Compliance-Lexikon · Technik
MFA
[ˌem ɛf ˈeɪ] · Multi-Factor Authentication, Mehrfaktorauthentifizierung
Multi-Factor Authentication (MFA) bezeichnet ein Authentifizierungsverfahren, das zwei oder mehr unabhaengige Faktoren aus den Kategorien Wissen (Passwort), Besitz (Token, Smartphone) und Inhaerenzeigenschaft (Biometrie) kombiniert -- um sicherzustellen, dass die Kompromittierung eines einzelnen Faktors nicht ausreicht, um unbefugten Zugriff zu ermoeglichen.
Warum MFA wichtig ist
Kompromittierte Zugangsdaten sind die haeufigste Ursache von Sicherheitsvorfaellen -- laut Verizon Data Breach Investigations Report in mehr als 80 Prozent der Faelle beteiligt. MFA reduziert dieses Risiko drastisch: Ein gestohlenes Passwort allein reicht nicht mehr fuer unbefugten Zugriff. Auditoren pruefen MFA heute als Mindeststandard fuer privilegierte Accounts und Fernzugang.
Wo MFA gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| ISO 27001:2022 | A.8.5 | Sichere Authentifizierung: MFA fuer privilegierten Zugriff und Fernzugang als bevorzugte Massnahme. |
| NIS-2 / BSIG | § 30 Abs. 2b | Authentifizierungsmassnahmen als technische Schutzmassnahme -- MFA fuer wesentliche Zugriffe vorgesehen. |
| DORA | Art. 9 Abs. 2 | Starke Authentifizierung als Mindestanforderung fuer Zugriff auf IKT-Systeme. |
| DSGVO | Art. 32 Abs. 1b | Faehigkeit zur Wiederherstellung der Vertraulichkeit -- MFA verringert Risiko unbefugten Zugriffs auf personenbezogene Daten. |
| BSI TL-03141 | vollstaendig | Technische Leitlinie fuer Zwei-Faktor-Authentifizierung: Mindestanforderungen an MFA-Implementierungen. |
BAM-Objektreferenz
Haeufige Audit-Fehler
- MFA nur fuer IT-Administratoren, nicht fuer alle privilegierten Accounts
- Ausnahmen (Service-Accounts, Legacy-Systeme) ohne dokumentierte Risikoakzeptanz
- SMS als zweiter Faktor trotz bekannter Schwachstellen (SIM-Swapping)
- Keine MFA fuer Cloud-Konsolen und externe Dienste
MFA-Faktoren im Vergleich
Nicht alle MFA-Implementierungen sind gleichwertig. SMS-OTP ist der schwaeachste Faktor (SIM-Swapping, SS7-Schwachstellen) und sollte nur als Uebergangsloesung akzeptiert werden. TOTP-Apps (Google Authenticator, Authy) bieten deutlich besseren Schutz. Hardware-Token (FIDO2/WebAuthn, YubiKey) sind phishing-resistent und der empfohlene Standard fuer hochprivilegierte Zugriffe. Biometrische Faktoren (Fingerabdruck, Gesichtserkennung) sind bequem, aber lokal -- sie schutzen das Geraet, nicht zwingend den Dienst. BSI TL-03141 empfiehlt fuer wesentliche Einrichtungen den Einsatz phishing-resistenter Verfahren (FIDO2).
Phishing-resistente MFA
Klassische MFA-Verfahren (SMS, TOTP) sind angreifbar durch Echtzeit-Phishing: Der Angreifer leitet die OTP-Eingabe des Opfers sofort an den echten Dienst weiter (Adversary-in-the-Middle-Angriff). Phishing-resistente MFA (FIDO2/Passkeys) loest dieses Problem durch kryptographische Bindung der Authentifizierung an den spezifischen Dienst. Diese Kategorie wird von NIS-2 und DORA fuer wesentliche Einrichtungen als Best Practice erwartet.
Naechste Ebene
MFA in der Praxis: Audit-Anforderungen und Evidence
Was Auditoren konkret pruefen -- Abdeckung, Ausnahmen, Staerke der Faktoren und Evidence-Checkliste.