Adaptive MFA: NIS2-Druck als Zero-Trust-Hebel im Mittelstand

7 Min. Lesezeit

NIS2 ist seit Oktober 2024 im deutschen Recht angekommen, das Umsetzungsgesetz seit Januar 2026 in Kraft. Für mittelständische Betreiber wesentlicher und wichtiger Einrichtungen verlagert sich der Compliance-Druck jetzt von der Papier-Dokumentation zur konkreten Identity-Architektur. Adaptive MFA ist dabei kein Feature mehr, sondern der Hebel, mit dem Mittelständler aus der Pflicht eine Zero-Trust-Strategie machen, die im Audit standhält und im Tagesgeschäft nicht im Weg steht.

07.05.2026

Das Wichtigste in Kürze

Adaptive MFA ist NIS2-Pflicht-Erfüller: Artikel 21 Absatz 2 lit. j fordert phishing-resistente Multi-Faktor-Authentifizierung. Adaptive MFA mit Risiko-Signalen (Geräte-Posture, Geo, Verhalten, Zeit) erfüllt diese Anforderung in der Auslegung des BSI-Implementierungsleitfadens vom Januar 2026.
Step-up statt Always-on: Wer alle Logins mit MFA belegt, fängt sich Helpdesk-Tickets und Workarounds. Risk-basierte Step-ups (kritische Aktion, neues Gerät, ungewöhnliche Geo) reduzieren das MFA-Volumen um 60 bis 75 Prozent, ohne die Schutzwirkung zu senken.
FIDO2-Hardware-Keys über SMS: SMS-OTP gilt nach BSI-Leitfaden 2026 nicht mehr als phishing-resistent. Wer NIS2-konform authentifizieren will, braucht FIDO2/WebAuthn oder Passkeys. SMS-Fallback bleibt nur als Recovery-Pfad zulässig, dokumentiert und mit zeitlichem Limit.

Verwandt:RSA Conference 2026: PQC und Vendor-Konsolidierung / CVE-2026-32202: CISA-KEV zwingt CISOs zum Handeln

Was Adaptive MFA im NIS2-Kontext leisten muss

Was ist Adaptive MFA? Adaptive MFA ist eine Multi-Faktor-Authentifizierung, die den zweiten Faktor abhängig von Risiko-Signalen anfordert. Statt jeden Login mit Hardware-Key oder OTP zu blocken, bewertet das System Geräte-Compliance, IP-Reputation, Geo-Distanz, Tageszeit, Verhaltensmuster und Sensitivität der angeforderten Ressource. Ein bekannter User auf einem MDM-konformen Gerät am gewohnten Standort sieht keinen MFA-Prompt, ein neuer Geräteanmeldung aus Lagos um 03:40 Uhr triggert Hardware-Key plus Helpdesk-Eskalation.

NIS2 verlangt in Artikel 21 unter den technischen Mindestmaßnahmen explizit Multi-Faktor- oder kontinuierliche Authentifizierungslösungen. Der BSI-Implementierungsleitfaden vom Januar 2026 konkretisiert das auf phishing-resistente Verfahren und nennt FIDO2, WebAuthn-Passkeys sowie Zertifikats-basierte Smartcards als zulässige Verfahren. SMS-OTP, TOTP-Apps ohne Phishing-Schutz und Push-Approval ohne Number-Matching werden nicht mehr als ausreichend anerkannt.

Für mittelständische Betreiber bedeutet das eine Architektur-Entscheidung. Ein klassisches Always-on-MFA mit TOTP-Apps lässt sich einführen, erfüllt die Anforderung aber nicht. Eine adaptive Lösung mit Risk-Engine, FIDO2-Keys und Step-up-Logik erfüllt sie und nimmt zusätzlich den Helpdesk-Druck raus, der ein Hauptgrund für Workarounds und Schatten-Login-Pfade ist.

