Anrufen
StartseiteBlogMFA & Identity Management
IT-Sicherheit April 2026 6 Min. Lesezeit

MFA und sicheres Identity-Management: Was KMU 2026 zwingend brauchen

Passwörter allein schützen 2026 keine Unternehmensaccounts mehr. Multi-Faktor-Authentifizierung, sichere Passwortmanager und ein strukturiertes Identity-Management stoppen die überwältigende Mehrheit aller Account-Kompromittierungen — und sind für KMU in einer Woche einführbar.

Inhaltsverzeichnis

Warum Passwörter allein 2026 nicht mehr ausreichen

Die Idee, dass ein gutes Passwort ausreicht, ist technisch überholt. Die Realität sieht anders aus: Jeden Monat werden Hunderte Millionen Zugangsdaten aus gehackten Diensten im Dark Web gehandelt. Angreifer kaufen diese Datenpakete für wenige Euro und testen die enthaltenen Kombinationen automatisiert gegen Zehntausende Dienste — ein Angriff, der als Credential Stuffing bekannt ist.

Das Problem: Viele Menschen nutzen dasselbe Passwort für mehrere Dienste. Wird ein einziger Anbieter gehackt — etwa ein Online-Shop oder ein Forum —, sind potenziell auch Unternehmensaccounts gefährdet, wenn der Mitarbeiter dieselben Zugangsdaten verwendet hat.

Phishing-Angriffe ergänzen das Bild: Täuschend echte E-Mails verleiten Mitarbeiter dazu, ihre Passwörter auf gefälschten Login-Seiten einzugeben. Laut BSI und ENISA beginnen rund 80 % aller erfolgreichen Cyberangriffe auf Unternehmen mit kompromittierten Zugangsdaten. Technische Schutzmaßnahmen wie Firewalls helfen dabei wenig, wenn der Angreifer schlicht die echten Zugangsdaten eines Mitarbeiters verwendet.

Was MFA wirklich verhindert

Multi-Faktor-Authentifizierung (MFA) fügt dem Login-Prozess einen zweiten Faktor hinzu, der unabhängig vom Passwort ist. Selbst wenn ein Angreifer das korrekte Passwort kennt — ob durch Phishing, Datenleck oder Credential Stuffing —, kommt er ohne diesen zweiten Faktor nicht ins System.

Microsoft berichtet in seinen Sicherheitsstudien, dass MFA über 99 % der passwortbasierten Angriffe auf Konten blockiert. Die Zahl klingt abstrakt, ist aber konkret: Ein Mitarbeiter klickt auf einen Phishing-Link, gibt sein Passwort ein — und der Angreifer scheitert dennoch, weil er den MFA-Code nicht kennt und nicht hat.

MFA ist keine Garantie gegen jeden Angriff. Fortgeschrittene Techniken wie Echtzeit-Phishing-Proxies können MFA-Codes unter bestimmten Umständen abfangen. Aber diese Angriffe sind aufwendig, teuer und richten sich typischerweise gegen hochwertige Ziele. Für KMU gilt: MFA hebt die Angriffsschwelle so stark an, dass opportunistische Angreifer weiterzuziehen — auf einfachere Ziele.

MFA-Methoden im Vergleich

Nicht alle MFA-Methoden sind gleich stark. Ein Überblick über die in der Praxis relevanten Optionen:

SMS-basiertes OTP

Ein Einmalcode wird per SMS gesendet. Das ist besser als kein zweiter Faktor — aber die schwächste MFA-Variante. SIM-Swapping-Angriffe, bei denen Angreifer eine Mobilnummer übernehmen, und SS7-Protokollschwächen machen SMS-OTP angreifbar. Für allgemeine Mitarbeiteraccounts akzeptabel als Einstieg; für Admin-Zugänge nicht empfohlen.

TOTP-Authenticator-Apps

Apps wie Google Authenticator, Microsoft Authenticator oder Aegis (Open Source) generieren alle 30 Sekunden einen neuen sechsstelligen Code auf Basis eines geteilten Geheimnisses. Der Code verlässt das Gerät nie — es gibt keinen SMS-Kanal, den Angreifer abfangen könnten. Diese Methode ist der praktische Standard für KMU: einfach einzurichten, kostenlos, gut unterstützt von allen gängigen Diensten.

Hardware-Keys und FIDO2/Passkeys

YubiKeys und ähnliche Hardware-Sicherheitsschlüssel sowie der neuere FIDO2/Passkey-Standard bieten den höchsten Schutz. Der Schlüssel ist physisch — kein Phishing-Angriff kann ihn remotely stehlen. Für Admin-Accounts, Geschäftsführer-Zugänge und besonders schützenswerte Systeme (ERP, Finanzsysteme, Fernzugriff) ist FIDO2 die empfohlene Lösung. Die Hardware kostet pro Schlüssel 30–70 Euro — ein überschaubarer Preis angesichts des Schadenspotenzials.

