Multi-Faktor-Authentifizierung (MFA) – mehr als nur Passwort
Multi-Faktor-Authentifizierung (MFA) ergänzt Passwörter um mindestens einen weiteren Faktor — typisch Wissen + Besitz oder Wissen + Inhärenz. Unter NIS-2 und für Cyber-Versicherungen ist MFA für privilegierte Zugriffe inzwischen Pflicht.
Faktoren-Typen
- Wissen — Passwort, PIN
- Besitz — Smartphone, Hardware-Token (YubiKey)
- Inhärenz — Biometrie (Face-ID, Fingerprint)
- Standort — Geofencing
MFA-Methoden im Überblick
- SMS-OTP — bequem, aber unsicher (SIM-Swap-Angriffe)
- TOTP (Google Authenticator, Microsoft Authenticator) — solide, breit verbreitet
- Push-Notification (Microsoft Authenticator, Duo) — UX-stark
- FIDO2 / WebAuthn (YubiKey, Passkeys) — phishing-resistent, modernster Standard
- Passkeys — Apple/Google/Microsoft-getriebener WebAuthn-Komfort
MFA in ERP-Systemen
Cloud-ERPs nutzen meist die MFA des Identity Providers (Entra ID, Okta). Bei On-Premise-ERPs muss MFA oft separat über LDAP-Bridge oder VPN-Multi-Faktor implementiert werden. Für privilegierte Admin-Zugänge sollte MFA Pflicht sein, idealerweise mit FIDO2-Hardware-Tokens.
Häufige Fragen
- Reicht SMS-OTP als MFA?
Für niedrig privilegierte Anwender: meist ausreichend. Für Admins und Finance: nein — SIM-Swap-Angriffe sind real. TOTP oder FIDO2 nutzen.
- Was sind Passkeys?
Passwortlose Authentifizierung auf Basis von WebAuthn / FIDO2. Nutzt asymmetrische Kryptographie und ist phishing-resistent. Die nächste Generation nach klassischer MFA.