nexalign

Decision guide · Identität und Authentifizierung

MFA-Rollout planen: phishing-resistente Authentifizierung unter NIS2 und DORA

MFA ist Pflicht unter NIS2 Art. 21 Buchstabe j und DORA Art. 9. Aber MFA ist nicht gleich MFA: SMS-OTP und E-Mail-Codes sind in 2026 nicht mehr akzeptable Schutzstufen für privilegierte Zugriffe. Phishing-resistente MFA mit FIDO2 oder Passkeys ist der Stand der Technik, vor allem nach den AiTM-Proxy-Wellen 2023-2025.

TL;DR

Schwache MFA (SMS, TOTP) reicht 2026 nicht mehr. Phishing-resistente MFA ist für privilegierte Zugriffe Pflicht-Logik.

Who owns this decision

CISO mit IT-Operations und HR/Change-Management. Datenschutz im Lenkungskreis (Biometrie-Bewertung).

Key criteria to weight

  • Phishing-Resistenz nach NIST AAL3

    FIDO2/WebAuthn mit Hardware-Attestation ist State of the Art.

  • Coverage aller Apps und Geräte

    MFA-Lücke = Angriffsflaeche. Legacy-Apps brauchen Gateway-Lösung.

  • User-Experience und Akzeptanz

    Passkeys gewinnen, weil Komfort. Hardware-Token nur für privilegierte Rollen.

  • Backup-Faktor und Lost-Token-Prozess

    Ohne Recovery-Plan blockiert MFA Produktivität.

  • Integration in IAM und IGA

    Faktoren müssen pro Rolle, Risiko und App differenziert sein.

  • Conditional Access und Risk-Based MFA

    Adaptive MFA reduziert Friction und fängt Anomalien.

Step-by-step decision flow

  1. 1

    Inventar

    Welche Apps haben MFA aktiv, welche Faktoren, welche User-Gruppen? Schwachstellen finden.

  2. 2

    Faktor-Strategie

    Pro Rolle und App: SMS-OTP loschen, TOTP für Standard-User, FIDO2/Passkeys für Privilegierte.

  3. 3

    Pilot mit Power-User-Gruppe

    Admins und Power-User mit Hardware-Keys (YubiKey, SoloKey). Lessons Learned ins Rollout-Konzept.

  4. 4

    Stufen-Rollout

    Welle 1 Admins, Welle 2 Finance/HR/Legal, Welle 3 alle Mitarbeitenden, Welle 4 Externe und Sub-Lieferanten.

  5. 5

    Memo, Schulung, Telemetrie

    Decision Memo mit Stakeholder-Alignment. Schulungen. Telemetrie zur MFA-Bypass-Erkennung.

Compliance note

NIS2 Art. 21 Buchst. j verlangt Multi-Faktor- oder kontinuierliche Authentifizierung. DORA Art. 9 verlangt strikte Identitäts- und Zugriffs-Sicherung. BAIT BTO 6 und ISO 27002 A.8.5 verlangen starke Authentifizierungs-Mechanismen für privilegierte Zugriffe. Pflicht-Beleg: Authentifizierungs-Konzept mit Risiko-basierten Faktoren.

Common pitfalls

  • !MFA wird nur in Microsoft 365 aktiviert, andere Apps bleiben offen.
  • !SMS-OTP wird beibehalten 'weil einfacher'. Bei AiTM-Phishing gebrochen.
  • !Backup-Faktor wird vergessen. Helpdesk wird mit Reset-Requests überlastet.
  • !Externe und Sub-Lieferanten werden ausgenommen. Supply-Chain-Risiko bleibt.

FAQ

Sind Passkeys oder Hardware-Token besser?

Passkeys gewinnen in Komfort, Hardware-Token (FIDO2-Sticks mit Attestation) gewinnen in Hoheit. Für Standard-User sind Passkeys (Plattform-synced) richtig, für privilegierte Rollen und Audit-relevante Zugriffe sind Hardware-Token Pflicht.

Reicht TOTP für NIS2-Compliance?

Für Standard-User aktuell ja. Für Admins und kritische Funktionen wird der Markt 2026/2027 deutlich Richtung phishing-resistent shiften. NIS2 selbst schreibt keinen Faktor vor, aber 'Stand der Technik' nach Art. 21 wird interpretiert.

Was kostet ein MFA-Rollout?

Hardware-Token 30-90 EUR pro Stück plus Logistik. Software-Lizenzen oft in IAM-Suite enthalten. Hauptkosten: Change-Management und Helpdesk. Realistisch 50-150 EUR pro User Gesamtaufwand im Rollout-Jahr.

Run this decision in DecisionOS →What is DecisionOS?