Drei Hebel, an denen NIS2-Mittelständler jetzt ansetzen

Adaptive MFA wird im DACH-Mittelstand häufig als Tooling-Frage diskutiert. Tatsächlich ist es eine Architektur-Frage mit drei Hebeln, die in der Reihenfolge greifen müssen.

Erstens die Identity-Konsolidierung. Wer Adaptive MFA über mehrere disjunkte Verzeichnisse legt, vervielfältigt die Risk-Engine, ohne ein konsistentes Gesamtbild zu haben. Vor MFA-Rollout muss eine zentrale Identity Plane stehen. Microsoft Entra ID, Okta oder eine Open-Source-Lösung wie Authentik sind technisch vergleichbar, der Knackpunkt ist die Auslagerung der lokalen Active-Directory-Domänen und die Integration der Lieferantenzugriffe. Wer das nicht zentralisiert, verliert die Risk-Engine an Edge-Cases.

Zweitens die Geräte-Posture. Adaptive MFA bewertet Geräte als vertrauenswürdig oder nicht. Diese Bewertung kommt aus dem MDM und einem EDR mit Health-Telemetrie. Wer den MFA-Bypass für vertrauenswürdige Geräte ohne MDM-Pflicht erlaubt, hat formal Adaptive MFA, faktisch ein Schweizer-Käse-Modell. Microsoft Intune, Jamf, Workspace ONE oder die Kombination aus Entra Conditional Access und einem Drittanbieter-EDR wie CrowdStrike sind die typischen DACH-Pfade.

Drittens das Recovery-Verfahren. NIS2 fordert nicht nur die starke Authentifizierung, sondern auch deren Verfügbarkeit. Wer alle Mitarbeiter mit FIDO2-Keys ausstattet, muss den Verlust-Fall durchdacht haben. Recovery über Backup-Keys, Helpdesk-Verifikation mit dokumentiertem Liveness-Check, Recovery-Window mit zeitlichem Limit und auditierbarem Trail. Ohne dieses Verfahren bricht das Modell beim ersten verlorenen Hardware-Key in der Geschäftsführung.

68 %

Anteil der NIS2-betroffenen Mittelständler in DACH, die Anfang 2026 noch SMS-OTP oder TOTP-Apps ohne Phishing-Schutz als primären zweiten Faktor einsetzen. Nach BSI-Leitfaden Januar 2026 reicht das nicht mehr für die Audit-Konformität.

Quelle: Eigene Branchen-Erhebung, DACH-Mittelstand, Q1 2026

Wie eine Adaptive-MFA-Migration in 90 Tagen aussieht

Eine vollständige Migration zur Adaptive MFA mit FIDO2 braucht in einem typischen Mittelstands-Setup zwischen 80 und 100 Tagen. Wer die Reihenfolge bricht, baut sich entweder Audit-Lücken oder Helpdesk-Eskalationen.

90-Tage-Plan: Adaptive MFA für NIS2-Mittelständler

Woche 1 bis 2

Identity-Inventur. Verzeichnisse, Zweitsysteme, Lieferantenzugriffe, Service-Accounts. Welche Konten sind privilegiert, welche stehen außerhalb der zentralen Plane. Ohne dieses Bild fährt jede MFA-Logik an den Rändern auf.

Woche 3 bis 5

Pilot mit privilegierten Konten. 20 bis 40 Admin-Accounts auf FIDO2-Keys umstellen, Conditional-Access- oder Okta-Policies aufsetzen, Recovery-Pfad mit Helpdesk durchspielen. Pilot-Phase als Stress-Test, nicht als Marketing-Demo.

Woche 6 bis 9

Geräte-Posture verbinden. MDM-Compliance, EDR-Health, Conditional-Access-Regeln, die unbekannte Geräte zwangs-MFA und MDM-konforme Geräte mit Step-up bei kritischen Aktionen behandeln. Risk-Engine mit echten Daten kalibrieren.

