Was ist der Unterschied zwischen Authentifizierung und Autorisierung?

Authentifizierung und Autorisierung sind zwei grundlegende Konzepte im Bereich der Informationssicherheit und des Zugriffsmanagements. Sie spielen eine wichtige Rolle bei der Sicherung von Systemen, Daten und Ressourcen, haben jedoch unterschiedliche Zwecke und Funktionen: Authentifizierung Die Authentifizierung bezieht sich auf den Prozess der Identifizierung einer Entität, um sicherzustellen, dass sie wirklich ist, wer sie vorgibt zu sein. Dieser Prozess dient dazu, die Identität einer Person, eines Benutzers oder eines Systems zu überprüfen. Typische Methoden der Authentifizierung sind Benutzername/Passwort, Fingerabdruckerkennung, Smartcards oder biometrische Identifikation. Nach erfolgreicher Authentifizierung erhält der Benutzer Zugriff auf das System oder die Ressourcen. Autorisierung Die Autorisierung ist der Prozess, bei dem nach der Authentifizierung festgelegt wird, welche Aktionen oder Ressourcen eine authentifizierte Entität nutzen darf. Dies hängt von den Rechten und Berechtigungen ab, die der Entität zugewiesen wurden. Autorisierung erfolgt auf der Grundlage von Richtlinien und Regeln, die definieren, was Benutzer oder Systeme tun dürfen. Zum Beispiel kann ein Benutzer nach der Authentifizierung autorisiert sein, Dateien zu lesen, aber nicht zu schreiben, oder er kann autorisiert sein, auf bestimmte Teile eines Systems zuzugreifen, aber nicht auf andere.

Was bietet SCIM für Vorteile?

SCIM steht für «System for Cross-domain Identity Management» und handelt es sich um einen offenen Standard für die Verwaltung von Identitäten in IT-Systemen. SCIM wurde entwickelt, um die Verwaltung von Benutzeridentitäten in verschiedenen Anwendungen und Diensten zu vereinfachen. Dieser Standard ermöglicht die Automatisierung der Benutzerverwaltung über verschiedene Domänen hinweg, was besonders in grossen Organisationen und in der Cloud-Computing-Umgebung von Vorteil ist. Grundkonzepte SCIM konzentriert sich auf die Verwaltung von Identitäten, einschliesslich Benutzern und Gruppen, in verteilten Systemen. SCIM ist ein offener Standard, der von der Internet Engineering Task Force (IETF) entwickelt wurde. Dadurch wird die Interoperabilität zwischen verschiedenen Systemen und Anbietern erleichtert. Ziele SCIM soll die Verwaltung von Benutzerkonten, deren Erstellung, Aktualisierung und Löschung in verschiedenen Anwendungen und Diensten vereinfachen. Der Standard wurde entwickelt, um sicherzustellen, dass verschiedene Systeme und Anbieter nahtlos zusammenarbeiten können, was die Integration von Anwendungen und die gemeinsame Nutzung von Benutzerdaten erleichtert. SCIM ermöglicht die Automatisierung von Identitätsverwaltungsaufgaben, was die Effizienz steigert und menschliche Fehler minimiert. Kernkonzepte SCIM definiert verschiedene Objekte, darunter Benutzer (User), Gruppen (Group) und Ressourcen (Resource). Benutzer und Gruppen sind die Hauptakteure in der Identitätsverwaltung. SCIM verwendet spezifische Endpunkte (Endpoints), um auf Benutzerdaten und Gruppendaten zuzugreifen. Dies erfolgt normalerweise über HTTP(S). SCIM unterstützt die CRUD-Operationen (Create, Read, Update, Delete) für Benutzer und Gruppen, was die Verwaltung von Identitäten erleichtert. Schema SCIM verwendet ein spezifisches JSON-Schema zur Definition der Datenstruktur für Benutzer und Gruppen. Dies erleichtert die Interoperabilität zwischen verschiedenen Systemen. Authentifizierung und Autorisierung Die Sicherheit und der Schutz von Benutzerdaten sind in SCIM von entscheidender Bedeutung. Die Authentifizierung und Autorisierung werden oft über OAuth oder andere Authentifizierungsmethoden sichergestellt. Verbreitung SCIM wird in verschiedenen Szenarien eingesetzt, darunter in Unternehmen zur Vereinfachung der Benutzerverwaltung, in Identity-as-a-Service (IDaaS)-Plattformen und in Cloud-Diensten zur Verwaltung von Benutzeridentitäten. Vorteile SCIM automatisiert die Identitätsverwaltung, wodurch administrative Aufwände reduziert werden. Durch die Automatisierung werden menschliche Fehler minimiert. SCIM ermöglicht die nahtlose Integration von Anwendungen und Diensten. SCIM ist skalierbar und eignet sich für Organisationen jeder Grösse.

