MFA unter NIS2 — wo ist sie wirklich Pflicht und wie umsetzen?

Rechtsstand

Das deutsche NIS2UmsuCG ist am 6. Dezember 2025 in Kraft getreten (BGBl. 2025 I Nr. 396). Registrierungs- und Meldepflichten gelten — Selbst-Registrierung beim BSI binnen 3 Monaten ab Geltungsbeginn der Einrichtung. EU-Grundlage: Richtlinie (EU) 2022/2555.

Die rechtliche Grundlage in Art. 21 Abs. 2

Die 11 Mindestmaßnahmen aus Art. 21 NIS2 enthalten unter lit. j) die Authentifizierungs-Pflicht. Der genaue Wortlaut: „die Verwendung von Lösungen zur sicheren Authentifizierung mit mehreren Faktoren oder kontinuierlicher Authentifizierung, gesicherten Sprach-, Video- und Textkommunikationen sowie gesicherten Notfall-Kommunikationssystemen innerhalb der Einrichtung, sofern angemessen".

Drei Stichworte sind hier zentral:

„mehrere Faktoren oder kontinuierliche Authentifizierung" — klassisches MFA oder moderne risikobasierte/kontinuierliche Authentifizierung
„sofern angemessen" — Verhältnismäßigkeit als Begrenzung
„innerhalb der Einrichtung" — bezieht sich auf die internen Systeme, nicht nur auf Kunden-Frontends

Die Konkretisierung erfolgt in der nationalen Umsetzung und in den Implementing Acts der EU-Kommission. Für die deutsche Praxis sind die BSI-IT-Grundschutz-Empfehlungen und die ENISA Authentication Methods Recommendations die etablierten Bezugsdokumente.

Hinweis

„Sofern angemessen" ist keine Ausstiegsklausel

Die Verhältnismäßigkeits-Klausel in Art. 21 erlaubt eine Skalierung des MFA-Niveaus nach Größe und Risiko — sie erlaubt nicht den vollständigen Verzicht auf MFA bei kritischen Zugängen. Für privilegierte Accounts (Administratoren, Datenbank-Owner, Geschäftsleitung), Remote-Zugriffe und sicherheits-kritische Anwendungen ist MFA de facto Standard — egal wie klein das Unternehmen ist.

Wo MFA Pflicht ist: Risiko-basierter Ansatz

Die Aufsichtspraxis (in DE noch im Aufbau, in FR/IT bereits etabliert) folgt einem klaren Stufen-Modell:

Pflicht-Stufe 1 (immer MFA):

Administrative und privilegierte Accounts (Domain-Admins, Datenbank-Owner, Cloud-Admin-Konten)
Remote-Zugriffe über VPN oder Zero-Trust-Lösungen
Zugriffe auf das BSI-Meldeportal und ähnliche kritische Systeme
Geschäftsleitungs-Accounts mit Zugang zu sensitiven Daten

Pflicht-Stufe 2 (regelmäßig MFA):

E-Mail-Zugänge aller Mitarbeitenden (Hauptangriffsvektor)
Zugriffe auf Personaldaten, Finanzdaten, geistiges Eigentum
Vertriebssysteme und CRM mit Kundendaten
Cloud-Anwendungen mit produktiven Daten

Empfohlen, je nach Risiko:

Standard-Office-Accounts ohne erhöhtes Risiko
Gäste-/Lieferanten-Zugänge mit eingeschränkter Rechte-Lage

Die Differenzierung erfolgt nach Schutzbedarf der Daten und Kritikalität der Anwendungen. Dokumentation der Risikoeinschätzung ist Pflicht.

Akzeptable MFA-Methoden im Vergleich

Methode	Sicherheit	Phishing-Resistenz	Komfort	Kosten
Hardware-Sicherheitsschlüssel (FIDO2)	sehr hoch	sehr hoch	hoch	30-80 €/Stück
Plattform-Authenticator (Windows Hello, Apple Touch ID)	hoch	hoch	sehr hoch	im Gerät enthalten
Authenticator-App (TOTP)	mittel-hoch	mittel	hoch	0-3 €/Nutzer/Monat
Push-Notifications mit Number-Matching	hoch	hoch	sehr hoch	im Lizenz-Bundle enthalten
SMS-OTP	niedrig-mittel	niedrig	hoch	je nach Anbieter
E-Mail-OTP	niedrig	niedrig (bei Account-Übernahme)	hoch	gering

BSI-/ENISA-Empfehlung: SMS-OTP wird zunehmend als Mindeststandard eingestuft, der nur in Übergangsphasen akzeptabel ist. Für privilegierte Accounts sollte Hardware-Token oder Plattform-Authenticator verwendet werden. Push-Notifications mit Number-Matching haben sich in 2023/2024 als praktischer Mittelweg etabliert — sehr hoher Komfort bei deutlich verbesserter Phishing-Resistenz gegenüber klassischen Push-Benachrichtigungen.

