Start Aktuelles MFA richtig einführen
Alle Artikel
Security

Multi-Faktor-Authentifizierung richtig einführen

MFA ist die wichtigste Einzelmaßnahme gegen Accountübernahmen. Aber nicht alle Methoden sind gleich sicher - und die Einführung will geplant sein. Wir zeigen, wie es richtig geht.

9. April 2026
16 Min. Lesezeit
99,9%
Angriffe blockiert
81%
Breaches via Credentials
4-6
Wochen Rollout
0
EUR für Authenticator

MFA blockiert 99,9% aller Account-Kompromittierungsversuche. Dennoch nutzen viele Unternehmen es nicht - oder nutzen unsichere Methoden wie SMS. Zeit, das zu ändern.

Warum MFA unverzichtbar ist

Passwörter allein schützen nicht mehr. Egal wie komplex, egal wie oft gewechselt - in einer Welt von Phishing, Credential Stuffing und Data Breaches sind Passwörter ein Einfalltortor. Die Zahlen sprechen eine klare Sprache:

  • 81% aller Datenverletzungen gehen auf kompromittierte Zugangsdaten zurück
  • 15 Milliarden gestohlene Credentials sind im Dark Web verfügbar
  • 65% der Menschen nutzen dasselbe Passwort für mehrere Accounts
  • 99,9% aller automatisierten Angriffe werden durch MFA gestoppt

Microsoft-Studie: Accounts mit aktivem MFA werden 99,9% seltener kompromittiert als Accounts ohne MFA. Keine andere Einzelmaßnahme bietet einen vergleichbaren Schutz.

MFA-Methoden im Vergleich

Nicht alle MFA-Methoden bieten denselben Schutz. Hier ein ehrlicher Vergleich:

SMS-Codes
Vermeiden

SMS-basierte MFA war der erste Standard, ist aber heute veraltet und unsicher. SIM-Swapping-Angriffe, SS7-Schwachstellen und Social Engineering machen SMS zu einem schwachen Faktor.

Vorteile
  • Einfache Einrichtung
  • Kein App-Download nötig
  • Funktioniert auf jedem Handy
Nachteile
  • SIM-Swapping-anfällig
  • SS7-Schwachstellen
  • Kein Phishing-Schutz
  • Netzabhängig
Authenticator Apps (TOTP)
Empfohlen

Authenticator Apps wie Microsoft Authenticator, Google Authenticator oder Authy generieren zeitbasierte Einmalcodes (TOTP). Deutlich sicherer als SMS und kostenlos verfügbar.

Vorteile
  • Funktioniert offline
  • Kostenlos
  • Breit unterstützt
  • Nicht SIM-Swapping-anfällig
Nachteile
  • Codes können gephisht werden
  • Smartphone erforderlich
  • Backup-Strategie nötig
Push-Benachrichtigungen
Empfohlen

Push-basierte MFA (z.B. Microsoft Authenticator mit Number Matching) ist benutzerfreundlich und bietet zusätzlichen Phishing-Schutz durch Number Matching.

Vorteile
  • Sehr benutzerfreundlich
  • Number Matching gegen Phishing
  • Kontextinfos (Standort, App)
  • Kein Code abtippen
Nachteile
  • MFA Fatigue-Angriffe möglich
  • Internetverbindung nötig
  • Smartphone erforderlich
Hardware Security Keys (FIDO2)
Höchste Sicherheit

FIDO2-kompatible Hardware Keys (YubiKey, Google Titan, Feitian) bieten die höchste Sicherheit. Sie sind phishing-resistent und funktionieren ohne Smartphone.

Vorteile
  • Phishing-resistent
  • Kein Smartphone nötig
  • Funktioniert offline
  • Passwordless möglich
Nachteile
  • Kosten (25-70 EUR/Key)
  • Kann verloren gehen
  • Nicht überall unterstützt

MFA Fatigue: Angreifer bombardieren Opfer mit Push-Anfragen, bis sie entnervt zustimmen. Aktivieren Sie daher immer Number Matching und setzen Sie Limits für fehlgeschlagene MFA-Versuche.

Sicherheitsvergleich auf einen Blick

Methode Phishing-Schutz Benutzerfreundlichkeit Kosten Empfehlung
SMS
Kostenlos Vermeiden
TOTP (Authenticator)
Kostenlos Standard
Push + Number Match
Kostenlos Empfohlen
FIDO2 Hardware Key
25-70 EUR Privilegierte User

Praktische Einführung: Der 6-Wochen-Plan

Eine erfolgreiche MFA-Einführung erfordert mehr als nur das Aktivieren eines Schalters. Hier ist ein bewährter Rollout-Plan:

1

Woche 1-2: Planung & Kommunikation

Stakeholder einbinden, MFA-Strategie definieren, Ausnahmen identifizieren (Legacy-Systeme, Service Accounts), Kommunikationsplan erstellen. Mitarbeiter frühzeitig informieren.

