Ein gestohlenes Passwort genügt für den Zugriff — es sei denn, ein zweiter Faktor steht im Weg. MFA ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen.
Ja. Multi-Faktor-Authentifizierung ist die wirksamste Einzelmaßnahme gegen Kontoübernahmen und blockiert nach Microsoft-Angaben über 99 Prozent automatisierter Angriffe. Sie gehört heute an jeden von außen erreichbaren Zugang — von Microsoft 365 über VPN bis zur Fernwartung. In Microsoft 365 ist sie bereits enthalten und ohne Zusatzkosten aktivierbar.
Multi-Faktor-Authentifizierung (MFA) verlangt beim Login neben dem Passwort einen zweiten Nachweis — etwa eine Bestätigung in einer App, einen Hardware-Schlüssel oder einen biometrischen Faktor. Der Gedanke dahinter ist einfach: Ein Passwort allein genügt nicht mehr für den Zugriff. Fachlich kombiniert MFA mehrere Faktor-Kategorien: etwas, das man weiß (Passwort), etwas, das man hat (Smartphone, Schlüssel), und etwas, das man ist (Fingerabdruck, Gesicht).
Das ist deshalb so wirksam, weil Passwörter heute massenhaft im Umlauf sind. Sie werden durch Phishing abgegriffen oder tauchen nach Datenlecks in fertigen Listen auf, die Angreifer automatisiert durchprobieren. Selbst wenn ein Angreifer Ihr Passwort kennt, fehlt ihm der zweite Faktor — und damit scheitert die überwiegende Mehrheit automatisierter Kontoübernahmen. Microsoft beziffert den Schutzwert von MFA gegen automatisierte Angriffe auf über 99 Prozent.
MFA ist deshalb die wirksamste Einzelmaßnahme gegen den Missbrauch gestohlener Zugangsdaten. Kaum eine andere Maßnahme bietet ein so gutes Verhältnis von geringem Aufwand zu hohem Schutz. Das BSI empfiehlt MFA ausdrücklich für alle wichtigen Konten, und sie ist ein zentraler Baustein der Anforderungen aus der NIS2-Richtlinie.
Die Sorge ist verständlich, aber meist unbegründet. Moderne Verfahren machen den zweiten Faktor zur Sache eines Fingertipps. Eine Push-Bestätigung in der App oder ein Passkey ist in Sekunden erledigt und im Alltag kaum spürbar — weit entfernt von den umständlichen Code-Eingaben früherer Jahre.
Mit Conditional Access, der risikobasierten Zugriffssteuerung, lässt sich MFA zudem intelligent dosieren: Wer aus dem vertrauten Büronetz mit einem bekannten, verwalteten Gerät arbeitet, wird seltener gefragt als jemand, der sich aus dem Ausland oder von einem unbekannten Rechner anmeldet. So konzentriert sich die zusätzliche Prüfung genau auf die riskanten Situationen, statt jeden Login auszubremsen. Auch die Gültigkeitsdauer einer Anmeldung lässt sich steuern, sodass die erneute Bestätigung nicht ständig, sondern in sinnvollen Abständen verlangt wird.
Ein praktischer Hinweis zur Bequemlichkeit: Achten Sie auf Verfahren mit Zahlenabgleich (number matching). Sie verhindern die sogenannte MFA-Müdigkeit, bei der Nutzer eine Flut von Push-Anfragen irgendwann reflexhaft wegtippen — eine Masche, mit der Angreifer eine an sich gute Absicherung aushebeln. Der kurze Zahlenabgleich macht das Bestätigen zu einer bewussten Handlung.
Das Ergebnis: Der Schutz bleibt hoch, ohne dass die tägliche Arbeit leidet. Wer einmal an die kurze Bestätigung gewöhnt ist, nimmt sie kaum noch bewusst wahr. In Kombination mit einem Passwort-Manager wird der Login sogar bequemer als zuvor — lange, einmalige Passwörter plus ein Tipp ersetzen das ständige Merken schwacher Kennwörter.
