Rund 80 Prozent aller erfolgreichen Cyberangriffe nutzen kompromittierte Zugangsdaten als Einstiegspunkt. Passwörter allein sind kein verlässlicher Schutz mehr — zu leicht werden sie durch Phishing, Datenlecks oder schlichte Wiederverwertung erbeutet. Multi-Faktor-Authentifizierung (MFA) stoppt nach Angaben von Microsoft 99,9 Prozent aller automatisierten Angriffe auf Benutzerkonten, weil das erbeutete Passwort allein für eine erfolgreiche Anmeldung nicht ausreicht. Mit dem NIS2-Umsetzungsgesetz ist MFA in Deutschland seit 2026 für viele Unternehmen keine freiwillige Maßnahme mehr, sondern eine gesetzliche Pflicht. Dieser Artikel erklärt, was MFA ist, welche Methoden wirklich sicher sind und wie Sie MFA in Ihrem Unternehmen schrittweise und ohne Akzeptanzprobleme einführen.
Was ist Multi-Faktor-Authentifizierung?
Multi-Faktor-Authentifizierung bedeutet, dass für eine erfolgreiche Anmeldung mindestens zwei voneinander unabhängige Nachweise der Identität erbracht werden müssen. Die drei klassischen Kategorien sind:
- Wissen: Etwas, das nur der Benutzer kennt — typischerweise ein Passwort oder eine PIN.
- Besitz: Etwas, das der Benutzer physisch bei sich hat — ein Smartphone mit Authenticator-App, ein Hardware-Token oder eine Smartcard.
- Sein: Etwas, das untrennbar mit der Person verbunden ist — ein Fingerabdruck, Gesichtserkennung oder ein anderes biometrisches Merkmal.
MFA kombiniert mindestens zwei dieser Kategorien. Die bloße Eingabe eines Passworts (Wissen) und einer PIN (ebenfalls Wissen) gilt nicht als MFA, weil beide Faktoren derselben Kategorie angehören. Erst die Kombination — zum Beispiel Passwort plus Bestätigung in der Authenticator-App auf dem Smartphone — macht aus einer einfachen Authentifizierung eine echte Multi-Faktor-Prüfung.
NIS2 macht MFA zur Pflicht
Das NIS2-Umsetzungsgesetz (NIS2UmsuCG) hat in § 30 des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik) Multi-Faktor-Authentifizierung explizit als Bestandteil der vorgeschriebenen Cyberhygiene-Maßnahmen verankert. Unternehmen, die in den Anwendungsbereich der NIS2 fallen — darunter viele mittelständische Dienstleister, Pflegeeinrichtungen, Logistikunternehmen und Zulieferer kritischer Branchen — müssen MFA für den Zugriff auf kritische Systeme und Anwendungen nachweislich umgesetzt haben.
Doch selbst für Unternehmen außerhalb des NIS2-Anwendungsbereichs ist MFA längst kein optionaler Komfort mehr. Viele Cyberversicherungen machen MFA zur Voraussetzung für den Versicherungsschutz, und auch die Anforderungen der IT-Sicherheit nach BSI-Grundschutz-Methodik sehen MFA als Standardmaßnahme für privilegierte Konten und Remote-Zugriffe vor.
Welche MFA-Methoden sind wirklich sicher?
Authenticator-App — empfohlener Standard
Apps wie der Microsoft Authenticator oder Google Authenticator erzeugen zeitbasierte Einmalpasswörter (TOTP), die alle 30 Sekunden neu generiert werden. Moderne Authenticator-Apps unterstützen zusätzlich Number Matching und Additional Context, was MFA-Fatigue-Angriffe (Angreifer überschwemmen den Benutzer mit Bestätigungsanfragen bis er aus Versehen akzeptiert) effektiv verhindert. Der Microsoft Authenticator mit Number Matching gilt heute als empfohlener Standard für Microsoft 365-Umgebungen.
FIDO2 und Passkeys — der Zukunftsstandard
FIDO2 und der darauf aufbauende Passkey-Standard sind phishing-resistent, weil der Authentifizierungstoken an die jeweilige Website oder Anwendung gebunden ist und nicht auf einem fremden Server eingegeben werden kann. Selbst wenn ein Angreifer Sie auf eine täuschend echte Phishing-Seite lockt, nützt ihm der abgefangene Authentifizierungsversuch nichts, weil der kryptographische Nachweis nur für die echte Ziel-URL gültig ist. FIDO2-Authenticatoren (Windows Hello, Face ID, Touch ID oder dedizierte Hardware-Keys) stellen den technischen Höchststandard dar und werden von Microsoft, Google und Apple aktiv gefördert.
