MFA im Unternehmen einführen: Pflicht, Tools & Anleitung
MFA im Unternehmen einführen: Wo 2FA Pflicht ist (NIS2, Cyberversicherung, TOMs), welche Verfahren sicher sind und ein Rollout-Plan für Hamburger KMU.
Inhalt in Kürze
- MFA blockiert laut Microsoft mehr als 99,2 % der automatisierten Kontoübernahme-Angriffe — die einzelne wirksamste Maßnahme gegen Phishing und Passwort-Diebstahl.
- Pflicht wird MFA über drei Hebel: NIS2 (Art. 21 Abs. 2 lit. j) verlangt sie ausdrücklich, Cyberversicherungen machen sie zur Bedingung, und als TOM nach Art. 32 DSGVO ist sie Stand der Technik.
- Nicht jedes Verfahren ist gleich gut: SMS ist wegen SIM-Swapping schwach, Authenticator-Apps sind solide, FIDO2-Token und Passkeys sind phishing-resistent und damit Goldstandard.
- Erfolg entscheidet sich am Rollout: gestuft statt Big Bang, mit Pilotgruppe, Number Matching gegen Push-Bombing, Notfall-Codes und einem Glasbruch-Konto, das Sie nie aussperrt.
Stand: Juni 2026 · Autor: Jens Hagel · Lesezeit: 11 Minuten
Ein Passwort allein hält keinen ernsthaften Angreifer mehr auf. Phishing-Mails sehen heute echt aus, Zugangsdaten landen tausendfach in Leaks, und ein gekapertes Microsoft-365-Konto reicht, um Rechnungen umzuleiten oder Ransomware ins Netz zu tragen. Multi-Faktor-Authentifizierung (MFA, im Alltag oft 2FA genannt) ist die einzelne wirksamste Gegenmaßnahme — und für viele Unternehmen längst keine Kür mehr, sondern Pflicht. Dieser Artikel zeigt Ihnen, wo MFA gefordert wird, welche Verfahren wirklich schützen und wie Sie MFA im Unternehmen einführen, ohne dass die Belegschaft rebelliert.
Unsere interessanteste Datenpanne war ein Dienstleister mit nur 15 Mitarbeitern. Der Geschäftsführer bekam eine E-Mail von einem Geschäftspartner — die wirklich von diesem Partner kam. Das Konto des Partners war übernommen worden, weil dort keine MFA aktiv war. So läuft Lieferketten-Risiko in der Praxis: Ein einziges ungeschütztes Konto bei einem Hamburger Zulieferer wird zur Eintrittstür für den Angriff auf den Auftraggeber. Genau deshalb verlangen immer mehr Hamburger Mittelständler MFA-Nachweise von ihren Lieferanten.
Warum MFA die wirksamste Einzelmaßnahme ist
MFA bedeutet, dass für die Anmeldung mindestens zwei Faktoren aus verschiedenen Kategorien zusammenkommen: etwas, das Sie wissen (Passwort), etwas, das Sie haben (Smartphone, Token), oder etwas, das Sie sind (Fingerabdruck, Gesicht). Ein gestohlenes Passwort allein reicht dann nicht mehr.
Die Zahl, die das Thema seit Jahren dominiert, stammt von Microsoft. In der offiziellen Entra-Dokumentation schreibt der Konzern: Untersuchungen zeigen, dass MFA mehr als 99,2 % der Kontokompromittierungs-Angriffe blockieren kann (Microsoft Learn, 2026). Microsoft hat MFA für Azure- und Entra-Anmeldungen deshalb selbst zur Pflicht gemacht.
Der Punkt ist nicht, dass MFA unknackbar wäre — phishing-resistente Verfahren vorausgesetzt, ist sie es nahezu. Der Punkt ist das Verhältnis von Aufwand zu Wirkung. Kaum eine andere Sicherheitsmaßnahme kostet so wenig und verhindert so viel. Wer nur eine einzige Sache anpacken kann, sollte MFA anpacken.
Wo MFA Pflicht ist: NIS2, Cyberversicherung und TOMs
Eine pauschale „Jedes Unternehmen muss MFA”-Vorschrift gibt es im deutschen Recht nicht. Trotzdem geraten KMU von drei Seiten gleichzeitig unter Druck.
