Glossary term
MFA
Also: Multi-Factor Authentication, Mehr-Faktor-Authentifizierung
Authentifizierung, die mindestens zwei Faktoren aus den Kategorien Wissen (Passwort), Besitz (Hardware-Token, Smartphone) und Sein (Biometrie) kombiniert. Pflicht nach NIS2 Art. 21 Buchstabe j und DORA Art. 9.
Schwache MFA: SMS- oder E-Mail-OTP, anfällig für SIM-Swapping und Phishing. Mittlere MFA: TOTP-Apps wie Google Authenticator, besser als SMS, aber phishbar.
Starke MFA: phishing-resistente Faktoren nach NIST SP 800-63B AAL3, in der Praxis FIDO2/WebAuthn mit Hardware-Schlüsseln (YubiKey, SoloKey, Titan) oder Passkeys mit Plattform-Attestation. Schützt strukturell gegen Phishing, AiTM-Proxy-Angriffe und Replay.
Pflicht-Logik 2026: privilegierte Accounts brauchen phishing-resistente MFA. Standard-User mindestens TOTP. SMS-MFA wird in regulierten Branchen zunehmend abgelehnt.
Related terms
Passkeys
Phishing-resistente Authentifizierungs-Credentials nach WebAuthn/FIDO2, die private Schlüssel auf de…
FIDO2
Offener Authentifizierungs-Standard der FIDO Alliance plus W3C, bestehend aus WebAuthn (Browser-/Pla…
IAM (Identity and Access Management)
The stack of systems that governs who has access to which systems under which conditions. IAM covers…
Zero Trust
A security model built on the principle that no user, device or network location is trusted by defau…
MITRE ATT&CK Evaluation
Eine vom MITRE Engenuity Center for Threat-Informed Defense durchgeführte standardisierte Bewertung …
AI Act Konformitätsbewertung
Verfahren zur Feststellung, dass ein Hochrisiko-KI-System die Anforderungen des EU AI Act erfüllt, b…
AI Act Risikoklassen
Vier-stufige Klassifikation nach EU AI Act: verboten (Art. 5), Hochrisiko (Anhang I/III), begrenztes…
BaFin DORA-Aufsichtsmitteilung
Veröffentlichungen der BaFin zur Auslegung und Erwartung der DORA-Anwendung in Deutschland. Stand 20…