19. Mai 2026 | Artikel drucken | |

Adaptive MFA: die Werkseinstellung reicht nicht

7 Min. Lesezeit

In den meisten Unternehmen ist adaptive MFA aktiviert, aber nicht eingestellt. Der Schalter im Identity-Portal steht auf an, die Risiko-Engine läuft mit den Werten, die der Hersteller mitgeliefert hat. Das schützt gegen die breite Masse automatisierter Angriffe. Gegen den gezielten Angreifer, der genau diese Standardlogik kennt, schützt es kaum. Der Unterschied zwischen Häkchen und Schutz liegt in der Konfiguration, die niemand anfasst.

Das Wichtigste in Kürze

  • Aktiviert ist nicht eingestellt. Adaptive MFA mit Hersteller-Standardwerten blockt Massenangriffe, aber kaum den gezielten Angreifer, der die Standardlogik kennt.
  • Die Engine ist nur so gut wie ihre Signale. Ohne Gerätezustand, Identitätskontext und Verhaltensmuster bleibt die Risikobewertung grob und produziert falsche Sicherheit.
  • Feinjustierung braucht einen Piloten. Wer die Policies ohne Beobachtungsphase scharfstellt, erzeugt eine Frust-Welle und bekommt die Ausnahmeregel zurück, die den Schutz wieder aushebelt.

Verwandt:Adaptive MFA als Zero-Trust-Hebel  /  Maschinen-Identitäten

Was ist adaptive MFA? Adaptive MFA ist eine Mehr-Faktor-Authentifizierung, die den geforderten Nachweis vom Risiko der einzelnen Anmeldung abhängig macht. Eine Engine bewertet Signale wie Standort, Gerät und Verhalten und entscheidet, ob ein Login durchgeht, einen zusätzlichen Faktor braucht oder blockiert wird. Statisches MFA verlangt dagegen immer denselben zweiten Faktor.

Was risikobasierte Authentifizierung wirklich leistet

Der Reiz von adaptive MFA ist schnell erklärt. Eine Anmeldung vom bekannten Firmenrechner im üblichen Netz läuft reibungslos durch. Dieselbe Anmeldung um drei Uhr nachts aus einem fremden Land mit einem unbekannten Gerät verlangt einen starken zweiten Faktor oder wird gestoppt. Sicherheit dort, wo Risiko ist. Ruhe dort, wo keines ist.

In der Praxis tut die Werkseinstellung genau die Hälfte davon. Sie fängt die laute, breite Angriffswelle ab: Credential Stuffing, Passwort-Spraying, die automatisierten Versuche, die jedes Konto im Internet treffen. Das ist nicht wenig. Microsoft beziffert den Effekt von Mehr-Faktor-Authentifizierung seit Jahren mit einer eingängigen Zahl.

99,9 Prozent
der automatisierten Angriffe auf Konten lassen sich laut Microsoft durch Mehr-Faktor-Authentifizierung blockieren.
Quelle: Microsoft, Identity Security / Account-Schutz-Analysen

Die Zahl ist eindrucksvoll und sie ist ehrlich, solange man liest, was dahinter steht. Sie beschreibt automatisierte Angriffe. Sie sagt nichts über den Angreifer, der ein konkretes Konto im Visier hat, der sich die Mühe macht, den Anmeldefluss zu studieren. Er weiß, dass eine ungetunte Engine vorhersehbar reagiert. Dieser zweite Angreifer ist seltener, aber er ist der teure Fall. Und gegen ihn entscheidet die Konfiguration.

Wo die Standardkonfiguration aufhört

Die Hersteller liefern adaptive MFA mit konservativen Voreinstellungen aus. Das ist nachvollziehbar und sogar notwendig. Eine zu scharfe Werkseinstellung würde bei der ersten Anmeldung halbe Belegschaften aussperren und das Produkt unbrauchbar machen. Also steht der Regler vorsichtig. Genau dort bleibt er meistens.

Drei Lücken tauchen in dieser Standardlage regelmäßig auf. Die erste ist die Schwelle. Die Engine berechnet einen Risikowert. Erst oberhalb einer Schwelle fordert sie einen weiteren Faktor. Steht diese Schwelle auf dem konservativen Default, rutschen mittlere Risiken unbemerkt durch. Ein Login aus einer neuen Stadt im selben Land, ein leicht abweichendes Gerät, eine ungewöhnliche Uhrzeit: einzeln zu schwach für den Default, zusammen ein klares Muster.

