Your Page Title
Deutsch
Community

Beiträge in diesem Abschnitt

Multi-Faktor-Authentifizierung (MFA)

Avatar
Product Team
  • Aktualisiert
  • ~ minute read

Multi-Faktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit, indem sie mehrere Verifizierungsmethoden erfordert, um auf ein Konto zuzugreifen. Dadurch wird das Risiko eines unbefugten Zugriffs verringert, selbst wenn ein Passwort kompromittiert wurde. Apaleo unterstützt zwei MFA-Verifizierungsmethoden: zeitbasierte Einmalpasswörter (TOTP),  die über Authentifizierungs-Apps oder Passwortmanager generiert werden, sowie Passkeys. Account-Admins können steuern, welche Methoden den Benutzern zur Verfügung stehen.

MFA ist eine benutzerspezifische Sicherheitsfunktion, d. h. jeder Benutzer kann sie für sich selbst aktivieren oder deaktivieren. Account-Administratoren können die Nutzung von MFA empfehlen.

Da MFA auf Benutzerebene angewendet wird, bleiben die MFA-Anmeldedaten und das TOTP eines Benutzers für alle Accounts, auf die er Zugriff hat, gleich.

Verfügbare MFA-Methoden

Derzeit kann MFA mit folgenden Methoden eingerichtet werden:

  • TOTP über eine Authentifizierungs-App (z. B. Authy, Google Authenticator)
  • TOTP über Passwortmanager (z. B. 1Password, Bitwarden)

  • Passkey (z. B. Face ID, Touch ID, Windows Hello oder Geräte-PIN)

    Passkeys sind immer als MFA-Methode verfügbar und können von Account-Admins
     nicht deaktiviert werden. TOTP kann deaktiviert werden, wenn der Account-Admin
     Passkeys als einzige MFA-Option bevorzugt. Weitere Informationen zur Einrichtung und
     Verwaltung von Passkeys finden Sie unter Passkey-Authentifizierung

Empfehlungen

  • Für eine nahtlose und sichere Authentifizierung, können Sie die Browser-Erweiterungen von Passwortmanagern, die TOTP oder Passkeys unterstützen, auf Computern und gemeinsam genutzten Geräten verwenden.
  • Überprüfen Sie während der Einrichtung Ihren Login und die Authentifizierungsmethode, um den Verlust des Zugriffs oder eine Fehlkonfigurationen zu vermeiden.
  • Stellen Sie sicher, dass die Uhrzeit Ihres Geräts korrekt mit Ihrem Browser und PC synchronisiert ist, indem Sie time.is überprüfen. Dies hilft, Probleme bei der TOTP-Einrichtung zu vermeiden.

Aufforderung zur MFA-Einrichtung beim Login aktivieren

Die Aufforderung zur Einrichtung von MFA ist standardmäßig für alle Benutzer aktiviert. Da MFA eine benutzergesteuerte Funktion ist, ist diese Aufforderung optional und kann übersprungen werden. Der Account Admin kann die Aufforderung für alle Benutzer des Accounts ausblenden.

  • Wenn die Login-Aufforderung aktiviert ist: Benutzer sehen die MFA-Einrichtungsseite beim Login. Sie können die Einrichtung abschließen oder überspringen. Die Aufforderung zu MFA erscheint nur, nachdem sich ein Benutzer abgemeldet hat oder seine Session abläuft.
  • Wenn die Login-Aufforderung ausgeblendet ist: Benutzer werden nicht zur MFA-Einrichtung beim Login aufgefordert. Sie können sie aber jederzeit manuell unter Sicherheit & Authentifizierung in der Kontoverwaltung aktivieren (oben rechts auf dem Bildschirm).

Verwalten der MFA-Einstellungen für Ihr Konto

Account Administratoren können die MFA-Einführung über „Benutzerverwaltung“ > „Zugriffseinstellungen“ steuern. Die folgenden Optionen sind verfügbar:

  • Aktiviert (Standard): Die grundlegende MFA-Funktionalität ist ohne Aufforderung verfügbar. Benutzer können MFA manuell über ihre Kontoeinstellungen aktivieren.
    Screenshot 2025-09-10 at 14.28.30.png
  • Aufforderung: Benutzer sehen den MFA-Einrichtungsprozess beim Anmelden. Sie können wählen, ob sie die Einrichtung abschließen oder überspringen möchten. Die Aufforderung wird nur angezeigt, nachdem sich ein Benutzer abgemeldet hat oder seine Sitzung abgelaufen ist.
    Screenshot 2025-09-10 at 14.28.37.png
  • Erzwungen: Alle Benutzer des Kontos müssen MFA einrichten und verwenden. Benutzer ohne MFA müssen die Einrichtung bei ihrer nächsten Anmeldung abschließen.
    Screenshot 2025-09-10 at 14.28.50.png

Wichtig: Wenn die MFA-Erzwingung aktiviert ist, werden aktive Sitzungen nicht sofort beendet, um Unterbrechungen zu vermeiden. Benutzer werden erst bei ihrem nächsten Anmeldeversuch aufgefordert, MFA einzurichten.

Account-Administratoren können festlegen, welche MFA-Methoden den Benutzern während
 des MFA-Schritts zur Verfügung stehen. Diese Einstellung finden Sie unter Benutzerverwaltung → Zugriffseinstellungen → MFA-Methoden

  • Screenshot 2026-04-22 at 13.22.06.png
  •  TOTP + Passkey (Standard): Benutzer können beim MFA-Schritt zwischen TOTP und einem Passkey wählen.
  • Nur Passkey: TOTP ist als MFA-Option deaktiviert. Benutzer, die bereits TOTP eingerichtet haben, können es je nach MFA-Erzwingungsmodus möglicherweise weiterhin verwenden. Neue Benutzer sehen ausschließlich die Passkey-Option.

