Eine der größten Sicherheitsbedrohungen geht heutzutage von kompromittierten Berechtigungsnachweisen und dem Missbrauch privilegierter Accounts aus. Dementsprechend stellt die Absicherung privilegierter Zugriffe auf Anwendungen, Server und Infrastrukturen die Basis einer effektiven Sicherheitsstrategie dar.
Identitätssicherung per Multi-Faktor-Authentifizierung muss fester Bestandteil der Cloud-Security-Strategie sein zur Absicherung der Netzwerke.
Dessen ist sich der Großteil der Security-Verantwortlichen in Unternehmen auch bewusst. Dennoch fällt es in der Praxis vielen nach wie vor schwer, zwischen einem berechtigten Administrator und einem Bedrohungsakteur, der kompromittierte Anmeldedaten verwendet, zu unterscheiden – insbesondere in verteilten und hybriden Cloud-Infrastrukturen. Konsequente Multi-Faktor-Authentifizierung (MFA) kann den Worst Case zwar verhindern, ihr Erfolg steht und fällt aber mit der ausgewählten Methode und dem Ort der Umsetzung.
Probates Mittel für mehr Sicherheit
Die flächendeckende Durchsetzung einer MFA ist ohne Zweifel eine der effektivsten Best Practices in der Zugriffskontrolle. Doch obwohl sie einfach umzusetzen und für regulierte Branchen wie Finanzdienstleister, das Gesundheitswesen oder den E-Commerce gemäß verschiedenen Richtlinien (wie PCI, HIPAA, PSD2, NIST usw.) sogar verpflichtend ist, ist MFA für viele Unternehmen noch längst nicht zum Standard geworden.
So zeigt eine weltweite Umfrage von CISOs und Sicherheitsverantwortlichen, dass 52 Prozent der Unternehmen kein MFA nutzen, um privilegierte Zugriffe wie etwa den Administratorzugriff zu schützen.
Dies ist umso erstaunlicher, als Analysten-Reports und Studien die Bedeutung von Mehrfachauthentifizierungen für nachhaltige Cybersicherheit immer wieder deutlich machen:
80 Prozent der Datenschutzverletzungen können laut Forrester Research auf kompromittierte Zugangsdaten zurückgeführt werden.
36 Prozent der User in Deutschland nutzen für mehrere Online-Dienste das gleiche Passwort, wie eine Bitkom-Befragung zeigt.
90 Prozent der verifizierten Phishing-E-Mails wurden laut einer Cofense-Studie in Umgebungen mit sicherem E-Mail-Gateway gefunden.
Unternehmen, die ihren Fernzugriff erweitern, ohne MFA zu implementieren, erleben laut Gartner fünfmal so viele Kontoübernahmen wie solche, die auf MFA setzen.
Das Prinzip MFA ist nicht neu, doch durch die vermehrte Cloud-Migration der letzten Jahre und die deshalb stark vergrößerte Angriffsfläche hat die Bedeutung der Mehrfachauthentifizierung als Teil einer starken Privileged-Access-Management (PAM)-Strategie deutlich zugenommen. Um bei unsachgemäßen Konfigurationen ihrer Multi-Cloud-Infrastrukturen oder kompromittierten Passwörtern für Cloud-Anwendungen nicht den Supergau zu erleben, brauchen IT-Abteilungen moderne MFA-Lösungen, die sowohl ihre On-Premises- als auch Cloud-Umgebungen absichern und dabei eine ausgewogene Balance zwischen Sicherheit und Benutzerfreundlichkeit wahren.
Herkömmliche MFA-Lösungen, die bei der Definition der Abfragen auf statische Richtlinien setzen, werden den Anforderungen der neuen perimeterlosen Cloud-Umgebung hingegen nicht mehr gerecht. Sie bieten keinen dynamischen Kontext und zwingen alle User dazu, unter allen Umständen ähnliche Richtlinien zu befolgen, was eine genaue Risikomessung unmöglich macht.
Kontextbezogene MFA geht hier zwar einen Schritt weiter, weil klar definiert wird, von welchem Standort, Gerät oder Netzwerk aus sich ein entsprechender Nutzer anmelden darf, und Identitätssicherheit so gezielter umgesetzt werden kann. Gleichzeitig ist diese Methode aber auch zeitaufwendiger und bindet mehr Ressourcen: Kontextuelle MFA erfordert ein höheres Maß an Wartung und Instandhaltung, was möglicherweise dazu führt, dass nicht alle möglichen Risikobedingungen berücksichtigt werden.
Einen wesentlich innovativeren und für Cloud-Umgebungen damit auch sichereren Ansatz bietet die adaptive und verhaltensbasierte MFA, bei der das Gewähren bzw. Blockieren von Zugriffen gemäß der Analyse des individuellen Sitzungsverhalten der Benutzer erfolgt. Einige Lösungen arbeiten dabei mit modernen Algorithmen für maschinelles Lernen und Verhaltensanalysen, um das Verhalten privilegierter Benutzer sorgfältig zu untersuchen und anomale und damit potenziell schädliche Aktivitäten wirksam zu identifizieren.
