MAllgemein

Multi-Factor Authentication (MFA)

Zusätzlicher Login-Faktor (App/SMS/Token) neben Passwort.

Multi-Factor Authentication (MFA) ist ein Sicherheitsverfahren für Logins, bei dem neben dem Passwort mindestens ein weiterer Nachweis erforderlich ist – zum Beispiel ein Code aus einer Authenticator-App, eine SMS oder ein Hardware-Token. Dadurch wird der Zugriff auf Cloud- und SaaS-Konten deutlich besser geschützt, selbst wenn ein Passwort gestohlen oder erraten wurde.

Was bedeutet Multi-Factor Authentication (MFA)?

„Multi-Factor“ heißt: Mehrere unabhängige Faktoren müssen zusammenpassen. In der Praxis sind das meist zwei (2FA als Sonderfall von MFA). Die Faktoren kommen aus unterschiedlichen Kategorien:

  • Wissen: etwas, das man weiß (z. B. Passwort, PIN)
  • Besitz: etwas, das man hat (z. B. Smartphone-App, SMS, Hardware-Token)
  • Biometrie: etwas, das man ist (z. B. Fingerabdruck, Face ID)

Wichtig ist: MFA ist nicht „noch ein Passwort“, sondern eine zusätzliche Hürde, die Angreifer typischerweise nicht mitgestohlen bekommen.

Wie funktioniert MFA in Cloud & SaaS?

Bei typischen SaaS-Tools (Microsoft 365, Google Workspace, CRM, Buchhaltung, Projektmanagement) läuft MFA meist so ab:

  • 1) Login: Nutzer gibt Benutzername und Passwort ein.
  • 2) MFA-Abfrage: Das System fordert einen zweiten Faktor an.
  • 3) Bestätigung: Nutzer bestätigt z. B. per App-Code (TOTP), Push-Freigabe, SMS-Code oder Hardware-Key (FIDO2/WebAuthn).
  • 4) Zugriff: Erst nach erfolgreicher Prüfung wird der Zugang freigeschaltet.

Viele Anbieter erlauben zusätzlich „vertrauenswürdige Geräte“ oder „Remember me“-Optionen, damit nicht bei jedem Login erneut bestätigt werden muss. Für Admin-Konten sollte man das jedoch sehr restriktiv handhaben.

Warum ist MFA für KMU-Geschäftsführer relevant?

In Cloud & SaaS ist das Benutzerkonto oft der „Hauptschlüssel“ zu E-Mail, Dateien, Kundendaten und Rechnungen. Passwörter werden in der Realität häufig wiederverwendet oder fallen Phishing zum Opfer. MFA reduziert das Risiko von Kontoübernahmen massiv, weil ein Angreifer zusätzlich Zugriff auf das Smartphone/Token oder die Biometrie bräuchte.

Konkrete Business-Auswirkungen, die MFA verhindert oder abmildert:

  • CEO-Fraud & E-Mail-Kompromittierung: Angreifer lesen mit und veranlassen Zahlungen.
  • Ransomware-Einstieg über Cloud-Accounts: Zugriff auf Dateien/Backups wird missbraucht.
  • Datenschutzvorfälle: Unbefugter Zugriff auf personenbezogene Daten (Relevanz für Datenschutz (DSGVO/GDPR) & KI).
  • Ausfallzeiten: Gesperrte Konten, Incident Response, Betriebsunterbrechung.

Welche MFA-Methoden sind sinnvoll (und welche weniger)?

  • Sehr gut: Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn). Hoher Schutz gegen Phishing.
  • Gut: Authenticator-Apps (zeitbasierte Codes/TOTP oder Push). Weit verbreitet und praktikabel.
  • Nur „okay“: SMS-Codes. Besser als gar nichts, aber anfälliger (z. B. SIM-Swapping, Abfangen).

Für KMU ist eine praxistaugliche Empfehlung: Authenticator-App als Standard und Hardware-Key für Admins (z. B. IT-Admin, M365/Google-Admin, Finanz-Admin).

Was kostet MFA?

Oft ist MFA in SaaS-Plänen bereits enthalten (z. B. über die Identitätsverwaltung des Anbieters). Zusätzliche Kosten entstehen typischerweise durch:

  • Lizenz-/Security-Tiers (je nach Anbieter und Funktionen wie Conditional Access)
  • Einführung & Schulung (Aufwand für Rollout, Support, Recovery-Prozesse)
  • Hardware-Keys (einmalig pro Nutzer/Administrator)

Unterm Strich ist MFA meist eine der günstigsten Maßnahmen mit dem größten Sicherheitshebel – besonders in Cloud- und SaaS-Umgebungen.