NIS2 verlangt MFA ausdrücklich
Die EU-Richtlinie NIS2 nennt MFA als konkrete Risikomanagement-Maßnahme. Art. 21 Abs. 2 lit. j fordert „den Einsatz von Lösungen für Multi-Faktor-Authentifizierung oder kontinuierliche Authentifizierung” sowie gesicherte Sprach-, Video- und Textkommunikation. Das BSI hat dazu ein eigenes Infopaket veröffentlicht (BSI, NIS-2 und MFA).
Wichtig für Hamburger KMU: Auch wenn Ihr Betrieb selbst nicht unter NIS2 fällt, kann die Lieferkette Sie treffen. Wer einem regulierten Unternehmen zuliefert, bekommt dessen Sicherheitsanforderungen vertraglich durchgereicht — und MFA steht dabei fast immer ganz oben. Ob Sie betroffen sind, klären Sie in fünf Minuten mit unserem NIS2-Schnellcheck. Mehr zur Betroffenheit über die Lieferkette lesen Sie in unserem Beitrag NIS2 im Mittelstand.
Cyberversicherungen machen MFA zur Bedingung
Wer eine Cyber-Versicherung abschließt, kommt an MFA nicht mehr vorbei. In den Risikofragebögen ist „MFA für alle Fernzugriffe und privilegierten Konten” inzwischen Standard-Voraussetzung. Fehlt sie, gibt es entweder keine Police — oder im Schadensfall Streit über die Leistung, weil eine vereinbarte Sicherheitsmaßnahme nicht umgesetzt war. Das ist keine Theorie, das erleben Mandanten regelmäßig.
MFA als TOM nach Art. 32 DSGVO
Datenschutzrechtlich ist MFA eine technisch-organisatorische Maßnahme. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Schutzniveau nach Stand der Technik — und MFA für den Zugang zu personenbezogenen Daten gilt heute als genau dieser Stand. Sie gehört damit in Ihre TOM-Dokumentation, die bei jeder AVV-Anlage und jeder Behördenprüfung als Erstes vorgelegt wird.
Kommt es zu einer Datenpanne und stellt sich heraus, dass ein Konto ohne MFA übernommen wurde, fragt der Hamburgische Beauftragte für Datenschutz (HmbBfDI, Ludwig-Erhard-Straße 22) zuerst nach Ihren TOMs. Fehlt MFA, obwohl sie zumutbar gewesen wäre, wird das als Versäumnis gewertet. Das ist der teure Weg, MFA einzuführen.
Die MFA-Verfahren im Vergleich
Nicht jeder zweite Faktor ist gleich viel wert. Der entscheidende Unterschied ist, ob ein Verfahren phishing-resistent ist — also ob ein Angreifer den Faktor über eine gefälschte Login-Seite abfangen und weiterverwenden kann.
| Verfahren | Sicherheit | Komfort | Phishing-resistent? | Empfehlung |
|---|---|---|---|---|
| SMS / TAN | niedrig | hoch | nein (SIM-Swapping) | nur als Notlösung |
| Authenticator-App (TOTP) | mittel-hoch | mittel | bedingt | guter Standard |
| Push mit Number Matching | hoch | hoch | bedingt | empfohlen für die Breite |
| FIDO2 / Hardware-Token | sehr hoch | mittel | ja | für Admins & kritische Konten |
| Passkeys | sehr hoch | hoch | ja | Zielbild, passwortlos |
| Biometrie (lokal) | hoch | sehr hoch | ja (als Entsperrung) | als Faktor auf dem Gerät |
SMS ist das schwächste Glied. Über SIM-Swapping lässt ein Angreifer die Rufnummer auf eine eigene SIM portieren und fängt den Code ab. Besser als gar nichts, aber kein Verfahren, auf das Sie ein Unternehmen aufbauen sollten.
Authenticator-Apps erzeugen einen sechsstelligen Code (TOTP) lokal auf dem Gerät, ganz ohne Mobilfunknetz. Das ist solide und immun gegen SIM-Swapping. Schwachstelle bleibt das Echtzeit-Phishing: Gibt der Nutzer den Code auf einer gefälschten Seite ein, kann der Angreifer ihn in Sekunden weiterreichen.
FIDO2 und Passkeys lösen genau dieses Problem. Sie binden die Anmeldung kryptografisch an die echte Domain. Eine gefälschte Seite bekommt schlicht keine gültige Signatur — der Angriff läuft ins Leere. Das BSI beschreibt die Kryptografie dahinter ausführlich (BSI, Passkeys). Passkeys sind dabei der komfortablere Weg: Sie ersetzen das Passwort komplett, entsperrt per Fingerabdruck oder Gesicht.
