Multi-Faktor-Authentifizierung

Auch bekannt als: MFA, Zwei-Faktor-Authentifizierung, 2FA, Mehrfaktor-Authentifizierung

Multi-Faktor-Authentifizierung (MFA) sichert Anmeldungen mit mindestens zwei unabhängigen Faktoren ab - etwa Passwort plus App-Bestätigung. Sie ist die wirksamste Einzelmaßnahme gegen die Übernahme von Konten durch gestohlene Zugangsdaten.

Wie funktioniert Multi-Faktor-Authentifizierung?

MFA kombiniert Faktoren aus verschiedenen Kategorien: Wissen (Passwort, PIN), Besitz (Smartphone mit Authenticator-App, Hardware-Token) und Inhärenz (Fingerabdruck, Gesichtserkennung). Erst wenn mindestens zwei Kategorien erfüllt sind, gelingt die Anmeldung. Ein gestohlenes Passwort allein reicht damit nicht mehr - der Angreifer müsste zusätzlich das Gerät des Opfers besitzen.

Da kompromittierte Zugangsdaten der häufigste Einstiegspunkt für Angriffe auf Unternehmen sind, gehört MFA auf ausnahmslos alle Konten - nicht nur auf die der Führungskräfte. Warum Passwörter allein nicht mehr genügen, erklärt der Beitrag zum Identitätsschutz für KMU.

Welche MFA-Verfahren sind besser als andere?

Es gibt ein klares Qualitätsgefälle: SMS-Codes sind besser als nichts, aber anfällig für SIM-Swapping und Abfangen. Authenticator-Apps mit Einmalcodes sind solide. Push-Bestätigungen sind komfortabel, aber anfällig für „MFA-Fatigue”-Angriffe, bei denen Nutzer mit Anfragen bombardiert werden, bis sie genervt bestätigen. Die stärkste Stufe sind phishing-resistente Verfahren nach dem FIDO2-Standard - Passkeys und Hardware-Keys, bei denen selbst eine perfekt nachgebaute Login-Seite leer ausgeht.

Reicht klassische MFA noch aus?

Gegen moderne Adversary-in-the-Middle-Angriffe, die den kompletten Login samt Einmalcode in Echtzeit abfangen, stoßen SMS- und App-Codes an Grenzen. Wo es um kritische Konten geht, ist der Umstieg auf Passkeys und FIDO2 der konsequente nächste Schritt.

Fragen zu Multi-Faktor-Authentifizierung in Ihrem Unternehmen?

Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.

Zuletzt aktualisiert: 4. Juli 2026