Sicherheit gegen die Mitarbeitenden funktioniert nicht — MFA richtig eingeführt

Warum technische Kontrolle allein nicht ausreicht und Multi-Faktor-Authentifizierung korrekt implementiert werden muss

1. Einleitung: Der Mensch als Teil der Sicherheitsarchitektur

In modernen IT-Sicherheitsmodellen wird häufig zwischen technischen und organisatorischen Maßnahmen unterschieden. In der Praxis zeigt sich jedoch, dass diese Trennung nur bedingt hilfreich ist.

Ein erheblicher Anteil sicherheitsrelevanter Vorfälle entsteht nicht durch technische Schwachstellen im engeren Sinne, sondern durch reguläre Nutzung von Systemen durch berechtigte Nutzer.

Daraus ergibt sich ein grundlegendes Problem: Sicherheitsmechanismen müssen davon ausgehen, dass Benutzer Teil der Angriffsfläche sind — nicht außerhalb davon stehen.

2. Das Missverständnis „Sicherheit gegen Mitarbeitende"

Der Begriff „Sicherheit gegen Mitarbeitende" beschreibt implizit ein fehlerhaftes Modell. Sicherheit wird dabei als externe Kontrollinstanz verstanden, die menschliches Verhalten überwacht oder einschränkt.

In realen Systemen ist dieses Modell jedoch nicht tragfähig. Mitarbeitende sind keine externen Faktoren, sondern legitime Systemnutzer mit notwendigen Zugriffsrechten.

Sicherheitsprobleme entstehen daher selten durch „Fehlverhalten im klassischen Sinne", sondern durch die Kombination aus:

berechtigtem Zugriff
fehlender Kontextprüfung
und gezielter Manipulation (z. B. Social Engineering)

Sicherheit muss daher als integraler Bestandteil der Nutzung verstanden werden, nicht als nachgelagerte Kontrollschicht.

3. Warum klassische Zugangssicherheit nicht ausreicht

Traditionelle Authentifizierungsmodelle basieren häufig auf einem Single-Faktor-Prinzip, typischerweise einem Passwort.

Dieses Modell ist in modernen Bedrohungsszenarien nicht mehr ausreichend, da Passwörter durch verschiedene Mechanismen kompromittiert werden können, etwa durch Phishing, Credential Stuffing oder Datenleaks.

Sobald Zugangsdaten kompromittiert sind, existiert aus Systemsicht kein Unterschied mehr zwischen legitimen und unautorisierten Zugriffen.

Damit wird deutlich: Identitätsprüfung darf nicht auf einem einzelnen Faktor basieren.

4. Multi-Faktor-Authentifizierung als Sicherheitsprinzip

Multi-Faktor-Authentifizierung (MFA) erweitert das klassische Authentifizierungsmodell um zusätzliche unabhängige Faktoren.

Typischerweise werden drei Kategorien unterschieden:

Wissen (z. B. Passwort oder PIN)
Besitz (z. B. Authenticator-App, Hardware-Token)
Inhärenz (z. B. biometrische Merkmale)

Der Sicherheitsgewinn entsteht nicht durch die einzelnen Faktoren, sondern durch deren Kombination.

Selbst wenn ein Faktor kompromittiert wird, bleibt der Zugriff ohne den zweiten Faktor blockiert.

5. Fehler in der praktischen MFA-Implementierung

In der Praxis wird MFA häufig formal eingeführt, aber technisch oder organisatorisch unvollständig umgesetzt.

Typische Schwachstellen sind:

optionale Aktivierung statt verpflichtender Nutzung
Verwendung unsicherer Zweitfaktoren (z. B. SMS-basierte Codes)
fehlende Absicherung von Wiederherstellungsprozessen
Ausnahmen für bestimmte Nutzergruppen ohne Risikobewertung

Diese Konstellationen führen dazu, dass MFA ihre Schutzwirkung nur teilweise entfaltet.

Besonders kritisch sind dabei sogenannte „Fallback-Prozesse", die den zweiten Faktor im Problemfall umgehen und damit das gesamte Sicherheitsmodell unterlaufen können.

Selbst korrekt implementierte MFA ist kein vollständiger Schutz gegen Social Engineering.

Angriffe, die Benutzer aktiv zur Freigabe eines zweiten Faktors bewegen (z. B. Push-Bombing oder gefälschte Login-Sessions), nutzen die Schnittstelle zwischen Technik und menschlicher Entscheidung.

Damit wird deutlich: MFA reduziert das Risiko, eliminiert es jedoch nicht vollständig.

Die Wirksamkeit hängt daher nicht nur von der Technik selbst ab, sondern auch von der Gestaltung der Benutzerinteraktion.

7. Sicherheitsarchitektur statt Einzelmaßnahme

MFA sollte nicht als isolierte Sicherheitsfunktion betrachtet werden, sondern als Bestandteil einer mehrschichtigen Sicherheitsarchitektur.

Dazu gehören unter anderem:

rollenbasierte Zugriffskontrollen
Netzwerksegmentierung
Monitoring und Anomalieerkennung
klare Authentifizierungsrichtlinien
regelmäßige Überprüfung von Berechtigungen

Der zentrale Punkt ist dabei die Kombination mehrerer unabhängiger Kontrollmechanismen.

8. Benutzerfreundlichkeit als Sicherheitsfaktor

Ein häufig unterschätzter Aspekt ist die Benutzerfreundlichkeit von Sicherheitsmechanismen.

Wenn Sicherheitsprozesse zu komplex oder unpraktisch sind, entstehen Umgehungsstrategien im Alltag, etwa das Teilen von Zugangsdaten oder das Reduzieren von Sicherheitsstufen.

Damit wird Sicherheit indirekt geschwächt, obwohl formal stärkere Maßnahmen implementiert wurden.

Eine effektive MFA-Implementierung muss daher sowohl Sicherheit als auch praktikable Nutzung berücksichtigen.

9. Organisatorische Einbettung von MFA

Technische Einführung allein reicht nicht aus, um MFA wirksam zu machen.

Erforderlich ist eine organisatorische Einbettung in bestehende Prozesse, insbesondere in den Bereichen:

Onboarding und Offboarding von Nutzern
definierte Prozesse für Gerätewechsel
klare Richtlinien für Notfallzugriffe
regelmäßige Sicherheitsüberprüfungen

Ohne diese Strukturen entsteht eine Lücke zwischen technischer Fähigkeit und tatsächlicher Sicherheitswirkung.

10. Fazit: Sicherheit entsteht durch Systemdesign, nicht durch Einzelmaßnahmen

Multi-Faktor-Authentifizierung ist ein zentraler Bestandteil moderner Zugriffssicherheit, jedoch kein isolierter Schutzmechanismus.

Die Wirksamkeit hängt wesentlich von der korrekten Implementierung, der Einbindung in bestehende Prozesse und der Berücksichtigung menschlicher Faktoren ab.

Der grundlegende Irrtum besteht darin, Sicherheit als Maßnahme „gegen Nutzer" zu verstehen.

Tatsächlich entsteht robuste Sicherheit nur dann, wenn Nutzer, Prozesse und Technik als zusammenhängendes System betrachtet werden.

Contents