- Bedeutung
- Multi-Faktor-Authentifizierung
- Prinzip
- Mehrere unabhängige Faktoren: Wissen + Besitz (+ Biometrie)
- Nutzen
- Schutz auch bei gestohlenem Passwort
- Bezug zu NIS2
- Ausdrücklich empfohlen
- Stand
- Juni 2026
- Redaktion
- Compliance Compass
Was ist MFA?
MFA (Multi-Faktor-Authentifizierung) verlangt bei der Anmeldung mindestens zwei unabhängige Nachweise aus verschiedenen Kategorien – typischerweise etwas, das man weiß (ein Passwort oder eine PIN), und etwas, das man besitzt (einen Einmalcode aus einer Authenticator-App oder einen Hardware-Token nach dem FIDO2-Standard). Manche Verfahren ergänzen einen dritten Faktor, der etwas ist – also Biometrie wie Fingerabdruck oder Gesichtserkennung. Entscheidend ist, dass die Faktoren wirklich unabhängig voneinander sind: Werden zwei Codes über denselben kompromittierten Kanal verschickt, ist der Schutz nur scheinbar gegeben.
Warum MFA so wirksam ist
Die meisten erfolgreichen Angriffe beginnen mit gestohlenen Zugangsdaten – etwa durch Phishing, Datenlecks oder Passwort-Wiederverwendung. Mit MFA reicht ein erbeutetes Passwort allein nicht mehr aus, um sich anzumelden, weil der zweite Faktor fehlt. MFA gehört damit zu den wirksamsten und zugleich günstigsten technischen Controls, die eine Organisation einführen kann. Sie ersetzt keine starken Passwörter, fängt aber genau die Fälle ab, in denen das Passwort dennoch in falsche Hände gerät.
Wo MFA besonders wichtig ist
Vorrangig abzusichern sind Fernzugriffe (VPN, Webmail, Remote Desktop), administrative und privilegierte Konten sowie geschäftskritische Cloud-Dienste. Gerade Adminzugänge sind ein beliebtes Angriffsziel, weil sie weitreichende Rechte bündeln, und sollten ausnahmslos mit MFA geschützt sein. Bei der Auswahl des Verfahrens gilt: Hardware-Token und App-basierte Verfahren sind deutlich sicherer als SMS-Codes, die sich abfangen oder per SIM-Swapping umleiten lassen.
MFA und NIS2
NIS2 nennt Multi-Faktor-Authentifizierung in den Risikomanagementmaßnahmen nach Artikel 21 ausdrücklich als zu erwägende technische Maßnahme. Für betroffene Einrichtungen ist sie damit faktisch Stand der Technik. In Kombination mit guter Cyberhygiene und regelmäßiger Awareness-Schulung senkt sie das Angriffsrisiko deutlich.
Etwa: Ein mittelständischer Maschinenbauer entdeckt, dass ein Mitarbeitender auf einer gefälschten Login-Seite sein Microsoft-365-Passwort eingegeben hat. Weil für alle Konten MFA mit Authenticator-App aktiv ist, scheitert der Anmeldeversuch der Angreifer am fehlenden zweiten Faktor – aus einem potenziellen erheblichen Vorfall mit Meldepflicht wird ein folgenloser, intern dokumentierter Phishing-Versuch.
Weiterführende Quelle: ENISA – EU-Agentur für Cybersicherheit
Häufige Fragen
Was ist MFA?
MFA steht für Multi-Faktor-Authentifizierung und verlangt bei der Anmeldung mindestens zwei unabhängige Faktoren aus verschiedenen Kategorien: etwas, das man weiß (ein Passwort oder eine PIN), etwas, das man besitzt (ein App-Code oder ein Hardware-Token nach FIDO2), und optional etwas, das man ist (Biometrie wie Fingerabdruck). Entscheidend ist, dass die Faktoren wirklich unabhängig voneinander sind und nicht über denselben kompromittierten Kanal laufen.
Warum ist MFA so wichtig?
MFA ist wichtig, weil ein gestohlenes Passwort allein nicht mehr ausreicht, um sich anzumelden: Ohne den zweiten Faktor scheitert der Anmeldeversuch. Damit blockiert die Multi-Faktor-Authentifizierung einen Großteil typischer Angriffe wie Phishing und Credential Stuffing, bei denen die meisten Einbrüche mit erbeuteten Zugangsdaten beginnen. Sie zählt zu den wirksamsten und zugleich günstigsten technischen Schutzmaßnahmen, ersetzt aber keine starken Passwörter.
Ist MFA bei NIS2 vorgeschrieben?
NIS2 nennt Multi-Faktor-Authentifizierung in den Risikomanagementmaßnahmen nach Artikel 21 ausdrücklich als zu erwägende technische Maßnahme, besonders für Fernzugriffe und administrative Konten. Für die seit dem 06.12.2025 in Deutschland geltenden Pflichten gehört MFA damit faktisch zum Stand der Technik. Wer sie bei wesentlichen oder wichtigen Einrichtungen unterlässt, riskiert Bußgelder von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.