Die meisten von uns sind inzwischen mit einer Zwei-Faktor- oder einer Multi-Faktor-Authentifizierung vertraut. Das sind per SMS zugestellte Einmal-Passwörter, Push-Benachrichtigungen oder biometrische Daten zur Anmeldung bei Benutzerkonten.
Doppelt gesichert, hält besser: Eine Multi-Faktor-Authentifizierung sollte auch für Cloud-Dienste verpflichtend werden, fordert Rolf Lindemann in diesem Gastkommentar.
(Bild: Getty Gallery - stock.adobe.com)
In Europa hat die Zahlungsdiensterichtlinie PSD2 eine starke Kundenauthentifizierung mittels Zwei-Faktor-Authentifizierung beim Online-Bezahlen weitestgehend durchgesetzt. Auch die Cloud-Anbieter stehen im Hinblick auf die Einführung einer Multi-Faktor-Authentifizierung (MFA) deshalb nicht mehr vor der Frage, ob sie kommt, sondern wann.
Fortschritte bei der Multi-Faktor-Authentifizierung
Die Finanz- und Zahlungsdienstleister sind nicht die einzigen, die sich mit dem Thema Authentifizierung beschäftigen. So haben im Jahr 2021 einige der großen Anbieter von Online-Verbraucherdiensten Teile ihrer Nutzer auf MFA umgestellt. Google beispielsweise verpflichtete sich, die Multi-Faktor-Authentifizierung für alle Google-Workspace-Nutzer vorzuschreiben, und verschenkte zudem Tausende von Sicherheitsschlüsseln an Personen mit hohem Risiko. Microsoft hat sich von unsicheren Verfahren verabschiedet und passwortlose Zugriffsoptionen für Benutzerkonten eingeführt.
Beim Einsatz von Multi-Faktor-Authentifizierung ist noch Luft nach oben. Die oben angesprochenen Initiativen sind zwar ein guter Anfang, für flächendeckenden Schutz müssen jedoch mehr Dienstanbieter sehr viel mehr Kunden dazu bewegen, sichere Authentifizierungsverfahren zu verwenden.
Die oben genannten Tech-Giganten und andere Cloud-Anbieter haben daher noch einiges zu tun und sollten dabei folgende Aspekte berücksichtigen:
1. Anwender zur Nutzung von Multi-Faktor-Authentifizierung verpflichten Eines wissen wir aus Erfahrung: Damit Nutzer ihr Verhalten ändern, muss die Multi-Faktor-Authentifizierung obligatorisch werden – vergleichbar mit dem Sicherheitsgurt im Auto. Denn abgesehen von einigen wenigen technikaffinen Menschen ist es unwahrscheinlich, dass Anwender freiwillig die Art und Weise ändern, wie sie auf ihre Accounts zugreifen – vor allem, wenn das mit einem Aufwand verbunden ist.
2. Nutzerzahlen öffentlich machen Dienstanbieter sollten kommunizieren, wie viele Nutzer die Multi-Faktor-Authentifizierung tatsächlich verwenden. Selbst wenn die Nutzerzahlen zunächst alles andere als großartig sein werden, ist Transparenz sinnvoll. Die Zahlen zeigen einerseits den Zuwachs und führen andererseits vor Augen, dass und wo weitere Anstrengungen notwendig sind, um mehr Nutzer an Bord zu holen.
