← NIS2 angewandt
Khosla·Compliance
NIS2 angewandt · MFA-Ausnahme
NIS2 angewandt · Compliance im Tagesgeschäft

NIS2 angewandt: MFA-Ausnahme dokumentieren

Ein System lässt sich vorübergehend nicht mit MFA absichern. Vielleicht fehlt die technische Unterstützung. Vielleicht ist ein Legacy-System betroffen. Vielleicht geht es um einen Dienstleisterzugang oder ein Notfallkonto. Aus dem Vorgang entsteht ein Arbeitsstand: System, Ausnahmegrund, Risiko, Gegenmaßnahme, Owner, Freigabe, Frist und Wiedervorlage.

Eine MFA-Ausnahme ist zunächst ein Sachverhalt. Problematisch wird der Sachverhalt, wenn Grund, Risiko, Gegenmaßnahme, Owner, Freigabe, Frist und Wiedervorlage nicht nachvollziehbar geführt werden.
§30 BSIG · Zugriff
§38 BSIG · Geschäftsführung
MFA-Ausnahme
Gegenmaßnahme
Erneute Prüfung
Wiedervorlage
Im Kontext lesen
HubNIS2 angewandt NIS2 angewandtIT-Onboarding nach NIS2 §30 · §32Patch-Ausnahmen §38 BSIGKenntnisnahme Geschäftsführung Nächster SchrittNIS2-Arbeitsplatz öffnen
Kernthese

MFA-Ausnahmen entstehen in realen Betriebssituationen. Im Geschäfts- und Supportprozess wird daraus eine betriebliche Sicherheitsentscheidung: Warum fehlt MFA? Welches System ist betroffen? Welche Gegenmaßnahme gilt? Wer ist Owner? Wer gibt frei? Wann wird erneut geprüft? Genau dieser Arbeitsstand wird später zur Nachweisgrundlage.

Ein Auditor will keine theoretischen Absichtserklärungen sehen. Er will Arbeitsstände sehen: System, Ausnahmegrund, Risiko, Gegenmaßnahme, Owner, Freigabe, Frist und Wiedervorlage.
Kurzfassung

Diese Seite ist relevant, wenn ein Zugang, System, Dienstleisterkonto, Notfallkonto oder Legacy-System vorübergehend nicht mit MFA abgesichert werden kann.

  • Die MFA-Ausnahme selbst wird zum Arbeitsstand: System, Ausnahmegrund, Risiko, Gegenmaßnahme, Owner, Frist, Wiedervorlage und Entzug.
  • §30 BSIG wird berührt, wenn Zugriff, Risiko und angemessene Sicherheitsmaßnahmen nachvollziehbar geführt werden müssen.
  • §32 BSIG wird relevant, wenn im Vorfall nachvollziehbar sein muss, welche Identität wann auf welches System zugreifen konnte.
  • §38 BSIG kann eine Vorlage an die Geschäftsführung erfordern, wenn privilegierte Konten, externe Zugriffe, OT-Zugänge oder kritische Systeme betroffen sind.

Wenn Ihr Unternehmen heute nicht erklären kann, welche MFA-Ausnahmen bestehen, warum sie bestehen und wann sie geschlossen werden, ist diese Seite der richtige Einstieg.

Ausgangspunkt

Warum MFA-Ausnahmen entstehen

MFA-Ausnahmen entstehen häufig nicht aus Nachlässigkeit. Sie entstehen in realen Betriebssituationen, in denen Anwendungen, Konten, Dienstleisterzugänge oder Legacy-Systeme noch nicht sauber in MFA integriert sind. Genau dort beginnt der Arbeitsstand: System, Ausnahmegrund, Risiko, Gegenmaßnahme, Owner, Freigabe, Frist und Wiedervorlage.

01
Legacy-System
Anwendung oder Plattform ohne MFA-Unterstützung. Herstellerabhängigkeit oder fehlende API.
02
Technische Grenze
Alte Authentifizierungsprotokolle, fehlende SSO-Integration oder Inkompatibilität mit bestehender IAM-Struktur.
03
Dienstleisterzugang
Fernwartung, Support, MSP-Zugang oder Integrator, der kein unternehmenseigenes MFA nutzen kann.
04
Notfallkonto
Break-Glass-Konto für Notfallzugriff. MFA könnte den Zugang in kritischen Situationen blockieren.
05
Übergangsphase
MFA-Rollout oder Migration läuft. System oder Nutzer noch nicht vollständig migriert.
06
OT / Produktion
OT-nahes System mit Herstellerfreigabe-Anforderung oder eingeschränkter Fernwartungsarchitektur.
Prüfpunkt
Die Ausnahme ist nicht automatisch das Problem. Problematisch wird sie, wenn Grund, Risiko, Gegenmaßnahme, Owner, Freigabe, Frist und Wiedervorlage nicht geführt werden.
NIS2-Einordnung

