concept#Sicherheit#Integration#Plattform#Software-Engineering

Mehrfaktor-Authentifizierung (MFA)

Ein Sicherheitsprinzip, das die Authentifizierung durch mehrere unabhängige Faktoren absichert, z. B. Wissen, Besitz oder biometrische Merkmale.

Mehrfaktor-Authentifizierung (MFA) ist ein Sicherheitskonzept, das die Identitätsprüfung durch mehrere unabhängige Faktoren erhöht, z.

Reifegrad

Etabliert

Cognitive LoadMittel

Klassifikation

KomplexitätMittel
AuswirkungOrganisatorisch
EntscheidungstypArchitektur
OrganisationsreifeFortgeschritten

Technischer Kontext

Integrationen

Single Sign-On (SAML, OIDC)Identity Provider (Azure AD, Keycloak, Okta)SIEM und Monitoring-Systeme

Prinzipien & Ziele

Prinzipien

Minimal notwendige Faktoren: nur so viele Faktoren wie erforderlich einsetzen.Defense in Depth: MFA ergänzt, ersetzt nicht andere Sicherheitskontrollen.Usability beachten: Akzeptanz durch Nutzer ist für Wirksamkeit entscheidend.

Value Stream

Betrieb

Organisationsebene

Unternehmen, Domäne, Team

Use Cases & Szenarien

Use Cases

Szenarien

Kompromisse

Risiken

SIM-Swapping bei SMS-basierten Faktoren.
Verlust von Hardware-Token ohne robuste Notfallprozesse.
Falsche Konfigurationen, die MFA umgehbar machen.

Best Practices

Bevorzuge phish-resistente Faktoren (z. B. FIDO2) statt SMS.
Nutze adaptive MFA, um Usability und Sicherheit auszubalancieren.
Implementiere klare Notfall- und Wiederherstellungsprozesse.

I/O & Ressourcen

Eingaben

Vorhandenes Identitätsverzeichnis (LDAP, AD, IdP)
Liste unterstützter Authentifizierungsfaktoren
Risikopolitiken und Compliance-Anforderungen

Ausgaben

Aktive MFA-Policy und Konfigurationssets
Audit-Protokolle mit zweiten Faktor-Ereignissen
Reports zur Akzeptanz und Effektivität

Ressourcen

Beschreibung

Mehrfaktor-Authentifizierung (MFA) ist ein Sicherheitskonzept, das die Identitätsprüfung durch mehrere unabhängige Faktoren erhöht, z. B. Wissen, Besitz oder biometrische Merkmale. MFA reduziert das Risiko kompromittierter Zugangsdaten und unterstützt Compliance-Anforderungen. Implementierung erfordert Abwägungen zwischen Sicherheit, Usability und Betriebskosten.

✔Vorteile

Signifikante Reduktion von Account-Übernahmen durch gestohlene Passwörter.
Unterstützung regulatorischer und Compliance-Anforderungen.
Erhöhte Nachvollziehbarkeit und forensische Möglichkeiten bei Anmeldeereignissen.

✖Limitationen

Nicht alle Faktoren sind gleich sicher (z. B. SMS vs. Hardware-Token).
Implementierung kann zusätzliche Betriebsaufwände verursachen.
Benutzerakzeptanz kann bei schlechter UX leiden und zu Workarounds führen.

Trade-offs

Metriken

Anteil MFA-aktivierter Konten
Prozentualer Anteil der Benutzer, die MFA aktiviert haben.
Anzahl verhindeter Account-Übernahmen
Erfasste oder vermiedene Übernahmeversuche nach Einführung von MFA.
Support-Tickets wegen Faktorverlust
Anzahl in Relation zur Benutzerbasis, die Hilfe beim verlorenen Faktor benötigt.

Beispiele & Implementierungen

MFA per TOTP für interne Tools

Ein Team führt TOTP-basierte Authentifikatoren für interne Webanwendungen ein und bindet sie an das bestehende SSO.

Hardware-Token für Admin-Konten

Für privilegierte Accounts werden U2F/HSM-gestützte Hardware-Token verpflichtend gemacht.

Push-basierte MFA mit Mobilgerät

Nutzer bestätigen Login-Anfragen über Push-Benachrichtigungen eines vertrauenswürdigen Authenticator-Clients.

Implementierungsschritte

Bestandsaufnahme vorhandener Authentifizierungsflüsse und IdPs.

Risikobasierte Auswahl geeigneter Authentifizierungsfaktoren.

Festlegen verbindlicher Policies und Ausnahmeregeln.

Technische Integration mit IdP/SSO und Testen in Pilotgruppen.

Rollout mit Nutzerkommunikation, Schulung und Supportprozessen.

⚠️ Technische Schulden & Engpässe

Tech Debt

Altsysteme ohne MFA-Support, die Workarounds erfordern.
Temporäre Ausnahme-Accounts, die nicht bereinigt wurden.
Unvollständige Logging-Integration für Faktorereignisse.

Bekannte Engpässe

Legacy-Systems: Altsysteme ohne MFA-UnterstützungBenutzerakzeptanz: Widerstand gegen zusätzliche SchritteSupport-Load: Steigende Helpdesk-Anfragen bei Rollout

Beispiele für Missbrauch

Akzeptieren von SMS-Codes als alleinigen Schutz für Admin-Accounts.
Aufbewahrung von Backup-Codes in unverschlüsselten Notizen.
Ermöglichen langfristiger Ausnahmen ohne Prüfung.

Typische Fallen

Überschätzung der Sicherheit von SMS- oder E-Mail-Faktoren.
Unzureichende Prozeduren für Faktorverlust oder -wechsel.
Fehlende Integration in Audit- und Incident-Prozesse.

Erforderliche Fähigkeiten

Identity- und Access-Management-KenntnisseGrundverständnis von Authentifizierungsprotokollen (OIDC, SAML, OAuth)Betriebs- und Supportfähigkeiten für Token-Verwaltung

Drivers (Architectural Drivers)

Schutz kritischer Daten und RessourcenCompliance-Anforderungen und regulatorische VorgabenIntegration mit Identity-Providern und SSO

Constraints

• Rechtliche Vorgaben zum Umgang mit biometrischen Daten
• Technische Einschränkungen älterer Anwendungen
• Budgetrahmen für Tokens, Dienste und Integration