MFA ist tot? Warum klassische Multi-Faktor-Authentifizierung nicht mehr reicht

13. Mai 2026
|In Cloud, Endpoint
|Von SilentPayload

Multi-Faktor Authentifizierung (MFA) ist heute ein fester Bestandteil jeder modernen IT-Sicherheitsstrategie (sollte es zumindest sein 😉). Doch das war nicht immer so.

Was heute als «Standard» gilt, ist das Ergebnis einer langen Entwicklung, geprägt von neuen Technologien, wachsender Bedrohungslage und einem klaren Ziel: Identitäten besser zu schützen.

Bevor wir in die Geschichte eintauchen, lohnt sich ein kurzer Blick auf die grundlegende Idee hinter MFA.

Die Grundidee von MFA: Mehrere Faktoren, mehr Sicherheit

Die Basis von MFA ist eigentlich simpel aber sehr wirkungsvoll.

Authentifizierung kann auf drei klassischen Faktoren beruhen:

  • Wissen – etwas, das nur der Benutzer kennt (z. B. Passwort oder PIN)
  • Besitz – etwas, das der Benutzer hat (z. B. Smartphone oder Token)
  • Sein – etwas, das der Benutzer ist (z. B. Fingerabdruck oder Gesicht)

Die Idee dahinter: Ein Angreifer kann vielleicht einen Faktor kompromittieren aber selten mehrere gleichzeitig.

Ein System, das nur auf Passwörtern basiert, ist daher deutlich anfälliger als eines, dass zusätzlich einen zweiten oder dritten Faktor verlangt. Genau dieses Prinzip bildet die Grundlage moderner Identitätssicherheit.

Die Anfänge: MFA vor dem Internet

Auch wenn MFA heute stark mit Cloud und SaaS verbunden wird, das Konzept ist deutlich älter.

Ein frühes Beispiel findet sich bei Bankautomaten. Bereits in den 1960er Jahren mussten Nutzer zwei Faktoren kombinieren: eine physische Karte und eine PIN.

MFA existierte also schon lange bevor es digitale Identitäten im heutigen Sinne gab.

Die 70er–90er: Passwörter dominieren und ihre Schwächen

Mit der Verbreitung von Computersystemen setzte sich zunächst ein sehr einfaches Modell durch: das Passwort.

Dieses Modell hatte jedoch von Anfang an grundlegende Schwächen. Passwörter sind oft zu einfach gewählt, werden mehrfach verwendet oder können durch simple Phishing-Angriffe kompromittiert werden.

In den 1990er Jahren entstand deshalb der nächste Entwicklungsschritt: echte Zwei-Faktor-Authentifizierung.

Unternehmen begannen, Hardware-Token einzusetzen, zum Beispiel Geräte, die regelmässig neue Einmalcodes generieren. Diese Systeme kombinierten erstmals bewusst mehrere Faktoren und legten damit den Grundstein für moderne MFA.

2000er: Der Durchbruch durch Smartphones

Der eigentliche Wendepunkt kam mit der breiten Einführung von Smartphones.

Plötzlich wurde MFA nicht nur sicherer, sondern auch praktikabel:

  • Einmalcodes per SMS
  • Authenticator Apps
  • Push-Bestätigungen

Der grosse Vorteil: Nutzer mussten kein separates Hardware-Token mehr mitführen. Das eigene Smartphone wurde zum Authentifizierungsgerät.

Diese Entwicklung hat massiv zur Verbreitung von MFA beigetragen und machte es erstmals auch für kleinere Unternehmen zugänglich.

2010er: Biometrie und intelligente Authentifizierung

Mit moderner Hardware kamen neue Möglichkeiten hinzu.

Biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung wurden zum Standard auf mobilen Geräten. Parallel dazu entwickelte sich die Authentifizierung weiter in Richtung Kontext:

  • Wo befindet sich der Nutzer?
  • Welches Gerät wird verwendet?
  • Ist das Verhalten typisch?

