Passwort12345 oder Multi-Faktor-Authentifizierung (MFA) in Berlin?

Die Antwort des Senats auf meine schriftliche Anfrage zur Multi-Faktor-Authentifizierung (MFA) in der Berliner Verwaltung (Drucksache 19/25618) liest sich wie ein Lehrbuchbeispiel für halbherzige Digitalisierung: viel Verweis auf BSI-Standards, wenig konkrete Umsetzung – und keine erkennbare langfristige IT-Sicherheitsstrategie. Der Senat betont, dass „flächendeckend mindestens die Zwei-Faktor-Authentifizierung im Einsatz” sei. Klingt gut, oder? Doch wer genauer hinschaut, erkennt schnell die Lücken: Welche Methoden werden tatsächlich eingesetzt – Hardware-Token, App-basierte TANs oder doch nur die unsicheren SMS-TANs? Darüber schweigt der Senat und verweist auf „potenzielle Angriffsvektoren”.

Bereits 2024 fragte ich nach dem Einsatz von Passkeys – einem modernen, passwortlosen Authentifizierungsverfahren, das auch das BSI ausdrücklich empfiehlt. Die Antwort des Senats damals: Man teile die „Auffassung des BSI” – doch mehr als das kam nicht. Keine Pläne, keine Pilotprojekte, keine Zeitpläne. Nur der obligatorische Verweis auf den BSI-Grundschutz. Besonders aufschlussreich für die aktuelle Anfrage ist dabei ein Satz aus dem November 2024: „Eine Übersicht zu den in der Berliner Verwaltung eingesetzten digitalen Authentisierungsverfahren (über „einfache” Passwörter hinaus) liegt der IKT-Steuerung nicht vor.”

Ich bezweifle, dass sich daran bis heute etwas geändert hat – denn eine umfassende IT-Bestands- und Planungsübersicht gibt es offiziell immer noch nicht. Und ebenso wenig weiß der Senat, wie viele Mitarbeiter*innen der Verwaltung überhaupt zum Thema IT-Sicherheit geschult werden.” Dabei wäre gute IT-Sicherheit weit mehr als ein technisches Detail – sie stärkt das Vertrauen der Bürger*innen in die Digitalisierung der Verwaltung und ist ein wesentlicher Baustein für ein krisenresilientes Berlin

1. Welche sicheren Authentifizierungsmethoden (z.B. SMS-TAN, Hardware-Token, App-basierte TAN, biometrische Verfahren) stehen den Mitarbeiter*innen der Berliner Verwaltung und nachgeordneten Behörden zur Verfügung, um sich in die IT-Systeme der Berliner Verwaltung einzuloggen?

2. Wie verbreitet ist die Verwendung von Multi-Faktor-Authentifizierung (MFA) in der Berliner Verwaltung und den nachgeordneten Behörden, um sich sicher für IT-Systeme zu authentifizieren?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt für eine sichere Authentifizierung mehrere Faktoren zu kombinieren, um potenziellen Angreifern den Zugriff in Systeme zu erschweren. Diese Multi-Faktor-Authentifizierung gibt es in zahlreichen Varianten. Dabei bieten vor allem hardwaregestützte Verfahren ein hohes Maß an Sicherheit. Im Land Berlin ist flächendeckend mindestens die Zwei-Faktor-Authentifizierung im Einsatz. Für Behörden und Einrichtungen der Berliner Verwaltung, die an das Berliner Landesnetz angeschlossen sind, gelten die Vorgaben des BSI-Standards 200-x einschließlich des IT-Grundschutz-Kompendiums in der jeweils gültigen Fassung. Um Angreifern keine potenziellen Angriffsvektoren zu bieten, wird auf eine detaillierte Aufstellung mit verwendeten Authentifizierungsmethoden in der Berliner Verwaltung und den nachgeordneten Behörden verzichtet.

3. Nach welchen Kriterien wird in der Berliner Verwaltung und in nachgeordneten Behörden entschieden, welche Authentifizierungsmethode für die jeweiligen IT-Systeme, Software oder Fachverfahren eingesetzt werden?

Gemäß EU-NIS-2-Richtlinie sind besonders wichtige und wichtige Einrichtungen zur Verwendung einer Multi-Faktor-Authentisierung oder einer kontinuierlichen Authentifizierung sowie zur Absicherung der Kommunikationswege von Sprache, Video und Text verpflichtet. Zudem gelten für Behörden und Einrichtungen der Berliner Verwaltung, die an das Berliner Landesnetz angeschlossen sind, die Vorgaben gem. BSI IT-Grundschutz. Des Weiteren werden internationale Standards und hardware-basierte Standards für MFA herangezogen. Die dargestellten Optionen für Einmalpasswörter (OTP-/TAN-Methoden) weisen normalerweise keine Widerstandsfähigkeit gegen (Echtzeit-)Phishing auf. Daher ist ihre Empfehlung nur eingeschränkt möglich.

4. Welche Voraussetzungen in Sachen Authentifizierungsmethoden müssen zur Einführung des National-Once-Only-Technical-System (NOOTS) als Architektur zur Registermodernisierung erfüllt werden?

Der Entwurf der NOOTS-NetzV setzt die sicherheitstechnischen Anforderungen sowie die Anschlussklassen fest, welche sich aus den jeweils geltenden Fassungen der Technischen Richtlinien TR-03176 und TR-03190 des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergeben.

5. Gibt es (IT-Sicherheits-)Ziele für die Berliner Verwaltung in Sachen Multi-Faktor-Authentifizierung (MFA)?

Mittels einer sorgfältig konzipierten und umgesetzten MFA werden die Angriffsmöglichkeiten von Angreifern und Cyberkriminellen stark eingeschränkt und das Risiko für eine erfolgreiche Kompromittierung der Zugänge stark reduziert. Ziel ist, eine Phishing-Resistenz durch technische Lösungen und ein sachgerechtes Awareness-Niveau bei den Beschäftigten herzustellen. Weitere Unterstützungsleistungen sind die in 2026 geplante Einführung einer landesweiten PKI und verbindlicher Richtlinien hinsichtlich Authentifizierungsverfahren, Passwörtern usw., die die stetige Weiterentwicklung des Informationssicherheitsniveaus des Landes Berlin umsetzen. Die (IT-Sicherheits-)Ziele werden stetig evaluiert und weiterentwickelt.