Skip to content

Sie führen MFA ein und Führungskräfte verlangen eine Ausnahme „aus Bequemlichkeit". Wie gehen Sie damit um?

Kurzantwort

Führungskräfte sind genau die Konten, die Angreifer wollen (BEC, Überweisungsbetrug), daher kehrt eine Ausnahme das Risikomodell um. Löse die Reibung, nicht die Kontrolle: setze phishing-resistente FIDO2/Passkeys ein, die schneller sind als Codes. Der Ausnahme nachzugeben zerstört die Glaubwürdigkeit des Programms und lässt deine wertvollsten Konten ungeschützt. Das MFA-Projekt einzustellen gibt eine erstklassige Kontrolle auf. Es heimlich hinter ihrem Rücken zu aktivieren zerstört Vertrauen und Rechenschaft.

Bei dieser Frage geht es ebenso sehr um Einfluss und Risikokommunikation wie um Authentifizierung. Die technisch korrekte Kontrolle ist nicht verhandelbar; die Kunst besteht darin, sie durchzusetzen, ohne den Raum zu verlieren.

Warum es verkehrt ist, Führungskräfte auszunehmen

Bedrohungsakteure zielen auf die Personen mit der meisten Autorität und dem meisten Zugriff. Führungskräfte-Konten sind die Startrampe für Business E-Mail Compromise (BEC) und Überweisungsbetrug, und sie enthalten sensible strategische Daten. Sie auszunehmen konzentriert das größte Risiko auf die am wenigsten geschützten Konten — genau das Gegenteil dessen, was ein risikobasiertes Programm tun sollte. Eine Ausnahme „aus Bequemlichkeit" ist in Wahrheit eine ungemanagte Risikoakzeptanz, die das Sicherheitsteam verantworten wird, wenn es schiefgeht.

Die Reibung lösen, die Kontrolle behalten

Der richtige Schritt rahmt die Beschwerde neu: Das Problem ist die Reibung, nicht die MFA selbst. Phishing-resistente FIDO2-Sicherheitsschlüssel oder Passkeys sind oft schneller als das Eintippen eines Einmalcodes — eine Berührung oder eine Biometrie — und sie vereiteln Phishing und MITM-Proxy-Angriffe, die TOTP und SMS umgehen. Du gibst Führungskräften eine bessere Erfahrung und stärkeren Schutz und verwandelst eine Konfrontation in einen Gewinn.

Warum die Ablenker falsch sind

  • Die Ausnahme gewähren. Lässt deine wertvollsten Konten als weiche Flanke und signalisiert, dass Kontrollen für die Mächtigen optional sind, was das gesamte Programm aushöhlt.
  • Das MFA-Projekt fallenlassen. Eine der wirkungsvollsten und kostengünstigsten Kontrollen wegen Widerstands wegzuwerfen ist ein Versagen an Mut und Pflicht.
  • Es trotzdem heimlich aktivieren. Hinter dem Rücken der Führung zu handeln mag technisch „sicher" sein, zerschlägt aber das Vertrauen, umgeht die Rechenschaft und fliegt auf, sobald sie es bemerken — und nimmt deine Glaubwürdigkeit mit.

Was der Interviewer ergründet

Er will sehen, dass du bei einer kritischen Kontrolle die Linie hältst und zugleich Empathie für Führungskräfte zeigst, dass du verstehst, warum Führungskräfte hochwertige Ziele sind, und dass du zu phishing-resistenten Faktoren greifst statt zu schwächeren SMS- oder App-Codes. Die besten Kandidaten präsentieren es als Angebot einer schnelleren, sichereren Option — nicht als Kampf.

Wahrscheinliche Anschlussfragen

  • Warum gilt FIDO2/WebAuthn als phishing-resistent, während TOTP und SMS es nicht sind?
  • Wie würdest du den Business Case gegenüber einer skeptischen Führungskraft aufbauen?
  • Welche Kennzahlen würdest du verfolgen, um zu belegen, dass MFA das Risiko von Kontoübernahmen gesenkt hat?

Quellen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.