Was ist Identity-as-a-Service (IDaaS)?

Identity-as-a-Service (IDaaS) ist ein Konzept und ein Service-Modell im Bereich des Identitäts- und Zugriffsmanagements (IAM), bei dem Unternehmen die Verwaltung von Benutzeridentitäten und Zugriffsrechten an einen externen Dienstleister auslagern. Hier sind einige häufig gestellte Fragen und Antworten zu IDaaS: 1. Was ist Identity-as-a-Service (IDaaS)? Identity-as-a-Service (IDaaS) ist ein cloudbasiertes Dienstleistungsmodell, bei dem Unternehmen die Verwaltung von Benutzeridentitäten, Authentifizierung und Zugriffskontrolle an einen Drittanbieter auslagern. Dieser Dienst ermöglicht es Unternehmen, Identitätsmanagement-Funktionen ohne umfangreiche interne Ressourcen bereitzustellen. 2. Warum ist IDaaS wichtig? IDaaS ist wichtig, da es Unternehmen ermöglicht, komplexe Identitäts- und Zugriffsmanagement-Aufgaben an Experten auszulagern. Dies erhöht die Sicherheit, reduziert die Kosten und ermöglicht es Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren. 3. Welche Funktionen bietet IDaaS in der Regel? IDaaS-Dienste bieten in der Regel Funktionen wie Benutzerverwaltung, Authentifizierung, Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA), Rollenbasierte Zugriffskontrolle (RBAC), Self-Service-Passwortrücksetzung und Berichterstellung. 4. Wie funktioniert IDaaS? IDaaS-Dienste werden in der Regel über das Internet bereitgestellt. Unternehmen abonnieren den Dienst und konfigurieren ihre Benutzerkonten, Sicherheitsrichtlinien und Zugriffsregeln über eine webbasierte Konsole. Benutzer können sich dann über eine sichere Verbindung authentifizieren und auf die benötigten Ressourcen zugreifen. 5. Welche Vorteile bietet IDaaS? Die Vorteile von IDaaS sind unter anderem: Schnelle Implementierung: IDaaS kann schnell eingerichtet werden, ohne umfangreiche interne Infrastrukturinvestitionen. Sicherheit: IDaaS-Anbieter verfügen oft über fortschrittliche Sicherheitsmassnahmen und regelmäßige Updates. Skalierbarkeit: Unternehmen können IDaaS-Ressourcen je nach Bedarf skalieren. Benutzerfreundlichkeit: IDaaS bietet oft eine benutzerfreundliche Oberfläche und eine bessere Benutzererfahrung. 6. Ist IDaaS sicher? Die Sicherheit von IDaaS hängt von der Wahl des Anbieters und der Implementierung ab. Seriöse IDaaS-Anbieter investieren erheblich in Sicherheit und Datenschutz, was es Unternehmen ermöglicht, hochsensible Daten sicher zu verwalten. 7. Welche Unternehmen sollten IDaaS in Betracht ziehen? IDaaS eignet sich für Unternehmen jeder Grösse und Branche, die ihre Identitäts- und Zugriffsmanagementprozesse verbessern und vereinfachen möchten. Besonders Unternehmen, die viele cloudbasierte Anwendungen nutzen, profitieren von IDaaS. 8. Kann IDaaS in bestehende IAM-Systeme integriert werden? Ja, IDaaS kann in bestehende IAM-Systeme integriert werden. Unternehmen können hybride Lösungen implementieren, bei denen einige Identitätsmanagement-Funktionen intern und andere über IDaaS bereitgestellt werden. 9. Welche Trends gibt es im Bereich IDaaS? Aktuelle Trends in IDaaS umfassen die Integration von künstlicher Intelligenz (KI) zur Erkennung von Sicherheitsbedrohungen, erweiterte Authentifizierungsmethoden und die Unterstützung für das Identitätsmanagement von IoT-Geräten. IDaaS ist eine wichtige Technologie für Unternehmen, die ihre Identitäts- und Zugriffsmanagementprozesse verbessern und gleichzeitig die Sicherheit erhöhen möchten. Es ermöglicht eine effiziente, sichere und skalierbare Verwaltung von Benutzeridentitäten und Zugriffsrechten in einer zunehmend digitalen Geschäftswelt.

