MFA – Strategie

MFA wird haeufig als punktuelle technische Massnahme implementiert. Die strategische Dimension ist weiter: In einem Zero-Trust-Modell ist starke Authentifizierung nicht eine Massnahme unter vielen, sondern das Fundament der gesamten Zugriffsarchitektur.

Die strategische Perspektive

MFA ist die einzelne Massnahme mit dem hoechsten Return on Security Investment: Laut CISA verhindert MFA mehr als 99 Prozent der automatisierten Angriffe auf Konten. Trotzdem ist sie in vielen Organisationen nicht vollstaendig ausgerollt. Die strategische Frage ist nicht ob MFA, sondern wie schnell und wie vollstaendig.

MFA und Executable Compliance

Der groesste strategische Hebel liegt in der kontinuierlichen Verifikation der Abdeckung: Statt einmal im Jahr zu pruefen, ob MFA korrekt konfiguriert ist, lassen sich Konfigurationspruefungen ueber Identity-Provider-APIs automatisieren. Das BAM-Objekt CROSS-MF-01 ist der Einstiegspunkt fuer diese Art von Executable Compliance.

Passkeys als Nachfolger klassischer MFA

Die FIDO2-Standard-Familie und Passkeys (Apple, Google, Microsoft) ersetzen Passwort und zweiten Faktor durch einen einzigen phishing-resistenten Schluesselmechanismus. Aus Nutzerperspektive ist das bequemer als Passwort + TOTP. Aus Sicherheitsperspektive ist es staerker: Es gibt keine Credentials, die gestohlen werden koennen. Fuer wesentliche Einrichtungen unter NIS-2 und DORA ist die schrittweise Migration zu Passkeys die empfohlene Langfriststrategie.

MFA in einer Zero-Trust-Architektur

Zero-Trust-Architekturen setzen voraus, dass jeder Zugriff -- unabhaengig von Netzwerkstandort -- authentifiziert, autorisiert und kontinuierlich validiert wird. MFA ist in diesem Modell kein optionaler Zusatz, sondern ein nicht verhandelbares Grundelement. Privileged Access Management (PAM), Identity Governance und MFA bilden in reifen Zero-Trust-Implementierungen eine integrierte Plattform.

Den praktischen Einstieg -- wie MFA konkret fuer ISO 27001, NIS-2 und DORA implementiert wird -- findet sich auf Ebene 2.