Durch maschinelles Lernen können Millionen von Ereignissen kontinuierlich unter die Lupe genommen werden, was mit manueller Forensik nicht möglich wäre. So sind Sicherheitsverantwortliche in der Lage, aktiv auf Vorfälle zu reagieren, indem sie bereits laufende Sitzungen unterbrechen, zusätzliche Kontrollen einrichten oder Markierungen für forensische Folgemaßnahmen setzen.
Wo MFA ein Must-Have ist
Denkt man an MFA, ist der erste klassische Anwendungsfall, der einem einfällt, der Administratorenzugang. Tatsächlich sollte MFA für IT-Administratoren und andere privilegierte Benutzer, die Zugriff auf sensible Daten und Systeme haben, grundsätzlich obligatorisch sein. Doch auch für nicht-menschliche Accounts und Ressourcen wie Passwort-Tresore, Firewalls, Netzwerkgeräte, Workstations oder Server sollten IT-Abteilungen MFA aktivieren – und zwar egal, ob sie sich On-Premises oder in der Cloud befinden.
Ein Problem ist, dass viele PAM-Strategien, die MFA nur beim klassischen Vault-Login vorsehen. Dies mag auf den ersten Blick bequem sein, bietet aber nur ein eingeschränktes Maß an Sicherheit. Besser ist es, die Mehrfachauthentifizierung konsequent an allen wichtigen Zugangspunkten zu erzwingen. Dazu gehören der Passwort- bzw. Secret-Checkout, die Server- bzw. Systemanmeldung aber auch die Erhöhung von Berechtigungen. Werden diese kritischen Punkte mit mehreren Faktoren geschützt, kann das Risiko von Privilegien-Missbrauch deutlich reduziert werden. Denn gelingt es einem Angreifer, an eine gültige ID und ein Passwort zu gelangen und sich damit bei einem Server anzumelden oder die Berechtigungen zu erhöhen, kann MFA diesen Versuch bereits im Keim ersticken. Dass ein Bedrohungsakteur – egal ob Mensch oder Bot – im Besitz der gültigen Anmeldedaten ist und zusätzlich auch den zweiten Faktor, etwa ein Mobiltelefon oder einen YubiKey-Dongle, kompromittiert hat, ist grundsätzlich eher unwahrscheinlich.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Eine weitere Schwachstelle in der MFA-Umsetzung ergibt sich dann, wenn Unternehmen MFA-Produkte verschiedener Anbieter kombinieren und diese an verschiedenen Orten einsetzen. Dies führt zu inkonsistenten Richtlinien, Sicherheitslücken und einem hohen Verwaltungsaufwand. IT-Abteilungen sollten daher darauf achten, Lösungen auszuwählen, die ihnen eine zentrale Verwaltungsoberfläche für MFA-Richtlinien bereitstellen. So können Richtlinien für die Serveranmeldung und die Erhöhung von Berechtigungen zentral definiert und verwaltet und von Server-PAM-Clients auf dem Server durchgesetzt werden.
Idealerweise unterstützen PAM-Lösungen die führenden Anbieter wie Duo, YubiCo und RSA sowie die gängigen Protokolle wie RADIUS und FIDO2. Denn der Support einer breiten Palette von Authentifikatoren bietet den IT-Mitarbeitenden die nötige Flexibilität für die unternehmensweite Absicherung von Zugriffen auf die AWS-Infrastruktur, bei der Passwortüberprüfung, der Sitzungsinitiierung, der Serveranmeldung oder bei der kritischen Erhöhung von Berechtigungen.
MFA ja und durchgängig
Die Multi-Faktor-Authentifizierung bietet Unternehmen hohen Nutzen bei minimalem Aufwand.
Andreas Müller, Delinea.
(Bild: Delinea)
Um von den Vorteilen voll und ganz zu profitieren und wichtige administrative Zugriffspunkte auch langfristig gut geschützt zu wissen, müssen IT-Abteilungen jedoch auf moderne MFA-Methoden setzen und diese flächendeckend an allen kritischen Punkten erzwingen. Dies versetzt sie in die Lage, laterale Bewegung von Bedrohungsakteuren in ihren Netzwerken zu minimieren und ihre Cloud-Security-Strategie mit einer effektive Identitätssicherung zu härten.
