19.09.2025

Two-Factor-Authentication

Two-Factor-Authentication stärkt IT-Sicherheit. Erfahre, wie 2FA/MFA mit Token, OTPs und Biometrie Systeme zuverlässig absichert.

Antwort 14 zu den 43 wichtigsten Security Controls

 

Nutzen wir Zwei- oder Mehr-Faktor-Authentifizierung zur Sicherung unserer Systeme? 

Identitäten sind heute das primäre Angriffsziel – nicht mehr nur Firewalls oder klassische Netzwerke. Genau deshalb setzen moderne Sicherheitsstrategien auf Zwei- oder Mehr-Faktor-Authentifizierung (2FA/MFA). Die zentrale Frage lautet: Reicht ein Passwort als alleiniger Faktor, oder brauchen wir ein kombiniertes Verfahren, um Systeme nachhaltig abzusichern? 

 

Warum ein Passwort allein nicht genügt 

Selbst starke Passwörter mit hoher Entropie sind in Unternehmensumgebungen kein hinreichender Schutz. Credential-Stuffing-Angriffe, Phishing-Kampagnen oder Datenlecks kompromittieren Zugangsdaten täglich im großen Stil. Ein Angreifer mit einem gültigen Passwort kann in klassischen Architekturen sofort lateral eskalieren. 

MFA verhindert genau dieses Szenario. Doch: Ein technischer Faktor allein löst nicht alle Probleme. Ohne Policies für Identity & Access Management (IAM), definierte Recovery-Prozesse und Awareness-Programme bleibt jede noch so moderne Lösung angreifbar. Technik und Organisation müssen Hand in Hand gehen. 

 

Wie funktioniert 2FA/MFA konkret? 

Die grundlegende Idee ist bekannt: mindestens zwei voneinander unabhängige Faktoren aus den Kategorien Wissen, Besitz und Biometrie werden kombiniert. Doch für IT-Teams ist die Frage nicht mehr ob, sondern wie die Faktoren implementiert werden. 

  • Out-of-Band-Mechanismen: Ein zweiter Kanal wie Push-Approval oder OTP per App/SMS trennt die Faktoren technisch. Vorteil: einfacher Rollout. Nachteil: Gerätebindung und Angriffsfläche bei SIM-Swapping oder Man-in-the-Middle. 
  • Kryptographische Challenge-Response: Hardware-gebundene Keys (z. B. FIDO2, Smartcards) beantworten nur eine eindeutige Challenge mit einem privaten Schlüssel, der nie das Gerät verlässt. Vorteil: starker Schutz gegen Phishing, Replay-Angriffe und Credential Forwarding. 
  • Direkte Faktor-Kombination: Verfahren wie Smartcard + PIN setzen auf das „Both or nothing“-Prinzip. Erst die Kombination von Besitz (Karte) und Wissen (PIN) erlaubt eine Authentisierung. Vorteil: keine Fallbacks auf schwächere Pfade. 


Die Wahl der Methode hat unmittelbare Auswirkungen auf User Experience, Skalierbarkeit, Integrationsaufwand und Sicherheitsniveau. IT-Teams müssen abwägen: Komfort gegen Security Debt. 

 

Gängige Systeme im Überblick 

OTP/TAN-Verfahren
Zeit- oder transaktionsgebundene Codes (TOTP/HOTP) sind weit verbreitet. Sie sind flexibel und kostengünstig, stoßen aber an Grenzen, sobald gezielte Angriffe (Phishing-Kits, Session Hijacking) ins Spiel kommen. 

Kryptographische Token
Smartcards, YubiKeys oder FIDO2-Token sind derzeit der Goldstandard. Sie erlauben phishingresistente Authentisierung und sind kompatibel mit modernen Zero-Trust-Architekturen. Herausforderungen liegen im Lifecycle-Management: Key-Ausstellung, -Verlust, -Widerruf und -Ersatz müssen organisatorisch geregelt sein. 

Biometrie
Fingerabdruck, Gesicht oder Retina werden zunehmend in Endgeräte integriert. In Enterprise-Umgebungen sollten biometrische Verfahren nur gerätegebunden in Secure Enclaves eingesetzt werden – und nie als alleiniger Faktor. 

 

Grenzen und Fallstricke 

Auch im Enterprise-Kontext bringt MFA Herausforderungen mit sich: 

  • Usability vs. Security: Ohne adaptive Policies (z. B. Conditional Access, Risk-based Authentication) kann MFA die Produktivität hemmen. 
  • Wiederherstellung: Verliert ein Admin seinen Hardware-Token, muss ein definierter Recovery-Prozess greifen – sonst entstehen Downtimes. 
  • Scheinsicherheit: mTANs oder OTPs auf demselben Gerät wie der Login sind faktisch Single-Faktor. Phishing-resistente Verfahren sind hier die bessere Wahl. 
  • Shadow IT: Wenn MFA nicht zentral ausgerollt wird, entstehen Insellösungen. Diese erhöhen die Angriffsfläche, statt sie zu reduzieren. 



Technische Lösungen im Fokus 

Zwei Lösungen, die sich im Enterprise-Kontext bewährt haben: 

Fortinet FortiToken
Unterstützt OTPs als App oder Hardware-Token und lässt sich nahtlos in FortiGate-Umgebungen und andere IAM-Stacks integrieren. Durch zentrales Management ist es besonders für Unternehmen mit heterogenen Umgebungen interessant, die sowohl Remote-Access als auch Cloud-Dienste absichern müssen. 

Wallix Authentifikator
Konzentriert sich auf privilegierte Identitäten und hochsensible Accounts. Die Lösung passt ideal in ein Zero-Trust-Modell, bei dem gerade Privileged Access Management (PAM) granular abgesichert wird. Wallix erlaubt es, MFA kontextabhängig zu erzwingen – etwa für Admin-Sessions oder kritische Applikationen. 

 

Mehr als Technik 

Die Antwort auf die Eingangsfrage lautet: Wir nutzen Zwei- und Mehr-Faktor-Authentifizierung, weil es für IT-Umgebungen unverzichtbar ist. 

Doch: MFA ist kein Selbstzweck. Erst durch sauberes Identity Lifecycle Management, klare Governance-Richtlinien und kontinuierliche Sensibilisierung entfaltet es seine volle Wirkung. Wer 2FA/MFA nur technisch „einschaltet“, baut eine Illusion von Sicherheit auf. 

zurück zur Newsübersicht

Zurück

DAS KÖNNTE DICH AUCH INTERESSIEREN

06.02.2026

KI als Angriffsziel: (Invisible) Prompt Injection

Wir zeigen, wie Unternehmen sich vor der neuen Gefahr schützen können

MEHR
06.02.2026

Hornetsecurity ab jetzt bei der DATAKOM

Eine Erweiterung unseres E-Mail-Security-Portfolios

MEHR
06.02.2026

Supply-Chain-Angriff auf Notepad++-Infrastruktur

Wahrscheinlich war es Spionage

MEHR