Was ist ein MFA-Leistungsverzeichnis?
Multi-Faktor-Authentifizierung (MFA) ist eine der effektivsten Maßnahmen zum Schutz vor Identitätsdiebstahl und unbefugtem Zugriff. Das BSI empfiehlt MFA ausdrücklich für alle kritischen Systeme in der öffentlichen Verwaltung.
Unser Muster-LV für MFA deckt alle relevanten Anforderungen an eine moderne MFA-Lösung ab: von unterstützten Authentifizierungsverfahren über Active Directory-Integration bis hin zu Notfallkonzepten und Audit-Logging.
Leistungsumfang des Muster-LV MFA
Authentifizierungsfaktoren
Bei der Gestaltung dieses Abschnitts haben wir uns an der Realität öffentlicher Verwaltungen orientiert: Behörden setzen gleichzeitig auf klassische Authenticator-Apps, physische Hardware-Token und in moderneren Umgebungen auf FIDO2/WebAuthn-Verfahren. Wir fordern daher explizit die Unterstützung von TOTP/HOTP-basierten Verfahren, FIDO2-Hardware-Token wie Yubico YubiKey oder HID Global Crescendo, Push-Notification-Authentifizierung sowie SMS/E-Mail-OTP als gesichertes Fallback-Verfahren für Notfallsituationen.
Biometrische Verfahren gewinnen auch im öffentlichen Sektor an Bedeutung, insbesondere auf mobilen Verwaltungsgeräten. Lösungen wie Microsoft Entra ID, Cisco Duo oder Thales SafeNet bieten hier herstellerübergreifende Unterstützung. Die BSI-Technische Richtlinie TR-03107 zur elektronischen Identität im E-Government definiert drei Vertrauensniveaus (normal, substanziell, hoch), nach denen wir die Authentifizierungsanforderungen in unserem Muster-LV gestaffelt haben, um sowohl Standard-Arbeitsplätze als auch privilegierte Zugänge bedarfsgerecht abzusichern.[1]
Integration & Protokolle
Die Integrationsfähigkeit einer MFA-Lösung entscheidet in der Praxis über Erfolg oder Scheitern einer Einführung. Wir haben aus vielen Vergabeprojekten gelernt, dass unklare Protokollanforderungen regelmäßig zu Kompatibilitätsproblemen führen. Deshalb benennt unser Leistungsverzeichnis explizit Active Directory und Azure AD über LDAP und SAML 2.0, die RADIUS-Integration für VPN-Gateways und WLAN-Controller sowie OIDC und OAuth 2.0 für moderne Webanwendungen. RSA SecurID und Cisco Duo bieten beide Deployment-Modelle an. Wer sich reale Ausschreibungsunterlagen zu MFA-Beschaffungen ansehen möchte, findet entsprechende Dokumente im Vergabe-Archiv.
Das NIST fasst in seiner Publikation SP 800-63B zur Identitätssicherung zusammen, dass passwortbasierte Authentifizierung allein kein ausreichendes Schutzniveau mehr bietet und Organisationen mindestens AAL2 (Authentication Assurance Level 2) mit einem zweiten Faktor implementieren sollten – eine Leitlinie, die wir als Mindeststandard in unser Muster-LV übernommen haben.[2]
Administration & Betrieb
Der operative Alltag in Behörden zeigt: Ein Self-Service-Portal für Token-Reset und initiale Enrollment-Vorgänge entlastet den IT-Helpdesk erheblich und beschleunigt den Rollout. Wir haben diesen Abschnitt deshalb mit konkreten Anforderungen an Helpdesk-Funktionen, Backup-Authentifizierungsverfahren für den Notfall sowie vollständiges Audit-Logging ausgestattet. Das Logging ist nicht nur eine operative Anforderung, sondern auch eine datenschutzrechtliche Notwendigkeit im Sinne der DSGVO.
Die Reporting-Anforderungen in unserem Leistungsverzeichnis orientieren sich an BSI TR-03107 und NIST SP 800-63B. Behörden, die ihre MFA-Lösung im Rahmen einer förmlichen Vergabe beschaffen, sind gut beraten, diese Normenkonformität als verbindliches Zuschlagskriterium in die Ausschreibung aufzunehmen. Nur so lassen sich die Angebote verschiedener Hersteller auf einer sachlichen, vergleichbaren Grundlage bewerten.
Quellen
- Bundesamt für Sicherheit in der Informationstechnik (BSI): „Technische Richtlinie BSI TR-03107-1 – Elektronische Identitäten und Vertrauensdienste im E-Government", bsi.bund.de.
- National Institute of Standards and Technology (NIST): „Special Publication 800-63B – Digital Identity Guidelines: Authentication and Lifecycle Management", pages.nist.gov, 2017 (aktualisiert 2020).
Technische Details
| Format | Microsoft Excel (.xlsx) + PDF |
| Umfang | mehr als 30 Leistungspositionen |
| Sprache | Deutsch |
| Vergaberecht | GWB, VgV, UVgO konform |
| Normen | BSI TR-03116, NIST SP 800-63B |
| Stand | 2026 (regelmäßige Revision) |
| Lieferung | Lieferung in 5 Werktagen |
Muster-LV: MFA
- aus vergangenen Projekten entwickelt
- FIDO2, TOTP, RADIUS
- BSI TR-03116 / NIST orientiert
- GWB / VgV / UVgO konform
- E-Mail Support inklusive