Diese Form der risikobasierten bzw. adaptiven Authentifizierung machte MFA deutlich dynamischer und benutzerfreundlicher.

Das Problem heute: MFA ist nicht gleich MFA

Viele Unternehmen gehen heute davon aus, dass sie mit aktivierter MFA ausreichend geschützt sind.

Die Realität sieht anders aus.

Moderne Angreifer zielen nicht mehr nur auf Passwörter ab, sie greifen gezielt MFA an:

  • Phishing-Seiten, die Codes in Echtzeit abfangen
  • Man-in-the-Middle (MITM) Angriffe
  • MFA-Fatigue (Push-Spam)

Selbst weit verbreitete Methoden wie SMS oder klassische OTPs gelten inzwischen als unsicher, da sie abgefangen oder manipuliert werden können.

Das bedeutet: Klassische MFA ist oft nur noch ein Mindestschutz und kein absoluter Schutz.

Die nächste Evolutionsstufe: Phishing-resistente MFA

Als Antwort darauf hat sich ein neuer Standard etabliert: phishing-resistente MFA.

Der zentrale Unterschied liegt in der Architektur:

Statt Codes zu übertragen, wird auf kryptografische Verfahren gesetzt. Dabei entsteht eine starke Bindung zwischen Benutzer, Gerät und Dienst.

Typische Technologien sind:

  • FIDO2 Security Keys
  • Passkeys
  • Plattformbasierte Authentifizierung (z. B. Windows Hello)

Diese Methoden eliminieren klassische Credential-Phishing-Angriffe.

Microsofts Empfehlung: MFA neu denken (mit Entra ID & Intune)

Microsoft ist aktuell einer der Treiber beim Wechsel von klassischer MFA hin zu phishing-resistenter Authentifizierung, vor allem im Kontext von Microsoft Entra ID und moderner Endpoint-Verwaltung mit Microsoft Intune.

Die Kernaussage ist klar: Traditionelle MFA reicht nicht mehr aus, phishing-resistente Methoden sollten der neue Standard sein.

Aber was bedeutet das konkret für die Praxis?

Architekturgedanke: Identity + Device + Context

Microsoft verfolgt einen Zero-Trust-Ansatz, bei dem drei Dinge zusammenspielen:

  1. Identität (Entra ID)
  2. Gerätezustand (Intune / Compliance)
  3. Zugriffskontext (Conditional Access)

MFA ist also nicht mehr nur ein zusätzlicher Faktor sondern Teil eines gesamten Zugriffskonzepts.

1. Entra ID: Weg von Passwort + OTP hin zu Passwordless

In Microsoft Entra ID liegt der Fokus klar auf passwortlosen und phishing-resistenten Methoden.

Empfohlene Methoden:

  • FIDO2 Security Keys
  • Passkeys
  • Windows Hello for Business
  • Microsoft Authenticator (mit Device Binding, nicht nur Push)

Warum?

Klassische Methoden wie:

  • SMS
  • TOTP Codes
  • Push Notifications

sind anfällig für:

  • Phishing
  • MFA Fatigue
  • Session Hijacking

Genau diese Probleme sollen durch kryptografische Prozesse eliminiert werden.

2. Conditional Access: Der eigentliche Gamechanger

Viele unterschätzen das: MFA allein bringt wenig ohne Conditional Access.

Mit Conditional Access in Entra ID kannst du zum Beispiel:

  • MFA nur bei Risiko verlangen
  • Zugriff blockieren, wenn ein Gerät nicht compliant ist
  • Legacy Authentication komplett abschalten
  • Phishing-resistente Methoden erzwingen

Best Practice Policies:

  • Block Legacy Authentication
  • Require phishing-resistant MFA
  • Require compliant device for sensitive apps
  • Step-up Authentication bei Risiko

3. Intune: Der oft vergessene Faktor

Hier kommt Microsoft Intune ins Spiel.

