ISO 27001 / NIS2 Word (.docx)Kostenlos

MFA-Richtlinie: Muster für Mehr-Faktor-Authentifizierung

Mehr-Faktor-Authentifizierung ist einer der wirksamsten Schutzmechanismen gegen Kontoübernahmen und unter NIS2 ausdrücklich gefordert. Diese kostenlose Muster-Richtlinie legt fest, wo MFA verpflichtend ist, welche Verfahren zulässig sind und wie mit Ausnahmen umgegangen wird.

MFA-Richtlinie

Word (.docx) · sofort einsatzbereit

Kostenlos herunterladen

Keine Anmeldung nötig

Worum geht es?

Eine MFA-Richtlinie definiert verbindlich, für welche Zugänge ein zweiter Faktor erforderlich ist. Sie schützt Konten selbst dann, wenn ein Passwort gestohlen wurde, und ist Standard-Prüfpunkt in Audits nach ISO 27001 und NIS2.

Die Vorlage priorisiert phishing-resistente Verfahren (Authenticator-App, FIDO2/Passkey) und stuft SMS-Codes als Ausnahme ein. Sie legt MFA-Pflicht für Admin-Konten, Remote-Zugriff, E-Mail und Cloud-Dienste fest.

Enthalten sind Geltungsbereich der MFA-Pflicht, zugelassene Verfahren, Registrierung und Wiederherstellung, ein geregelter Ausnahmeprozess sowie Verstöße und Überprüfung.

Was die Vorlage enthält

Zweck & Geltungsbereich

Wo und für wen MFA gilt

MFA-Pflicht

Admin-Konten, Remote-Zugriff, E-Mail, Cloud-Dienste

Zugelassene Verfahren

Authenticator-App und Sicherheitsschlüssel bevorzugt, SMS nur als Ausnahme

Registrierung & Wiederherstellung

Zweiter Faktor, Wiederherstellungscodes, Verlustmeldung

Ausnahmen

Begründet, befristet, freigegeben und dokumentiert

Verstöße & Überprüfung

Umgehungsverbot und jährliche Überprüfung

Die Vorlage eignet sich für alle Organisationen, die MFA verbindlich einführen, besonders zur NIS2-Umsetzung. Passen Sie den Geltungsbereich an Ihre Systeme an und lassen Sie die Richtlinie freigeben.

Häufige Fehler beim Ausfüllen

MFA nur für Admins

Auch Remote-Zugriff, E-Mail und Cloud-Dienste normaler Nutzer sind attraktive Angriffsziele und brauchen MFA.

SMS als Standardverfahren

SMS-Codes sind anfällig für Umleitung (SIM-Swapping). App- oder Hardware-basierte Verfahren sind sicherer.

Kein Ausnahmeprozess

Ohne geregelte, befristete Ausnahmen entstehen dauerhafte Lücken, die niemand mehr überprüft.

Vorlage pflegen kostet Zeit. Es geht auch automatisch.

Dies ist eine gekürzte Muster-Fassung. In CompliantDesk erstellen Sie die MFA-Richtlinie per Wizard, lassen sie freigeben und von Mitarbeitern bestätigen, inklusive Versionierung, SHA-256-Nachweis und Review-Fristen.

Häufig gestellte Fragen

Für welche Zugänge sollte MFA verpflichtend sein?

Mindestens für Administrator- und privilegierte Konten, Remote-Zugriff und VPN, E-Mail sowie Cloud-Dienste. Idealerweise für alle Zugänge zu schützenswerten Systemen.

Welche MFA-Verfahren sind am sichersten?

Phishing-resistente Verfahren wie FIDO2-Sicherheitsschlüssel oder Passkeys, gefolgt von Authenticator-Apps (TOTP). SMS-Codes gelten als schwächstes Verfahren.

Fordert NIS2 MFA?

Ja. MFA und gesicherte Kommunikation sind ausdrücklich Teil der zehn NIS2-Risikomanagementmaßnahmen (Art. 21 Abs. 2 lit. j).

Compliance ohne Excel-Chaos

CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.