Ein Kameraobjektiv blickt in einen Büroraum

Aktueller Leitfaden MFA Was bedeutet Multifaktor-Authentifizierung in 2024?

Was Multifaktor-Authentifizierung aktuell (2024) und angesichts neuester Entwicklungen bedeutet und wie MFA Unternehmen gegen Identitätsdiebstahl schützt.

Aktualisiert – 22. Januar 2024: Im Alltag ist der Vorgang omnipräsent: Benutzername, Passwort, ein Klick – und dann die Bestätigung per Authenticator App. Auch wenn das mehrstufige Anmeldungsprozedere gerne intuitiv als lästig empfunden wird, so ist es doch inzwischen unverzichtbar. Denn hinter dem Vorgang steckt eine wichtige Schutzmaßnahme: die Multifaktor-Authentifizierung (MFA).

Auch Microsoft stellt seit dem 15.11.2023 alle Unternehmensaccounts seiner Kunden auf MFA um. Schließlich lassen sich Passwörter leicht knacken, insbesondere durch Social-Engineering-Methoden. Was macht MFA so unverzichtbar? Wie funktioniert die Methode? Und was müssen Unternehmen beachten, wenn sie die Schutzmaßnahme einrichten? Mittelstand Heute hat die Antworten für die wichtigsten Fragen rund um die Multifaktor-Authentifizierung parat.

Inhalt (per Klick auf die Links gelangen Sie direkt zum jeweiligen Kapitel):

Was ist Multifaktor-Authentifizierung?

Kurz und knapp: Will sich jemand bei einer Anwendung anmelden, verlangt die MFA mehrere Bestätigungsschritte, also nicht nur das Passwort (Ein-Faktor). Bei der Zwei-Faktor-Authentifizierung (2FA) müssen User zusätzlich zum herkömmlichen Passwort einen weiteren Schritt vornehmen – etwa ein Einmalpasswort (OTP) eingeben, sich mit biometrischen Daten ausweisen oder ein bestimmtes physisches Sicherheitsgerät besitzen. Sogar drei Faktoren sind möglich. Diese können aus folgenden Bereichen stammen:

  • Besitz: Hierzu zählen physische Geräte wie USB-Sticks oder Smart Card

  • Wissen: Passwörter und Sicherheitsfragen, die im Gedächtnis bleiben sollen.

  • Inhärenz: Biometrische Merkmale wie Fingerabdrücke, Gesichts- oder Retina-Scans, die eine Person einzigartig identifizieren und als zusätzliche Sicherheitsebene dienen.

  • Ort und Zeit: Dabei geht es darum, den Anwender anhand des Orts zu verifizieren, von dem der Anmeldeversuch kommt, und auch anhand des Zeitpunkts, zu dem der Zugriff erfolgt.
Zum Thema
Eine Hand greift nach einem Schloss aus Holz auf einem Tisch.
Passwordless Authentication im Kommen! Passwordless – Kein Passwort ist sicherer!
jetzt artikel lesen

Warum ist MFA für Unternehmen wichtig?

Für Firmen ist der reine Passwortschutz heute zu wenig. Denn Angriffe auf die Wirtschaft erfolgen zunehmend digital, wie die aktuelle Bitkom-Studie zum Wirtschaftsschutz 2023 zeigt: Der jährliche Schaden aus Cyberattacken pendelt sich mittlerweile bei rund 200 Milliarden Euro ein.

Nicht verwunderlich: Denn schon ein einziges Datenleck kann weitreichende Folgen haben. Von Industriespionage über Ransomware bis zum Produktionsstillstand ist alles möglich. Und auch Phishing und Passwortklau sind beliebte Mittel für Hacker. Haben die Cybergangster einmal eine Identität gestohlen, können sie über den Firmenaccount auf das Unternehmensnetzwerk zugreifen. Dann hält sie wenig auf. Denn oft gehen mit den Zugangsdaten umfangreiche Berechtigungen einher.

