Ein Passwort wird gestohlen. Per Phishing, per Datenleck, per Brute Force. Der Angreifer meldet sich an. Kein zweiter Faktor, keine Hürde. Innerhalb von Minuten hat er Zugriff auf E-Mails, Kundendaten, Cloud-Speicher.
Das passiert nicht nur Großkonzernen. Das passiert Handwerksbetrieben, Agenturen, Arztpraxen. Jeden Tag.
Zwei-Faktor-Authentifizierung verhindert genau dieses Szenario. Ein gestohlenes Passwort allein reicht nicht mehr aus. Der Angreifer bräuchte zusätzlich Ihr Smartphone, Ihren Sicherheitsschlüssel oder Ihren Fingerabdruck.
Dieser Artikel zeigt Ihnen, wie Sie 2FA in Ihrem Unternehmen einrichten – Schritt für Schritt, mit konkreten Empfehlungen für KMU.
Bei der Zwei-Faktor-Authentifizierung (2FA) benötigen Sie für die Anmeldung zwei unterschiedliche Nachweise. Der erste Faktor ist Ihr Passwort – etwas, das Sie wissen. Der zweite Faktor ist etwas, das Sie besitzen (Smartphone, Hardware-Schlüssel) oder das Ihnen eigen ist (Fingerabdruck, Gesichtserkennung).
Multi-Faktor-Authentifizierung (MFA) ist der Oberbegriff und kann auch mehr als zwei Faktoren umfassen. In der Praxis sind 2FA und MFA für KMU weitgehend gleichbedeutend.
Das Prinzip ist einfach: Selbst wenn ein Angreifer Ihr Passwort kennt, fehlt ihm der zweite Faktor. Ohne diesen kommt er nicht in Ihr Konto.
Nicht jede Methode bietet den gleichen Schutz. Diese Übersicht hilft Ihnen bei der Auswahl:
| Methode | Sicherheit | Kosten | Bedienung | Phishing-resistent | Empfehlung |
|---|---|---|---|---|---|
| SMS-Code | Niedrig | Keine | Sehr einfach | Nein | Nur als Fallback |
| TOTP-App (z. B. Microsoft Authenticator) | Mittel | Keine | Einfach | Nein | Guter Einstieg |
| Push-Benachrichtigung | Mittel | Keine | Sehr einfach | Nein | Komfortabel, aber MFA-Fatigue-Risiko |
| FIDO2/Passkeys (z. B. YubiKey) | Sehr hoch | 25–50 € pro Key | Einfach | Ja | Beste Wahl für kritische Systeme |
SMS-Codes sind besser als nichts, aber anfällig für SIM-Swapping und Abfangen. Das BSI stuft SMS-basierte 2FA als unsicher ein.
TOTP-Apps wie Microsoft Authenticator oder Google Authenticator generieren alle 30 Sekunden einen neuen Code. Sie funktionieren offline und sind für die meisten KMU der beste Einstieg.
Push-Benachrichtigungen sind bequem: Sie tippen auf “Bestätigen” statt einen Code einzugeben. Aber Angreifer nutzen sogenannte MFA-Fatigue-Angriffe – sie senden so lange Anfragen, bis jemand genervt auf “Bestätigen” tippt.
FIDO2-Sicherheitsschlüssel und Passkeys sind die sicherste Methode. Die Authentifizierung ist an die jeweilige Domain gebunden. Eine gefälschte Anmeldeseite wird vom Schlüssel automatisch erkannt. Die FIDO Alliance entwickelt diesen offenen Standard.
Microsoft 365, Google Workspace und alle Cloud-Speicher sollten als Erstes abgesichert werden. Hier liegen die sensibelsten Daten, und die Aktivierung dauert pro Nutzer nur wenige Minuten. Seit Januar 2025 ist MFA für Microsoft 365 ohnehin Pflicht.
Zwei-Faktor-Authentifizierung einrichten ist nicht mehr freiwillig. Gleich mehrere Regelwerke machen MFA zur Anforderung:
DSGVO (Art. 32): Unternehmen müssen “geeignete technische und organisatorische Maßnahmen” zum Schutz personenbezogener Daten treffen. MFA gehört nach dem aktuellen Stand der Technik dazu. Bei einer Datenpanne ohne aktivierte 2FA wird es schwer, angemessene Schutzmaßnahmen nachzuweisen.
NIS2-Richtlinie: Seit der deutschen Umsetzung fordert NIS2 explizit MFA für alle Zugänge mit erhöhtem Risiko. Rund 29.500 Unternehmen in Deutschland sind direkt betroffen – viele davon KMU als Zulieferer.
Cyberversicherung: Die meisten Versicherer setzen MFA mittlerweile als Bedingung für den Versicherungsschutz voraus. Ohne 2FA kein Vertrag – oder deutlich höhere Prämien.