Woche 10 bis 11

Breitenrollout. Standard-Mitarbeiter, gestaffelt nach Abteilung, FIDO2-Hardware-Key plus Passkey als Backup. Helpdesk-Skripte vorab, Schulungs-Slot pro Team, Monitoring auf Login-Failure-Spikes.

ab Woche 12

Audit-Pfad und Reporting. NIS2-Konformität dokumentieren, BSI-Leitfaden mappen, Quartals-Review der Risk-Engine, Änderungs-Trigger bei CISA-KEV-Einträgen oder neuen BSI-Advisories.

Was trägt, was bricht im Mittelstand

Was bricht

Adaptive MFA über mehrere disjunkte Verzeichnisse. Die Risk-Engine sieht nur Teile, die Audit-Konformität wird formal richtig und faktisch löchrig.
SMS-OTP als Standard-Faktor ohne dokumentierte Sunset-Roadmap. BSI-Leitfaden 2026 toleriert das nicht mehr, ein erstes Audit kippt die Zertifikatsbasis.
Service-Accounts ohne MFA-Pfad. Wer Service-Accounts pauschal aus der MFA herausnimmt, hat keine Adaptive MFA, sondern eine Adaptive-MFA-mit-Hintertür.
Recovery-Prozess, der Helpdesk-Tickets ohne Liveness-Check zulässt. Social-Engineering hebelt das Modell aus, ohne Spuren zu hinterlassen.

Was trägt

FIDO2-Hardware-Keys plus Passkey-Backup. Phishing-resistent, BSI-konform, im Tagesgeschäft schnell und ohne SMS-Roaming-Fallen.
Step-up bei kritischen Aktionen statt Always-on. Helpdesk-Volumen sinkt um 60 bis 75 Prozent, Schutzwirkung bleibt.
Risk-Engine mit Geräte-Posture, Geo und Verhalten. Konsistente Audit-Spur statt punktueller Logs.
Recovery-Pfad mit dokumentiertem Liveness-Check und zeitlichem Limit. Auditierbar, social-engineering-resistent, im Audit nicht angreifbar.

Wer den Hebel jetzt zieht

Drei Profile profitieren am klarsten. Mittelständische Energieversorger, kommunale IT-Dienstleister und produzierende Betriebe mit OT-Anbindung, weil dort NIS2 als wesentliche Einrichtung mit härteren Sanktionen greift. Krankenhäuser und MVZ-Verbünde, weil dort die Patientendatenkritikalität und KRITIS-Status zusammenfallen. Und IT-Dienstleister, die Kunden in NIS2-relevanten Branchen betreuen, weil Lieferantenpflichten in Artikel 21 explizit ausweiten. Wer keinen dieser Auslöser hat, sollte trotzdem die SMS-OTP-Sunset-Diskussion führen, bevor sie der erste BSI-Audit-Termin auslöst.

Eine ehrliche Beobachtung. Die größte Reibung in solchen Projekten kommt aus der Geschäftsführungs-Etage. Wer den ersten FIDO2-Key nicht selbst trägt, sondern in der eigenen Verantwortlichkeit aufweicht, sabotiert das Mandat. Adaptive MFA wird in der dritten Woche entschieden, in der jemand fragt, ob der CFO seinen Hardware-Key wirklich braucht. Die Antwort lautet ja. Die Diskussion danach klärt, ob das Unternehmen Zero-Trust ernst meint oder nur das nächste Compliance-Theater inszeniert. Wer parallel den Patch-Prozess für aktive BSI-Advisories wie cPanel CVE-2026-41940 nicht mitzieht, hat NIS2 nur halb verstanden.

Häufige Fragen

Reicht eine bestehende TOTP-App-Lösung wie Authy oder Google Authenticator für NIS2 aus?

Nicht mehr. Der BSI-Implementierungsleitfaden vom Januar 2026 nennt phishing-resistente Verfahren als Mindestanforderung. TOTP ohne Phishing-Schutz fällt darunter, weil ein Angreifer den OTP-Code in Echtzeit über einen Phishing-Proxy abgreifen und weiterreichen kann. FIDO2/WebAuthn ist kryptografisch an den Origin gebunden und damit immun gegen diesen Angriff. Wer TOTP weiter einsetzen will, braucht zusätzliche Schutzschichten wie Number-Matching mit Geräteverifikation oder einen FIDO2-Backup für privilegierte Konten.

