Brain-Media.de/Compliance-Lexikon/MFA/Praxis
Ebene 1 · DefinitionEbene 2 · PraxisEbene 3 · Strategie

Compliance-Lexikon · Praxis

MFA – Praxis

MFA ist im Audit ein Standard-Pruefpunkt -- und gleichzeitig einer der haeufigsten Befundpunkte, weil Ausnahmen nicht dokumentiert, Abdeckung nicht vollstaendig oder Faktoren zu schwach sind. Was Auditoren wirklich pruefen, zeigt dieser Abschnitt.

Was Auditoren konkret pruefen

Bei einer Pruefung von MFA fragt der Auditor nicht nach dem Vorhandensein einer Richtlinie, sondern nach dem Nachweis der Wirksamkeit. Das BAM-Objekt CROSS-MF-01 definiert im Evidence-Feld, was konkret vorgelegt werden muss.

BAM-Objekt · Praxis CROSS-MF-01
Gap-CheckLiegt ein datierter, vollstaendiger Nachweis der Wirksamkeit vor?
RemediationDokumentierter Prozess mit Eigentuemerverantwortung und Aktualisierungsnachweis
EvidenceDatiertes Protokoll oder Systemauszug mit Zeitstempel, Scope und Verantwortlichem -- mindestens jaehrlich.

Haeufige Fehler

  • MFA fuer Standardbenutzer, aber nicht fuer privilegierte Accounts
  • Ausnahmen ohne schriftliche Risikoakzeptanz
  • SMS-OTP als einziger zweiter Faktor
  • Keine MFA fuer externe Cloud-Dienste und SaaS-Anwendungen

Praxis-Tipp

Fuer MFA gilt: Auditoren pruefen die Luecken, nicht den Normalfall. Eine vollstaendige Liste aller Systeme mit MFA-Status und eine dokumentierte Risikoakzeptanz fuer Ausnahmen sind staerker als eine MFA-Richtlinie ohne Abdeckungsnachweis.

Umsetzung Schritt fuer Schritt

Erster Schritt: Inventar aller Systeme und Dienste mit Authentifizierungsanforderungen anlegen. Zweiter Schritt: Priorisierung nach Risiko -- privilegierte Accounts und Fernzugang zuerst. Dritter Schritt: MFA-Loesung auswaehlen und ausrollen -- fuer hochprivilegierte Zugriffe FIDO2-Hardware-Token, fuer Standardbenutzer TOTP-App. Vierter Schritt: Ausnahmen dokumentieren und mit Risikoakzeptanz versehen. Fuenfter Schritt: Regelmaessige Pruefung der Abdeckung und der eingesetzten Faktorstaerken.

Evidence-Anforderungen im Audit

Der Auditor erwartet: die datierte MFA-Richtlinie, ein Inventar aller Systeme mit MFA-Status, Konfigurationsauszuege aus dem Identity-Provider, eine Liste aller MFA-Ausnahmen mit Begruendung und Risikoakzeptanz sowie Nachweise der letzten Abdeckungspruefung.

Naechster Schritt

NIS-2-Stresstest starten

Kostenloser Compliance-Stresstest auf Basis der BAM-Objekte -- unverbindlich, 20 Minuten.

Die strategische Einordnung -- warum MFA langfristig mehr als ein Compliance-Pflichtprogramm ist -- findet sich auf Ebene 3.

Compliance läuft. Oder sie läuft nicht.

Testen Sie kostenlos, wo Ihre Compliance heute steht.

Stresstest starten Whitepaper