Die Faustregel: überall dort, wo ein Zugang von außen erreichbar ist. Das sind die kritischen Stellen, an denen ein Angreifer ohne physischen Zutritt zum Gebäude angreifen kann. Wer hier eine Lücke lässt, macht die anderen Absicherungen teilweise zunichte — Angreifer suchen gezielt den ungeschützten Nebeneingang. Diese Bereiche gehören abgesichert:
Gerade privilegierte Konten brauchen den Schutz zwingend, denn mit ihnen lässt sich der größte Schaden anrichten. Ein übernommenes Admin-Konto öffnet dem Angreifer die Tür zum gesamten System — hier ist MFA keine Option, sondern Pflicht. Microsoft hat MFA für Admin-Zugänge zum Azure-Portal inzwischen verpflichtend gemacht; ein Hinweis darauf, wohin die Reise generell geht.
Ein häufig übersehener Bereich sind Dienst- und Funktionskonten sowie ältere Anmeldewege, die kein modernes MFA unterstützen — etwa veraltete Mail-Protokolle. Solche Altlasten bieten Angreifern ein Schlupfloch, an dem die eigentlich gut gemeinte Absicherung vorbeiläuft. Deshalb gehört zur MFA-Einführung immer auch das gezielte Abschalten dieser Legacy-Zugänge. Erst wenn der letzte ungeschützte Pfad geschlossen ist, entfaltet MFA ihre volle Wirkung.
Nicht jeder zweite Faktor ist gleich gut. Die Bestätigung per SMS ist besser als gar nichts, gilt aber als angreifbar — etwa durch SIM-Swapping, also das Übernehmen der Rufnummer, oder das Abfangen der Nachricht. Das BSI und das US-Institut NIST raten deshalb von SMS als alleinigem zweiten Faktor ab, wo bessere Alternativen verfügbar sind.
Eine Stufe darüber stehen App-basierte Einmalcodes (TOTP), die alle 30 Sekunden wechseln. Sie sind solide, lassen sich aber noch über gefälschte Login-Seiten abgreifen, weil der Nutzer den Code selbst eintippt. Noch robuster sind App-Verfahren mit Push-Bestätigung und Zahlenabgleich, die im Alltag genauso bequem sind. Die aktuell sicherste und zugleich komfortabelste Variante sind Passkeys auf Basis des FIDO2-Standards. Sie kommen ganz ohne Passwort aus und sind technisch gegen Phishing geschützt, weil sie kryptografisch an die echte Anmeldeseite gebunden sind. Damit fällt eine ganze Klasse von Angriffen schlicht weg.
Eine Sonderrolle spielen Hardware-Sicherheitsschlüssel — kleine USB- oder NFC-Token nach demselben FIDO2-Standard. Sie gelten als das Maß der Dinge für besonders kritische Zugänge, etwa für Administratoren oder die Geschäftsführung, weil sie sich weder kopieren noch aus der Ferne stehlen lassen. Der zweite Faktor existiert dann ausschließlich als physischer Gegenstand in der Hand des Berechtigten.
Welches Verfahren für Sie am besten passt, hängt von Ihren Diensten und Ihrem Sicherheitsbedarf ab. Bei implec beraten wir Sie dazu und richten die Verfahren so ein, dass Schutz und Praxistauglichkeit zusammenpassen. Für besonders schützenswerte Konten empfehlen wir phishing-resistente Verfahren wie Passkeys oder Hardware-Schlüssel, für den Rest der Belegschaft eine komfortable App-Lösung.
Der Schlüssel liegt in der Vorbereitung. Bevor MFA scharf geschaltet wird, sollten die Mitarbeitenden wissen, was auf sie zukommt, und die App in Ruhe einrichten können. Eine kurze Anleitung und ein fester Ansprechpartner nehmen die Unsicherheit, bevor sie entsteht. Begleitend lohnt sich eine kurze Awareness-Schulung — denn MFA und ein wacher Blick für Phishing greifen ineinander.
Wir empfehlen einen schrittweisen Rollout: erst die kritischen Admin-Konten, dann die übrigen Nutzer. So bleibt der Aufwand überschaubar und der Schutzgewinn ist sofort dort am größten, wo das Risiko am höchsten ist. Für Sonderfälle wie ein verlorenes Smartphone planen wir Ersatzverfahren ein, damit niemand ausgesperrt wird — etwa hinterlegte Wiederherstellungscodes oder ein zweites registriertes Gerät.
