Warum das wichtig ist
Multi-Faktor-Authentifizierung ist der wirksamste einzelne Schutz gegen Kontoübernahmen. Studien von Google und Microsoft belegen: MFA verhindert über 99% automatisierter Angriffe. Aber nicht alle MFA-Verfahren sind gleich stark.
Die unbequeme Wahrheit: SMS-OTP ist schlechte MFA. SIM-Swapping-Angriffe, SS7-Protokoll-Schwachstellen und Echtzeit-Phishing-Proxies machen SMS-Codes zum unsichersten MFA-Zweifaktor. Trotzdem nutzen viele Unternehmen SMS, weil es einfach zu implementieren ist.
Das Sicherheitsspektrum sieht so aus: SMS < E-Mail-OTP < TOTP (Authenticator-App) < Push-Benachrichtigungen (mit Number Matching) < Hardware-Token < FIDO2/Passkeys. Phishing-resistente MFA beginnt bei FIDO2.
So machen Sie es richtig
Wo immer möglich: Passkeys aktivieren
Google, Apple, Microsoft und viele andere Dienste unterstützen Passkeys. Aktivieren Sie diese zuerst — sie sind phishing-resistent per Design, da der kryptografische Schlüssel an die Domain gebunden ist.
Wenn kein Passkey: Hardware-Token
YubiKey (5 Series) oder Google Titan Key bieten FIDO2-Schutz auf Hardwareebene. Für privilegierte Konten (Admin, Finanzen, Geschäftsleitung) sind Hardware-Token die beste Option.
Wenn kein Hardware-Token: Authenticator-App
Microsoft Authenticator, Google Authenticator oder Authy generieren TOTP-Codes lokal auf Ihrem Gerät — besser als SMS. Wichtig: Backup-Codes sicher aufbewahren.
Number Matching für Push-MFA aktivieren
Wenn Sie Push-Benachrichtigungen nutzen (Microsoft Authenticator, Duo): aktivieren Sie Number Matching. Die App zeigt eine Zahl, die der Nutzer vom Login-Bildschirm abtippen muss — verhindert blinde MFA-Fatigue-Angriffe.
SMS-MFA schrittweise ablösen
Migrieren Sie SMS-MFA-Nutzer systematisch auf Authenticator-Apps. Erstellen Sie eine einfache Schritt-für-Schritt-Anleitung und kommunizieren Sie die Umstellung rechtzeitig.
Recovery-Optionen sichern
Backup-Codes für jeden MFA-geschützten Dienst ausdrucken und physisch sicher aufbewahren — nicht im E-Mail-Postfach. Für Unternehmen: Backup-Codes im Passwort-Manager des Security-Teams speichern.
Tools, die wir empfehlen
- YubiKey 5 Series — gold standard für Hardware-FIDO2; unterstützt USB-A, USB-C, NFC; für privilegierte Konten und Hochsicherheits-Nutzer
- Apple Passkeys — in iCloud Keychain integriert; funktioniert nahtlos im Apple-Ökosystem; phishing-resistent
- Google Passkeys — in Google Password Manager oder Android; für Android-first-Unternehmen
- Microsoft Authenticator — mit Number Matching und Passwordless-Login in Microsoft-Umgebungen gut integriert
- Authy — gute TOTP-App mit Cloud-Backup (verschlüsselt); besser als Google Authenticator wenn Geräte-Wechsel häufig sind
Wenn Sie nur eine Sache mitnehmen
MFA ist kein Luxus mehr — sie ist gesetzliche Anforderung in NIS2, ISO 27001 und für viele regulierte Branchen. Aktivieren Sie MFA auf allen geschäftlichen Konten, beginnend mit den privilegierten.
Priorisieren Sie nach Kontenrisiko
Beginnen Sie mit Admin-Konten, Finanz-Systemen und E-Mail (denn wer Ihre E-Mail kontrolliert, kann über 'Passwort vergessen' alle anderen Konten übernehmen). Dann alle weiteren Dienste — die meisten unterstützen TOTP oder Passkeys.