bei Einrichtung generiert)
secret = "JBSWY3DPEHPK3PXP"
# TOTP-Generator initialisieren
totp = pyotp.TOTP(secret)
# Aktuellen 6-stelligen Code generieren
current_code = totp.now()
print(f"Aktueller Code: {current_code}")
# Benutzereingabe verifizieren
user_input = "123456"
if totp.verify(user_input):
print("✓ MFA erfolgreich")
else:
print("✗ Ungültiger Code")