Informationssicherheit NIS2 Security Awareness

Ratgeber

Phishing-resistente MFA: FIDO2, Passkeys und die NIS2-Anforderung.

Q: Reicht Google Authenticator oder Microsoft Authenticator für NIS2?

Nein. TOTP-basierte Apps wie Google Authenticator oder SMS-Codes sind nicht phishing-resistent. Bei AiTM-Angriffen (Adversary-in-the-Middle) können Angreifer den Einmalcode in Echtzeit abfangen und weiterverwenden. Das BSI hat im Mai 2026 klargestellt, dass wesentliche und wichtige NIS2-Einrichtungen phishing-resistente MFA nachweisen müssen.

Q: Müssen alle Mitarbeiter auf FIDO2 umstellen?

Nicht zwingend alle. Priorität haben privilegierte Konten (Admins, Geschäftsführung), Remote-Zugänge und Zugriffe auf kritische Systeme. Für einfache interne Anwendungen kann ein risikobasierter Ansatz ausreichen. Entscheidend ist eine dokumentierte Risikobewertung, die zeigt, warum für welche Systeme welche MFA-Methode gewählt wurde.

App-Codes und SMS lassen sich heute abfangen. Das BSI prüft ab 2026 aktiv, ob NIS2-Unternehmen wirklich phishing-resistente Anmeldeverfahren einsetzen. Was das bedeutet, wen es betrifft und wie der Umstieg gelingt.

Zuletzt aktualisiert: Mai 2026

86 %

Aller Phishing-E-Mails werden 2026 mit KI-Unterstützung generiert (Schwarz Digits 2026)

500.000 €

Maximale persönliche Haftung für Geschäftsführer wesentlicher NIS2-Einrichtungen

FIDO2

Einziger Standard, den das BSI als phishing-resistent für NIS2-Zwecke anerkennt

Hintergrund

Warum klassische MFA nicht mehr ausreicht.

Zwei-Faktor-Authentifizierung per App oder SMS gilt seit Jahren als verlässlicher Schutz gegen Kontoübernahmen. Das stimmt nicht mehr uneingeschränkt. Kriminelle schalten sich heute unsichtbar zwischen den Nutzer und den echten Dienst. Den App-Code, den jemand gerade eingibt, leiten sie in Echtzeit weiter und übernehmen so die Sitzung. Der Schutz ist ausgehebelt, ohne dass der Nutzer etwas bemerkt.

Das BSI hat im Mai 2026 klargestellt, dass NIS2-Unternehmen nachweisen müssen, phishing-resistente Anmeldeverfahren einzusetzen. App-Codes, SMS und Push-Benachrichtigungen genügen für Verwaltungszugänge und Fernarbeit nicht mehr.

Für Unternehmen in NIS2-relevanten Sektoren bedeutet das: Der Umstieg auf FIDO2 oder Passkeys ist kein optionales Upgrade, sondern Teil der Dokumentation, die bei BSI-Prüfungen vorgelegt werden muss.

BSI-Prüfschwerpunkt 2026

Das BSI hat im Mai 2026 bestätigt, dass es bei NIS2-Prüfungen gezielt nach phishing-resistenten Anmeldeverfahren fragt. App-Codes reichen für Verwaltungszugänge und Heimarbeitsplätze nicht mehr aus. Das BSI empfiehlt physische Sicherheitsschlüssel oder Passkeys für diese Bereiche.

Kernaspekte

Was Unternehmen wissen müssen.

Warum App-Codes nicht mehr reichen

Kriminelle können den Einmalcode aus der Authenticator-App heute in Echtzeit abfangen. Sie schalten sich unsichtbar zwischen den Nutzer und den echten Dienst und leiten den Code direkt weiter. Der zweite Faktor schützt, wird aber trotzdem umgangen, bevor der Nutzer etwas merkt.

FIDO2 und Passkeys

FIDO2 und Passkeys funktionieren grundlegend anders. Der Anmeldebeweis ist technisch an die echte Adresse des Dienstes gebunden. Eine gefälschte Seite kann ihn nicht verwenden, egal wie täuschend echt sie aussieht. Passkeys sind die einfachere Variante davon und funktionieren per Fingerabdruck oder Gesichtserkennung.

