Multi-Faktor-Authentifizierung ist ein Anmeldeverfahren, bei dem mindestens zwei unabhängige Authentifizierungsfaktoren aus Wissen, Besitz oder Inhärenz kombiniert werden, um Konten und Systeme besser vor Missbrauch zu schützen. Für NIS2-betroffene Unternehmen bedeutet Multi-Faktor-Authentifizierung, dass kritische Zugänge, Fernzugriffe und Administrationskonten nicht mehr nur mit Benutzername und Passwort abgesichert werden sollten.
Definition: Was ist Multi-Faktor-Authentifizierung?
Multi-Faktor-Authentifizierung, kurz MFA, verlangt zwei oder mehr verschiedene Nachweise derselben Person. Typische Faktoren sind Wissen wie ein Passwort oder eine PIN, Besitz wie ein Smartphone, eine Authenticator-App oder ein Hardware-Token sowie Inhärenz wie ein Fingerabdruck oder eine Gesichtserkennung. Erst die Kombination aus mindestens zwei Kategorien macht aus einer einfachen Anmeldung eine echte Multi-Faktor-Authentifizierung.
Wichtig ist die Abgrenzung zu Zwei-Faktor-Authentifizierung, kurz 2FA. 2FA ist ein Unterfall von MFA und meint genau zwei Faktoren. MFA ist der Oberbegriff und kann auch drei Faktoren umfassen. Nicht jede Zusatzabfrage ist jedoch automatisch stark: Ein Passwort plus SMS-Code ist besser als nur ein Passwort, aber meist weniger widerstandsfähig als FIDO2-Sicherheitsschlüssel oder passkey-basierte Verfahren.
Relevanz für NIS2 und den deutschen Umsetzungsrahmen
Für NIS2-betroffene Unternehmen ist MFA deshalb besonders wichtig, weil die Richtlinie sie ausdrücklich nennt. Art. 21 Abs. 2 lit. j der Richtlinie (EU) 2022/2555 führt Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung sowie gesicherte Kommunikationsmittel als konkrete technische und organisatorische Maßnahme auf. Damit ist MFA keine bloße Best Practice, sondern Teil des regulatorischen Erwartungsniveaus an wirksame Zugangssicherheit.
In der Praxis schützt MFA vor einem der häufigsten Einfallstore: kompromittierten Zugangsdaten. Gerade bei Phishing, Passwort-Wiederverwendung oder gestohlenen Sitzungen reicht ein Passwort allein oft nicht aus. MFA reduziert dieses Risiko deutlich, weil Angreifer zusätzlich einen zweiten Faktor überwinden müssen. In einem modernen Sicherheitsmodell wie Zero Trust ist MFA deshalb ein Grundbaustein und keine optionale Ergänzung.
Für Deutschland ist außerdem der nationale Umsetzungsrahmen relevant. Der Entwurf zum BSIG flankiert solche Maßnahmen mit organisatorischen Anforderungen, insbesondere Schulung und Sensibilisierung nach § 30 Abs. 2 Nr. 10 BSIG-E. Das ist wichtig, weil MFA nur wirksam ist, wenn Beschäftigte sie korrekt nutzen, Push-Abfragen kritisch prüfen und Wiederherstellungsprozesse sauber dokumentiert sind. Inhaltlich gehört MFA damit sowohl zur technischen Zugriffssicherung als auch zur gelebten Cyberhygiene.
Welche MFA-Methoden gelten als besonders geeignet?
Nicht jede MFA-Methode bietet denselben Schutz. TOTP-Codes aus Authenticator-Apps, Hardware-Token, Push-Freigaben und biometrische Verfahren sind verbreitet, unterscheiden sich aber stark in ihrer Widerstandsfähigkeit gegen Phishing. Besonders relevant sind deshalb phishing-resistente Verfahren auf Basis von FIDO2 und WebAuthn. Diese binden die Anmeldung kryptographisch an den echten Dienst und erschweren es Angreifern, Anmeldedaten auf täuschend echten Phishing-Seiten abzugreifen.
Unternehmen sollten MFA risikobasiert ausrollen. Für privilegierte Konten, E-Mail-Zugänge, VPN, Remote Administration, Cloud-Admin-Portale und kritische Fachsysteme ist ein hohes Schutzniveau sinnvoll. Wo sensible Daten verarbeitet werden, ergänzt MFA weitere Schutzmaßnahmen wie Verschlüsselung, Protokollierung, Rollenrechte und ein sauberes Joiner-Mover-Leaver-Verfahren.
Praxisbeispiel aus einem deutschen Unternehmen
Ein deutsches Medizintechnik-Unternehmen mit 230 Beschäftigten nutzt Microsoft 365, ein VPN für den Außendienst und mehrere Administrator-Konten für Produktions- und Cloud-Systeme. Nach einer Phishing-Welle entscheidet die Geschäftsführung, alle Fernzugriffe, E-Mail-Konten und privilegierten Konten verpflichtend auf MFA umzustellen. Standardnutzer erhalten TOTP über eine Authenticator-App, Admins zusätzlich FIDO2-Sicherheitsschlüssel.
Der Effekt ist operativ sofort spürbar: Selbst wenn ein Passwort über eine gefälschte Login-Seite abgegriffen wird, scheitert der Angriff regelmäßig am zweiten Faktor. Gleichzeitig dokumentiert das Unternehmen die Maßnahme im Rahmen seines NIS2-Programms, ergänzt Richtlinien und schult Beschäftigte auf Push-Müdigkeit, Token-Verlust und sichere Wiederherstellung. Genau so wird aus einer technischen Funktion eine belastbare Governance-Maßnahme, wie sie im NIS2-Hub beschrieben werden sollte.
Häufig gestellte Fragen
Was ist Multi-Faktor-Authentifizierung?
Multi-Faktor-Authentifizierung ist ein Anmeldeverfahren mit mindestens zwei unabhängigen Faktoren, zum Beispiel Passwort plus App-Code oder Passwort plus Sicherheitsschlüssel. Dadurch sinkt das Risiko, dass ein gestohlenes Passwort allein für einen erfolgreichen Angriff ausreicht.
Warum ist Multi-Faktor-Authentifizierung für NIS2 wichtig?
NIS2 nennt Multi-Faktor-Authentifizierung in Art. 21 Abs. 2 lit. j ausdrücklich als Sicherheitsmaßnahme. Für betroffene Unternehmen ist MFA deshalb kein optionaler Komfort, sondern ein zentraler Baustein für Zugriffsschutz, Fernzugänge und die Reduktion von Phishing- und Kontoübernahme-Risiken.
Multi-Faktor-Authentifizierung ist für viele Unternehmen der schnellste Hebel, um Identitätsrisiken spürbar zu senken und NIS2-nahe Sicherheitsanforderungen pragmatisch umzusetzen. Wenn Sie MFA, Schulung und Governance strukturiert aufbauen wollen, ist unsere NIS2-Schulung ein sinnvoller nächster Schritt.