Wer heute noch auf Zwei-Faktor-Authentifizierung verzichtet, riskiert nicht nur einen Angriff. Er riskiert auch Bußgelder, Haftungsansprüche und den Verlust des Versicherungsschutzes.
Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.
Nils OehmichenDatenschutzberater bei frag.hugo
Genau das erleben wir bei der 2FA-Einführung immer wieder. Die Technik ist selten das Problem. Die Unsicherheit der Mitarbeitenden ist es. “Was passiert, wenn ich mein Handy verliere?” – “Muss ich mein privates Smartphone nutzen?” – “Was, wenn der Code nicht funktioniert?”
Diese Fragen sind berechtigt. Und sie brauchen klare Antworten, bevor Sie den Rollout starten. Wer seine Mitarbeitenden mitnimmt, hat die Einführung in zwei Wochen abgeschlossen. Wer es einfach verordnet, kämpft monatelang mit Workarounds und Widerstand.
Selbst aktivierte 2FA schützt nicht vor allen Angriffen. Adversary-in-the-Middle-Angriffe (AiTM) können Session-Tokens stehlen und klassische MFA per App oder SMS umgehen. Wir haben das bei einem unserer Kunden erlebt – Microsoft-365-Konto kompromittiert trotz aktivierter MFA.
Deshalb gilt: 2FA ist eine der wichtigsten Schutzmaßnahmen, aber nicht die einzige. Sie gehört in ein umfassendes IT-Sicherheitskonzept, ergänzt durch Mitarbeiterschulungen, Conditional Access und einen Incident-Response-Plan. Und wer kritische Systeme schützen will, sollte auf phishing-resistente Verfahren wie FIDO2 setzen.
Auch Ransomware-Angriffe beginnen häufig mit einem kompromittierten Konto ohne zweiten Faktor. MFA ist hier die erste Verteidigungslinie.
MFA einführen – aber richtig
Wir beraten Sie bei der Auswahl und Einführung von 2FA – passend zu Ihrer IT-Landschaft.
IT-Sicherheitsberatung anfragen →Viele Hamburger KMU stehen als Zulieferer der Hafen- und Logistikbranche unter NIS2-Druck. Ihre Auftraggeber verlangen MFA-Nachweise — oft kurzfristig. Wir unterstützen Unternehmen in der Metropolregion Hamburg bei der 2FA-Einführung: von der Methodenauswahl bis zur Mitarbeiterschulung vor Ort. Mehr erfahren Sie bei unserer IT-Sicherheitsberatung in Hamburg.
2FA (Zwei-Faktor-Authentifizierung) nutzt genau zwei Faktoren zur Anmeldung, z. B. Passwort plus App-Code. MFA (Multi-Faktor-Authentifizierung) ist der Oberbegriff und umfasst zwei oder mehr Faktoren. In der Praxis werden die Begriffe oft synonym verwendet.
Authenticator-Apps (z. B. Microsoft Authenticator, Google Authenticator) bieten das beste Verhältnis aus Sicherheit und Aufwand. SMS-Codes sind besser als nichts, aber anfälliger für SIM-Swapping. Hardware-Keys wie YubiKey bieten die höchste Sicherheit.
Die DSGVO schreibt 2FA nicht explizit vor, nennt aber den Stand der Technik als Maßstab für Schutzmaßnahmen (Art. 32). Aufsichtsbehörden und Cyberversicherer betrachten 2FA mittlerweile als Standard. NIS2 fordert MFA sogar ausdrücklich.
Beginnen Sie mit den kritischsten Zugängen: E-Mail-Konten, Cloud-Speicher, Buchhaltungssoftware und VPN-Zugänge. Danach folgen Admin-Zugänge zu Website, Social Media und allen Systemen mit personenbezogenen Daten.
Richten Sie vorab einen Wiederherstellungsprozess ein: Recovery-Codes sicher hinterlegen, Admin-Zugang für Resets vorhalten und eine Backup-Methode konfigurieren. Ohne Notfallplan kann ein verlorenes Gerät den Zugang dauerhaft blockieren.
Inhaltsverzeichnis
Cyberversicherung für KMU — Kosten, Anforderungen der Versicherer und welche IT-Sicherheit Sie brauchen. Praxisleitfaden für kleine und mittlere Unternehmen.
WeiterlesenBusiness Continuity Management für KMU: BCM-Plan in 6 Schritten erstellen, NIS2-Pflichten erfüllen und Ausfallzeiten minimieren.
WeiterlesenIst E-Mail-Verschlüsselung Pflicht? Wann die DSGVO TLS oder Ende-zu-Ende fordert – mit Praxis-Checkliste für Hamburger Unternehmen.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