NIS2-Pflicht und Nachweis

NIS2 verlangt, dass Unternehmen ihre Sicherheitsmaßnahmen dokumentieren und bei Prüfungen belegen können. Das BSI bewertet App-Codes für Administratoren und Heimarbeitsplätze als nicht ausreichend. Wer das nicht ändert, muss schriftlich begründen, warum die aktuelle Methode für die eigene Risikolage genügt.

Zwei Gruppen unter NIS2

NIS2 unterscheidet wesentliche Einrichtungen (größere Unternehmen in kritischen Sektoren) und wichtige Einrichtungen. Wesentliche Einrichtungen werden vom BSI strenger geprüft und haften mit höheren Bußgeldern. Kleinere NIS2-Unternehmen haben mehr Umsetzungsspielraum, müssen aber denselben Weg nachweisbar gehen.

Sicherheitsschlüssel oder Passkeys

Für Administratoren und Geschäftsführung empfehlen sich physische Sicherheitsschlüssel, die wie ein USB-Stick aussehen. Für die übrige Belegschaft sind Passkeys die praktischere Wahl. Sie sind im Smartphone oder Laptop gespeichert und lassen sich ohne große IT-Infrastruktur einführen.

Wo anfangen: Cloud-Zugänge

Wer Microsoft 365, Google Workspace oder ähnliche Dienste nutzt, hat bereits Administrationskonten mit weitreichenden Rechten. Diese sind für Angreifer besonders attraktiv. Viele Cloud-Anbieter verlangen für solche Zugänge heute ohnehin phishing-resistente Anmeldung. Das ist der sinnvolle erste Schritt.

Vorgehen

In vier Schritten zur phishing-resistenten Authentifizierung.

MFA-Bestandsaufnahme

Alle Systeme und Zugangswege erfassen und die aktuell eingesetzten MFA-Methoden dokumentieren.

Risikobewertung und Priorisierung

Privilegierte Konten, Remote-Zugänge und kritische Systeme identifizieren und nach Dringlichkeit einordnen.

Standard auswählen und testen

Hardware-Token oder Passkeys evaluieren, Pilotgruppe einrichten und Kompatibilität mit bestehenden Systemen prüfen.

Einführung und NIS2-Dokumentation

Stufenweise Einführung mit Schulung, anschließend Nachweis der Maßnahmen in der NIS2-Risikomanagementdokumentation.

FAQ

Häufige Fragen zur phishing-resistenten MFA.

Verwandte Themen

Was ist phishing-resistente MFA?+

Phishing-resistente MFA bezeichnet Authentifizierungsverfahren, die auch dann sicher sind, wenn ein Angreifer die Kommunikation abfängt. FIDO2 und Passkeys sind phishing-resistent, weil der kryptografische Schlüssel an die legitime Domain gebunden ist und nicht weitergeleitet werden kann. Ein Phishing-Proxy erhält den Schlüssel nie.

Reicht Google Authenticator für NIS2?+

Nein. TOTP-Apps wie Google Authenticator oder Microsoft Authenticator sind nicht phishing-resistent. Bei AiTM-Angriffen kann der Einmalcode in Echtzeit abgefangen werden. Das BSI hat klargestellt, dass NIS2-Einrichtungen phishing-resistente Verfahren für privilegierte Zugänge einsetzen müssen.

Was ist ein AiTM-Angriff?+

AiTM steht für Adversary-in-the-Middle. Der Angreifer schaltet sich als unsichtbarer Proxy zwischen Nutzer und Dienst und leitet Login-Anfragen sowie TOTP-Codes in Echtzeit weiter. So stiehlt er die laufende Sitzung, ohne das Passwort zu kennen. Diese Technik hebelt Standard-MFA vollständig aus und ist in aktuellen Phishing-Kits weit verbreitet.

Müssen alle Mitarbeiter auf FIDO2 umstellen?+

Nicht zwingend. Priorität haben privilegierte Konten, Remote-Zugänge und Zugriffe auf kritische Systeme. Für einfache interne Anwendungen kann ein risikobasierter Ansatz ausreichen. Entscheidend ist eine dokumentierte Risikobewertung, die zeigt, warum für welche Systeme welche Methode eingesetzt wird.

Regulierung NIS2-Compliance Zur Leistung Informationssicherheit IS-Beratung Zur Leistung Awareness Security Awareness Zur Leistung Incident Response Vorfallsmanagement Zur Seite

Phishing-resistente Authentifizierung einführen.

MFA-Bestandsaufnahme, Standardauswahl und NIS2-konforme Dokumentation.

Kostenloses Erstgespräch buchen