Mischen Sie. Für die breite Belegschaft eine Authenticator-App mit Number Matching — günstig, vertraut, sicher genug. Für Administratoren, Geschäftsführung und Konten mit Zugriff auf Finanzen oder Personaldaten zusätzlich FIDO2-Token. Wo Sie können, steigen Sie auf Passkeys um. So bekommen Sie das beste Verhältnis aus Sicherheit, Kosten und Akzeptanz.
Welche Tools? Microsoft, Google, YubiKey, Passkeys
Sie müssen für MFA in den seltensten Fällen etwas Neues kaufen — die Bausteine stecken meist schon in Ihren Lizenzen.
- Microsoft 365 / Entra ID: MFA ist in allen Business-Plänen enthalten, der Microsoft Authenticator ist kostenlos. Das eigentliche Steuerinstrument ist Conditional Access (ab Entra ID P1): Damit erzwingen Sie MFA gezielt — etwa bei Anmeldungen außerhalb des Firmennetzes, von unbekannten Geräten oder für Admin-Rollen. Microsoft liefert eine Anleitung zur MFA-Einrichtung.
- Google Workspace: Bietet die 2-Faktor-Bestätigung über Authenticator, Prompt und Sicherheitsschlüssel. Administratoren können MFA per Richtlinie organisationsweit erzwingen.
- YubiKey & FIDO2-Token: Hardware-Schlüssel verschiedener Hersteller, je nach Modell etwa 30 bis 60 Euro pro Stück. Sinnvoll für privilegierte Konten und als phishing-resistenter zweiter Faktor.
- Passkeys: Werden inzwischen von Microsoft, Google, Apple und vielen Diensten unterstützt. Das Zielbild ist die passwortlose Anmeldung — sicherer und für Nutzer angenehmer als jeder Code.
Wenn Sie Microsoft 365 ohnehin gerade sauber aufsetzen, behandeln Sie MFA und Conditional Access am besten direkt mit. Wie das im Gesamtkontext aussieht, beschreibt unsere Microsoft-365-DSGVO-Checkliste.
MFA einführen: Der Rollout-Plan in 7 Schritten
Der häufigste Fehler ist der Big Bang — MFA über Nacht für alle erzwingen, am Montagmorgen stehen 40 Leute vor verschlossenen Konten und die Hotline glüht. Machen Sie es gestuft.
- Schritt 1 — Kritische Konten inventarisieren: Listen Sie alle Systeme mit Zugriff auf sensible Daten oder Geld: Microsoft 365, ERP, Buchhaltung, VPN, Cloud-Speicher, Admin-Zugänge. Diese kommen zuerst dran.
- Schritt 2 — Verfahren wählen: Authenticator-App für die Breite, FIDO2-Token für Admins und Geschäftsführung. Number Matching aktivieren, SMS nur als Rückfalloption zulassen.
- Schritt 3 — Pilotgruppe testen: Starten Sie mit der IT und ein, zwei aufgeschlossenen Abteilungen. Hier finden Sie die Stolpersteine — Schichtbetrieb, Geräte ohne Smartphone, Außendienst — bevor sie das ganze Haus treffen.
- Schritt 4 — Conditional Access scharfschalten: MFA über Richtlinien erzwingen, zuerst für die kritischen Konten, dann gestuft für alle. Vorher ein Notfallkonto (Break-Glass-Account) anlegen, das von MFA ausgenommen ist — sonst sperren Sie sich selbst aus.
- Schritt 5 — Schulen und kommunizieren: Sagen Sie der Belegschaft vorher, was kommt und warum. Eine Kurzanleitung mit Screenshots und ein fester Termin schlagen jede Überraschung. MFA gehört in Ihr Awareness-Programm.
- Schritt 6 — Recovery- und Notfall-Codes hinterlegen: Jeder Nutzer braucht einen sicheren Wiederherstellungsweg für verlorene oder gewechselte Geräte. Klären Sie den Reset-Prozess, bevor der erste Mitarbeiter sein Handy verliert.
- Schritt 7 — Überwachen und nachsteuern: Behalten Sie Anmeldeprotokolle und fehlgeschlagene MFA-Versuche im Blick. Wiederholte Push-Anfragen sind ein Warnsignal für einen laufenden Angriff.