Welche Pflichtbereiche eine MFA-Ausnahme berührt

MFA-Ausnahmen betreffen oft genau die Zugriffe, die bei Sicherheitsvorfällen kritisch werden: Admin-Konten, externe Zugänge, Cloud-Portale, VPN, Fachsysteme, OT-Fernwartung oder privilegierte Rollen. Der Vorgang berührt Zugriff, Risikomanagement, Meldebewertung und die Befassung der Geschäftsführung. Relevant ist, ob die Ausnahme nachvollziehbar und wirksam geführt wird.

Welche Systeme oder Rollen sind von der Ausnahme betroffen?
Ist der Zugriff kritisch, privilegiert oder internet-exponiert?
Warum ist MFA aktuell nicht möglich?
Welche Gegenmaßnahme reduziert das verbleibende Risiko?
Wer hat die Ausnahme freigegeben — mit welcher Begründung?
Wann wird erneut geprüft, ob MFA aktiviert werden kann?
Wann wird die Ausnahme entzogen oder geschlossen?
Wiedervorlage
Ohne Wiedervorlage wird eine temporäre MFA-Ausnahme zum Dauerzustand. Dann fehlt die erneute Entscheidung, ob MFA inzwischen möglich ist, die Gegenmaßnahme noch wirkt oder der Zugriff entzogen werden muss.
Dokumentation

Welche Daten der Prozess erzeugen muss

Ein belastbarer Arbeitsstand muss nicht lang sein. Er muss erklären können, welches System betroffen ist, warum die Ausnahme besteht, welches Risiko bleibt, welche Gegenmaßnahme gilt, wer freigegeben hat und wann erneut geprüft wird.

01
Person / Rolle
Admin, externer Dienstleister, Fachbereich, Notfallkonto
Wer ist von der Ausnahme betroffen?
02
System / Zugriff
VPN, Cloud-Portal, ERP, OT-Gateway, Legacy-Anwendung
Auf welches System oder welchen Zugang gilt die Ausnahme?
03
Ausnahmegrund
Technische Nichtunterstützung, Migration, Herstellerabhängigkeit, Notfallzugang
Warum ist MFA hier aktuell nicht möglich?
04
Risikoauswirkung
Privilegierter Zugriff, Internet-Exposition, kritisches System, Produktionswirkung
Welches Risiko besteht durch die fehlende MFA?
05
Gegenmaßnahme
IP-Restriktion, Jump Host, Monitoring, kürzere Laufzeit, Zugriff nur im Wartungsfenster
Was reduziert das Risiko der fehlenden MFA?
06
Freigabe
Systemowner, IT-Leitung, CISO, Vorlage an die Geschäftsführung bei kritischem Restrisiko
Wer hat die Ausnahme mit welcher Begründung freigegeben?
07
Gültigkeitsdauer
Datum, maximale Laufzeit, Projektende, Migrationsphase
Bis wann gilt die Ausnahme?
08
Wiedervorlage
Wiedervorlage, erneute Prüfung, Ablaufprüfung
Wann wird die Ausnahme erneut bewertet?
09
Entzug / Abschluss
MFA aktiviert, Konto deaktiviert, Sonderrecht entfernt, Ausnahme geschlossen
Wie und wann wird die Ausnahme beendet?
§30 BSIG
Der Nachweis besteht nicht darin, dass MFA ausnahmsweise fehlt. Der Nachweis besteht darin, dass Bewertung, Gegenmaßnahme, Owner, Freigabe, Frist und Wiedervorlage nachvollziehbar geführt werden.
Artefakt

Welches Arbeitsdokument daraus entsteht

Aus dem Vorgang entsteht ein MFA-Ausnahmeprotokoll. Mehrere offene Ausnahmen sollten zusätzlich in einem Ausnahmeregister geführt werden — sichtbar nach System, Status, Fälligkeit, Owner und Kritikalität.

