MFA (Multi-Faktor-Authentifizierung) verlangt mindestens zwei unabhängige Nachweise Deiner Identität: etwas, das Du weißt (Passwort), etwas, das Du besitzt (Smartphone, Hardware-Token), oder etwas, das Du bist (Fingerabdruck). Selbst wenn ein Angreifer Dein Passwort kennt, fehlt ihm der zweite Faktor. MFA ist eine der wirksamsten Maßnahmen gegen Credential-basierte Angriffe und wird von ISO 27001 Annex A.8.5 sowie NIS2 Art. 21 gefordert. Bevorzuge phishingresistente Verfahren wie FIDO2/WebAuthn gegenüber SMS-basierten Codes. In Deinem ISMS sollte MFA für alle administrativen Zugänge, VPN-Verbindungen und Cloud-Dienste verpflichtend sein.