Praktische Umsetzung in Microsoft 365 und Google Workspace

Für die meisten KMU laufen die kritischen Anwendungen über Microsoft 365 oder Google Workspace. Die MFA-Umsetzung ist dort technisch trivial:

Microsoft 365:

Conditional Access Policies aktivieren (M365 Business Premium oder höher)
MFA für alle Nutzer in einer einzigen Policy konfigurieren
Number Matching aktivieren (seit 2023 Standard)
Geräte-basierte Compliance-Checks (Intune) für privilegierte Accounts
FIDO2-Hardware-Keys für Admin-Accounts ausrollen

Google Workspace:

Mandatory 2-Step Verification auf Domain-Level
Authenticator-App oder Security Keys als Methode
Advanced Protection Program für Admin-Konten
Context-Aware Access für sensitive Apps

In beiden Plattformen ist der technische Roll-out in wenigen Stunden machbar. Die organisatorische Vorbereitung — Kommunikation, Schulung, Helpdesk-Bereitschaft — braucht 2-4 Wochen.

Achtung

MFA ohne Helpdesk-Vorbereitung

Der häufigste MFA-Roll-out-Fehler: Aktivierung ohne dezidierte Helpdesk-Bereitschaft am Tag der Umstellung. Die Folge: 30-50% der Mitarbeitenden haben am ersten Tag Probleme (vergessenes Smartphone, neue Geräte, nicht synchronisierte Authenticator). Wenn der Helpdesk dann überlastet ist, entstehen parallele Schatten-Lösungen (Authenticator-Backup-Codes per E-Mail an alle, ohne Token-Notwendigkeit) — und damit Sicherheitslücken. Helpdesk-Tag mit doppelter Besetzung vorab planen.

Sonderfall: OT-Umgebungen und Industrie-Anlagen

In Produktions-Umgebungen, SCADA-Systemen und industriellen Steuerungen ist MFA oft technisch schwieriger:

Maschinen-Login-Konten lassen sich nicht klassisch mit MFA versehen
Schichtwechsel mit MFA-Codes funktioniert nur mit Hardware-Token an der Anlage
Notfall-Zugriffe brauchen Ausnahme-Prozesse

Die Lösung: Privileged Access Management (PAM) für privilegierte OT-Zugänge. PAM-Lösungen authentifizieren den Administrator/Servicetechniker mit MFA, übernehmen dann die Login-Vorgänge in die OT-Systeme automatisch und protokollieren die Aktivität. Damit ist MFA „upstream" gesichert, ohne dass jede einzelne OT-Komponente angefasst werden muss.

Für die NIS2-Aufsicht ist die Kombination MFA + PAM + Audit-Logging der akzeptierte Standard in OT-Umgebungen.

Praxis: MFA-Roll-out in zwei Wochen

Praxis-Tipp

in einer Woche

Schnellster MFA-Aufbau: (1) Conditional Access Policy für Admin-Konten aktivieren — Hardware-Keys oder Plattform-Authenticator (4h Konfiguration), (2) Mitarbeiter-Kommunikation vorbereiten — FAQ, Helpdesk-Erreichbarkeit (4h), (3) Pilot mit IT-Abteilung — 1 Woche Testphase, Feedback einsammeln (lfd. 1 Woche), (4) Stichtag-Rollout für alle Nutzer mit Push-Notifications + Number Matching (3h). In einer Woche ist die kritische 80%-Abdeckung erreicht — der lange Schwanz (OT, Spezialsysteme, Externe) folgt in 4-8 Wochen.

