MAllgemein

Multi-Factor Authentication (MFA)

Zusätzlicher Login-Faktor (App/SMS/Token) neben Passwort.
1 Aufrufe

Multi-Factor Authentication (MFA) ist ein Sicherheitsverfahren für Logins, bei dem neben dem Passwort mindestens ein weiterer Nachweis erforderlich ist – zum Beispiel ein Code aus einer Authenticator-App, eine SMS oder ein Hardware-Token. Dadurch wird der Zugriff auf Cloud- und SaaS-Konten deutlich besser geschützt, selbst wenn ein Passwort gestohlen oder erraten wurde.

Was bedeutet Multi-Factor Authentication (MFA)?

„Multi-Factor“ heißt: Mehrere unabhängige Faktoren müssen zusammenpassen. In der Praxis sind das meist zwei (2FA als Sonderfall von MFA). Die Faktoren kommen aus unterschiedlichen Kategorien:

  • Wissen: etwas, das man weiß (z. B. Passwort, PIN)
  • Besitz: etwas, das man hat (z. B. Smartphone-App, SMS, Hardware-Token)
  • Biometrie: etwas, das man ist (z. B. Fingerabdruck, Face ID)

Wichtig ist: MFA ist nicht „noch ein Passwort“, sondern eine zusätzliche Hürde, die Angreifer typischerweise nicht mitgestohlen bekommen.

Wie funktioniert MFA in Cloud & SaaS?

Bei typischen SaaS-Tools (Microsoft 365, Google Workspace, CRM, Buchhaltung, Projektmanagement) läuft MFA meist so ab:

  • 1) Login: Nutzer gibt Benutzername und Passwort ein.
  • 2) MFA-Abfrage: Das System fordert einen zweiten Faktor an.
  • 3) Bestätigung: Nutzer bestätigt z. B. per App-Code (TOTP), Push-Freigabe, SMS-Code oder Hardware-Key (FIDO2/WebAuthn).
  • 4) Zugriff: Erst nach erfolgreicher Prüfung wird der Zugang freigeschaltet.

Viele Anbieter erlauben zusätzlich „vertrauenswürdige Geräte“ oder „Remember me“-Optionen, damit nicht bei jedem Login erneut bestätigt werden muss. Für Admin-Konten sollte man das jedoch sehr restriktiv handhaben.

Warum ist MFA für KMU-Geschäftsführer relevant?

In Cloud & SaaS ist das Benutzerkonto oft der „Hauptschlüssel“ zu E-Mail, Dateien, Kundendaten und Rechnungen. Passwörter werden in der Realität häufig wiederverwendet oder fallen Phishing zum Opfer. MFA reduziert das Risiko von Kontoübernahmen massiv, weil ein Angreifer zusätzlich Zugriff auf das Smartphone/Token oder die Biometrie bräuchte.

Konkrete Business-Auswirkungen, die MFA verhindert oder abmildert:

  • CEO-Fraud & E-Mail-Kompromittierung: Angreifer lesen mit und veranlassen Zahlungen.
  • Ransomware-Einstieg über Cloud-Accounts: Zugriff auf Dateien/Backups wird missbraucht.
  • Datenschutzvorfälle: Unbefugter Zugriff auf personenbezogene Daten (Relevanz für Datenschutz (DSGVO/GDPR) & KI).
  • Ausfallzeiten: Gesperrte Konten, Incident Response, Betriebsunterbrechung.

Welche MFA-Methoden sind sinnvoll (und welche weniger)?

  • Sehr gut: Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn). Hoher Schutz gegen Phishing.
  • Gut: Authenticator-Apps (zeitbasierte Codes/TOTP oder Push). Weit verbreitet und praktikabel.
  • Nur „okay“: SMS-Codes. Besser als gar nichts, aber anfälliger (z. B. SIM-Swapping, Abfangen).