Hardware-Token (YubiKey) — höchste Sicherheit
YubiKey und ähnliche Hardware-Token sind physische USB- oder NFC-Sticks, die bei der Anmeldung kurz berührt werden und einen kryptographischen Nachweis erzeugen. Sie bieten das höchste Sicherheitsniveau, insbesondere für administrative Konten oder besonders schutzbedürftige Mitarbeitende wie Geschäftsführer, Buchhalter und IT-Administratoren. Der Nachteil: höhere Anschaffungskosten und das Risiko des Verlustes, das durch klare Prozesse für die Notfallversorgung abgefedert werden muss.
SMS-MFA — veraltet, nicht empfohlen
SMS-basierte Einmalpasswörter gelten seit Jahren als unsicher. SIM-Swapping-Angriffe (bei denen Angreifer Ihre Telefonnummer auf eine eigene SIM-Karte übertragen), SS7-Protokollschwachstellen im Telefonnetz und Man-in-the-Middle-Angriffe ermöglichen das Abfangen von SMS-Codes. Das NIST (National Institute of Standards and Technology) und das BSI empfehlen ausdrücklich, SMS als zweiten Faktor zu vermeiden und durch App-basierte oder hardware-gebundene Methoden zu ersetzen. Falls SMS-MFA als Übergangslösung bereits im Einsatz ist, sollte die Migration zu Authenticator-Apps prioritär behandelt werden.
E-Mail-MFA — schwach, vermeiden
Die Nutzung einer E-Mail-Adresse als zweiten Faktor ist konzeptionell schwach: Wer Zugriff auf das Postfach hat, hat auch Zugriff auf den MFA-Code. Da das E-Mail-Konto selbst häufig das zu schützende Objekt ist, entsteht eine zirkuläre Abhängigkeit. E-Mail-basierte MFA sollte in Unternehmensumgebungen grundsätzlich nicht eingesetzt werden.
Phasenweise Einführung von MFA im Unternehmen
Phase 1: Administrative Konten — sofort
Die dringlichste Maßnahme ist die sofortige MFA-Aktivierung für alle Konten mit erhöhten Rechten: Globale Administratoren, IT-Administratoren, Exchange-Administratoren, SharePoint-Administratoren und alle anderen Rolleninhaber mit privilegiertem Zugriff. Diese Konten sind das bevorzugte Angriffsziel von Cyberkriminellen — ein kompromittiertes Admin-Konto kann zur vollständigen Übernahme der gesamten Microsoft 365-Umgebung führen. Phase 1 sollte innerhalb von 1–2 Wochen abgeschlossen sein.
Phase 2: Mitarbeitende mit Cloud-Zugriff
In Phase 2 rollen Sie MFA für alle Mitarbeitenden aus, die auf Microsoft 365-Dienste (Exchange Online, SharePoint, Teams) zugreifen — in der Praxis sind das heute die meisten Mitarbeitenden. Kommunizieren Sie die bevorstehende Änderung frühzeitig, stellen Sie Kurzanleitungen zur Registrierung der Authenticator-App bereit und richten Sie einen Helpdesk-Kanal für Rückfragen ein. Eine Pilotgruppe von 5–10 technikaffinen Mitarbeitenden hilft dabei, häufige Fragen und Probleme im Vorfeld zu identifizieren.
Phase 3: Vollständige Abdeckung
In Phase 3 schließen Sie alle verbleibenden Benutzerkonten ein, inklusive Servicekonten (die MFA auf anderem Weg absichern, z.B. über Zertifikate oder Managed Identities), externe Gastkonten und Konten für externe Dienstleister. Nach Abschluss von Phase 3 blockieren Sie alle Legacy-Authentifizierungsprotokolle via Conditional Access und erzwingen so die vollständige MFA-Abdeckung Ihrer Microsoft 365-Umgebung.
Häufige Hürden und wie Sie sie überwinden
Mitarbeitende-Akzeptanz
Widerstand gegen MFA kommt häufig aus der wahrgenommenen Mehrbelastung: „Ich muss jetzt jedes Mal mein Handy zur Hand haben." Dem begegnen Sie am besten mit transparenter Kommunikation — erklären Sie, warum MFA eingeführt wird und welchen Schutz es bietet, nicht nur für das Unternehmen, sondern auch für die persönlichen Daten der Mitarbeitenden. Moderne Methoden wie Windows Hello for Business ermöglichen nach der initialen MFA-Einrichtung eine biometrische Anmeldung am PC, die im Alltag komfortabler ist als die Passworteingabe.
