Skip to main content

Multi-Faktor-Authentifizierung (MFA) – Mehrschichtige Absicherung von Identitäten

Einordnung und sicherheitsstrategische Bedeutung

Multi-Faktor-Authentifizierung (MFA) ist eine der effektivsten Maßnahmen zur Absicherung von Benutzerkonten, Administratorzugängen und kritischen Systemen. Sie ergänzt klassische Anmeldeverfahren um zusätzliche Faktoren und reduziert das Risiko kompromittierter Zugangsdaten drastisch.

In modernen IT-Landschaften, insbesondere bei Cloud-Diensten, VPNs, ERP-Systemen, Administrationsoberflächen und Remote-Zugriffen, ist MFA heute als Mindeststandard zu betrachten.

Grundprinzip: Authentifizierungsfaktoren

MFA basiert auf der Kombination von mindestens zwei unterschiedlichen Faktoren:

  • Wissensfaktor: Passwort, PIN
  • Besitzfaktor: Smartphone, Hardware-Token
  • Inhärenzfaktor: Biometrische Merkmale

Ein Angreifer muss mehrere unabhängige Hürden überwinden, um Zugriff zu erlangen.

Typen von MFA-Methoden

Time-based One-Time Password (TOTP)

  • Google Authenticator
  • FreeOTP
  • Microsoft Authenticator

Zeitbasierte Codes mit kurzer Gültigkeit (meist 30 Sekunden).

Push-basierte MFA

  • Push-Benachrichtigung auf Smartphone
  • Ein-Klick-Bestätigung

Hoher Benutzerkomfort, aber anfällig für Push-Fatigue-Angriffe.

Hardware-Token

  • YubiKey
  • Smartcards

Sehr hohe Sicherheit, physischer Besitz erforderlich.

Biometrische Verfahren

  • Fingerabdruck
  • Gesichtserkennung

Komfortabel, aber datenschutzrechtlich sensibel.

MFA in der Praxis – Einsatzbereiche

  • SSH-Zugänge
  • VPN-Verbindungen
  • Webanwendungen
  • Cloud-Konsolen
  • ERP- und Admin-Systeme

Implementierung: MFA für SSH (Linux)

Installation

apt install libpam-google-authenticator

Benutzerkonfiguration

google-authenticator

PAM-Anpassung

/etc/pam.d/sshd
auth required pam_google_authenticator.so

sshd_config

ChallengeResponseAuthentication yes
AuthenticationMethods publickey,keyboard-interactive
systemctl restart ssh

Implementierung: MFA für Webanwendungen

Typische Komponenten

  • Identity Provider (IdP)
  • TOTP-Backend
  • Backup-Codes

Empfehlungen

  • MFA verpflichtend für Admins
  • Optionale MFA für Benutzer

Backup- & Recovery-Strategien

Warum Backup-Codes essenziell sind

  • Geräteverlust
  • Defektes Smartphone
  • App-Neuinstallation

Best Practices

  • Offline speichern
  • Einmalig nutzbar
  • Sicher verwahren

Typische Fehlerbilder & Behebung

Kein Login mehr möglich

  • PAM-Konfiguration prüfen
  • Fallback-Zugänge definieren

Code wird abgelehnt

  • Systemzeit prüfen (NTP)
  • Zeitsynchronisation erzwingen

Vor- und Nachteile von MFA

Vorteile

  • Massive Erhöhung der Sicherheit
  • Schutz bei Passwort-Leaks
  • Compliance-Anforderung erfüllt

Nachteile

  • Zusätzlicher Benutzeraufwand
  • Implementierungskomplexität

Typische Anti-Patterns

  • MFA nur für einzelne Systeme
  • Kein Notfallzugang
  • Push-MFA ohne Schutzmechanismen

Best Practices bei Venasty Systems

  • MFA verpflichtend für Admin-Zugänge
  • Hardware-Token für kritische Systeme
  • Zentrale Identitätsverwaltung
  • Dokumentierte Recovery-Prozesse

MFA ist kein Komfortfeature, sondern ein essenzieller Sicherheitsbaustein moderner IT-Architekturen.

Back to top