Was ist Multi-Faktor-Authentifizierung (MFA)? Eine verständliche Erklärung mit Praxis-Tipps für deine IT-Sicherheit

Multi-Faktor-Authentifizierung (MFA) schützt zuverlässig vor Account-Übernahmen und blockiert über 99 Prozent der Angriffe. Entscheidend ist die richtige Umsetzung: Welche Faktoren kombiniert werden, wie das Onboarding gelingt und wie du Akzeptanz bei den Nutzern sicherstellst. Dieser Artikel erklärt die Grundlagen, zeigt typische Methoden und gibt dir praxisnahe Best Practices.

Zuletzt aktualisiert am23. September 2025

vonSilvan Grüter

Was ist Multi-Faktor-Authentifizierung (MFA)?

Multi-Faktor-Authentifizierung (MFA) ist eine Authentifizierungsmethode, bei dem mindestens zwei voneinander unabhängige Faktoren kombiniert werden, um deine Identität beim Login zu überprüfen. Ziel ist es, unbefugte Zugriffe zuverlässig zu verhindern, selbst wenn einer der Faktoren kompromittiert wurde.

Die Faktoren umfassen unterschiedlichen Kategorien:

Wissen: Etwas, das du weisst, z. B. ein Passwort oder eine PIN
Besitz: Etwas, das du besitzt, z. B. ein Smartphone oder ein Hardware-Token
Inhärenz: Etwas, das du bist, z. B. dein Fingerabdruck oder deine Gesichtserkennung
Kontextbezogen: Z. B. Standort, Gerätetyp oder Login-Zeit

Ein typisches Beispiel:
Du meldest dich mit deinem Passwort an (Wissen) und bestätigst den Zugriff über eine Push-Nachricht auf deinem Smartphone (Besitz). Selbst wenn das Passwort bekannt ist, bleibt der Zugriff ohne dein Gerät blockiert.
Studien zeigen: Über 99,9 Prozent der Angriffe lassen sich durch MFA verhindern, wenn sie korrekt umgesetzt wird.

Wie funktioniert MFA technisch?

Die technische Umsetzung von Multi-Faktor-Authentifizierung (MFA) richtet sich nach Systemarchitektur, Sicherheitsanforderungen und Benutzerfreundlichkeit. Je nach Unternehmen und Use Case kann die Integration unterschiedlich aussehen. Ein typischer Ablauf bei einer klassischen, nicht-passwortlosen Implementierung verläuft in vier Schritten:

Benutzereingabe

Prüfung von Faktor 1

Prüfung von Faktor 2

Zugriff gewährt

1. Primäre Authentifizierung

Du gibst deinen Benutzernamen und das zugehörige Passwort ein. Das System prüft diese Kombination und schliesst damit die erste Authentifizierungsstufe ab.

2. Auslösen der zweiten Faktorprüfung

Nach erfolgreicher Passwortprüfung fordert das System einen zweiten, unabhängigen Faktor an. Je nach Konfiguration kann das einer der folgenden sein:

TOTP-Code aus einer Authenticator-App wie Microsoft Authenticator, Google Authenticator oder dem CoreOne Authenticator
Push-Benachrichtigung über eine mobile App (z. B. Cisco Duo oder CoreOne Authenticator)
FIDO2-kompatibler Hardware-Token, z. B. ein YubiKey
Biometrische Verifikation, z. B. Fingerabdruck oder Gesichtserkennung

3. Verifikation und Zugriffserteilung

Nur wenn auch der zweite Faktor erfolgreich geprüft wurde, erhältst du Zugriff auf das gewünschte System oder die Anwendung.

Passwordless Multi-Faktor-Authentifizierung

Moderne Lösungen setzen vermehrt auf passwordless Multi-Faktor-Authentifizierung. Dabei entfällt das klassische Passwort vollständig, die Sicherheit bleibt jedoch erhalten – durch die Kombination mehrerer Faktoren im Hintergrund.

Ein typisches Szenario:

Du scannst einen QR-Code mit einer vertrauenswürdigen Authenticator-App oder öffnest eine Login-Benachrichtigung auf einem zuvor registrierten Gerät.
Die Authentifizierung wird durch biometrische Verifikation ausgelöst, zum Beispiel per Fingerabdruck oder Face ID.
Der zweite Faktor ist nicht sichtbar, aber technisch vorhanden: Dein Gerät besitzt ein Zertifikat oder einen FIDO2-Schlüssel, der als kryptografisch gesicherter Besitznachweis dient.

