16. September 2025

Leitfaden zur Bewertung von Multi-Faktor-Authentifizierung

Worauf es beim MFA-Vergleich wirklich ankommt: Vertrauen, Kontrolle, Regulierung, Gesamtkosten, und die Nutzererfahrung, die über Akzeptanz entscheidet.

Die Wahl einer Lösung für Multi-Faktor-Authentifizierung ist eine Entscheidung für die nächsten zehn Jahre – verkleidet als Häkchen im Beschaffungsformular. Dieser Leitfaden behandelt die Fragen, an denen sich entscheidet, ob eine Lösung Sie unauffällig schützt, oder unauffällig zu Ihrem nächsten Migrationsprojekt wird.

Vertrauen

Vertrauen Sie dem Sicherheitsmodell. Lösungen auf Basis von Public-Key-Kryptografie bieten Ihnen stärkere Garantien als Verfahren mit gemeinsamen Geheimnissen: Es gibt keinen zentralen Tresor voller Geheimnisse, in den eingebrochen werden könnte, und nichts, das beide Seiten kennen. Seien Sie skeptisch gegenüber proprietärer Kryptografie: bevorzugen Sie offene, geprüfte Grundlagen.

Kennen Sie die technischen Grundlagen. Wo werden Schlüssel erzeugt? Wo werden sie gespeichert? Ein Schlüssel, der im Hardware-Sicherheitselement des Telefons erzeugt wird und dort verbleibt, lässt sich weder exportieren noch klonen; ein Seed, der bei der Registrierung per QR-Code übertragen wird, ist nur so sicher wie dieser Übertragungsweg.

Wer hat die Kontrolle?

On-Premise oder SaaS. Wo läuft die Lösung, und was geschieht mit Ihrer Authentifizierung, wenn der Anbieter einen Ausfall hat, oder einen Sicherheitsvorfall? Wenn die Aufsichtsbehörde fragt, wo Ihre Authentifizierungsdaten liegen: Haben Sie dann eine Antwort, und liegt sie in Ihrer Hand?

Nachvollziehbare Kommunikation. Können Sie sehen und prüfen, was die Lösung über das Netzwerk sendet? Hier zählt die Transaktionsbestätigung: Der Benutzer sollte sehen, was er genehmigt, und die Genehmigung sollte kryptografisch an genau diesen Inhalt gebunden sein.

Vergessen Sie die Regulierung nicht

Wo werden die Daten gespeichert, und müssen Sie dem Anbieter überhaupt personenbezogene Daten übergeben? Für Organisationen in der EU macht die DSGVO diese Frage konkret. Im Fintech-Bereich entscheiden die Anforderungen der PSD2 an starke Kundenauthentifizierung und Dynamic Linking, welche Lösungen überhaupt infrage kommen. Hinzu kommen unter Umständen Anforderungen an Ausfallsicherheit und Verfügbarkeit: kann die Lösung redundant und unter Ihrer Kontrolle betrieben werden?

Gesamtbetriebskosten

Lizenzgebühren sind der sichtbare Teil. Rechnen Sie außerdem mit:

  • Produktabhängigkeiten: setzt die Lösung andere Produkte, Verzeichnisdienste oder Hardware voraus, die Sie noch nicht haben?
  • Wartungsgebühren und Versions-Upgrades.
  • Personalkosten: laufende Administration, Benutzersupport und Schulungen.
  • Zeit bis zur Inbetriebnahme: jede Woche Einrichtung ist bezahlte Arbeitszeit, bevor überhaupt ein Schutz besteht.
  • Opportunitätskosten: passt die Lösung noch, wenn Dokumentensignaturen, neue Anwendungen oder die Benutzer einer ganzen Firmenübernahme hinzukommen?

Vorsicht bei SMS

SMS-Codes lassen sich abfangen, per SIM-Swapping umleiten und phishen. Und sie halten nicht fest, was der Benutzer bei der Genehmigung tatsächlich gesehen hat. Das ist auch den Aufsichtsbehörden nicht entgangen. Wenn SMS heute Ihr zweiter Faktor ist, betrachten Sie sie als Brücke, nicht als Ziel.

Die Nutzererfahrung entscheidet alles

Sicherheit, die Benutzer nervt, wird umgangen – und eine umgangene Kontrolle ist schlimmer als gar keine, weil sie im Compliance-Bericht trotzdem auf Grün steht. Vergleichen Sie das Hardware-Erlebnis (was müssen Benutzer bei sich tragen?), das Software-Erlebnis (wie viele Fingertipps? wie viele mögliche Fehlerfälle?) und das Administrator-Erlebnis (wie lange dauert es tatsächlich, einen Benutzer zu registrieren?). Auch der Datenschutz gehört zur Nutzererfahrung: Eine Lösung, die Benutzerdaten hortet, schafft ihr eigenes Risiko.

Wie geht es weiter?

Jede Sicherheit ist besser als keine, aber Migrationskosten sind real, wählen Sie also etwas, aus dem Sie nicht herauswachsen. Bewerten Sie die Lösung in Ihrer eigenen Umgebung mit einem Pilotprojekt: ein echtes VPN, eine echte Anwendung, eine Handvoll echter Benutzer. Das sagt Ihnen in einer Woche mehr als eine Funktionsmatrix in einem Quartal.

← Alle Artikel

Ihre erste passwortlose Anmeldung – noch diese Woche

30 Minuten mit einem Ingenieur statt einer Vertriebspräsentation. Gemeinsam planen wir, wie in Ihrer VPN-, SSO- oder Windows-Umgebung ein funktionierendes Pilotprojekt an den Start geht.