MFA-01 · Artefakt
MFA-Ausnahmeprotokoll / Ausnahmeregister
Antragsteller Owner System / Zugriff Ausnahmegrund Risikoauswirkung Freigabe Gegenmaßnahme Gültigkeitsdauer / Frist Wiedervorlage Abschluss / Entzug
Das Protokoll beschreibt den Einzelfall. Das Register zeigt, welche Ausnahmen offen, befristet, überfällig oder geschlossen sind — und wo Steuerungsbedarf besteht.
MFA-Ausnahme als Arbeitsstand vorbereiten →
NIS2-Prüfpunkte

Wo §30, §32 und §38 bei MFA-Ausnahmen andocken

§30 BSIG
Geeignete Sicherheitsmaßnahmen
Wenn MFA für einen Zugang fehlt, muss das Unternehmen zeigen, dass das verbleibende Risiko bewertet und mit einer Gegenmaßnahme geführt wird. Gegenmaßnahme und Frist ersetzen nicht MFA — sie überbrücken eine befristete Lücke.
Ist dokumentiert, warum MFA hier nicht greift und welche Maßnahme das Risiko reduziert?
§32 BSIG
Nachvollziehbarkeit im Vorfall
Im Sicherheitsvorfall muss rekonstruierbar sein, welche Identität wann auf welches System zugreifen konnte — auch bei Ausnahmekonten. Wer hatte Zugriff? War MFA aktiv? War eine Ausnahme dokumentiert? War eine Gegenmaßnahme aktiv?
Sind Ausnahmekonten und ihre Zugriffe im Vorfall nachvollziehbar?
§38 BSIG
Geschäftsführung bei kritischen Ausnahmen einbinden
Privilegierte Konten, externe Zugriffe auf kritische Systeme oder OT-Zugänge ohne MFA können eine Vorlage an die Geschäftsführung erfordern. Freigabe, Owner, Frist und Wiedervorlage sollten als Teil des Arbeitsstands geführt werden, nicht als lose Einzelentscheidung.
Welche MFA-Ausnahmen erfordern eine Entscheidung der Geschäftsführung, Owner, Frist und Wiedervorlage?
Prozess

Wo MFA-Ausnahmen im Betrieb entstehen

MFA-Ausnahmen sind selten isolierte Vorgänge. Sie entstehen in bestehenden Geschäfts- und Supportprozessen — und müssen dort auch geführt werden. Dort treffen Zugriff, Ausnahme, Gegenmaßnahme, Owner, Freigabe, Frist, Entzug und Abschluss aufeinander.

Onboarding
Nutzer oder Dienstleister wird angelegt, MFA funktioniert noch nicht. Ausnahme mit Ablaufdatum und Migrationsplan setzen.
Rollenwechsel
Neue Rolle benötigt Zugriff auf ein System ohne MFA-Unterstützung. Ausnahme prüfen, bevor Rechte vergeben werden.
Temporärer Zugriff
Projekt, Supportfall oder Fernwartung. Befristeter Zugang mit Gegenmaßnahme und automatischem Ablaufdatum.
Legacy / Patch
System kann technisch nicht angepasst werden. Ausnahme dokumentieren, Gegenmaßnahme setzen, Wartungsfenster planen.
Offboarding
Sonderrechte und Ausnahmezugänge müssen beim Austritt entzogen und als geschlossen dokumentiert werden.
Erneute Prüfung / Access Review
Offene Ausnahmen werden erneut geprüft: Ist MFA inzwischen möglich? Ist der Zugriff noch erforderlich? Ist die Gegenmaßnahme noch aktiv?

Die MFA-Ausnahme gehört nicht in eine E-Mail-Kette. Sie gehört in den Prozess, in dem Zugriff vergeben, geprüft und wieder entzogen wird. IT-Onboarding nach NIS2 lesen →  ·  Lieferantenzugriff einordnen →

Geschäftsführung

Wann MFA-Ausnahmen der Geschäftsführung vorgelegt werden sollten

Nicht jede MFA-Ausnahme gehört zur Geschäftsführung. Eine Vorlage an die Geschäftsführung wird relevant, wenn die Ausnahme wesentliche Risiken, privilegierte Rechte, externe Zugriffe oder Betriebswirkung betrifft. Dann muss der Arbeitsstand Freigabe, Owner, Frist, Gegenmaßnahme und Wiedervorlage nachvollziehbar mitführen.

Privilegiertes Admin-Konto ohne MFA
Externer Dienstleisterzugriff ohne MFA auf kritisches System
VPN- oder Cloud-Zugang ohne MFA
OT- oder Produktionszugriff ohne MFA
Fehlende Gegenmaßnahme
Frist überschritten ohne Entscheidung
Ausnahme wird wiederholt verlängert ohne Migrationsfortschritt
Mehrere offene Ausnahmen in einem kritischen Bereich
§38 BSIG
§38 BSIG verlangt keine technische Detailsteuerung. Kritische MFA-Ausnahmen sollten so geführt werden, dass Kenntnisnahme, Entscheidung und Wiedervorlage der Geschäftsführung nachvollziehbar bleiben. Kenntnisnahme der Geschäftsführung nach §38 BSIG einordnen →
Pragmatischer Start