3. Der Faktor Benutzererfahrung Die Art der Authentifizierung ist nicht nur eine Frage der Sicherheit, sondern auch der Benutzererfahrung. Sie ist bei Zwei-Faktor-Verfahren wie Einmal-Passcodes per SMS und Push-Benachrichtigungen wenig benutzerfreundlich. Herkömmliche Zwei-Faktor-Verfahren benötigen zwei Schritte. Und was ein komplizierter Ablauf bewirken kann, davon kann der Online-Handel ein Lied singen. Damit die Multi-Faktor-Authentifizierung in vollem Umfang angenommen wird, muss sie möglichst nahtlos in die Prozesse integriert sein. Insbesondere die besitzbasierte Authentifizierung hat im Hinblick auf das Benutzererlebnis Vorteile. Biometrie und Sicherheitsschlüssel sind in der Regel sehr einfache Authentifizierungsmethoden mit nur einer Geste. Mit ihnen lässt mehr Sicherheit erreichen, ohne dass das Benutzererlebnis leidet. Mit modernen Verfahren ist Multi-Faktor-Authentifizierung in einem einzigen Schritt möglich.
4. Die Multi-Faktor-Authentifizierung weiterentwickeln Wie Microsoft dokumentiert hat, ist für den Schutz von Accounts jede Form von Multi-Faktor-Authentifizierung besser als ein Passwort allein. Allerdings sind nicht alle Zwei-Faktor-Verfahren gleichermaßen sicher. Neue Toolkits mit bösartiger Software, mit der herkömmliche Multi-Faktor-Verfahren, vor allem Verfahren mit Einmal-Passwörtern, umgangen werden können, sind zunehmend online verfügbar, und die Angriffe werden immer ausgefeilter und breiten sich immer weiter aus. Denn jedes Einmal-Passwort, ob von einer SMS oder einer Authentifizierungs-App, ist gewissermaßen ein offenes Geheimnis und deshalb anfällig für Manipulationen durch Phishing, Social Engineering sowie Replay- und andere Angriffe.
Cloud-Anbieter sollten deshalb besitzbasierte Multi-Faktor-Authentifizierung einsetzen. Darunter sind kryptografische Verfahren in Kombination mit biometrischen Daten auf dem Gerät oder Sicherheitsschlüsseln zu verstehen. Da sie durch die robuste Hardware auf dem Gerät geschützt sind und sich während der Authentifizierung in der Hand des Kunden befinden müssen, können sie nicht wie Einmal-Passwörter gefälscht oder kompromittiert werden. Die Sicherheit der besitzbasierten Multi-Faktor-Authentifizierung ist der Grund, warum das Advanced Protection Program von Google nichts anderes unterstützt.
Die Entwicklung geht weiter
Bei der Entwicklung und Implementierung der Multi-Faktor-Authentifizierung sind viele Erfolge zu verzeichnen. Mit den Erfolgen haben sich auch die Fragestellungen geändert. Anstelle von Aspekten wie der Notwendigkeit und der prinzipiellen Machbarkeit einer bequemen und Phishing-resistenten Multi-Faktor-Authentifizierung steht heute im Vordergrund, wie sie konkret eingeführt werden soll.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Rolf Lindemann, VP Nok Nok Labs und Boardmitglied der FIDO Alliance.
Cloud-Anbieter sollten wissen, dass Benutzerfreundlichkeit und Sicherheit sich nicht widersprechen müssen und gleichzeitig umsetzbar sind.