Hinweis: Passkeys können nicht vollständig deaktiviert werden. Wenn sich ein Benutzer mit einem Passkey als primäre Anmeldemethode (anstelle von E-Mail und Passwort) anmeldet, entfällt der MFA-Schritt vollständig.

Förderung der MFA-Nutzung

Account Administratoren können nun die Verwendung von MFA für alle Benutzer ihres Kontos erzwingen. Dies gewährleistet eine erhöhte Sicherheit bei gleichzeitiger Aufrechterhaltung der Betriebskontinuität.

Um die Akzeptanz zu fördern, können Account Administratoren:

  • die Durchsetzungsschaltfläche verwenden, um MFA für alle Benutzer obligatorisch zu machen
  • E-Mail-Erinnerungen an Benutzer senden, die MFA noch nicht aktiviert haben
  • die Akzeptanz von MFA durch Berichte auf Kontoebene überwachen

Aktivierung von MFA für Ihr Benutzerkonto

Benutzer können MFA auf drei Arten aktivieren:

  1. Während des Logins: Wenn die Login-Aufforderung aktiviert ist, folgen Sie den Anweisungen auf dem Bildschirm, um die Einrichtung abzuschließen.
  2. Über die Benutzereinstellungen: Navigieren Sie zu Kontoverwaltung → Sicherheit & Authentifizierung und folgen Sie den Einrichtungsschritten.
  3. Über Admin-E-Mail-Erinnerungen: Administratoren können E-Mails versenden, die zur Einrichtung von MFA auffordern. Über diese E-Mail können Benutzer den Einrichtungsprozess starten.

MFA im eigenen Account deaktivieren

Benutzer können MFA jederzeit unter Sicherheit & Authentifizierung in der Kontoverwaltung deaktivieren.

Wichtig: Um MFA zu entfernen, müssen Sie Zugriff auf Ihren Authentifizierungscode haben. Falls Sie keinen Zugriff darauf haben, beachten Sie bitte den Abschnitt Zurücksetzen von MFA für andere Benutzer.

Sobald MFA deaktiviert ist, kann es jederzeit erneut aktiviert werden, indem der Einrichtungsvorgang wiederholt wird.

Überprüfung der MFA-Nutzung

Administrator können die MFA-Nutzung auf zwei Ebenen nachverfolgen:

  • Account-Ebene: Anzeige und Verwaltung der MFA-Einstellungen für alle Benutzer innerhalb eines Accounts. Überblick über die MFA-Nutzung.
  • Property-Ebene: Nachverfolgung der MFA-Nutzung für bestimmte Properties.

MFA für andere Benutzer zurücksetzen

Nur die Account-Administratoren können MFA für andere Benutzer in ihrem Account zurücksetzen.

Wenn ein Benutzer den Zugriff auf seine MFA-Methode verliert, muss ein Administrator diese zurücksetzen. Der Benutzer kann MFA anschließend erneut einrichten.

Zu viele fehlgeschlagene Authentifizierungsversuche

  • Wenn ein Benutzer 10-mal einen falschen Authentifizierungscode eingibt, wird sein Konto für 30 Minuten gesperrt.
  • Während dieser Sperrzeit können weder Account-Administratoren noch der Apaleo-Support das Konto entsperren.
  • Nach 30 Minuten kann der Benutzer erneut versuchen, sich zu authentifizieren oder der Account-Administrator kann MFA zurücksetzen.

FAQ

Muss ich den MFA-Code jedes Mal eingeben oder nur alle 30 Tage?

Aus Sicherheitsgründen muss der MFA-Code bei aktivierter MFA bei jeder Anmeldung eingegeben werden.

Ich habe MFA für einen Benutzer zurückgesetzt, aber er hat keine E-Mail erhalten. Kann ich MFA erneut zurücksetzen?

Sobald MFA zurückgesetzt wurde, kann es nicht erneut zurückgesetzt werden. Der Benutzer kann sich einfach bei Apaleo anmelden und MFA erneut einrichten.

Ich habe mein Telefon gewechselt und benötige einen neuen QR-Code. Wie bekomme ich diesen?

Bitte wenden Sie sich an Ihren Account-Admin. Dieser kann MFA für Sie zurücksetzen. Danach können Sie sich anmelden und MFA erneut einrichten.

Mein Konto wurde für 30 Minuten gesperrt. Kann ich es früher entsperren?

Es gibt keine Möglichkeit, das Konto vorzeitig zu entsperren. Sie müssen 30 Minuten warten.

Was ist der Unterschied zwischen einem Passkey für den Login und einem Passkey für MFA?

Es gibt zwei unterschiedliche Szenarien:

  • Passkey als primärer Login: Anstatt Ihre E-Mail-Adresse und Ihr Passwort einzugeben, melden Sie sich direkt mit einem Passkey an. In diesem Fall entfällt der MFA-Schritt vollständig, da der Passkey selbst eine starke Authentifizierung bietet.
  • Passkey als MFA: Sie melden sich wie gewohnt mit E-Mail und Passwort an. Während des MFA-Schritts verifizieren Sie Ihre Identität mit einem Passkey anstelle eines TOTP-Codes.

Die Verwendung eines Passkeys als MFA bietet einen stärkeren Schutz als TOTP. Selbst wenn Ihr Passwort kompromittiert wird, kann ein Angreifer ohne Ihr physisches Gerät nicht auf Ihr Konto zugreifen. Im Gegensatz zu TOTP-Codes sind Passkeys phishing-resistent und können weder abgefangen noch wiederverwendet werden.

Verwandte Beiträge