Multi-Faktor-Authentifizierung (MFA) – mehr als nur Passwort

Multi-Faktor-Authentifizierung (MFA) ergänzt Passwörter um mindestens einen weiteren Faktor — typisch Wissen + Besitz oder Wissen + Inhärenz. Unter NIS-2 und für Cyber-Versicherungen ist MFA für privilegierte Zugriffe inzwischen Pflicht.

Faktoren-Typen

Wissen — Passwort, PIN
Besitz — Smartphone, Hardware-Token (YubiKey)
Inhärenz — Biometrie (Face-ID, Fingerprint)
Standort — Geofencing

MFA-Methoden im Überblick

SMS-OTP — bequem, aber unsicher (SIM-Swap-Angriffe)
TOTP (Google Authenticator, Microsoft Authenticator) — solide, breit verbreitet
Push-Notification (Microsoft Authenticator, Duo) — UX-stark
FIDO2 / WebAuthn (YubiKey, Passkeys) — phishing-resistent, modernster Standard
Passkeys — Apple/Google/Microsoft-getriebener WebAuthn-Komfort

MFA in ERP-Systemen

Cloud-ERPs nutzen meist die MFA des Identity Providers (Entra ID, Okta). Bei On-Premise-ERPs muss MFA oft separat über LDAP-Bridge oder VPN-Multi-Faktor implementiert werden. Für privilegierte Admin-Zugänge sollte MFA Pflicht sein, idealerweise mit FIDO2-Hardware-Tokens.

Praxis-Beispiel

Multi-Faktor-Authentifizierung (MFA) verlangt zusätzlich zum Passwort einen zweiten Faktor — typisch eine Push-Benachrichtigung an eine Authenticator-App auf dem Smartphone. Bei modernen Cloud-ERPs ist MFA Pflicht; ohne MFA wäre ein gestohlenes Passwort sofort ein vollständiger Account-Zugriff. Standards: Microsoft Authenticator, Google Authenticator, FIDO2-Hardware-Tokens (YubiKey). Für ERP-User mit hohen Berechtigungen (Buchhaltung, Admin) ist MFA seit 2023 NIS-2-Pflicht.

Welche MFA-Methoden gibt es? Push-App (am verbreitetsten), TOTP-Codes (Google Authenticator), SMS (unsicherer), FIDO2-Hardware-Tokens (höchste Sicherheit), biometrisch (Touch ID, Face ID). Können wir MFA auch mit Single Sign-On (SSO) kombinieren? Ja, das ist Standard. SSO mit MFA-Schritt am Login bedeutet: einmal authentifizieren mit MFA, danach Zugriff auf alle integrierten Anwendungen ohne erneute Anmeldung.

Verwandte Begriffe: Single Sign-On, NIS-2, ISO 27001

Häufig gestellte Fragen

Reicht SMS-OTP als MFA?

Für niedrig privilegierte Anwender: meist ausreichend. Für Admins und Finance: nein — SIM-Swap-Angriffe sind real. TOTP oder FIDO2 nutzen.

Was sind Passkeys?

Passwortlose Authentifizierung auf Basis von WebAuthn / FIDO2. Nutzt asymmetrische Kryptographie und ist phishing-resistent. Die nächste Generation nach klassischer MFA.