Authenticator-App

Face ID

Wichtig:

Diese Verfahren kombinieren Besitz (z. B. registriertes Gerät mit Zertifikat) und Inhärenz (z. B. biometrischer Nachweis), ohne dass du ein Passwort eingeben musst.

Voraussetzung für die Sicherheit solcher Lösungen ist ein sauber umgesetzter Registrierungsprozess sowie geschützte Endgeräte, etwa durch PIN, Geräteverschlüsselung oder Secure Enclave.

Passwordless MFA gilt als besonders sicher und benutzerfreundlich – vor allem in Umgebungen mit hohen Anforderungen an Benutzerkomfort und Sicherheit.

Warum verhindert MFA über 99 % der Angriffe?

Cyberangriffe zielen häufig auf schwache oder kompromittierte Passwörter. Laut Microsoft könnten über 99,9 Prozent aller Account-Übernahmen verhindert werden, wenn Multi-Faktor-Authentifizierung (MFA) aktiviert wäre. Der Grund liegt in der Kombination unabhängiger Sicherheitsfaktoren, die zentrale Schwachstellen gezielt absichern:

Passwortdiebstahl reicht nicht mehr aus
Selbst wenn dein Passwort durch Phishing, Malware oder ein Datenleck entwendet wurde, fehlt Angreifern der zweite Faktor. Ohne ihn bleibt der Zugriff blockiert.

Phishing-resistente Verfahren
Push-basierte oder FIDO2-basierte Authentifizierung verhindert gezielt Man-in-the-Middle-Angriffe. Es wird kein übertragbarer Token verwendet, der von Dritten missbraucht werden kann.

Gerätegebundene Token (Token-Bindung)
Moderne Verfahren wie WebAuthn oder FIDO2 binden den zweiten Faktor an ein spezifisches Gerät. Selbst wenn Daten abgefangen werden, sind sie ohne das ursprüngliche Gerät nutzlos.

Laufzeitbegrenzung
Einmalpasswörter (TOTP) sind nur 30 bis 60 Sekunden gültig. Gestohlene Codes verlieren dadurch sehr schnell ihre Gültigkeit.

5 Vorteile von Multi-Faktor-Authentifizierung

Der Einsatz von Multi-Faktor-Authentifizierung (MFA) bringt eine Reihe klar messbarer Vorteile für die IT-Sicherheit und den operativen Alltag:

1. Deutliche Risikominimierung

MFA reduziert das Risiko unbefugter Zugriffe erheblich. Selbst bei gestohlenen Zugangsdaten bleibt der Zugriff ohne zweiten Faktor blockiert.

2. Einhaltung regulatorischer Anforderungen

Vorschriften wie DSGVO, ISO 27001 oder PCI DSS verlangen erhöhte Zugriffssicherheit. MFA erfüllt zentrale Anforderungen und schafft Nachvollziehbarkeit bei Audits.

3. Mehr Kontrolle durch Kombination mit RBAC

In Verbindung mit rollenbasiertem Zugriff (RBAC) ermöglicht MFA eine präzise Steuerung sensibler Berechtigungen. Die Verwaltung bleibt granular, nachvollziehbar und revisionssicher.

4. Weniger Helpdesk-Anfragen dank SSO-Integration

Wird MFA in eine Single-Sign-On-Lösung eingebettet, steigt der Komfort für Benutzer. Gleichzeitig sinken Supportaufwände durch weniger Passwortprobleme.

Schutz vor Passwortwiederverwendung und Credential Stuffing
Auch bei mehrfach verwendeten oder öffentlich bekannten Passwörtern bleibt der Zugriff ohne zweiten Faktor wirkungslos. MFA schützt zuverlässig vor automatisierten Angriffen.

Typische MFA-Methoden im Überblick

Methode

Sicherheit

Benutzerfreundlichkeit

Kommentar

SMS-Code

Niedrig

Hoch

Einfach umzusetzen, aber anfällig für Angriffe wie SIM-Swapping

Authenticator-App (TOTP)

Mittel

Standard in vielen Unternehmen

Push-Benachrichtigung

Hoch

Hohe Akzeptanz, besonders in Kombination mit mobilen Geräten

Hardware-Token (FIDO2/YubiKey)

Sehr hoch

Mittel

Geeignet für sicherheitskritische Umgebungen

Biometrie (Finger, Gesicht)

Hoch

Sehr benutzerfreundlich, Datenschutz- und Geräteabhängigkeit beachten

5 Best Practices zur erfolgreichen Einführung von MFA

Die Einführung von Multi-Faktor-Authentifizierung (MFA) scheitert selten an der Technik, sondern oft an der Umsetzung im Alltag. Diese fünf Best Practices helfen dir, MFA erfolgreich und nachhaltig einzuführen:

1. So breit wie möglich einsetzen

MFA sollte nicht nur für kritische Admin-Accounts gelten, sondern für alle Benutzer. Breite Abdeckung reduziert das Gesamtrisiko deutlich.