* Der Autor Rolf Lindemann ist Boardmitglied der FIDO Alliance. FIDO ist ein Standard wie Wi-Fi oder Bluetooth, nur für die sichere Authentifikation. Zu den Mitgliedern der FIDO-Allianz zählen neben Apple, Google und PayPal auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
:quality(80)/p7i.vogel.de/wcms/53/9a/539a7369f3f6420e59149463d2a30c44/0128372174v3.jpeg "Wie sollte man im IT-Channel die Segel setzen, um auch 2026 erfolgreich zu sein? (Bild: © AlfaSmart - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/01/f701d737e67de7edf60a815556f87792/0128380190v2.jpeg "Europa spielt bei der Produktion von IT-Hardware überwiegend nur als Standort für die Endmontage von importierten Komponenten eine Rolle. (Bild: © Khusi - stock.adobe.com / KI-generiert)")
![KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)](https://cdn1.vogel.de/OR9Fozt0vJYiF8WyvqFIobegcW8=/288x162/smart/filters:format(jpg):quality(80)/p7i.vogel.de/wcms/59/e9/59e942e7bcde7a66e41bfbb69823c213/0127869976v3.jpeg "KI in Deutschland: was muss passieren, dass Deutschland bei KI nicht den Anschluss verliert? (Bild: midjourney / KI-generiert - [M] J Rath)")
:quality(80)/p7i.vogel.de/wcms/82/7d/827d53211ad894c4bbae3c9d377c80fe/0127628471v2.jpeg "Im Kundenservice können KI-Agenten zum Gamechanger werden und zu mehr Zufriedenheit bei Kunden und Mitarbeitern führen. (Bild: © Nasira Mai - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b4/db/b4db7a77cd7ea6916c717964cf3d15be/0128896694v1.jpeg "Dr. Nils Kaufmann wird Vertriebsleiter bei indevis x Data-Sec. (Bild: indevis x Data-Sec)")
:quality(80)/p7i.vogel.de/wcms/cc/0e/cc0ee3afaddf3bb684a02ecb5ad68702/0128887963v2.jpeg "Kevin Kennedy, Vice President des Global Partner Ecosystem bei Red Hat (Bild: Red Hat)")
:quality(80)/p7i.vogel.de/wcms/01/94/0194b228bbaada88271174c98bc8fa3d/0128877523v2.jpeg "Gos Hein van de Wouw, SVP EMEA Sales bei Extreme Networks (Bild: Extreme Networks)")
:quality(80)/p7i.vogel.de/wcms/43/c8/43c83a1afdfe56b99d294a05b4c747e4/0128876251v2.jpeg "Stefan Fritz, Senior Director Channel Sales EMEA Central bei Sophos (Bild: Sophos)")
:quality(80)/p7i.vogel.de/wcms/22/7e/227e71f2755ef305a2ba2f5e4fdcbef6/0127720658v1.jpeg "Agentenbasierte KI skaliert rasant und damit wächst auch die Angriffsfläche in Netzwerk-, Cloud- und SaaS-Umgebungen. (Bild: © deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/b9/1bb92cb893c83c95299d225506843426/0128848083v2.jpeg "Der „Superheld mit Geld“ ist sicherlich nicht ausschließlich auf dem Verdiensttreppchen dieses Jahres zu finden. Die Mitarbeitenden in Banken, Versicherungen und der Energie können dennoch durchschnittlich mit etwas mehr Lohn rechnen. (Bild: © visoot – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4d/0d/4d0d39e269de9de8f4e42006ec3bec1e/0128602505v2.jpeg "Die Führungsetage ist verantwortlich für das Risikomanagement. Sie muss die potenziellen Bedrohungen verstehen und geeignete Maßnahmen ergreifen, um Risiken zu minimieren und die Resilienz des Unternehmens zu stärken. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/72/b8/72b8f4363aab865e863736ad31f77ec0/0128882970v2.jpeg "Windows Server 2025 erhält 2026 neue Funktionen wie Zero Trust, Verschlüsselung und Telemetrie, einschließlich Erweiterungen für Storage, Hyper-V-Verwaltung und lokale KI, die zunächst über Insider Builds getestet werden und eine verbesserte Sicherheit sowie neue Netzwerk- und Zugriffssteuerungen bieten. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/09/01098c52b88c8298ee8bf2f780af6eb5/0128800268v2.jpeg "Mit neuen leistungsfähigen Alltags-Computern erweitert Asus auf der CES 2026 das KI-Portfolio. (Bild: Asus)")