Die Multifaktor-Authentifizierung erschwert es den Angreifern jedoch, auf ein System oder eine Anwendung zuzugreifen, selbst wenn sie das Passwort kennen. Gerade für Firmen, die sensible Daten speichern oder verarbeiten, ist sie deshalb ein wichtiger Bestandteil des IT-Sicherheitsmanagements. Sie erhöht sowohl die Sicherheit der Systeme als auch die Integrität der Daten signifikant. Microsoft fand in einer Untersuchung heraus, dass MFA die Effektivität von Identitätsdiebstahl sogar um 99 Prozent verringert.

5 Missverständnisse um die Multifaktor-Authentifizierung

Im Zusammenhang mit MFA gibt es vor allem im B2B-Kontext noch einige Missverständnisse. Fünf davon sollen hier erklärt werden:

1. „MFA lohnt sich nicht, wenn nur wenige Mitarbeiter ein Firmenhandy haben...“

Der Besitzfaktor ist ein Kriterium, über das sich ein Nutzer authentifizieren kann. Doch bei der Multifaktor-Authentifizierung geht es grundsätzlich darum, sich über verschiedene Wege ausweisen zu können. Ein PIN oder Einmalpasswort kann per Mail versandt werden und lässt sich über den PC einsehen. Physische Authentifizierungs-Token müssen ebenfalls nichts mit einem Mobiltelefon zu tun haben.

2. „Die Einführung ist komplex und schwierig...“

Welchen Umfang strebt das Unternehmen bei einem MFA-Projekt an? Sollen alle Zugänge zum Firmennetzwerk über eine Multifaktor-Authentifizierung verfügen? In diesem Fall wird der Aufwand dementsprechend hoch sein. Ist es jedoch das Ziel, zuerst die privilegierten Identitäten zu schützen, hält sich die Komplexität des Projekts in Grenzen – und wird trotzdem effektiv sein. Schließlich bergen die privilegierten Zugänge die höchsten Gefahren. Ihre Anwender verfügen über weitreichende Berechtigungen und können auf geschäftskritische Daten und Systeme zugreifen. Dementsprechend kann es bereits ein solider Grundschutz sein, wenn Anwender-Logins mit einer Zwei-Faktor-Authentifizierung gesichert sind.

3. „Ich sehe den Mehrwert nicht...“

In Unternehmen herrscht gerne die Ansicht: „Wenn ein Passwort schnell geknackt ist, wie lange kann da ein zweiter Faktor aufhalten?“ Genau hier liegt der Vorteil der MFA: Die Kombination schützt ungleich effektiver als die Summe der einzelnen Faktoren. So erklärt auch Marijn Schuurbiers, Leiter des Europäischen Zentrums für Cyberkriminalität (EC3) von Europol, einen nicht genannten Vorfall, den die Behörde untersucht hat: „Wir haben Untersuchungen durchgeführt, bei denen Ransomware-Kriminelle überwacht wurden. Bei einigen Untersuchungen haben wir gesehen, wie sie versucht haben, sich Zugang zu Unternehmen zu verschaffen – aber sobald sie dabei auf die Zwei-Faktor-Authentifizierung gestoßen sind, haben sie dieses Opfer sofort fallen gelassen und sich dem nächsten zugewandt.“

4. „Kommt ein Faktor abhanden, ist es schwierig ihn wiederzubeschaffen...“

Stimmt, das ist schließlich der Hintergedanke. Zunächst führt es erst einmal zu Mehraufwand: Der verlorene Faktor muss ersetzt werden. Ein stichhaltiges Argument gegen MFA ist das trotzdem nicht. Verglichen mit einer kompromittierten Firmen-IT ist der Preis verkraftbarer. Der Mehraufwand für eine Wiederbeschaffung lässt sich zudem minimieren, wenn das Unternehmen den Verlust eines Faktors vorab einkalkuliert: schon beim Roll-Out, indem es User Self Services etabliert.