2. Einfachheit vor Perfektion

Im Unternehmensumfeld sind Authenticator-Apps oder FIDO2-Keys die sicherste Wahl. Im Consumer-Bereich ist SMS-MFA zwar weniger sicher, aber oft leichter verständlich und besser akzeptiert. Eine einfachere Methode, die breit genutzt wird, ist wertvoller als eine perfekte Lösung mit geringer Akzeptanz.

3. Onboarding ernst nehmen

Der grösste Stolperstein ist nicht die Technik, sondern das Einrichten. Klare Schritt-für-Schritt-Anleitungen, unterstützte Erst-Logins und Helpdesk-Support sind entscheidend für eine hohe Nutzerakzeptanz.

4. Fallbacks einplanen

Geräte können verloren gehen oder defekt sein. Notfall-Codes oder alternative Faktoren sind Pflicht, um Benutzer nicht auszusperren.

5. Benutzerfreundlichkeit regelmässig messen

Sammle Feedback, identifiziere Hürden und setze auf einfache Methoden. Nur wenn MFA im Alltag akzeptiert wird, bleibt sie wirksam.

Multi-Faktor-Authentifizierung in der CoreOne Suite

Die CoreOne Suite unterstützt verschiedene moderne Verfahren der Multi-Faktor-Authentifizierung (MFA) und integriert diese nahtlos in deine bestehende Sicherheitsarchitektur:

Integration von TOTP-Apps wie Google Authenticator oder CoreOne Authenticator
Push-basierte Authentifizierung über die Mobile App
Unterstützung von FIDO2/WebAuthn für phishingsichere Logins
Konfigurierbare MFA-Policies abhängig von Rolle, System oder Zugriffskanal
MFA-Logging und Audit-Funktionen für Compliance und Nachvollziehbarkeit

Die CoreOne Suite kombiniert MFA mit rollenbasiertem Zugriff (RBAC), Provisionierung und Lifecycle-Management. Dadurch entsteht ein durchgängiges Sicherheitskonzept ohne Medienbrüche, das Benutzerkomfort und Compliance gleichermaßen unterstützt.

Fazit: MFA als strategischer Schutzfaktor

Multi-Faktor-Authentifizierung (MFA) ist heute kein Nice-to-have mehr, sondern ein zentraler Baustein moderner IT-Sicherheit. In Verbindung mit Single Sign-On, Access Governance und Identity Lifecycle Management bildet MFA die Grundlage für ein Zero-Trust-Sicherheitsmodell – wirksam, compliance-konform und benutzerfreundlich.

Die CoreOne Suite unterstützt dich dabei mit praxiserprobten Funktionen und flexibler Integration in deine bestehende IT-Landschaft.

Häufig gestellte Fragen

Was ist der Unterschied zwischen MFA und 2FA?

Die Zwei-Faktor-Authentifizierung (2FA) ist eine spezielle Form der Multi-Faktor-Authentifizierung. Dabei werden genau zwei Faktoren genutzt. MFA umfasst zwei oder mehr Faktoren.

Welche MFA Authentifizierungsfaktoren sind am sichersten?

Biometrische Faktoren (Inhärenz) und Hardware-Token gelten als besonders sicher. Sie sind schwer zu fälschen oder zu stehlen und bieten daher hohen Schutz.

Ist SMS-basierte MFA sicher?

SMS-basierte MFA bietet einen Basisschutz, ist aber anfällig für Angriffe wie SIM-Swapping. Empfehlenswert sind sichere Alternativen wie Authenticator-Apps oder Hardware-Token.

Wie beeinflusst MFA die Benutzerfreundlichkeit?

Zusätzliche Authentifizierungsschritte können aufwendig wirken. Wenn du benutzerfreundliche Methoden auswählst und diese klar kommunizierst, steigt die Akzeptanz deutlich.

Kann MFA vollständig vor Cyberangriffen schützen?

MFA erhöht die Sicherheit erheblich, ersetzt aber keine ganzheitliche Sicherheitsstrategie. Sie sollte immer Teil eines umfassenden Schutzkonzepts sein, das weitere Massnahmen einschliesst.