:quality(80)/p7i.vogel.de/wcms/65/e9/65e9691bb1f542b515a931e0f22d3273/0128745989v2.jpeg "KI für den Datenaustausch zwischen Endgeräten: Lenovo Qira ist eine geräteübergreifende und personalisierte Umgebungsintelligenz. (Bild: © Lenovo)")
:quality(80)/p7i.vogel.de/wcms/be/03/be03b4159ffcde7c26d822dc13537ee6/0128018541v1.jpeg "Enthalten KI-Modelle Sicherheitslücken, können sie durch Prompt-Injection-Angriffe dazu gebracht werden, versteckte Befehle auszuführen, Sicherheitsmechanismen zu umgehen und dabei unbemerkt persönliche Daten, gespeicherte Chats und andere sensible Informationen preiszugeben. (©Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/7f/377f9576a9914d8619e67ece12968cc2/0128602629v2.jpeg "Die Bedrohungslage verschärft sich weiter. MSP und Systemhäuser müssen 2026 laut Riedel verstärkt auf automatisierte und ganzheitliche Sicherheitslösungen setzen. (Bild: Canva)")
:quality(80)/p7i.vogel.de/wcms/98/50/9850475c7e7526e33d2cafc5ad0c5d1b/0128095819v1.jpeg "Lösungen für modernes Datenmanagement (Bild: AvePoint, vom AvePoint-Grafikteam gestaltet )")
:quality(80)/p7i.vogel.de/wcms/76/cb/76cbe49cfea473087f6945c0ce27b878/0128603154v2.jpeg "(Bild: Samsung)")
:quality(80)/p7i.vogel.de/wcms/1c/93/1c9397c3fcd862e27d544c1da0a2e6ec/0128411324v1.jpeg "Klare Kommunikation - auf das richtige Headset kommt es an! (Bild: Herweck)")
:quality(80)/p7i.vogel.de/wcms/1e/ab/1eab169e9eb77aed17ecb731bc0aaa81/0128441842v2.jpeg "(Bild: TD SYNNEX)")
:quality(80)/p7i.vogel.de/wcms/3d/4e/3d4eb05a9bb6148a258e1d7a320a0595/0128770700v1.jpeg "Der Lego Smart Brick ist vollgepackt Beschleunigungsmessern, Lichtsensoren und einem Schallsensor sowie einem Miniaturlautsprecher, der von einem integrierten Synthesizer angetrieben wird,. (Bild: Lego)")
:quality(80)/p7i.vogel.de/wcms/37/68/3768a9690d67761ff08303668746b35f/0128683978v1.jpeg "Auf der CES in Las Vegas lässt sich zum Jahresauftakt ablesen, was die Tech-Trends 2026 werden. (Bild: CTA)")
:quality(80)/p7i.vogel.de/wcms/14/a3/14a3efcff030b182d8774ef21539cafb/0128566028v2.jpeg "In München kamen am 11. Dezember fast 30 Mitglieder des deutschen Chapters der Women4Cyber zusammen. (Bild: Nicolas Armer)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133500/133538/65.jpg "Logo_WatchGuard_Color_Vector_HighRes.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1948100/1948133/original.jpg "Salesforce will bis Mai kommenden Jahres alle Kunden zur Multi-Faktor-Authentifizierung verpflichten. (gemeinfrei, geralt / Pixabay)")
:quality(80)/images.vogel.de/vogelonline/bdb/1935400/1935490/original.jpg "Verbraucher sind nicht sehr geduldig und brechen Kaufprozesse oder die Anmeldung zu Online-Inhalten schnell ab, wenn der Login-Prozess zu umständlich ist. (gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/10/4b/104b2bdf6b332dda5844e959903da054/0124666387v2.jpeg "(v. l.) Alexander Koch wird Senior Vice President Sales für den EMEA-Raum und Michael Geiger wird Sales Manger für den DACH-Markt. (Bild: Yubico, bearbeitet mit Canva.)")
:quality(80)/p7i.vogel.de/wcms/d6/18/d6183a1d4968f3cb12da97b58140e682/0125143813v2.jpeg "Sysob vertreibt nun die iShield-Key-Produktlinie von Swissbit in der DACH-Region. (Bild: Swissbit)")