Multi-Faktor-Authentifizierung im Unternehmen – So schützen Sie Ihre Zugänge

Inhalt in Kürze

• Multi-Faktor-Authentifizierung (MFA) schützt Unternehmenskonten selbst dann, wenn Passwörter gestohlen werden.
• Laut Bitkom setzen erst 25 % der deutschen Unternehmen erweiterte Authentifizierung ein -- das NIS-2-Umsetzungsgesetz macht MFA bald zur Pflicht.
• Die Einführung gelingt in fünf Schritten: Bestandsaufnahme, Methodenwahl, Pilotphase, Rollout, Monitoring.
• Authenticator-Apps bieten KMU das beste Verhältnis aus Sicherheit und Aufwand.

Ein gestohlenes Passwort reicht. Eine Phishing-Mail, ein schwaches Kennwort, ein Datenleck bei einem Dienstleister -- und Angreifer sitzen in Ihrem System. Laut BSI-Lagebericht 2025 ist die Zahl neu entdeckter Schwachstellen um 24 % gestiegen. Multi-Faktor-Authentifizierung (MFA) ist die wirksamste Gegenmaßnahme. Trotzdem nutzen laut Bitkom nur 25 % der Unternehmen erweiterte Authentifizierung.

Dieser Artikel zeigt, wie Sie MFA in Ihrem Unternehmen einführen -- praxisnah und ohne Fachchinesisch.

Was ist Multi-Faktor-Authentifizierung?

MFA bedeutet: Sie melden sich nicht nur mit Benutzername und Passwort an, sondern zusätzlich mit einem zweiten (oder dritten) Faktor. Die drei Kategorien:

Erst die Kombination macht den Schutz aus. Selbst wenn ein Angreifer Ihr Passwort kennt, braucht er zusätzlich Ihr Smartphone oder Ihren Fingerabdruck.

MFA-Methoden im Vergleich: Was passt zu Ihrem KMU?

Nicht jede MFA-Methode eignet sich gleich gut. Hier ein praxisorientierter Vergleich:

SMS-Code: Einfach, aber unsicher. SIM-Swapping und Phishing machen SMS-Codes angreifbar. Das BSI stuft SMS als schwächstes 2FA-Verfahren ein.

Authenticator-App: Zeitbasierte Einmalcodes (TOTP) aus Apps wie Microsoft Authenticator oder Google Authenticator. Kostenlos, sicher und auf jedem Smartphone nutzbar. Unsere Empfehlung für KMU.

Hardware-Token (FIDO2/YubiKey): Höchste Sicherheit, komplett phishing-resistent. Ideal für Admins und Geschäftsführung, aber teurer in der Anschaffung (ab ca. 25 EUR pro Gerät).

Biometrie: Fingerabdruck oder Gesichtserkennung als zusätzlicher Faktor. Komfortabel, setzt aber geeignete Hardware voraus.

Warum MFA nicht nur nice-to-have ist: DSGVO und NIS-2

MFA ist längst keine freiwillige Kür mehr. Zwei Regelwerke machen den Druck deutlich:

DSGVO (Art. 32): Unternehmen müssen technische und organisatorische Maßnahmen nach dem „Stand der Technik" umsetzen. MFA gilt inzwischen als genau das. Fehlt MFA und es kommt zu einer Datenpanne, bewerten Aufsichtsbehörden das als Versäumnis -- mit Bußgeldern bis zu 4 % des Jahresumsatzes.

NIS-2-Umsetzungsgesetz: Für wichtige und besonders wichtige Einrichtungen wird MFA explizit zur Pflicht. Und auch KMU, die als Zulieferer in Lieferketten eingebunden sind, bekommen die Anforderung indirekt zu spüren.

Wir sehen das bei unseren Mandanten regelmäßig: Große Auftraggeber fragen inzwischen gezielt nach MFA, bevor sie einen Vertrag unterschreiben. Ein externer Datenschutzbeauftragter hilft Ihnen, beide Anforderungen sauber umzusetzen. Welche technischen und organisatorischen Maßnahmen die DSGVO verlangt, erklärt unser Artikel zu TOM im Datenschutz.

MFA einführen: 5 Schritte für Ihr Unternehmen

1. Bestandsaufnahme: Listen Sie alle Systeme mit Login auf -- E-Mail, Cloud-Dienste, ERP, Fileserver, VPN. Priorisieren Sie nach Risiko: Wo liegen personenbezogene Daten oder Finanzdaten?
2. Methode wählen: Für die meisten KMU ist eine Authenticator-App der richtige Start. Prüfen Sie, ob Ihre Systeme TOTP oder FIDO2 unterstützen (Microsoft 365, Google Workspace und fast alle Cloud-Dienste tun das).
3. Pilotphase: Starten Sie mit der IT-Abteilung und der Geschäftsführung. Sammeln Sie Erfahrungen, dokumentieren Sie Probleme und erstellen Sie eine kurze Anleitung für die Einrichtung.
4. Rollout: Schulen Sie alle Mitarbeiter in kurzen Workshops (30 Minuten reichen). Zeigen Sie die Einrichtung live am Beamer. Bieten Sie einen Ansprechpartner für die ersten Tage.
5. Monitoring und Pflege: Überwachen Sie die MFA-Nutzung. Legen Sie ein Verfahren für verlorene Geräte fest (Backup-Codes, Notfall-Kontakt IT). Überprüfen Sie die MFA-Richtlinie halbjährlich.

Aus der Praxis: Warum Schulung den Unterschied macht

Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.

Nils OehmichenDatenschutzberater bei frag.hugo

Die größte Hürde bei MFA ist selten die Technik -- es ist die Akzeptanz. Mitarbeiter empfinden den zweiten Faktor als lästig, solange sie den Nutzen nicht verstehen. Ein paar Praxis-Tipps:

• Erklären Sie das Warum: Zeigen Sie ein reales Phishing-Beispiel. Wenn Mitarbeiter sehen, wie schnell Passwörter gestohlen werden, steigt die Einsicht.
• Machen Sie es einfach: Push-Benachrichtigungen am Smartphone statt Codes abtippen. Je weniger Aufwand, desto höher die Akzeptanz.
• Feiern Sie den Erfolg: Nach dem Rollout eine kurze Info an alle: „Seit dieser Woche sind unsere Konten deutlich besser geschützt. Danke an alle!"

Mehr zum Thema Mitarbeitersensibilisierung lesen Sie in unserem Artikel über Phishing-Mails im Unternehmen.

Häufige Fehler bei der MFA-Einführung

Auch bei MFA gibt es Stolperfallen. Die drei häufigsten:

1. MFA nur für E-Mail aktivieren: Viele Unternehmen schützen Outlook, vergessen aber VPN, Cloud-Speicher und Admin-Zugänge. MFA muss überall greifen, wo Unternehmensdaten zugänglich sind.

2. Keine Backup-Strategie: Was passiert, wenn ein Mitarbeiter sein Smartphone verliert? Ohne Backup-Codes oder Recovery-Verfahren sitzt er vor verschlossener Tür. Legen Sie vorher ein Notfallverfahren fest.

3. Ausnahmen für die Geschäftsführung: Gerade Führungskräfte sind beliebte Ziele für gezielte Angriffe (CEO Fraud). Ausnahmen bei MFA sind hier besonders gefährlich.

Ihr nächster Schritt

Häufige Fragen (FAQ)

Was ist Multi-Faktor-Authentifizierung (MFA)?

MFA ist ein Sicherheitsverfahren, bei dem sich Nutzer mit mindestens zwei unabhängigen Faktoren anmelden: etwas, das sie wissen (Passwort), besitzen (Smartphone, Token) oder sind (Fingerabdruck). So wird unbefugter Zugriff selbst bei geknacktem Passwort verhindert.

Ist MFA nach der DSGVO Pflicht?

Die DSGVO schreibt MFA nicht wörtlich vor. Art. 32 DSGVO verlangt jedoch technische Maßnahmen nach dem Stand der Technik. Behörden und Gerichte werten MFA zunehmend als Standard. Das NIS-2-Umsetzungsgesetz macht MFA für betroffene Einrichtungen explizit zur Pflicht.

Welche MFA-Methode eignet sich für KMU?

Authenticator-Apps wie Microsoft Authenticator oder Google Authenticator bieten das beste Verhältnis aus Sicherheit und Aufwand. Sie sind kostenlos, laufen auf jedem Smartphone und deutlich sicherer als SMS-Codes.

Was kostet die Einführung von MFA im Unternehmen?

Softwarebasierte MFA-Lösungen (Authenticator-Apps) sind in der Regel kostenlos. Die Hauptkosten entstehen durch Einrichtungszeit und Mitarbeiterschulung. Für ein KMU mit 50 Mitarbeitern ist die Einführung oft an einem Tag erledigt.

Wie schaffe ich Akzeptanz bei den Mitarbeitern?

Kommunizieren Sie den Grund offen, schulen Sie praxisnah und starten Sie mit einem Pilotteam. Wenn Mitarbeiter verstehen, warum MFA sie und das Unternehmen schützt, steigt die Akzeptanz schnell. Mehr dazu in unserem Artikel zu IT-Sicherheitskonzepten für KMU.