Warum Mehr-Faktor-Authentifizierung in Kommunen oft schwieriger ist als gedacht

Veröffentlicht am

Mehr-Faktor-Authentifizierung (MFA) gehört inzwischen zu den wichtigsten Sicherheitsmaßnahmen in der kommunalen IT. Gerade vor dem Hintergrund zunehmender Cyberangriffe, kompromittierter Passwörter und externer Zugriffe gilt MFA heute vielerorts als grundlegender Sicherheitsstandard.

Technisch ist die Einführung häufig vergleichsweise einfach. In der Praxis zeigt sich jedoch regelmäßig:

Die eigentlichen Herausforderungen liegen selten in der Technik – sondern in Organisation, Alltagstauglichkeit und Akzeptanz.

Gerade kleinere Kommunen unterschätzen häufig, wie stark MFA bestehende Abläufe verändert und welche organisatorischen Auswirkungen dadurch entstehen.

1. MFA wird häufig als reine Sicherheitsmaßnahme betrachtet

Viele Projekte konzentrieren sich zunächst auf technische Fragen:

  • Welche App wird verwendet?
  • Welche Systeme unterstützen MFA?
  • Welche Geräte werden benötigt?
  • Wie erfolgt die Anmeldung?

Gleichzeitig wird oft unterschätzt, dass MFA unmittelbar in tägliche Arbeitsabläufe eingreift:

  • Anmeldungen dauern länger
  • Vertretungen werden komplizierter
  • gemeinsam genutzte Konten funktionieren nicht mehr
  • private Smartphones werden plötzlich relevant

Dadurch entstehen organisatorische Spannungen, obwohl die technische Einführung erfolgreich war.

Praktischer Gegenvorschlag: MFA nicht nur als Sicherheitsprojekt betrachten, sondern als organisatorische Veränderung.

2. Historisch gewachsene Arbeitsweisen kollidieren mit MFA

In vielen kleinen Verwaltungen existieren über Jahre gewachsene pragmatische Lösungen:

  • gemeinsam genutzte Benutzerkonten
  • geteilte Passwörter
  • Vertretungen über bekannte Zugangsdaten
  • informelle Zugriffsmöglichkeiten

Aus Sicherheits- und Datenschutzsicht sind solche Strukturen problematisch – sie funktionieren im Alltag jedoch häufig unkompliziert.

MFA macht genau diese gewachsenen Strukturen plötzlich sichtbar und organisatorisch nicht mehr praktikabel.

Praktischer Gegenvorschlag: Vor der technischen Einführung bestehende Benutzer- und Berechtigungskonzepte überprüfen.

3. Akzeptanzprobleme entstehen oft im Alltag

Viele Mitarbeitende akzeptieren MFA grundsätzlich – solange die Abläufe nachvollziehbar bleiben. Probleme entstehen häufig dann, wenn:

  • Anmeldungen unnötig kompliziert wirken
  • Codes ständig erneut abgefragt werden
  • private Geräte verwendet werden sollen
  • Vertretungen organisatorisch unklar bleiben
  • Notfallprozesse fehlen

In solchen Situationen entstehen häufig informelle Umgehungslösungen:

  • weitergegebene Geräte
  • dauerhaft angemeldete Sitzungen
  • gemeinsam genutzte Token
  • nicht dokumentierte Ausnahmen

Dadurch sinkt langfristig der tatsächliche Sicherheitsgewinn erheblich.

Praktischer Gegenvorschlag: Sicherheitsmaßnahmen so einfach und alltagstauglich wie möglich gestalten.

4. Notfall- und Vertretungssituationen werden unterschätzt

Gerade in kleinen Kommunen mit wenigen Mitarbeitenden spielen Vertretungen eine zentrale Rolle. MFA verändert dabei viele etablierte Abläufe:

  • Wer darf kurzfristig auf Systeme zugreifen?
  • Wie funktionieren Krankheitsvertretungen?
  • Was passiert bei verlorenen Geräten?
  • Wie werden neue Geräte eingerichtet?

Fehlen hierfür organisatorische Prozesse, entstehen im Alltag schnell Unsicherheiten und zusätzliche Belastungen.

Praktischer Gegenvorschlag: Vertretungs- und Notfallabläufe frühzeitig organisatorisch mitplanen.

5. Technische Einführung ersetzt keine Sicherheitskultur

MFA verbessert die Sicherheit erheblich – sie ersetzt jedoch keine grundlegenden organisatorischen Sicherheitsstrukturen.

Problematisch bleibt beispielsweise:

  • fehlende Rechtekonzepte
  • gemeinsam genutzte Konten
  • veraltete Benutzerkonten
  • fehlende Dokumentation
  • unklare Zuständigkeiten

Wird MFA isoliert eingeführt, ohne organisatorische Grundlagen zu verbessern, entstehen häufig nur zusätzliche Komplexität und Frustration.

Praktischer Gegenvorschlag: MFA als Teil eines nachvollziehbaren organisatorischen Sicherheitskonzepts betrachten.

Ein pragmatischer Ansatz: Sicherheit organisatorisch mitdenken

Gute MFA-Konzepte zeichnen sich nicht durch maximale technische Komplexität aus, sondern durch nachvollziehbare und dauerhaft funktionierende Abläufe.

In der Praxis haben sich insbesondere folgende Punkte bewährt:

  • klare Benutzerstrukturen
  • eindeutige Verantwortlichkeiten
  • geregelte Vertretungsprozesse
  • einfache und verständliche Verfahren
  • nachvollziehbare Notfallabläufe
  • frühzeitige Einbindung der Mitarbeitenden

Ziel sollte nicht maximale technische Härte sein, sondern organisatorisch praktikable Sicherheit.

Fazit

Mehr-Faktor-Authentifizierung ist heute ein wichtiger Bestandteil kommunaler IT-Sicherheit. Problematisch wird es jedoch, wenn ausschließlich die technische Einführung betrachtet wird.

Viele Schwierigkeiten entstehen erst im Alltag – durch unklare Prozesse, fehlende Vertretungsregelungen oder historisch gewachsene Arbeitsweisen.

Gute MFA-Lösungen entstehen deshalb dort, wo Sicherheit und Verwaltungsrealität gemeinsam gedacht werden.

Die entscheidende Frage lautet nicht:

„Kann das System MFA technisch umsetzen?“

Sondern:

„Funktioniert MFA organisatorisch dauerhaft im Verwaltungsalltag?“

← zurück zum Blog