Häufig gestellte Fragen

Allgemeine Fragen

Wenn ich mehrere MFA-Methoden eingerichtet habe, welche muss ich verwenden?

Sie haben freie Wahl zwischen den eingerichteten Methoden. Microsoft schlägt automatisch die sicherste Methode vor, Sie können diese jedoch bei jeder Anmeldung wechseln. Wenn z. B. nach einem Sicherheitsschlüssel gefragt wird, können Sie auf „Abbrechen“ klicken und anschließend „Weitere Anmeldemethoden“ auswählen.

Wie viele MFA-Methoden sollte ich einrichten?

Mindestens zwei:

einen Sicherheitsschlüssel (YubiKey)
eine Authenticator-App auf einem Smartphone Ihrer Wahl

Empfohlen wird zusätzlich eine weitere Authenticator-App auf einem zweiten Gerät, damit Sie auch bei Verlust oder Defekt abgesichert sind.

Welche MFA-Methoden sind phishingresistent?

Phishingresistente Methoden sind:

Sicherheitsschlüssel (YubiKey)
Windows Hello for Business

Alle anderen Methoden wie Authenticator-Apps (TOTP, Push) oder SMS können bei Phishing-Angriffen abgefangen werden.

Welche MFA-Methode ist am sichersten?

FIDO2-Sicherheitsschlüssel und Windows Hello for Business gelten als phishingresistent und sind besonders sicher.

Was passiert, wenn ich meinen zweiten Faktor verliere?

Sie benötigen eine alternative Methode (z. B. Ersatzschlüssel oder zweite Authenticator-App). Ohne zweite Methode ist der Zugang gesperrt.

Muss ich MFA zwingend einrichten?

Ja, MFA ist erforderlich, um den Zugang zu IT-Diensten sicherzustellen.

YubiKey

Auf welchen Geräten kann ich den Sicherheitsschlüssel (YubiKey) verwenden?

Auf PCs, Notebooks und Smartphones mit USB-A, USB-C oder NFC.

Muss ich zusätzlich noch ein Passwort eingeben?

Nein, der Sicherheitsschlüssel (YubiKey) ermöglicht eine Passwortlose Anmeldung nach der Einrichtung. Es wird auch der Benutzername verknüpft, sodass es ausreicht den Yubikey einzustecken und Benutzername und Passwort nicht mehr notwendig ist.

Kann ich mehrere YubiKeys einrichten?

Ja, es wird empfohlen, mindestens zwei Schlüssel einzurichten (z. B. Haupt- und Ersatzschlüssel).

Was passiert, wenn ich meinen YubiKey verliere?

Sie können sich mit einer anderen eingerichteten MFA-Methode (z. B. Authenticator-App oder Ersatz-YubiKey) anmelden. Ohne weitere Methode ist ein Zugriff nicht möglich.

Kann ich meinen YubiKey an mehreren Konten oder Diensten nutzen?

Ja, ein YubiKey kann bei beliebig vielen Diensten hinterlegt werden.

Speichert der YubiKey meine Fingerabdrücke oder Passwörter?

Nein, der YubiKey speichert keine Passwörter oder biometrischen Daten. Er arbeitet mit kryptografischen Schlüsseln.

Ist ein YubiKey sicherer als ein SMS-Code oder eine Authenticator-App?

Ja, da der YubiKey auf Hardware-basierten, physischen Schlüsseln basiert und nicht durch Phishing, Malware oder SIM-Swapping abgefangen werden kann.

Kann Microsoft oder Yubico meine Anmeldedaten einsehen?

Nein, weder Microsoft noch Yubico erhalten Zugriff auf Ihre Passwörter oder Anmeldedaten. Der YubiKey arbeitet ausschließlich lokal mit kryptografischen Schlüsseln.

Wie lange ist ein YubiKey haltbar?

Laut Hersteller liegt die physische Lebensdauer bei über 5 Jahren.

Werden persönliche Daten auf dem YubiKey gespeichert?

Nein, der YubiKey speichert keine persönlichen Daten wie Namen, Fingerabdrücke oder Passwörter – nur kryptografische Schlüssel für die Anmeldung.

Unter Linux bekomme ich Fehler beim Einrichten oder Anmelden mit dem YubiKey. Was kann ich tun?