Bei implec begleiten wir diesen Übergang so, dass er im Alltag kaum auffällt. Aus einer gefühlten Hürde wird so eine selbstverständliche Routine — und Ihr Unternehmen ist gegen Kontoübernahmen deutlich besser geschützt. Wenn Sie wissen möchten, wo Ihre Zugänge heute stehen, melden Sie sich gern über die Kontaktseite.
Eine pauschale gesetzliche MFA-Pflicht für alle Unternehmen gibt es in Deutschland nicht — wohl aber wird MFA über mehrere Wege faktisch verbindlich. Die NIS2-Richtlinie nennt Multi-Faktor-Authentifizierung in ihrem Maßnahmenkatalog ausdrücklich; betroffene Unternehmen müssen sie umsetzen, sonst drohen empfindliche Bußgelder.
Hinzu kommt die DSGVO: Sie verlangt „dem Risiko angemessene“ technische und organisatorische Maßnahmen. Wo personenbezogene Daten von außen erreichbar sind, gilt MFA längst als Stand der Technik — fehlt sie nach einem Datenleck, kann das die Bußgeldhöhe erhöhen. Auch Cyber-Versicherungen machen MFA inzwischen regelmäßig zur Vertragsvoraussetzung.
Unabhängig von der formalen Pflicht spricht die Wirksamkeit für sich. Eine Maßnahme, die über 99 Prozent automatisierter Angriffe blockiert, bei geringem Aufwand und ohne nennenswerte laufende Kosten, gehört in jedes Unternehmen — ganz gleich, ob ein Gesetz sie verlangt oder nicht.
Geschäftsführer bei implec. Schreibt hier über Themen aus dem IT-Alltag des Mittelstands — praxisnah und ohne Buzzword-Bingo.
Alle Beiträge dieses Autors →FAQ
Kurz und konkret beantwortet.
SMS ist besser als nichts, gilt aber als angreifbar — etwa durch SIM-Swapping oder das Abfangen der Nachricht. App-basierte Verfahren mit Push-Bestätigung oder Passkeys sind deutlich sicherer und kaum aufwendiger. BSI und NIST raten von SMS als alleinigem Faktor ab.
In Microsoft 365 ist MFA bereits in den gängigen Plänen enthalten und verursacht keine zusätzlichen Lizenzkosten. Die Einrichtung ist überschaubar, der Schutzgewinn dagegen enorm — kaum eine Maßnahme hat ein besseres Aufwand-Nutzen-Verhältnis.
Über die zentrale Verwaltung lässt sich der zweite Faktor zurücksetzen und neu einrichten. Für solche Fälle planen wir Ersatzverfahren ein — etwa hinterlegte Wiederherstellungscodes oder ein zweites registriertes Gerät —, damit niemand ausgesperrt wird.
Nein. Mit Conditional Access wird MFA vor allem bei riskanten oder ungewohnten Anmeldungen verlangt. Im vertrauten Büronetz mit bekanntem Gerät bleibt der Alltag weitgehend unverändert.
Ja. Passkeys auf Basis des FIDO2-Standards sind kryptografisch an die echte Anmeldeseite gebunden und damit gegen Phishing geschützt. Sie kommen ganz ohne Passwort aus, das gestohlen oder erraten werden könnte, und gelten derzeit als sicherstes alltagstaugliches Verfahren.
Fragen zu Ihrem Projekt?
Ob IT-Sicherheit oder ein anderes Thema — wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist.
Kontakt aufnehmenKostenlose Erstberatung
Unverbindlich und ohne Fachchinesisch. Wählen Sie den Weg, der Ihnen am liebsten ist.
4,7 ★ GoogleAntwort in unter 4 Stundenpersönlich seit 2002
Rückruf anfordern
Innerhalb von 4 Stunden — kostenlos und unverbindlich.
Wir melden uns innerhalb von 4 Stunden bei Ihnen.