Die zweite Lücke ist die Reaktion. Viele Setups kennen nur zwei Antworten: durchlassen oder zusätzlichen Faktor verlangen. Die interessanten Optionen bleiben ungenutzt. Eine Sitzung mit verkürzter Gültigkeit, ein Zugriff ohne die Möglichkeit, sensible Daten herunterzuladen, eine stille Meldung ans Security-Team bei mittlerem Risiko. Wer nur den groben Schalter nutzt, verschenkt die halbe Wirkung.

Die dritte Lücke ist die Ausnahme. Fast jede Organisation hat sie: die Führungskraft, die ständig reist und vom MFA-Prompt genervt ist, also eine Sonderregel bekommt. Diese Ausnahme ist oft genau das Konto mit dem höchsten Schaden im Fall einer Übernahme. Eine ungeprüfte Ausnahmeliste ist die stillste Art, adaptive MFA wieder abzuschalten.

Welche Signale eine ehrliche Risiko-Engine braucht

Eine Risikobewertung ist nur so belastbar wie die Signale, die sie sieht. Standort und IP-Adresse allein reichen nicht, weil sie sich fälschen und über Proxy-Dienste verschleiern lassen. Eine tragfähige Engine zieht mehrere Ebenen zusammen.

Die wichtigste Ebene ist der Gerätezustand. Ist das Gerät verwaltet, ist die Festplatte verschlüsselt, läuft ein aktueller Patchstand, meldet der Endpoint-Schutz Auffälligkeiten. Ein Login von einem konformen Gerät ist ein anderes Risiko als derselbe Login von einem unbekannten Browser. Wer Gerätesignale nicht einbindet, bewertet im Blindflug.

Die zweite Ebene ist der Identitätskontext. Hat sich das Passwort gerade geändert, sind kurz zuvor fehlgeschlagene Versuche aufgelaufen, taucht die Identität in einem Leak-Datensatz auf, weicht das Anmeldemuster vom Verlauf der letzten Wochen ab. Diese Signale erzählen eine Geschichte, die eine einzelne IP-Adresse nie erzählen kann.

Die dritte Ebene ist das Verhalten nach dem Login. Adaptive Authentifizierung endet nicht an der Anmeldemaske. Ein Konto, das sich unauffällig anmeldet und danach in Minuten ungewöhnlich viele Datensätze abruft, gehört neu bewertet. Diese fortlaufende Prüfung ist der Teil, den Standard-Setups am häufigsten auslassen.

Was die Feinjustierung trägt und was sie kippt

Adaptive MFA scharfzustellen ist kein rein technischer Vorgang. Es ist eine Gratwanderung zwischen Schutz und Akzeptanz. Die folgenden Muster entscheiden, auf welche Seite das Setup fällt.

Was kippt

  • Schwellen ohne Beobachtungsphase scharfstellen und eine Frust-Welle auslösen
  • Dauerhafte Ausnahmen für genervte Führungskräfte ohne Ablaufdatum
  • Nur Standort und IP als Signale, ohne Gerätezustand und Verlauf
  • Die Risiko-Reaktion auf durchlassen oder blockieren beschränken

Was trägt

  • Schwellen anhand echter Login-Daten aus einer Beobachtungsphase setzen
  • Ausnahmen befristet vergeben und automatisch zur Überprüfung vorlegen
  • Gerätezustand, Identitätskontext und Verhalten als Signalebenen kombinieren
  • Abgestufte Reaktionen nutzen: verkürzte Sitzung, eingeschränkter Zugriff, stille Meldung

Der Unterschied zwischen den Spalten ist keine Frage des Budgets. Beide Setups nutzen dieselbe Lizenz und dieselbe Engine. Was sie trennt, ist die Bereitschaft, die Konfiguration als laufende Aufgabe zu behandeln statt als einmaligen Schalter.

Wie ein Pilot ohne Frust-Welle gelingt

Adaptive MFA scharfzustellen verträgt keinen großen Knopfdruck über Nacht. Wer die Schwellen für alle gleichzeitig anhebt, erzeugt am ersten Morgen eine Welle blockierter Anmeldungen, einen überlasteten Service-Desk und den politischen Druck, alles zurückzudrehen. Ein gestufter Pilot vermeidet das.