5. „User sind vom Anmeldeprozess genervt...“

Je mehr Faktoren überprüft werden, desto länger dauert der Login-Vorgang. Für digital weniger versierte Mitarbeiter kann das eine Herausforderung sein. Hier müssen Kosten und Nutzen abgewogen werden. Auf der Kostenseite stehen ein zusätzlicher Schulungsaufwand und unter Umständen überschaubare Produktivitätseinbußen. Abmildern lässt sich dies durch Conditional Access und Single Sign-on (SSO).

Wie funktioniert MFA?

Wie MFA funktioniert, hängt von den eingesetzten Faktoren ab – unter den folgenden sechs können Firmen wählen:

1. Push-App-basierte Authentifizierung:

MFA mit Microsoft Authenticator App Push ist eine Methode, um sich online sicher zu authentifizieren und den zweiten Faktor für MFA abzubilden. Die App sendet eine Push-Benachrichtigung an das Smartphone des Benutzers, und der Nutzer muss die auf dem Bildschirm erscheinende Zahl in der Authenticator-App eintragen. Diese Methode gehört zu den sichersten MFA-Methoden.

2. FIDO2 Key:

FIDO2 ist ein offener Standard für die Benutzerauthentifizierung, der kryptografische Anmeldeinformationen verwendet, die vor Phishing-Angriffen geschützt sind. FIDO2 kann zum Beispiel mit Hilfe von USB-Sticks oder RFID-Chips zur sicheren Authentifizierung genutzt werden. Diese Methode gehört genauso wie die Push-App-basierte Authentifizierung zu den sichersten MFA-Methoden.

3. Biometrie:

Eine biometrische Authentifizierung nutzt einzigartige körperliche Merkmale, beispielsweise den Fingerabdruck, um die Identität zu bestätigen. Da keine Codes erforderlich sind, erhöht sich die Usability.

4. App-basierte Authentifizierung:

Bei dieser Methode kommt eine mobile App zum Einsatz, die einen Einmalcode (OTP) generiert. Der Nutzer muss diesen während des Anmeldevorgangs eingeben. Die App erzeugt fortlaufend neue Codes, was zusätzlich zur Sicherheit beiträgt. Diese Methode lässt sich unter Umständen durch einen Angreifer aushebeln.

5. Hardware-Token:

Hierbei wird ein physisches Gerät, oft ein Token oder Schlüsselanhänger, verwendet, um den Einmalcode (OTP) zu generieren. Die Hardware sorgt für eine zusätzliche Sicherheitsschranke, da der User den Token physisch präsent haben muss. Diese Methode lässt sich ebenfalls unter Umständen durch einen Angreifer umgehen.

6. SMS-Authentifizierung:

Hierbei bekommt der User eine eindeutige Bestätigungsnummer (OTP/SMS TAN) per SMS auf sein Mobiltelefon. Der erhaltene Code muss während des Anmeldevorgangs eingegeben werden. Dies ist eine einfache und auch die am weitesten verbreitete Methode; sie ist jedoch leider auch die unsicherste und sollte deshalb gemieden werden.

Der Ablauf variiert je nach gewählter Authentifizierungsmethode, grundsätzlich gilt: Nachdem sich der Anwender mit seinen Login-Daten eingewählt hat, muss er einen weiteren Authentifizierungsschritt durchführen. Diese Vorgangsweise hält Angreifer davon ab, einzudringen, selbst wenn sie Benutzernamen und Passwort kennen. MFA ist so eine robuste Verteidigungslinie gegen Cyberattacken.

5 Schritte zu einer stabilen Einführung von Multifaktor-Authentifizierung in Unternehmen

Multifaktor-Authentifizierung zu implementieren, benötigt einen systemischen Ansatz, der die Sicherheit auf verschiedenen Ebenen gezielt mitdenkt. Im Folgenden finden Sie die fünf wichtigsten Maßnahmen, wenn sie MFA erfolgreich einführen wollen. Nutzen Sie dabei am besten eine Checkliste. So gewährleisten Sie, dass alle wichtigen Schritte abgedeckt sind.

1. Beginnen Sie mit einer umfassenden Analyse der Risiken und Bedrohungen für Ihre IT-Sicherheit!

Identifizieren Sie potenzielle Schwachstellen und Bereiche, die Sie durch MFA besser schützen könnten.

2. Bestimmen Sie jene Systeme und Anwendungen, bei denen die Implementierung den größten Nutzen bringt!

Priorisieren Sie kritische Systeme oder Datenbanken, die Sie besonders sichern wollen.

3. Definieren Sie, welche Arten von Faktoren verwendet werden sollen! 

Legen Sie klare Richtlinien fest, wie und wann die Multifaktor-Authentifizierung zum Einsatz kommt.

4. Schulen Sie die Mitarbeiter, damit sie verstehen, wie MFA funktioniert und warum sie wichtig ist!

Klären Sie sie darüber auf, wie sie diese richtig nutzen. Vergessen Sie auch nicht, die Belegschaft für potenzielle Sicherheitsrisiken zu sensibilisieren.

5. Führen Sie Tests durch, um sicherzustellen, dass die MFA-Lösung einwandfrei funktioniert!

Überprüfen Sie regelmäßig die Funktionalität und etablieren Sie Wartungsverfahren, um mögliche Schwachstellen zu beheben.

Identity & Access Management
Multifaktor-Authentifizierung & Co. im neuen Zero-Trust-Wegweiser!
Unternehmen, die ihre IT-Sicherheit mit MFA verbessern wollen, erhalten mit dem kostenlosen Zero-Trust-Wegweiser des Business-IT-Spezialisten All for One Group wichtige Tipps und Tricks.
Jetzt hier informieren!

MFA ist ein wertvoller Baustein einer Zero-Trust-Infrastruktur

Multifaktor-Authentifizierung ist nicht nur eine Option, sondern eine Notwendigkeit. Sie durchbricht die Schwächen herkömmlicher Passwortsicherungen und erhöht dadurch die Sicherheit der Firmennetzwerke und -daten. Trotz verbreiteter Missverständnisse über ihren Nutzen und die vermeintliche Komplexität der Einführung ist sie eine nicht zu unterschätzende Verteidigungslinie – vor allem für eine Zero-Trust-Infrastruktur, in der Misstrauen als Grundprinzip gilt. Jeder Zugriff erfordert hierbei eine klare Authentifizierung – mit MFA gehen Unternehmen den robusten Weg.

Quelle: All for One Group SE/YouTube

FAQ MFA

Weitere Fragen rund um Multifaktor-Authentifizierung, deren Antworten Sie kennen sollten:

Was ist der Unterschied zwischen 2FA und MFA?

Die Zwei-Faktor-Authentifizierung ist eine Form der Multifaktor-Authentifizierung. Bei der 2FA kommen zwei Faktoren zum Einsatz, bei der MFA zwei oder mehr Faktoren.

Was ist ein MFA-Token?

Das sind Gegenstände, die zur Authentifizierung von Nutzern dienen: USB-Sticks oder Chipkarten, die ein System zweifelsfrei erkennt. PINs oder Einmalpasswörter, die per Mail oder SMS versendet werden, fallen ebenfalls in diese Gruppe.

Was bedeutet passwortlose Authentifizierung?

Die passwortlose Authentifizierung bietet Benutzern die Möglichkeit, sich selbst zu verifizieren, ohne dass sie sich dabei Passwörter merken oder diese manuell eingeben müssen.

Welchen Vorteil hat die Kombination von Conditional Access und MFA?

Die zusätzliche Authentifizierung wird bei gewissen Voraussetzungen grundsätzlich erzwungen, beispielsweise bei Auffälligkeiten wie der "impossible travel" (zu Deutsch: "unmögliche Reise"): Meldet sich ein Mitarbeiter normalerweise immer um 9:00 MEZ aus Berlin an, plötzlich jedoch kommt der Log-in-Versuch um 19:00 EDT aus New York, wird der Zugang erst einmal verwehrt und eine weitere Authentifizierung abgefragt.

Wozu ist Single Sign-on gut?

Mit SSO können sich Nutzer einmal einloggen und sind dann für alle Systeme und Anfragen, für die sie berechtigt sind, authentifiziert.

Quelle Aufmacherbild: Adobe Firefly