Wie hoch ist das realistische Budget für eine Adaptive-MFA-Migration im Mittelstand?

Für ein Unternehmen mit 500 bis 2.000 Mitarbeitern liegen die Aufbaukosten zwischen 65.000 und 180.000 Euro, je nachdem ob die Identity-Plane bereits zentralisiert ist. Hardware-Keys kosten zwischen 35 und 75 Euro pro Mitarbeiter, Lizenzen für Conditional Access oder Okta zwischen 4 und 12 Euro pro User pro Monat. Der größere Kostenpunkt ist die Beratungsleistung in den ersten zwölf Wochen, weil die Pilot-Phase und das Recovery-Verfahren ohne externe Erfahrung selten beim ersten Anlauf tragen.

Was passiert bei einem verlorenen FIDO2-Key in der Geschäftsführung?

Drei Pfade in der Reihenfolge: Backup-Key aus der dokumentierten Schreibtisch-Schublade, Passkey auf dem Mobilgerät als Recovery, Helpdesk-Verifikation mit dokumentiertem Liveness-Check. Letzteres ist der politisch heikle Pfad und braucht ein definiertes Verfahren mit Vier-Augen-Prinzip, Video-Verifikation und Eintragungs-Pflicht im Audit-Log. Ohne dieses Verfahren produziert ein verlorener Key in der Geschäftsführung entweder einen Compliance-Bruch oder einen Audit-Befund.

Wie verhält sich Adaptive MFA zu Zero-Trust-Architekturen?

Adaptive MFA ist eine Voraussetzung für Zero-Trust, aber nicht der gesamte Stack. Zero-Trust verlangt zusätzlich Mikrosegmentierung, kontinuierliche Geräte-Bewertung, datenschicht-bezogene Policies und ein konsequentes Least-Privilege-Modell. Adaptive MFA liefert die Identity-Komponente, ohne die der Rest nicht standfähig ist. Wer Zero-Trust nur als Marketing-Begriff für ein Single-Sign-On-Projekt nutzt, hat den Punkt nicht erreicht.

Welche Lieferantenpflichten ergeben sich aus NIS2 für Adaptive MFA?

Artikel 21 verpflichtet Betreiber wesentlicher und wichtiger Einrichtungen, ihre Lieferanten in das eigene Risikomanagement einzubinden. In der Praxis heißt das, dass IT-Dienstleister, Cloud-Anbieter und SaaS-Lieferanten die gleichen MFA-Standards in ihren Zugriffspfaden zum eigenen Tenant nachweisen müssen. Wer Lieferanten-VPNs oder Admin-Konsolen ohne Adaptive MFA betreibt, importiert sich einen Audit-Befund über die Lieferkette. Vertragsanhänge ab Mitte 2026 enthalten zunehmend explizite MFA-Klauseln.

Über den Autor

Alec Chizhik ist Chief Digital Officer bei Evernine. Er kommt aus Cloud-Operations und Security-Engineering und schreibt regelmäßig über Architektur-Entscheidungen, die zwischen Datenblatt und Operational Reality kippen. Er hält den Unterschied zwischen Security-by-Design und Security-by-Incident für ungefähr eine Woche Schlaf wert.

Mehr aus dem MBF Media Netzwerk

securitytoday

RSA Conference 2026: PQC-Migration zwingt CISOs zur Kehrtwende

cloudmagazin

Mini-PCs verdrängen 1HE-Server: Edge-Computing im RZ

mybusinessfuture

KI in der Buchhaltung: 78 % Dunkelbuchung im Mittelstand

digital-chiefs

Gartner: 13,5 % IT-Wachstum 2026 – CIOs müssen umschichten

Quelle Titelbild: Pexels / Pixabay (px:60504)

Artikel drucken