* Der Autor Andreas Müller ist Vice President DACH für Delinea.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/88/1c/881c776229b8546b75ebf03b16b95c04/0128325584v2.jpeg "Bringt Gaia-X endlich einen frischen Rückenwind für souveräne Datenräume? Unser Autor Dipl.-Ing. (FH) Stefan Luber auf Spurensuche vor Ort in Porto. (Bild: https://gaia-x.eu/)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/3b/9f3bdf09a933c60ea9852c1f83e87b5f/0129251655v1.jpeg "Ein Programm macht Schluss mit krummer Haltung am Schreibtisch: Wer schief sitzt, sieht den Bildschirm nur noch verschwommen. Wie das funktioniert – und für wen eher nicht. (Bild: frei lizenziert Pexels)")
:quality(80)/p7i.vogel.de/wcms/4b/b7/4bb772d9b26ee469b4ea76f0906f26f3/0129050281v1.jpeg "Eile mit Weile: Eine Cloud-only-Entscheidung für SAP S/4HANA ist kein einfaches Betriebsmodell, sondern eine strukturelle Festlegung für Architektur, Organisation und Projektsteuerung. Deshalb sollte die Migration mit Bedacht geplant und umgesetzt werden. (Bild: © xymbolino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/69/69/6969bbed340b546bba20ad5041f10f76/0128881179v1.jpeg "Google erlaubt in Zukunft das Ändern der E-Mail-Adresse in Gmail. (Bild: frei lizenziert Roman)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453f71b2dfdcebe6bf23752fa99e5ae/0129219624v1.jpeg "Anlasslose Vorratsdatenspeicherung, Quick-Freeze-Verfahren und jetzt IP-Adressenspeicherung: Kriminalitätsverfolger und Datenschützer sind noch immer auf Suche nach dem gemeinsamen Nenner. (Bild: © Yeti Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/0a/0e0afeb87b4b85b5ae84a1ba995cee98/0128299374v1.jpeg "Die Bereitstellung von Anwendungen hat sich in den vergangenen drei Jahrzehnten von lokalen Installationen zu hybriden und cloudbasierten Modellen weiterentwickelt. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/09/59/09595f252a719fb31f52ddb63c59f358/0128960873v1.jpeg "KRITIS-Unternehmen bleibt wenig Spielraum bei ihrer Sicherheitsstrategie. Cloudbasierte Zugriffsarchitekturen bieten aber Lösungen für kritische Infrastrukturen, ohne Kompromisse bei der Sicherheit einzugehen. (Bild: © Brian Jackson - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/6a/0b6a64cf873f39013857b15be8507446/0128985704v1.jpeg "Auch die Networking-Events auf dem CloudFest machen nachhaltig Eindruck. Doch es gibt weitere, gute Gründe für das Motto des CloudFest 2026 „The Sustainability of Everything“. (Bild: René Lamb Fotodesign GmbH
)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238c2fcfdd4a4e627c536e1fbce3796/0128962917v1.jpeg "Cloud-Risiko minimieren: Sicherheitslücken und Bedrohungen für industrielle Anlagen erfordern eine effektive Sicherheitsstrategie. (Bild: © Photocreo Bednarek - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/68/c0/68c0c0041b959669ea7bfdfbcc55d8b6/0129046254v1.jpeg "Vertrauen, Teamgeist und gemeinsame Verantwortung sind zentrale Elemente moderner Führung im Zeitalter der künstlichen Intelligenz. (Bild: © REDPIXEL - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ae/0f/ae0f7cc26f7408cedf841ef7b8107413/0129170884v1.jpeg "Positive Bilanz: Die starke Nachfrage nach Cloud- und ERP-Lösungen trieb 2025 Umsatz und Betriebsergebnis von SAP. (Bild: SAP SE)")
:quality(80)/p7i.vogel.de/wcms/eb/f0/ebf044683ec821124eacb5539aeb05cb/0128849647v2.jpeg "Mitmachen statt zuschauen:
Die Angst, bei KI den Anschluss zu verlieren, kann zu vorschnellen Entscheidungen führen. (Bild: © MotionIsland – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4d/58/4d58e0cfcb0e2d402f3f59ba49180551/0128590287v1.jpeg "Die Softwareindustrie steht unter Druck, da KI zunehmend in der Lage ist, wiederholbare Aufgaben schneller und kostengünstiger zu erledigen. Diese Unsicherheit bietet jedoch auch Chancen für gezielte Akquisitionen und Innovationen. (Bild: © Maria Mikhaylichenko - stock.adobe.com / KI-generiert)")
:fill(fff,0)/p7i.vogel.de/companies/67/ab/67ab4b88b1eda/netfiles-logo.png "netfiles-logo (netfiles GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/78/657840ef8b6d6/nutanix-logo-charcoal-gray-digital.png "nutanix-logo-charcoal-gray-digital (Nutanix)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/a9/d2/a9d2ecd8fd51c7f6082beb24b345d1b4/0126595473v1.jpeg "Mit Specops uReset können Cloud-Nutzer Passwörter eigenständig zurücksetzen und damit die Sicherheit und Benutzerfreundlichkeit erhöhen. Diese Lösung unterstützt sowohl lokale als auch hybride und native Entra ID-Umgebungen. (Bild: © igor.nazlo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/19/fc/19fcfc047a3202edec7768f7453344cc/0125660820v1.jpeg "Erfahren Sie, wie AWS IAM zur Cloud-Sicherheit beiträgt – mit Best Practices für Zugriffskontrolle, RBAC und Schutz vor Fehlkonfigurationen. (Bild: © geniusstudio - stock.adobe.com)")