2

Woche 2-3: Pilotphase

MFA für IT-Team und Early Adopters aktivieren. Probleme identifizieren und lösen. Dokumentation und FAQ erstellen. Support-Team schulen.

3

Woche 3-4: Abteilungsweiser Rollout

Schrittweise Aktivierung für weitere Abteilungen. Hands-on-Schulungen anbieten. Helpdesk bereithalten. Feedback sammeln und Prozesse anpassen.

4

Woche 4-5: Unternehmensweite Aktivierung

MFA für alle Benutzer verpflichtend machen. Grace Period für Nachzuegler. Monitoring der Adoption-Rate. Eskalation bei Verweigerern.

5

Woche 5-6: Haertung & Legacy

SMS-MFA deaktivieren (falls noch aktiv). Conditional Access Policies verfeinern. Legacy-Systeme mit App-Passwords oder Workarounds absichern. Documentation finalisieren.

Häufige Probleme und Lösungen

Problem: Mitarbeiter verlieren ihr Smartphone

Lösung: Recovery-Optionen vorbereiten. Jeder Benutzer sollte Backup-Codes generieren und sicher aufbewahren. Alternativ: Zwei Hardware Keys ausgeben. Self-Service-Reset über verifizierte private E-Mail oder Helpdesk mit starker Identitätsprüfung.

Problem: Legacy-Anwendungen unterstützen kein MFA

Lösung: App-Passwords für einzelne Anwendungen (zeitlich begrenzt). Besser: Anwendung hinter Identity-Aware Proxy stellen oder durch moderne Alternative ersetzen. Legacy-Apps dokumentieren und Migration planen.

Problem: Mitarbeiter beschweren sich über Aufwand

Lösung: Trusted Locations und Trusted Devices konfigurieren. Im Büro und auf verwalteten Geräten seltener MFA-Prompts. Die Erfahrung zeigt: Nach 2 Wochen ist MFA für die meisten Normalität.

Problem: Service Accounts

Lösung: Service Accounts sollten keine interaktiven Logins haben. Stattdessen: Managed Identities, Zertifikatsbasierte Auth oder Secrets Management. Falls MFA für Service Accounts nötig: Dedicated Hardware Keys.

Best Practice: Kombinieren Sie MFA mit Conditional Access. Beispiel: Auf verwalteten Geräten im Firmennetzwerk nur alle 14 Tage MFA, von unbekannten Geräten oder Standorten bei jedem Login.

Passwordless: Die Zukunft der Authentifizierung

Der logische nächste Schritt nach MFA ist Passwordless Authentication. Dabei ersetzt ein starker zweiter Faktor das Passwort komplett:

  • Windows Hello for Business: Biometrie oder PIN ersetzt Passwort auf Windows-Geräten
  • FIDO2 Security Keys: Hardware Key als einziger Faktor
  • Microsoft Authenticator Passwordless: Push-Notification mit Number Matching ohne Passwort
  • Passkeys: Der neue Standard von Apple, Google und Microsoft für plattformübergreifende passwordless Auth

Schrittweise Migration: Passwordless ist das Ziel, aber beginnen Sie mit MFA. Erst wenn MFA stabil läuft und akzeptiert ist, können Sie schrittweise auf Passwordless migrieren.

MFA Implementierungs-Checkliste
MFA-Methode ausgewählt (nicht SMS!)
Rollout-Plan mit Timeline erstellt
Mitarbeiter frühzeitig informiert
Schulungsmaterial vorbereitet
Recovery-Prozess definiert
Legacy-Apps identifiziert
Helpdesk geschult
Conditional Access konfiguriert
Number Matching aktiviert
Admin-Accounts mit Hardware Keys

Fazit: Kein Weg führt an MFA vorbei

MFA ist keine Option, sondern Pflicht. Die gute Nachricht: Die Einführung ist einfacher als gedacht, die Kosten sind minimal (oft null), und der Sicherheitsgewinn ist enorm. 99,9% weniger Account-Kompromittierungen - das ist ein ROI, den Sie nirgendwo sonst bekommen.

Beginnen Sie heute. Aktivieren Sie MFA zuerst für Admin-Accounts und externe Zugriffe. Dann rollen Sie schrittweise aus. In 6 Wochen kann Ihr gesamtes Unternehmen geschützt sein.

Wir bei HostSpezial unterstützen Sie bei der MFA-Strategie und Implementierung - von der Auswahl der richtigen Methode bis zum Change Management.

MFA Assessment & Implementierung

Wir analysieren Ihre aktuelle Authentifizierung und entwickeln eine massgeschneiderte MFA-Strategie.

Beratung anfragen

Weitere Artikel zum Thema

Security

Zero Trust Security für den Mittelstand

MFA ist nur der Anfang - das vollständige Konzept.
Security

Incident Response Plan

Vorbereitung auf den Ernstfall - Security-Incidents richtig managen.
Microsoft 365

Microsoft 365 absichern

MFA und weitere Sicherheitseinstellungen für M365.