- Break-Glass-Konto angelegt? Ein Notfallzugang ohne MFA, sicher verwahrt, regelmäßig getestet.
- Number Matching aktiv? Schützt gegen Push-Bombing.
- SMS deaktiviert oder nur Notfall? Wegen SIM-Swapping nicht als Hauptmethode.
- Reset-Prozess dokumentiert? Wer setzt MFA bei verlorenem Gerät wie zurück.
- In TOMs dokumentiert? MFA gehört in Ihre Art.-32-Maßnahmenliste.
Stolperfallen: MFA-Fatigue, Recovery, Außendienst
MFA scheitert selten an der Technik. Sie scheitert an den Details, die man im Projektplan vergisst.
MFA-Fatigue und Push-Bombing
Reine Push-Bestätigung („Anmeldung bestätigen? Ja/Nein”) hat eine fiese Schwachstelle. Hat ein Angreifer Ihr Passwort, löst er im Minutentakt Push-Anfragen aus — bis der genervte Mitarbeiter abends auf dem Sofa eine versehentlich bestätigt. Dieser MFA-Fatigue-Angriff (auch Push-Bombing) war an mehreren großen Vorfällen beteiligt.
Die Gegenmaßnahme heißt Number Matching: Statt nur „Ja” muss der Nutzer eine am Anmeldebildschirm angezeigte zwei- bis dreistellige Zahl in der App eingeben. Wer die Zahl nicht sieht, kann nicht bestätigen — und ein zufälliger Angreifer sieht sie nicht. Microsoft Authenticator und die meisten Anbieter haben Number Matching standardmäßig aktiviert. Schalten Sie es ein, falls noch nicht geschehen.
Häufen sich bei einem Mitarbeiter unaufgeforderte Push-Anfragen, läuft sehr wahrscheinlich gerade ein Angriff mit gestohlenem Passwort. Mitarbeiter müssen wissen: Niemals eine Anfrage bestätigen, die sie nicht selbst ausgelöst haben — und sofort der IT melden. Das gehört in die Schulung. Wird es ernst, helfen die Sofortmaßnahmen bei einem Angriff.
Recovery: der Albtraum verlorenes Handy
Was passiert, wenn ein Mitarbeiter sein Smartphone verliert, ein neues bekommt oder krank ausfällt? Ohne klaren Reset-Prozess steht er vor der verschlossenen Tür — und ruft Sie an, oft genau dann, wenn es eilig ist. Legen Sie vorher fest: Wer darf MFA zurücksetzen, wie wird die Identität geprüft, wie kommen Recovery-Codes sicher zum Nutzer. Hinterlegen Sie pro Konto mindestens zwei Faktoren (etwa App plus Token), damit der Verlust eines Geräts nicht zur Vollsperre führt.
Außendienst und Schichtbetrieb
Nicht jeder hat ein Diensthandy oder will die App privat installieren. Im Schichtbetrieb teilen sich manchmal mehrere Personen ein Terminal. Hier sind FIDO2-Token oft die elegantere Lösung als die App: Der Schlüssel hängt am Schlüsselbund, funktioniert ohne eigenes Smartphone und ist schnell weitergereicht — bei personengebundenem Einsatz. Klären Sie diese Sonderfälle in der Pilotphase, nicht im Live-Betrieb.
Aus der Praxis
Es trifft auch die kleineren Unternehmen, die nicht direkt unter NIS2 fallen — aber als Lieferant ein wichtiger Bestandteil sind. Wer einem großen Auftraggeber zuliefert, bekommt dessen Sicherheitsanforderungen durchgereicht, und MFA steht dabei fast immer an erster Stelle. Wir raten Hamburger Mandanten: Warten Sie nicht, bis der Kunde fragt. Ein sauber eingeführtes MFA-Setup ist in einer Woche erledigt und erspart Ihnen die Hektik, wenn der Lieferanten-Fragebogen ins Haus flattert.
Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo
Fazit / Ihr nächster Schritt
MFA ist die Maßnahme mit dem besten Verhältnis von Aufwand zu Wirkung — über 99 % der automatisierten Angriffe blockiert, in den meisten Lizenzen kostenlos, in einer Woche eingeführt. Der Druck kommt ohnehin von allen Seiten: NIS2 verlangt sie, die Cyberversicherung setzt sie voraus, und als TOM nach Art. 32 DSGVO ist sie Stand der Technik. Die Frage ist nicht ob, sondern wie sauber. Wählen Sie phishing-resistente Verfahren für die kritischen Konten, rollen Sie gestuft aus, schützen Sie sich mit Number Matching gegen Push-Bombing — und legen Sie das Notfallkonto an, bevor Sie scharfschalten.