Mit Intune kannst du:

  • Geräte als compliant markieren (Patchlevel, Encryption, AV, etc.)
  • Zugriff nur von verwalteten Geräten erlauben
  • Zertifikatsbasierte Authentifizierung einsetzen
  • Device Binding für Authentifizierung stärken

Die Kombination aus:

  • User Trust (MFA)
  • Device Trust (Intune Compliance)

bringt ein deutlich höheres Sicherheitsniveau.

4. Phishing-resistente MFA konkret umsetzen

Microsoft empfiehlt aktuell einen klaren Migrationspfad:

Schritt 1: Inventar erstellen

  • Welche MFA-Methoden sind aktiv?
  • Wo wird noch SMS oder TOTP genutzt?

Schritt 2: Schwache Methoden reduzieren

  • SMS & Voice deaktivieren (wo möglich)
  • Push-MFA absichern (Number Matching aktivieren)

Schritt 3: Phishing-resistente Methoden einführen

  • FIDO2 Keys für Admins
  • Windows Hello for Business für Clients
  • Passkeys für Cloud Apps

Schritt 4: Conditional Access anpassen

  • Require phishing-resistant MFA für kritische Zugriffe
  • Kombination mit Device Compliance

Schritt 5: Identity Lifecycle absichern

  • Temporary Access Pass (TAP) für Onboarding
  • Sichere Registrierung von Authenticatoren

Diese Schritte basieren direkt auf Microsofts Secure Future Initiative.

5. Typische Fehler in der Praxis

Aus Erfahrung (und leider sehr häufig):

❌ „Wir haben MFA – passt schon“
❌ SMS als Hauptmethode
❌ Kein Conditional Access
❌ Geräte nicht integriert
❌ Break-Glass Accounts ohne Schutz

Ergebnis: MFA vorhanden, aber trotzdem angreifbar.

6. Realistische Zielarchitektur

Ein modernes Setup sieht ungefähr so aus:

  • User Login:
    → Windows Hello / FIDO2
  • Gerät:
    → Intune compliant
  • Zugriff:
    → Conditional Access Policy
  • Fallback:
    → Temporary Access Pass

Kein Passwort, keine Codes, keine Phishing-Angriffsfläche.

Fazit: MFA entwickelt sich und muss es auch

Die Geschichte von MFA zeigt deutlich: Sicherheit ist kein Zustand, sondern ein Prozess.

Von einfachen Passwörtern über Tokens bis hin zu biometrischen und kryptografischen Verfahren, jede Phase war eine Reaktion auf neue Bedrohungen.

Heute stehen wir an einem Punkt, an dem klassische MFA nicht mehr ausreicht.

Die Zukunft gehört:

  • passwortlosen Ansätzen
  • phishing-resistenter Authentifizierung
  • kontextbasierten Sicherheitsmodellen

Oder anders gesagt:
MFA bleibt, aber die Art, wie wir sie umsetzen, verändert sich grundlegend.

Quellen & weiterführende Links:

„What is the Evolution of Multifactor Authentication“ – Palo Alto Networks
„Multi-factor authentication“ – Wikipedia
„Evolution of MFA and What’s Changing Next“ – LoginRadius Whitepaper
„MFA in 2026: When Yesterday’s Multi Factor Authentication Isn’t Enough“ – LastPass Blog
„Phishing-resistant MFA“ – Microsoft Learn
„What is Phishing-Resistant Multi-Factor Authentication?“ – Yubico

Remote Access & Authentication – AVANTEC
Thales (ehem. Gemalto) – AVANTEC – SafeNet Authentication Service

SilentPayload

SilentPayload ist Cyber Security Spezialist bei AVANTEC und beschäftigt sich mit der Absicherung moderner IT-Umgebungen gegen aktuelle Cyberbedrohungen. Durch seinen technischen Hintergrund in Data Science und IoT kombiniert er analytisches Denken mit praxisnaher Security-Expertise. Abseits des Berufs tüftelt er leidenschaftlich an Hardware-, Automatisierungs- und Security-Projekten.

Kommentieren

Privacy Preference Center

Privacy Preferences