Wie Unternehmen mit MFA-Ausnahmen pragmatisch starten

1
Alle bekannten MFA-Ausnahmen erfassen
Admin-Konten, externe Zugänge, VPN, Cloud-Portale, Fachsysteme, OT-Zugänge. Eine vollständige Liste ist nicht der erste Schritt. Ein erster Arbeitsstand für die bekannten kritischen Ausnahmen reicht.
2
Privilegierte und externe Zugriffe zuerst prüfen
Kritische Konten und externe Dienstleisterzugänge haben die höchste Schadenswirkung bei Ausnutzung. Diese zuerst dokumentieren und bewerten.
3
Owner, Grund und Ablaufdatum setzen
Jede Ausnahme braucht einen Owner, eine nachvollziehbare Begründung und ein konkretes Ablaufdatum — nicht „bis auf Weiteres".
4
Gegenmaßnahme dokumentieren
IP-Restriktion, Jump Host, Session-Logging, Monitoring oder kürzere Laufzeit — was auch immer das Risiko der fehlenden MFA reduziert.
5
Wiedervorlage in die erneute Prüfung aufnehmen
Ausnahmen gehören in die regelmäßige erneute Prüfung. Dabei prüfen: Ist MFA jetzt möglich? Zugriff noch erforderlich? Gegenmaßnahme noch aktiv?
6
Überfällige Ausnahmen eskalieren
Ausnahmen ohne Owner, ohne Frist oder mit überschrittenem Ablaufdatum sind ungeführte Arbeitsstände. Diese Ausnahmen erneut entscheiden, Frist setzen und dokumentieren.
7
Geschlossene Ausnahmen mit Entzug dokumentieren
MFA aktiviert, Konto deaktiviert oder Zugang beendet — den Abschluss dokumentieren. Das zeigt, dass der Prozess funktioniert.
Ziel
Das Ziel ist nicht, jede Ausnahme sofort zu beseitigen. Das Ziel ist ein erster belastbarer Arbeitsstand: Welche MFA-Ausnahmen bestehen, warum bestehen sie, welche Gegenmaßnahme gilt, wer ist Owner und wann wird erneut entschieden?
Häufige Fragen
Nein. Entscheidend ist, dass Ausnahmen begründet, befristet, freigegeben, mit einer Gegenmaßnahme versehen und mit Wiedervorlage geführt werden. Dauerhafte Ausnahmen ohne erneute Prüfung sind problematisch.
Person oder Rolle, System, Ausnahmegrund, Risikoauswirkung, Gegenmaßnahme, Owner, Freigabe, Gültigkeitsdauer, Wiedervorlage und Entzug.
Beispiele sind IP-Restriktionen, Jump Host, Session Logging, verkürzte Laufzeit, Monitoring, Zugriff nur über Wartungsfenster, zusätzliche Freigabe oder Einschränkung der Berechtigung.
Nicht jede MFA-Ausnahme muss zur Geschäftsführung. Eine Vorlage an die Geschäftsführung wird bei privilegierten Rechten, externem Zugriff, kritischen Systemen, OT- oder Produktionszugriffen, fehlender Gegenmaßnahme oder wiederholt verlängerten Ausnahmen relevant.
MFA-Ausnahmen sollten in der erneuten Prüfung sichtbar sein. Dabei wird geprüft, ob der Zugriff noch erforderlich ist, ob MFA inzwischen aktiviert werden kann, ob die Gegenmaßnahme wirkt und ob die Ausnahme geschlossen werden kann.
Weiterführende Einordnung
HubNIS2 angewandt NIS2 angewandtIT-Onboarding nach NIS2 NIS2 angewandtLieferantenzugriff §30 · §32Patch-Ausnahmen §38 BSIGGeschäftsführung und §38 BSIG ArtefaktGF-Nachweis EVID-01 §30 WirksamkeitErneute Prüfung und Wirksamkeit §32 BSIGMeldepflicht bei Vorfällen
Nächster Schritt

MFA-Ausnahmen als Arbeitsstand führen

Beginnen Sie mit privilegierten Konten, externen Zugriffen, VPN, Cloud-Portalen und kritischen Fachsystemen. Führen Sie jede MFA-Ausnahme als Arbeitsstand: System, Ausnahmegrund, Risiko, Gegenmaßnahme, Owner, Freigabe, Frist, Wiedervorlage und Entzug.

NIS2-Arbeitsplatz öffnen → IT-Onboarding nach NIS2 lesen → NIS2 angewandt Hub →