MFA-Einführung und NIS2-Pflichten ohne Stolperfallen umsetzen
Wir prüfen Ihre Konten, dokumentieren MFA als TOM und bringen Ihr KMU in 7 Werktagen sicher auf. Festpreis-Tarife ab 79 € — im kostenlosen 15-Minuten-Erstgespräch klären wir Ihren konkreten Bedarf.
Kostenloses Erstgespräch buchen →Häufige Fragen (FAQ)
Ist MFA im Unternehmen Pflicht?
Eine pauschale gesetzliche MFA-Pflicht für jedes Unternehmen gibt es nicht. Für Einrichtungen, die unter NIS2 fallen, verlangt Art. 21 Abs. 2 lit. j ausdrücklich Multi-Faktor-Authentifizierung. Unabhängig davon ist MFA als technisch-organisatorische Maßnahme nach Art. 32 DSGVO faktisch Stand der Technik, und die meisten Cyberversicherungen setzen sie für den Versicherungsschutz voraus. In der Praxis kommt heute kaum ein KMU ohne MFA aus.
Welches MFA-Verfahren ist am sichersten?
Phishing-resistente Verfahren auf Basis von FIDO2 sind am sichersten: Hardware-Token wie YubiKeys und Passkeys. Sie binden die Anmeldung kryptografisch an die echte Domain, sodass abgefangene Codes wertlos sind. Eine Authenticator-App mit TOTP-Code oder Number-Matching-Push ist solider Standard. SMS-Codes sind das schwächste Verfahren und wegen SIM-Swapping nur als Notlösung zu empfehlen.
Ist eine Authenticator-App sicherer als SMS?
Ja, deutlich. SMS-Codes lassen sich über SIM-Swapping abfangen, bei dem ein Angreifer die Rufnummer auf seine SIM-Karte umleiten lässt. Eine Authenticator-App erzeugt den Code lokal auf dem Gerät ohne Mobilfunknetz und ist dagegen immun. Das BSI und Microsoft empfehlen, SMS nur dort einzusetzen, wo keine bessere Methode möglich ist.
Was ist ein MFA-Fatigue-Angriff und wie schützt man sich?
Bei einem MFA-Fatigue- oder Push-Bombing-Angriff löst ein Angreifer mit gestohlenem Passwort wiederholt Push-Anfragen aus, bis der genervte Nutzer eine versehentlich bestätigt. Schutz bietet Number Matching: Statt nur Bestätigen muss der Nutzer eine am Anmeldebildschirm angezeigte Zahl in der App eintippen. Microsoft Authenticator und vergleichbare Apps haben das integriert. Zusätzlich hilft Conditional Access, das auffällige Anmeldeversuche blockiert.
Wie führe ich MFA in einem kleinen Unternehmen ein?
In sieben Schritten: kritische Konten inventarisieren, ein Verfahren wählen, mit einer Pilotgruppe testen, MFA per Conditional Access erzwingen, Mitarbeiter schulen und kommunizieren, Recovery- und Notfall-Codes hinterlegen und das Ganze überwachen. Wichtig ist ein gestufter Rollout statt eines Big Bang über Nacht — und ein Notfallkonto, mit dem Sie sich nie selbst aussperren.
Kostet MFA für ein KMU viel Geld?
Nein. Für Microsoft 365 und Google Workspace ist MFA in den gängigen Business-Plänen ohne Aufpreis enthalten, Conditional Access ab den höheren Lizenzstufen. Authenticator-Apps sind kostenlos. Kosten entstehen vor allem bei Hardware-Token wie YubiKeys, die je nach Modell etwa 30 bis 60 Euro pro Stück kosten — sinnvoll für Administratoren und kritische Konten, nicht zwingend für jeden Mitarbeiter.
Recherche-Stand: verifiziert am 6. Juni 2026 über Microsoft Learn (Entra-Dokumentation), BSI (NIS-2-MFA-Infopaket, Passkeys-Kryptografie) und dsgvo-gesetz.de (Art. 32 DSGVO).
Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)
Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)
Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.