MFA (Multi-Factor Authentication)
Pflicht-Schutz für alle privilegierten Zugänge
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.
TL;DR
MFA ist die Authentifizierung mit mindestens 2 von 3 Faktoren (Wissen, Besitz, Sein). § 30 Abs. 2 Nr. 8 BSIG verlangt MFA für privilegierte Zugänge — und realistisch alle Zugänge.
Was ist MFA (Multi-Factor Authentication)?
MFA-Methoden 2026:
- Phishing-resistent: FIDO2/WebAuthn (Hardware-Keys, Passkeys) — Goldstandard
- Stark: Authenticator-App (TOTP, Push)
- Schwach (vermeiden): SMS-OTP — Phishing-anfällig
NIST SP 800-63B verlangt für hohe Sicherheitsstufen NUR FIDO2.
Praxisbeispiel
KMU 80 MA: 100% MFA via Microsoft Authenticator. Privilegierte Konten zusätzlich YubiKey FIDO2. Außerhalb-MFA-Sessions geblockt durch Conditional Access.
Häufig gestellte Fragen
SMS-MFA OK?
Schwach. NIST + BSI raten ab — Phishing + SIM-Swap-Anfällig. Authenticator-App oder FIDO2.
Was kostet?
Authenticator-App kostenlos. FIDO2-Keys 25-60 EUR/Stück. Conditional Access: in Microsoft 365 E5 enthalten.