Einleitung: MFA ist nicht gleich Sicherheit

Sowohl in Organisationen als auch in Privatanwendungen konnte sich Multifaktor-Authentifizierung (MFA) als Möglichkeit der Verifizierung beim Login durchsetzen.

Warum MFA allein nicht mehr genügt, wie passwortlose Alternativen funktionieren und wie sichere Methoden der Authentifizierung im Gesundheitswesen und KRITIS gelingen, erfahren Sie in dem folgenden Beitrag.

Einen kompakten Überblick und praxisnahe Handlungsempfehlungen zu den zentralen Aspekten von Passwordless im Gesundheitswesen erhalten Sie in unserem Whitepaper “Der Weg zur passwortlosen Zukunft im Gesundheitswesen“.

Begriffsklärung: MFA vs. passwortlose Authentifizierung

Was ist der Unterschied zwischen MFA und passwortloser Authentifizierung? Ein passwortloser Login kann Teil einer MFA sein.

MFA oder Multifaktor-Authentifizierung bezeichnet einen Mechanismus, der mindestens zwei unterschiedliche Authentifizierungsfaktoren aus den Bereichen Wissen, Besitz und Biometrie kombiniert.

Viele gebräuchliche MFA-Kombinationen verwenden noch immer das Passwort als ersten Faktor und verbinden ihn im zweiten Schritt mit einer Authenticator-App, E-Mail, SMS oder anderen Verfahren. MFA-Mechanismen zeigen ihre Schwachstelle im dauerhaft genutzten Passwort.

Passwortlose Authentifizierung ist ein Architekturprinzip, das in aktuellen Sicherheitsvorgaben empfohlen wird. Statt manuell eingegebener Passwörter nutzt es Sicherheitsmethoden wie FIDO-Schlüssel, biometrische Merkmale, Passkeys und andere.

  • FIDO2-Sicherheitsschlüssel & Passkeys: Der Schlüssel erzeugt ein asymmetrisches Schlüsselpaar. Der private Schlüssel bleibt im Gerät (z. B. USB-Stick), der öffentliche Schlüssel liegt im System. Passkeys können in System-Keychains (iOS, Android, ChromeOS) gespeichert oder auf Hardware-Tokens wie USB-Sticks oder Badges abgelegt werden.
  • Biometrische Authentifizierung: Fingerabdruck- oder Gesichtserkennung dienen als lokaler Freigabefaktor. Der biometrische Abdruck verlässt das Gerät nicht.
  • Gerätegebundene Smartcards/Badges: Im Gesundheitswesen und anderen Bereichen der kritischen Infrastruktur sind Ausweise etabliert. Sie tragen ein Zertifikat oder einen FIDO-Schlüssel und erlauben eine „Tap-and-Go“-Anmeldung.

Passwortbasierte MFA: Warum der zweite Faktor nicht ausreicht

Laut aktueller Empfehlung des BSI sollten passwortlose Verfahren Passwörter dort ersetzen, wo Dienste dies zulassen. In dem Whitepaper über die passwortlose Zukunft im Krankenhaus schildert Imprivata ausführlich die Umstellung der MFA in einem optimierten System.

Zu bekannten Schwachstellen gehören:

  1. Passwörter und Einmalcodes: Angreifer können Passwort und OTP-Codes abfangen. Die US-Sicherheitsbehörde NIST stellte in SP 800-63-4 fest, dass Verfahren mit Passwörtern und OTPs anfällig für Phishing sind.
  2. MFA-Fatigue: Push-Benachrichtigungen können durch „Prompt Bombing“ zum unbeabsichtigten Akzeptieren verleiten.
  3. SIM-Swap und E-Mail-Schwachstellen: SMS-basierte MFA kann durch SIM-Swap kompromittiert werden; E-Mail-Codes sind phishing-anfällig.
  4. Credential Stuffing & Brute Force: Wiederverwendete Passwörter werden massenhaft gehandelt; Credential Abuse ist ein bedeutsamer Angriffsvektor.

Phishing-resistente Authentifizierung einfach erklärt

Der Schlüssel zu höherer Sicherheit ist phishing-resistente Authentifizierung. Sie basiert auf drei Prinzipien:

  1. Ursprungsbindung (Origin Binding): Der Authentifikator prüft, ob er sich an der richtigen Domain anmeldet. FIDO/WebAuthn binden den privaten Schlüssel kryptografisch an die Herkunfts-URL.
  2. Kryptografische Schlüssel & Nicht-Exportierbarkeit: Bei FIDO wird ein asymmetrisches Schlüsselpaar auf dem Gerät erzeugt; der private Schlüssel verbleibt in sicherer Hardware (Secure Enclave, TPM, Hardware-Token) und ist nicht exportierbar. NIST verlangt für AAL3 einen nicht exportierbaren privaten Schlüssel.
  3. Lokale Nutzerverifikation: Der Benutzer muss den Zugriff lokal freigeben – z. B. per Biometrie oder PIN.

FIDO2 und Passkeys realisieren diese Prinzipien. Beim Registrieren wird ein Schlüssel generiert; der private Schlüssel verbleibt im Gerät – Badges sind im IAM für Krankenhäuser beliebt – und wird durch Biometrie oder Geräte-PIN geschützt. Passkeys speichern das Schlüsselpaar in der System-Keychain oder einer Passwort-Wallet und können zwischen Geräten synchronisiert werden.

Häufige Fehlannahmen in Security-Strategien

„MFA reicht aus“

Viele Strategien gehen davon aus, dass Passwort + zweiter Faktor genügen. Das ignoriert die häufigsten Angriffsvektoren: Credential Stuffing und Phishing.

„Passwortlosigkeit ist nur ein UX-Thema“

Tatsächlich schützt die Passkey-Architektur vor zielgerichteten Angriffen. FIDO2 macht Phishing, Credential Stuffing und Replay-Attacken technisch deutlich schwieriger bis unmöglich.

„Passwortloses MFA ist überdimensioniert“

Mit der Weiterentwicklung der Standards sind phishingsichere Authentifikatoren zunehmend zum Standard geworden; das BSI fordert in TR-03188, Passkeys als gängiges 2FA-Verfahren zu etablieren.

„Mitarbeiter akzeptieren Passkeys nicht“

Aktuelle Umfragen (z. B. FIDO-Alliance) zeigen hohe Bekanntheit und zunehmende Aktivierung von Passkeys: viele Nutzer empfinden Passkeys als sicherer und nutzerfreundlicher als Passwörter.

Fazit: Warum moderne Cyber-Security MFA und Passwortlosigkeit kombinieren muss

Passwortlose Authentifizierung ist eine notwendige Weiterentwicklung der MFA-Strategie. Die DACH-Region geht hier voran: das BSI empfiehlt hardwarebasierte FIDO-Tokens als besonders sichere Lösung. In einigen Ländern (z. B. Österreich) werden SMS-TANs in staatlichen Systemen nicht mehr akzeptiert; stattdessen kommen FIDO-Sicherheitsschlüssel zum Einsatz.

Eine zukunftsfähige Identity- und Access-Management-Strategie kombiniert MFA mit passwortlosen, phishing-resistenten Verfahren und macht das Passwort damit überflüssig.