Verlorenes Smartphone
Verliert ein Mitarbeitender sein Smartphone, muss sichergestellt sein, dass er seine Arbeit fortführen kann, ohne tagelang auf IT-Unterstützung warten zu müssen. Definieren Sie klare Backup-Methoden: mindestens zwei registrierte MFA-Methoden pro Konto (z.B. Authenticator-App und Hardware-Token), ein definierter Reset-Prozess über die IT-Abteilung mit Identitätsverifizierung sowie temporäre Zugangscodes (Temporary Access Pass) für Notfälle.
BYOD-Szenarien
Mitarbeitende, die ein privates Smartphone nutzen, sind häufig zurückhaltend beim Installieren von Unternehmens-Apps auf ihrem Gerät. App-basierte MFA stellt hier eine gute Balance dar: Die Authenticator-App greift nicht in die persönliche Nutzung des Smartphones ein, hat keinen Zugriff auf persönliche Daten und kann einfach deinstalliert werden, wenn das Arbeitsverhältnis endet. Hardware-Token als Alternative bieten eine Option für Mitarbeitende, die keine App auf dem Privatgerät installieren möchten.
Break-Glass-Konten: Für den Notfall unverzichtbar
Ein häufig übersehener Aspekt bei der MFA-Einführung ist das Break-Glass-Szenario: Was passiert, wenn der MFA-Dienst ausfällt oder der einzige Global Administrator sein Smartphone verliert und damit ausgesperrt ist? Für solche Extremsituationen müssen mindestens zwei notfallmäßige Administrator-Konten (Emergency Access Accounts) eingerichtet sein, die von der MFA-Pflicht ausgenommen sind. Diese Konten müssen:
- Sehr starke, zufällig generierte Passwörter haben (mindestens 32 Zeichen)
- Physisch sicher verwahrt werden (z.B. im Tresor, versiegelt)
- Nur in echten Notfällen verwendet werden
- Aus dem regulären Conditional Access ausgenommen, aber intensiv überwacht sein (Audit-Logs, Alerting)
- Regelmäßig (mindestens quartalsweise) auf Funktionsfähigkeit geprüft werden
Break-Glass-Konten ohne diese Rahmenbedingungen sind ein erhebliches Sicherheitsrisiko — aber ohne sie ist eine vollständige MFA-Durchsetzung ein operationelles Risiko.
Praxisbeispiel: MFA-Einführung in einem Pflegedienst mit 20 Mitarbeitenden
Ein ambulanter Pflegedienst in der Uckermark mit 20 Mitarbeitenden hatte Microsoft 365 Business Premium im Einsatz, aber bislang keine MFA. Der Auslöser für die Einführung war eine neue Cyberversicherung, die MFA als Pflichtbedingung forderte. Gemeinsam mit Fürstmann.IT wurde das Rollout in drei Wochen durchgeführt: In Woche 1 wurden die Geschäftsführung und die IT-verantwortliche Pflegedienstleiterin in einer 45-minütigen Schulung auf den Microsoft Authenticator eingewiesen und MFA für die Admin-Konten aktiviert. In Woche 2 folgte eine kurze Schulungsrunde für alle Mitarbeitenden in der Morgenbesprechung, ergänzt durch eine einseitige Kurzanleitung zur App-Einrichtung. In Woche 3 wurden die verbleibenden Konten aktiviert, Conditional Access für Block Legacy Auth eingerichtet und die Backup-Methoden für alle Konten dokumentiert. Ergebnis: Vollständige MFA-Abdeckung ohne Produktivitätsunterbrechung und volle Versicherbarkeit.
Wie Fürstmann.IT Sie bei der MFA-Einführung unterstützt
Fürstmann.IT begleitet kleine und mittlere Unternehmen in Brandenburg bei der vollständigen Einführung von MFA — von der Planung über die technische Einrichtung bis zur Mitarbeiterschulung. Unser Leistungsumfang umfasst die Analyse Ihrer aktuellen Authentifizierungsinfrastruktur, die Auswahl der geeigneten MFA-Methoden für Ihre Belegschaft, die Einrichtung von Conditional-Access-Policies zur Durchsetzung von MFA, die Definition und Einrichtung von Break-Glass-Konten sowie die Schulung Ihrer Mitarbeitenden und IT-Verantwortlichen.
Im Rahmen unserer Microsoft 365-Betreuung ist MFA ein fester Bestandteil unserer Sicherheitsbaseline für alle Neukunden. Für unsere Endpoint-Security-Leistungen ergänzen wir MFA durch Gerätecompliance via Intune, sodass Zugriff nur von verifizierten Identitäten auf verifizierten Geräten möglich ist. Sprechen Sie uns an — MFA einzuführen ist einer der effektivsten und kostengünstigsten Sicherheitsschritte, die Sie heute unternehmen können.