Für KMU ist eine praxistaugliche Empfehlung: Authenticator-App als Standard und Hardware-Key für Admins (z. B. IT-Admin, M365/Google-Admin, Finanz-Admin).

Was kostet MFA?

Oft ist MFA in SaaS-Plänen bereits enthalten (z. B. über die Identitätsverwaltung des Anbieters). Zusätzliche Kosten entstehen typischerweise durch:

  • Lizenz-/Security-Tiers (je nach Anbieter und Funktionen wie Conditional Access)
  • Einführung & Schulung (Aufwand für Rollout, Support, Recovery-Prozesse)
  • Hardware-Keys (einmalig pro Nutzer/Administrator)

Unterm Strich ist MFA meist eine der günstigsten Maßnahmen mit dem größten Sicherheitshebel – besonders in Cloud- und SaaS-Umgebungen.

Zahlen & Fakten

0,0%
weniger KontoübernahmenMulti-Factor Authentication blockiert den Großteil automatisierter Account-Übernahmen und senkt damit besonders für KMU das Risiko durch gestohlene Passwörter deutlich.
0%
Passwortangriffe dominierenEin großer Teil von Sicherheitsvorfällen startet mit kompromittierten oder schwachen Zugangsdaten, weshalb MFA im B2B-Umfeld zu den wirksamsten Basismaßnahmen gehört.
0,0x
höhere SicherheitsreifeKMU mit MFA, zentralem Identity-Management und Rollenrechten erkennen und begrenzen Zugriffsrisiken im Schnitt deutlich schneller als Unternehmen nur mit Passwortschutz.

Anwendungsfälle in der Praxis

Finanzen
MFA für den sicheren Zugriff auf Cloud-Buchhaltung einführen
Ein KMU kann den Zugang zu Buchhaltungs- und Banking-Tools zusätzlich mit Authenticator-App oder Hardware-Token absichern, damit gestohlene Passwörter nicht direkt zu finanziellen Schäden führen. Besonders bei externen Steuerberatern, Geschäftsführung und Mitarbeitenden mit Zahlungsfreigaben reduziert MFA das Risiko von Kontoübernahmen und unberechtigten Transaktionen deutlich.

Bist du bereit für Multi-Factor Authentication (MFA)?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Hast du für wichtige Konten bereits einen zusätzlichen Login-Faktor neben dem Passwort aktiviert?
Nutzt du für MFA bevorzugt eine Authenticator-App oder einen Hardware-Token statt nur SMS?
Ist MFA bei euch für E-Mail, VPN, Cloud-Dienste oder andere kritische Zugänge verbindlich eingeführt?
Gibt es bei euch klare Prozesse für Backup-Codes, Gerätewechsel und den sicheren Wiederherstellungszugang?
Überprüfst du regelmäßig, ob MFA konsequent genutzt wird und ob Ausnahmen oder Risiken dokumentiert sind?

Ist dein Login schon sicher genug – oder fehlt noch der zweite Faktor?

Multi-Factor Authentication (MFA) schützt dein Unternehmen deutlich besser als ein Passwort allein – aber nur, wenn sie sauber in deine bestehende Tool-Landschaft eingebunden ist. Im Tech-Gutachten prüfe ich, welche Systeme bereits MFA unterstützen, wo Sicherheitslücken bestehen und welche Lösungen für dein Team praktikabel sind. So erkennst du schnell, welche Zugänge besser abgesichert werden müssen und welche Tools dabei unnötig kompliziert oder riskant sind. Das Ergebnis ist ein klarer Maßnahmenplan, mit dem du Sicherheit erhöhst, ohne den Arbeitsalltag auszubremsen.

Häufig gestellte Fragen

Was ist Multi-Factor Authentication (MFA)?
MFA ist ein Login-Schutz, bei dem neben dem Passwort mindestens ein weiterer Faktor nötig ist, z. B. ein App-Code, SMS-Code oder Hardware-Token. Damit bleibt ein Konto oft sicher, selbst wenn das Passwort kompromittiert wurde.