Adaptive MFA scharfstellen in vier Phasen
Phase 1
Beobachten. Die Engine läuft im Report-Modus mit, ohne zu blockieren. Zwei bis vier Wochen liefern ein echtes Bild, welche Risikowerte im Alltag tatsächlich auftreten.
Phase 2
Schwellen setzen. Auf Basis der echten Daten werden die Risikoschwellen festgelegt, nicht nach Bauchgefühl. Hier wird auch entschieden, welche abgestufte Reaktion zu welchem Wert passt.
Phase 3
Pilotgruppe. Eine überschaubare, gemischte Abteilung läuft scharf. Das Security-Team begleitet eng, Reibungspunkte werden gesammelt und die Schwellen nachgezogen.
Phase 4
Rollout. Die geprüfte Konfiguration geht in die Breite, inklusive der bewusst befristeten Ausnahmen. Ab hier ist die Engine produktiv und bleibt eine laufende Aufgabe.

Der entscheidende Schritt ist Phase eins. Ohne Beobachtungsdaten ist jede Schwelle geraten. Geratene Schwellen sind die Hauptursache der Frust-Welle. Wer die zwei bis vier Wochen investiert, baut die Konfiguration auf der eigenen Realität auf, nicht auf einer Annahme.

Adaptive MFA ist heute in den meisten Lizenzen längst enthalten. Der Schutz, den sie verspricht, hängt nicht am Kauf, sondern an der Pflege. Eine Engine, die einmal eingeschaltet und nie wieder angefasst wurde, ist eine Versicherung, deren Police niemand gelesen hat.

Häufige Fragen

Was unterscheidet adaptive MFA von normalem MFA?

Normales MFA verlangt bei jeder Anmeldung denselben zweiten Faktor, unabhängig vom Kontext. Adaptive MFA bewertet jede Anmeldung einzeln anhand von Signalen wie Gerät, Standort und Verhalten und entscheidet daraufhin, ob ein Login durchgeht, einen zusätzlichen Faktor braucht oder blockiert wird. Das senkt die Reibung bei unverdächtigen Logins und erhöht den Schutz bei riskanten.

Reicht die Standardkonfiguration von adaptive MFA aus?

Für die breite Masse automatisierter Angriffe ja, gegen gezielte Angreifer nur eingeschränkt. Hersteller liefern bewusst konservative Werte aus, damit niemand ausgesperrt wird. Diese Voreinstellung lässt mittlere Risiken durch und nutzt abgestufte Reaktionen nicht. Eine an die eigene Umgebung angepasste Konfiguration ist der eigentliche Schutz.

Welche Signale sollte die Risiko-Engine auswerten?

Mindestens drei Ebenen: den Gerätezustand wie Verwaltung, Verschlüsselung und Patchstand, den Identitätskontext wie kürzliche Passwortänderung oder Auftauchen in Leak-Daten sowie das Verhalten nach dem Login. Standort und IP-Adresse allein sind zu leicht zu fälschen, um eine belastbare Bewertung zu tragen.

Wie vermeidet man eine Frust-Welle beim Scharfstellen?

Mit einer Beobachtungsphase. Die Engine läuft zunächst zwei bis vier Wochen im Report-Modus mit, ohne zu blockieren. Erst auf Basis dieser echten Login-Daten werden die Schwellen gesetzt, danach läuft eine Pilotgruppe scharf, bevor der Rollout in die Breite geht. Geratene Schwellen sind die Hauptursache für blockierte Anmeldungen und Service-Desk-Stau.

Wie geht man mit Ausnahmen für Führungskräfte um?

Ausnahmen sollten befristet vergeben und automatisch zur Überprüfung vorgelegt werden. Eine dauerhafte Sonderregel betrifft oft genau das Konto mit dem höchsten Schadenspotenzial. Statt MFA ganz zu deaktivieren, ist eine angepasste Policy mit phishing-resistenten Faktoren wie FIDO2 der bessere Weg, weil sie Komfort und Schutz zugleich liefert.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

Platform Engineering ist kein DevEx-Projekt mehr

digital-chiefs

Rohstoffpolitik wird Tech-Politik

mybusinessfuture

Prozessoptimierung ohne Dauerprojekt

Titelbild: Infografik (Evernine Media)

Artikel drucken
Tobias Massow

Hier schreibt Tobias Massow für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH