Cybernotfall
Technik und Schutz · Stand: Juni 2026

Multi-Faktor-Authentifizierung

Authentifizierungsverfahren, das mindestens zwei unabhängige Faktoren aus den Kategorien Wissen, Besitz und Inhärenz verlangt.

Auch bekannt als: MFA, Zwei-Faktor-Authentifizierung, 2FA

Rechtsgrundlagen
  • Art. 32 DSGVO
  • § 30 NIS2UmsuCG
  • BSI-Grundschutz ORP.4

Funktionsweise

Multi-Faktor-Authentifizierung verlangt zur Anmeldung mindestens zwei voneinander unabhängige Nachweise: etwas, das der Nutzer weiss, etwa ein Passwort, etwas, das der Nutzer besitzt, etwa ein Smartphone oder ein Hardware-Token, und etwas, das der Nutzer ist, etwa ein Fingerabdruck. Ziel ist, dass der Verlust eines Faktors nicht zur Kompromittierung des Kontos führt.

Verfahren

Verbreitet sind Einmal-Codes per SMS oder Authenticator-App nach dem TOTP-Standard, Push-Bestätigungen über eine App, biometrische Verfahren und Hardware-Schlüssel nach dem FIDO2- oder Passkey-Standard. SMS-Codes gelten als am wenigsten sicher, weil sie über das Mobilfunknetz abgefangen und durch SIM-Swap kompromittiert werden können. Phishing-resistente Verfahren wie FIDO2 schützen auch gegen Adversary-in-the-Middle-Angriffe.

Pflicht und Stand der Technik

Multi-Faktor-Authentifizierung ist seit Jahren Bestandteil der einschlägigen Sicherheitsstandards. § 30 NIS2UmsuCG nennt sie ausdrücklich, Art. 32 DSGVO erfasst sie über den Stand der Technik. Für privilegierte Konten, Fernzugriffe und alle über das Internet erreichbaren Dienste ist sie heute Pflicht. Ihr Fehlen wird in Aufsichtsverfahren und Cyberversicherung als grobes Versäumnis gewertet.

Empfehlungen

Für Administratoren, Fernzugänge und sensible Anwendungen sind FIDO2-Schlüssel die erste Wahl. Für normale Anwender ist eine Authenticator-App ein guter Kompromiss aus Sicherheit und Benutzerfreundlichkeit. SMS sollte nur übergangsweise genutzt werden, wenn kein anderer Faktor verfügbar ist.

Häufige Fragen

Häufige Fragen

Reicht MFA, um Phishing zu verhindern
MFA mit SMS oder TOTP nicht zuverlässig. Phishing-resistente Verfahren wie FIDO2 verhindern Phishing in der Praxis deutlich wirksamer, weil sie an die Domain der echten Seite gebunden sind.
Was, wenn ein Mitarbeiter den zweiten Faktor verliert
Vorgesehen werden Backup-Verfahren wie Wiederherstellungscodes und ein dokumentierter Reset-Prozess mit Identitätsnachweis, der nicht selbst eine Schwachstelle ist.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.

Thomas Kolb LL.M.
Über den Autor
Thomas Kolb LL.M.

Fachanwalt für Urheber- und Medienrecht, externer Datenschutzbeauftragter, CIPP/E. Partner bei Kolb Blickhan Partner Rechtsanwälte (Mannheim und Mainz).

Thomas Kolb begleitet Unternehmen seit über einem Jahrzehnt bei Cybervorfällen, einschließlich der Verhandlung mit Erpressern über Lösegeldforderungen, und berät zu NIS2, DSGVO-Meldepflichten und Geschäftsführerhaftung.

Zum vollständigen Autorenprofil