Detaillierter Plan:

Inventar privilegierter Accounts — wer hat Admin-Rechte? Welche Accounts greifen auf welche Systeme zu?
MFA-Methode pro Risiko-Klasse festlegen — Hardware für Admin, Push für Standard, Token-App als Fallback
Pilot mit IT-Team — eine Woche, alle Edge-Cases aufdecken
Kommunikations-Welle — Geschäftsleitung-Briefing, Mitarbeiter-Schreiben, Helpdesk-FAQ, Schulungs-Video
Roll-out in Wellen — Admin-Konten zuerst, dann Geschäftsleitung, dann breite Belegschaft
OT-Sonderprojekt — PAM einführen, falls nicht vorhanden
Audit und Dokumentation — Conditional Access Policies, Ausnahmen, Begründungen — alles für die NIS2-Selbstprüfung dokumentieren

FAQ

Reicht es, wenn nur die Admin-Accounts MFA haben?

Nein. Die Pflicht aus Art. 21 lit. j) zielt auf alle Authentifizierungen mit erhöhtem Risiko — das umfasst E-Mail-Zugänge der gesamten Belegschaft (häufigster Angriffsvektor) und Zugänge zu sensitiven Anwendungen. Eine reine Admin-MFA reicht für die Pflichterfüllung nicht aus, ist aber der wichtigste erste Schritt.

Was ist mit Lieferanten und externen Dienstleistern?

Externe, die auf eure Systeme zugreifen, müssen ebenfalls MFA verwenden. Das ist im Lieferanten-Vertrag zu regeln (Art. 21 lit. d) — Lieferketten-Sicherheit). Bei Zero-Trust-Architekturen wird der externe Zugriff durch die eigene Authentifizierungs-Infrastruktur geleitet — MFA ist dann automatisch eingebettet.

Sind biometrische Verfahren akzeptabel?

Biometrie als zweiter Faktor (z.B. Fingerprint zur Entsperrung des Authenticators) ist State-of-the-Art und wird von BSI und ENISA empfohlen. Reine Biometrie ohne Wissens- oder Besitzfaktor reicht in den meisten Standards nicht aus — daher die Kombination „etwas, das du weißt + etwas, das du bist" oder „etwas, das du hast + etwas, das du bist".

Wie oft muss MFA neu durchlaufen werden?

Das hängt vom Risiko ab. Standard-Office-Anwendungen: typisch 14-30 Tage Session-Lifetime. Privilegierte Aktionen (Admin-Tasks, Zugang zu sensitiven Daten): jede Session, ggf. mit kürzerer Lifetime. Die Microsoft-Conditional-Access-Standards orientieren sich an diesen Werten.

Wer trägt die Hardware-Token-Kosten?

Bei Mitarbeiter-Hardware-Token (typisch 30-80 € pro Stück) trägt der Arbeitgeber die Kosten. Für 50 Mitarbeitende mit 2 Token pro Person (Haupt + Backup) ergeben sich Investitions-Kosten von 3.000-8.000 € einmalig. Push-basierte Authenticator-Apps auf dem privaten Smartphone der Mitarbeitenden sind eine günstigere Alternative — erfordern aber eine arbeitsrechtliche Vereinbarung.

MFA unter NIS2 — wo ist sie wirklich Pflicht und wie umsetzen?

MFA unter NIS2 — wo ist sie wirklich Pflicht und wie umsetzen?

Die rechtliche Grundlage in Art. 21 Abs. 2

Wo MFA Pflicht ist: Risiko-basierter Ansatz

Akzeptable MFA-Methoden im Vergleich

Praktische Umsetzung in Microsoft 365 und Google Workspace

Sonderfall: OT-Umgebungen und Industrie-Anlagen

Praxis: MFA-Roll-out in zwei Wochen

FAQ

Reicht es, wenn nur die Admin-Accounts MFA haben?

Was ist mit Lieferanten und externen Dienstleistern?

Sind biometrische Verfahren akzeptabel?

Wie oft muss MFA neu durchlaufen werden?

Wer trägt die Hardware-Token-Kosten?

Compliance-Updates ohne GRC-Bloat

Das könnte dich auch interessieren

ISMS in 12 Monaten aufbauen — realistischer Fahrplan

Welche Fristen gelten bei NIS2-Incident-Meldungen?

Welche Mindestmaßnahmen verlangt NIS2 von KMU?

Kommentare (0)

Kommentar schreiben