Der Begriff „Stand der Technik“ ist in der IT-Sicherheit allgegenwärtig – und gleichzeitig schwer greifbar.
Gerade im Bereich der Authentifizierung stehen viele Unternehmen vor ähnlichen Fragen:
- Welche Verfahren gelten heute als ausreichend?
- Reicht Multi-Faktor-Authentifizierung allein aus?
- Welche Rolle spielen Passkeys, FIDO2 und WebAuthn?
Regulatorische Anforderungen wie DSGVO, NIS2 oder DORA fordern eine Orientierung am „Stand der Technik“, lassen jedoch offen, wie diese konkret umzusetzen ist.
Diese Offenheit ist dabei bewusst gewählt: Technologische Entwicklungen und Bedrohungsszenarien verändern sich kontinuierlich. Starre Vorgaben würden diesem Wandel nicht gerecht werden und könnten schnell veralten.
Stattdessen verfolgt der Gesetzgeber einen risikobasierten Ansatz, der Unternehmen dazu verpflichtet, ihre Sicherheitsmaßnahmen regelmäßig zu überprüfen und weiterzuentwickeln.
Dieser Beitrag zeigt, wie sich der Stand der Technik in der Authentifizierung heute einordnen lässt – und welche Maßnahmen in der Praxis relevant sind.
Stand der Technik ist kein einzelner Standard
„Stand der Technik“ beschreibt keine einzelne technische Lösung, sondern einen fachlichen Maßstab.
In der Praxis wird er daran gemessen, ob eine Maßnahme wirksam, aktuell und dem Risiko angemessen ist.
Genau diese Logik findet sich in unterschiedlichen Regelwerken und Standards wieder - unter anderem in:
- Datenschutz-Grundverordnung: Maßnahmen unter Berücksichtigung des Stands der Technik.
- NIS2-Richtlinie: risikobasierte Sicherheitsmaßnahmen, einschließlich Multi-Faktor-Authentifizierung.
- DORA: robuste IKT-Sicherheits- und Resilienzmaßnahmen.
- ISO/IEC 27001: risikobasierte Controls für Identitäten und Zugriff.
- TISAX: Schutzbedarf und Zugriffssicherheit als zentrale Maßstäbe.
Gemeinsam ist allen Vorgaben: Sie schreiben selten konkrete Technologien vor, verlangen aber nachvollziehbare und risikoorientierte Entscheidungen.
Orientierung durch die TeleTrusT-Handreichung
Um die Lücke zwischen regulatorischen Anforderungen und praktischer Umsetzung zu schließen, wurde die TeleTrusT-Handreichung entwickelt.
Sie adressiert ein zentrales Spannungsfeld:
Der Gesetzgeber definiert bewusst keine abschließenden technischen Maßnahmen, während Unternehmen gleichzeitig konkrete Orientierung für die Umsetzung benötigen.
Hintergrund ist die Dynamik der IT-Sicherheit: Neue Angriffsmethoden und Technologien erfordern flexible und anpassungsfähige Sicherheitskonzepte.
Die Handreichung bietet daher:
- konkrete Hinweise und Handlungsempfehlungen
- Unterstützung bei der Einordnung technischer Maßnahmen
- eine fundierte Grundlage für Entscheidungen und Audits
Wichtig dabei:
👉 Sie ersetzt keine individuelle Risikobewertung, schafft aber einen gemeinsamen fachlichen Rahmen.
Wie gut entspricht Ihre Authentifizierung dem aktuellen Stand der Technik?
In unserem Whitepaper
„Multi-Faktor-Authentifizierung 2026 – Strategien, Trends & Praxiswissen“
zeigen wir, wie Unternehmen ihre bestehenden Verfahren bewerten und gezielt weiterentwickeln können.
Authentifizierung als zentraler Sicherheitsbaustein
Ein Großteil erfolgreicher Cyberangriffe beginnt mit kompromittierten Zugangsdaten.
Deshalb gehört Authentifizierung heute zu den wichtigsten Schutzmaßnahmen überhaupt.
Besonders kritisch sind:
- externe Zugänge
- Cloud-Anwendungen
- privilegierte Accounts
- Administratorzugriffe
- geschäftskritische Systeme
Rein passwortbasierte Verfahren reichen hier in der Regel nicht mehr aus.
Multi-Faktor-Authentifizierung ist etabliert – aber nicht automatisch ausreichend
Multi-Faktor-Authentifizierung (MFA) ist heute in vielen Szenarien etabliert und wird auch regulatorisch gefordert.
In der Praxis zeigt sich jedoch:
Nicht jede Form von MFA erfüllt automatisch den Stand der Technik.
Die Unterschiede zwischen den Verfahren sind erheblich:
- TOTP-Apps bieten einen soliden Basisschutz
- Push-Verfahren sind komfortabel, erfordern jedoch zusätzliche Absicherungen
-
SMS-OTP bietet nur ein begrenztes Sicherheitsniveau und ist insbesondere bei erhöhtem Schutzbedarf in vielen Szenarien nicht mehr ausreichend.
Entscheidend ist vor allem die Widerstandsfähigkeit gegenüber Phishing-Angriffen – einem der häufigsten Angriffsvektoren.
Praxisbeispiel
Ein Unternehmen schützt seinen VPN-Zugang mit Benutzername, Passwort und SMS-OTP.
Formal handelt es sich dabei um eine Multi-Faktor-Authentifizierung.
Bei erhöhtem Schutzbedarf kann dieses Verfahren jedoch heute als nicht mehr ausreichend bewertet werden – insbesondere im Hinblick auf Phishing- und SIM-Swap-Angriffe.
In solchen Szenarien sind phishing-resistente Verfahren häufig die sinnvollere Wahl.
Unsicher, welche MFA-Verfahren für Ihr Unternehmen sinnvoll sind?
Wir unterstützen Sie dabei, die passende Lösung für Ihre Anforderungen zu finden – von App-basierter MFA bis hin zu FIDO2 und Hardware-Token.
Aktuelle Entwicklung: Phishing-resistente Authentifizierung
In den letzten Jahren zeichnet sich eine klare Entwicklung ab:
👉 Phishing-resistente Verfahren gewinnen zunehmend an Bedeutung.
Dazu gehören insbesondere:
- Passkeys (auf Basis von FIDO2/WebAuthn)
- hardwarebasierte Authentifizierung (z. B. Security Keys)
- zertifikatsbasierte Verfahren (PKI)
Ihr zentraler Vorteil: Die Authentifizierung ist an die jeweilige Anwendung bzw. Domain gebunden und basiert auf kryptografischen Schlüsseln.
Dadurch wird das Risiko klassischer Phishing-Angriffe deutlich reduziert.
Welche Verfahren wann sinnvoll sind
Welches Authentifizierungsverfahren geeignet ist, hängt maßgeblich vom Schutzbedarf sowie vom jeweiligen Einsatzkontext ab.
Eine vereinfachte Einordnung kann als Orientierung dienen:
-
Hoher Schutzbedarf:
Häufig Einsatz von phishing-resistenten Verfahren wie FIDO2, Passkeys oder hardwarebasierten Authentifizierungslösungen -
Mittlerer Schutzbedarf:
Einsatz von App-basierter Multi-Faktor-Authentifizierung (z. B. TOTP) -
Niedriger Schutzbedarf:
Einfachere Verfahren können in bestimmten Szenarien ausreichend sein
Dabei gilt:
Diese Einordnung ersetzt keine individuelle Bewertung, sondern dient als pragmatische Orientierung.
In der Praxis spielen zusätzlich Faktoren wie Systemlandschaft, Benutzergruppen und Angriffsfläche eine entscheidende Rolle.
Ziel ist nicht maximale Sicherheit an jeder Stelle, sondern eine angemessene Absicherung im Verhältnis zum Risiko.
Wie passt MFA konkret zu Ihrer IT-Landschaft?
Wir analysieren gemeinsam mit Ihnen:
- Schutzbedarf Ihrer Systeme
- bestehende Authentifizierungsverfahren
- sinnvolle nächste Schritte
Stand der Technik ist risikobasiert
Regulatorische Anforderungen wie NIS2 machen deutlich:
👉 Sicherheitsmaßnahmen müssen immer im Kontext des Risikos bewertet werden.
Das bedeutet:
- Maßnahmen müssen begründbar sein
- Entscheidungen sollten dokumentiert werden
- Sicherheitskonzepte müssen regelmäßig überprüft werden
Einordnung aus der Praxis
Der Abschnitt zur Multi-Faktor-Authentifizierung in der TeleTrusT-Handreichung wurde maßgeblich aus der Praxis heraus erarbeitet – mit wesentlichen Beiträgen aus unserem Team.
Damit fließen konkrete Erfahrungen aus realen Implementierungsprojekten direkt in die dort formulierten Empfehlungen ein.
Die Handreichung bildet somit nicht nur regulatorische Anforderungen ab, sondern auch die praktische Realität in Unternehmen:
- bestehende Systemlandschaften
- unterschiedliche Schutzbedarfe
- Zielkonflikte zwischen Sicherheit und Benutzerfreundlichkeit
Diese Perspektive zeigt sich auch in der täglichen Projektarbeit:
Die Herausforderung liegt selten in der grundsätzlichen Entscheidung für MFA, sondern in der konkreten Umsetzung.
Typische Fragestellungen sind:
- Welche Verfahren passen zur bestehenden IT-Landschaft?
- Wie lässt sich MFA konsistent und skalierbar ausrollen?
- Wie werden Sicherheit und Benutzerfreundlichkeit sinnvoll kombiniert?
Gerade an diesen Punkten entscheidet sich, ob eine Lösung in der Praxis tatsächlich dem Stand der Technik entspricht.
Fazit: Was „Stand der Technik“ heute bedeutet
Der Stand der Technik in der Authentifizierung bedeutet heute vor allem:
- ➡️ Weg von rein passwortbasierten Verfahren
- ➡️ Hin zu starken, kontextabhängigen Authentifizierungslösungen
Für viele Unternehmen sind Passkeys, FIDO2 und WebAuthn bereits heute zentrale Bausteine einer zukunftsfähigen Strategie.
👉 Entscheidend ist jedoch immer:
- Risiko
- Schutzbedarf
- Einsatzkontext
Die TeleTrusT-Handreichung hilft bei der Einordnung – die eigentliche Herausforderung liegt in der strukturierten und nachhaltigen Umsetzung.
Sie möchten Ihre Authentifizierung strukturiert weiterentwickeln?
Wir unterstützen Sie dabei, den Schutzbedarf Ihrer Systeme zu analysieren, geeignete Verfahren auszuwählen und diese praxisnah umzusetzen.
Quellen und weitere Informationen
1. Offizielle EU-Rechtstexte
| Regelwerk | Direkter Link | Artikel |
|---|---|---|
| DSGVO | eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679 | Art. 32 |
| NIS2 | eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022L2555 | Art. 21 |
| DORA | eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32022R2554 | Art. 9-16 |
2. Deutsche Bundesgesetze
| Regelwerk | Direkter Link | Artikel |
|---|---|---|
| BSI-Gesetz (BSIG) | www.gesetze-im-internet.de/bsig_2025/ | § 8a |
| BDSG | www.gesetze-im-internet.de/bdsg_2018/ | § 22-26 |
3. BSI-Dokumente
| Quelle | Direkter Link | Relevanz |
|---|---|---|
| BSI IT-Grundschutz | www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/ | Schutzbedarfsanalyse |
4. Standards und Handreichungen
| Quelle | Direkter Link | Relevanz |
|---|---|---|
| TeleTrusT-Handreichung | www.teletrust.de/publikationen/broschueren/stand-der-technik/ | MFA-Abschnitt |
| ISO 27001 | www.iso.org/standard/27001 | A.8.5 |
| TISAX | www.enx.com/tisax/ | Access Control |
5. Erklär- und Praxisquellen
| Quelle | Link | Relevanz |
|---|---|---|
| heise/c't: Auslegungssache 76 | heise.de: Zum Stand der Technik | Verständliche Einordnung |
| heise/c't: Passkey statt Passwort | heise.de: Passkey statt Passwort | FIDO2/WebAuthn Praxis |
| TeleTrusT-Podcast | TeleTrusT-Podcast Folge zum Stand der Technik | Audio-Einordnung |