Infrastructure Loading Boundary
Die aktuelle Ansicht wird vorbereitet. Routing, Inhalte und Laufzeitstatus werden geladen, bevor die Oberfläche freigegeben wird.
> route: resolving
> content: loading
> state: controlled
Multi-Faktor-Authentifizierung ergänzt das Passwort um einen weiteren Nachweis. In Microsoft-Umgebungen ist MFA ein zentraler Baustein für Entra ID, Microsoft 365, Conditional Access und Zero Trust.
Kurzantwort
MFA bedeutet, dass eine Anmeldung mit mehr als einem Nachweis bestätigt werden muss. Neben dem Passwort können zum Beispiel eine Authenticator-App, ein Sicherheitsschlüssel, ein Passkey oder ein biometrischer Faktor eingesetzt werden.
Multi-Faktor-Authentifizierung, kurz MFA, schützt Anmeldungen mit mindestens zwei unterschiedlichen Nachweisen. Ein Passwort allein reicht dann nicht mehr aus, um Zugriff auf ein Konto oder eine Anwendung zu erhalten.
In Microsoft-365-Umgebungen wird MFA typischerweise über Microsoft Entra ID bereitgestellt. Benutzer bestätigen ihre Anmeldung zum Beispiel über Microsoft Authenticator, einen Sicherheitsschlüssel, einen Passkey oder eine biometrische Methode.
Besonders wichtig ist MFA für Administratoren, privilegierte Rollen, externe Zugriffe und Anwendungen mit sensiblen Unternehmensdaten.
Etwas, das eine Person weiß, zum Beispiel ein Passwort oder eine PIN.
Etwas, das eine Person besitzt, zum Beispiel ein Smartphone, eine Authenticator-App, ein Passkey oder ein Sicherheitsschlüssel.
Etwas, das zu einer Person gehört, zum Beispiel Fingerabdruck oder Gesichtserkennung.
Zusätzliche Signale wie Gerät, Standort, Risiko oder Anwendung können über Conditional Access bewertet werden.
MFA reduziert das Risiko kompromittierter Passwörter erheblich. Trotzdem beantwortet MFA allein nicht alle Fragen eines sicheren Zugriffs.
Eine Anmeldung kann zusätzlich davon abhängen, ob das Gerät verwaltet ist, ob die Anmeldung aus einem riskanten Standort kommt, ob ein Benutzer eine privilegierte Rolle besitzt oder ob eine bestimmte Anwendung besonders schützenswert ist.
Deshalb sollte MFA in Unternehmen nicht isoliert betrachtet werden, sondern zusammen mit Conditional Access, Gerätesicherheit, Rollenmodellen und Zero Trust.
Privilegierte Konten benötigen stärkeren Schutz, weil ein kompromittierter Admin-Zugang große Auswirkungen haben kann.
E-Mail, SharePoint, Teams und OneDrive enthalten häufig sensible Unternehmensdaten und sollten nicht nur per Passwort geschützt sein.
Remote Work, Partnerzugriffe und Gastkonten erhöhen die Bedeutung zusätzlicher Authentifizierungsprüfungen.
Ungewöhnliche Standorte, neue Geräte oder verdächtige Aktivitäten sollten zusätzliche Prüfungen auslösen.
MFA beschreibt die zusätzliche Prüfung bei der Anmeldung. Conditional Access ist die Richtlinienlogik, die entscheidet, wann diese Prüfung erforderlich ist.
Ein Unternehmen kann zum Beispiel festlegen, dass MFA immer für Administratoren erforderlich ist, bei riskanten Anmeldungen ausgelöst wird oder nur für bestimmte Anwendungen gilt.
Dadurch wird MFA nicht pauschal, sondern abhängig vom Zugriffskontext eingesetzt.
Wenn Administratoren, Servicekonten oder alte Anwendungen dauerhaft ausgenommen werden, entstehen neue Sicherheitslücken.
MFA sollte mit Pilotgruppen, Kommunikation, Supportplanung und klaren Rückfalloptionen eingeführt werden.
SMS oder Telefonanrufe sind häufig weniger robust als Authenticator-App, Passkeys oder FIDO2-Sicherheitsschlüssel.