Fehler treten häufig auf, wenn unter Linux ein nicht unterstützter Browser verwendet wird.

Der YubiKey wird unter Linux nur mit Google Chrome vollumfänglich unterstützt.

Weitere Informationen finden Sie in der Dokumentation zur Unterstützung der FIDO2-Authentifizierung mit Microsoft. https://learn.microsoft.com/de-de/entra/identity/authentication/concept-fido2-compatibility?tabs=web

Kann ich außer dem YubiKey auch andere Sicherheitsschlüssel verwenden?

Ja, Sie können auch andere Microsoft-kompatible FIDO2-Sicherheitsschlüssel nutzen.
Eine Übersicht der unterstützten Anbieter finden Sie unter „Anbieter Microsoft-kompatibler FIDO2-Sicherheitsschlüssel“. https://learn.microsoft.com/de-de/entra/identity/authentication/concept-fido2-hardware-vendor

Windows Hello for Business

Ist die Anmeldung mit Windows Hello sicherer als mit Passwort?

Ja, da die Anmeldung auf einem gerätegebundenen Schlüssel basiert und Passwörter nicht mehr übertragen werden.

Werden biometrische Daten gespeichert und übertragen?

Windows speichert biometrische Daten, die ausschließlich zur sicheren Implementierung von Windows Hello auf dem lokalen Gerät verwendet werden. Diese werden nicht übertragen und nie an externe Geräte oder Server gesendet.

Kann ich die eingerichtete Methode auch auf anderen Geräten nutzen?

Nein, jede Methode ist gerätegebunden und muss auf jedem Gerät separat eingerichtet werden.

Funktioniert Windows Hello auch in Citrix?

Nein, WHfB wird in Citrix-Umgebungen nicht unterstützt.

Was passiert, wenn ich mein Gerät verliere?

Die gespeicherten Schlüssel sind an das Gerät gebunden. Nutzen Sie zusätzlich eine Authenticator-App oder einen Sicherheitsschlüssel, um weiterhin Zugriff zu haben.

Kann ich mehrere Anmeldemethoden parallel nutzen?

Ja, Sie können PIN, Fingerabdruck und Gesichtserkennung nebeneinander einrichten und frei wählen.

Brauche ich zwingend Fingerabdruck oder Gesichtserkennung?

Nein, nur die PIN ist verpflichtend. Biometrische Methoden sind optional.

Werden meine biometrischen Daten (Fingerabdruck/Gesicht) gespeichert?

Nein, Windows Hello speichert keine Rohdaten wie Bilder oder Scans. Stattdessen werden nur mathematische Abstraktionen (Hashes) der biometrischen Merkmale lokal auf Ihrem Gerät hinterlegt. Diese Daten können nicht zurückgerechnet oder außerhalb des Geräts verwendet werden.

Werden meine Fingerabdrücke oder Gesichtsdaten an Microsoft gesendet?

Nein, die abstrahierten biometrischen Daten bleiben ausschließlich lokal auf Ihrem Gerät und werden nicht übertragen.

TOTP

Was ist TOTP?

TOTP ist ein Verfahren, bei dem zeitbasierte Einmalcodes (meist 6-stellig) zur Anmeldung genutzt werden.

Wie funktioniert TOTP?

Die App und der Server berechnen anhand eines geheimen Schlüssels und der aktuellen Uhrzeit denselben Code. Dieser ist nur kurz gültig.

Welche Apps unterstützen TOTP?

Viele Authenticator-Apps, z. B. Microsoft Authenticator, Google Authenticator, Authy, Aegis, FreeOTP.

Ist TOTP sicher?

Ja, da der Code nach wenigen Sekunden ungültig wird und nicht wiederverwendet werden kann.

Kann ich TOTP offline nutzen?

Ja, die Codes werden lokal auf dem Gerät berechnet und benötigen kein Internet.

Kann ich TOTP auf mehreren Geräten einrichten?

Ja, indem Sie beim Einrichten denselben QR-Code auf mehreren Geräten scannen.

Was passiert, wenn ich mein Smartphone verliere?