Verlorene Geräte, neue Smartphones, Break-Glass-Konten und Helpdesk-Prozesse müssen sauber geregelt sein.
MFA ist kein einmaliges Einschalten einer Funktion. Unternehmen müssen festlegen, welche Methoden erlaubt sind, wie neue Benutzer registriert werden, wie verlorene Geräte behandelt werden und wer Ausnahmen genehmigen darf.
Auch Supportprozesse sind wichtig: Wenn ein Benutzer sein Smartphone verliert oder eine Authenticator-App neu einrichten muss, darf daraus kein Sicherheitsrisiko und kein unnötiger Stillstand entstehen.
Besonders kritisch sind privilegierte Konten, Break-Glass-Konten, Legacy Authentication und Anwendungen, die moderne MFA-Verfahren nicht unterstützen.
Kurzantwort
MFA ist ein zentraler Schutz gegen kompromittierte Passwörter. Wirklich stark wird MFA aber erst, wenn sie mit Conditional Access, Entra ID, Gerätesicherheit, klaren Rollenmodellen und einem sauberen Betriebskonzept kombiniert wird.
FAQ
MFA steht für Multi-Faktor-Authentifizierung. Dabei wird eine Anmeldung nicht nur mit einem Passwort, sondern mit mindestens einem weiteren Faktor abgesichert.
MFA reduziert das Risiko, dass ein gestohlenes, erratenes oder durch Phishing abgefangenes Passwort allein für einen erfolgreichen Zugriff ausreicht.
Typische Faktoren sind Wissen wie ein Passwort, Besitz wie ein Smartphone oder Sicherheitsschlüssel und biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung.
Nein. MFA ist eine Authentifizierungsanforderung. Conditional Access entscheidet anhand von Benutzer, Gerät, Risiko, Standort und Anwendung, wann MFA oder andere Kontrollen erforderlich sind.
MFA schützt die Anmeldung, bewertet aber nicht allein den gesamten Zugriffskontext. Gerätevertrauen, Standort, Risiko, privilegierte Rollen und App-Schutz müssen zusätzlich berücksichtigt werden.
Weiterführende Themen
Wie Microsoft Entra ID entscheidet, wann MFA erforderlich ist.
Die Identitätsplattform für Benutzer, Gruppen, Rollen und Anmeldungen.
Warum Zugriffe anhand von Identität, Gerät und Risiko bewertet werden.
Warum privilegierte Konten besonders geschützt und kontrolliert werden müssen.
Zusammenhänge
Diese Themen helfen, MFA im Zusammenspiel mit Identität, Zugriffskontrolle, Risiken, Betrieb und Governance einzuordnen.
Technische Bausteine und direkte Abhängigkeiten.
Betriebsrealität, Governance und laufende Verantwortung.
Typische Schwachstellen, Ausfälle und Kontrollverluste.
Typische Ausfallmuster, Ursachen und betroffene Kontrollpunkte.
Betriebsabläufe von Signal, Entscheidung, Änderung und Nachkontrolle.
Verantwortungsketten, Reviews und prüfbare Nachweise.
Abhängigkeiten zwischen Identität, Plattform, Service und Betrieb.
Prüfpfade, Signale und nächste sinnvolle Diagnosepunkte.
Eine MFA-Strategie legt fest, wann und wie Mehr-Faktor-Authentifizierung eingesetzt wird, ohne den Betrieb unnötig zu blockieren.
Begriff ansehenConditional Access steuert Zugriffe abhängig von Identität, Gerät, Standort, Risiko und Anwendung.
Begriff ansehenMicrosoft Entra ID ist der zentrale Identitäts- und Zugriffsdienst für Microsoft 365 und verbundene Cloud-Anwendungen.
Begriff ansehenZero Trust bewertet jeden Zugriff anhand von Identität, Gerät, Risiko, Anwendung und Kontext.
Begriff ansehenDefinitionen und technische Grundlagen.
Betriebsrealität und Abhängigkeiten.
Kontrollverlust und typische KMU-Situationen.
Passende Einordnung und konkrete Hilfe.