Ohne Backup oder zweite Methode verlieren Sie den Zugriff. Daher sollte immer eine zweite MFA-Methode (z. B. Ersatzgerät, Sicherheitsschlüssel) eingerichtet werden.

Ist TOTP dasselbe wie SMS-Codes?

Nein. SMS-Codes werden über das Mobilfunknetz gesendet und sind anfälliger für Angriffe (z. B. SIM-Swapping). TOTP ist sicherer.

Kann man TOTP für mehrere Dienste verwenden?

Ja, jede App kann Codes für viele unterschiedliche Konten generieren.

Warum unterscheiden sich manchmal die angezeigten Codes?

Wenn die Uhrzeit auf dem Smartphone nicht korrekt ist, können die Codes abweichen. Aktivieren Sie automatische Uhrzeitsynchronisation.

Ist TOTP gegen Phishing sicher?

Nur teilweise. TOTP schützt vor Passwortdiebstahl, aber bei Phishing kann der Einmalcode direkt weitergegeben werden. Noch besser geschützt sind Hardware-Sicherheitsschlüssel.

Werden bei TOTP meine Daten an den App-Hersteller gesendet?

Nein, die Berechnung der Codes erfolgt lokal auf Ihrem Gerät. Der geheime Schlüssel wird nicht übertragen.

Authenticator App

Auf welchen Geräten funktioniert die App?

Die App gibt es für iOS (iPhone/iPad) und Android-Smartphones.

Brauche ich Internet, um mich mit der App anzumelden?

Für Push-Benachrichtigungen ja. Alternativ können Sie auch Offline-Codes in der App verwenden.

Kann ich die App auf mehreren Geräten einrichten?

Ja, es wird sogar empfohlen, die App auf zwei Geräten einzurichten, um im Verlustfall abgesichert zu sein.

Ich bekomme ein neues Smartphone. Was muss ich bei einem Wechsel beachten?

Installieren Sie die Microsoft Authenticator App auf dem neuen Gerät und richten Sie sie dort erneut ein. Setzen Sie das altes Smartphone keinesfalls zurück oder löschen voreilig die App, bevor die App auf dem neuen Smartphone neu eingerichtet ist.
Wichtig: Halten Sie mindestens eine weitere MFA-Methode (z. B. Sicherheitsschlüssel oder zweite Authenticator-App) bereit, damit Sie sich während der Umstellung weiterhin anmelden können. Erst wenn die MFA auf dem neuen Smartphone erfolgreich funktioniert, können Sie das alte Gerät zurücksetzen oder die App dort löschen.

Ich habe mein Smartphone zu Hause vergessen. Wie melde ich mich jetzt an?

Nutzen Sie eine alternative MFA-Methode, z. B. Ihren Sicherheitsschlüssel oder eine zweite eingerichtete Authenticator-App auf einem anderen Gerät.
Falls Sie keine zweite Methode eingerichtet haben, können Sie sich nicht anmelden.

Muss ich zusätzlich bei jeder Anmeldung mein Passwort eingeben?

Ja, das Passwort bleibt bestehen. Die Authenticator-App dient als zweiter Faktor zusätzlich zum Passwort.

Kann ich auch andere Konten in der App speichern?

Ja, die App unterstützt neben Microsoft-Konten auch andere Dienste, die TOTP (Einmalcodes) nutzen (z. B. Google).

Was passiert, wenn ich mein Smartphone verliere?

Sie sollten mindestens eine zweite MFA-Methode eingerichtet haben (z. B. Sicherheitsschlüssel oder Authenticator auf einem anderen Gerät). Ohne Ersatzmethode kann der Zugriff verloren gehen.

Werden meine Daten oder Passwörter an Microsoft gesendet?

Nein, die App speichert keine Passwörter. Nur der Bestätigungscode oder die Push-Anfrage wird verarbeitet.

Werden meine persönlichen Daten in der App gespeichert?

Nein, die App speichert nur die für die Anmeldung notwendigen Codes. Persönliche Daten wie E-Mails oder Dokumente werden nicht gespeichert.

Kann Microsoft meine Konten oder Passwörter einsehen?

Nein, Passwörter werden nicht in der App hinterlegt. Microsoft erhält lediglich die Bestätigung einer Anmeldung (z. B. „Genehmigt“ oder „Abgelehnt“).