Passwortmanager im Unternehmenseinsatz

Eine häufige Praxis in KMU: Passwörter werden in einer Excel-Datei geführt, per WhatsApp-Gruppe geteilt oder im Browser gespeichert. Das ist ein erhebliches Sicherheitsrisiko — nicht nur wegen der technischen Angreifbarkeit, sondern auch wegen fehlender Kontrolle darüber, wer Zugriff auf welche Zugangsdaten hat.

Ein Passwortmanager löst mehrere Probleme gleichzeitig: Mitarbeiter können starke, einzigartige Passwörter für jeden Dienst verwenden, ohne sich diese merken zu müssen. Zugänge können kontrolliert geteilt werden — und beim Ausscheiden eines Mitarbeiters lässt sich sein Zugriff zentral entziehen.

Für KMU mit Datenschutzanforderungen oder On-Premises-Präferenz eignen sich Open-Source-Lösungen besonders:

  • Bitwarden: Kann selbst gehostet werden, hat eine übersichtliche Weboberfläche und gute Browser-Integrationen. Der Business-Plan ermöglicht Team-Vaults und Rollen.
  • KeePass / KeePassXC: Lokale Passwortdatenbank, die als Datei auf einem gemeinsamen Netzwerklaufwerk oder in Nextcloud abgelegt werden kann. Kein Cloud-Dienst, maximale Kontrolle.
  • Vaultwarden: Selbst gehostete Bitwarden-kompatible Serverimplementierung — ideal für KMU mit eigenem Server.

Privileged Access Management (PAM) für KMU

Neben dem Schutz aller Mitarbeiteraccounts gibt es eine Kategorie, die besonderer Aufmerksamkeit bedarf: privilegierte Zugänge. Administrator-Accounts für Server, Firewalls, Active Directory oder Cloud-Infrastruktur haben weitreichende Berechtigungen — eine Kompromittierung kann das gesamte Unternehmensnetzwerk betreffen.

Das Prinzip der minimalen Rechte (Least Privilege) besagt: Jeder Account hat nur die Berechtigungen, die für seine Aufgaben tatsächlich notwendig sind. Kein Mitarbeiter sollte dauerhaft mit einem Admin-Account arbeiten. Stattdessen sollten privilegierte Aktionen explizit beantragt und protokolliert werden.

Konkret bedeutet das für KMU:

  • Admin-Accounts von Arbeitskonten trennen — ein IT-Mitarbeiter hat ein normales Konto für E-Mail und Kommunikation und ein separates Admin-Konto für administrative Tätigkeiten
  • Keine dauerhaften Admin-Sessions: Admin-Zugänge werden nur für die jeweilige Aufgabe geöffnet und danach geschlossen
  • FIDO2 oder TOTP zwingend für alle Admin-Accounts
  • Protokollierung aller privilegierten Aktionen — wer hat wann was geändert

Schritt-für-Schritt: MFA in einer Woche einführen

MFA-Einführung klingt nach einem großen Projekt — ist es aber nicht. Mit der richtigen Priorisierung lässt sich in einer Woche eine solide Basis schaffen:

  1. Tag 1–2: Bestandsaufnahme. Welche Dienste und Systeme werden genutzt? Microsoft 365, Google Workspace, VPN, ERP, Cloud-Dienste? Welche davon unterstützen MFA? (Fast alle gängigen Dienste tun das.)
  2. Tag 3: MFA für kritische Systeme aktivieren. Microsoft 365 oder Google Workspace MFA einschalten. Das schützt E-Mail, SharePoint/Drive, Teams — die häufigsten Angriffsziele. In Microsoft 365 lässt sich das mit Security Defaults in wenigen Minuten aktivieren.
  3. Tag 4: VPN und Remote-Zugriff absichern. VPN-Zugänge ohne MFA sind ein offenes Einfallstor. Gängige VPN-Lösungen unterstützen RADIUS mit OTP oder direkte TOTP-Integration.
  4. Tag 5: Admin-Accounts auf Hardware-Keys umstellen. FIDO2-Keys für alle Administrator-Zugänge bestellen und einrichten.
  5. Tag 6–7: Mitarbeiter einweisen und Authenticator-App ausrollen. Eine kurze Schulung (15–20 Minuten) genügt. Mitarbeiter richten die App selbst ein, IT steht für Fragen bereit.
Fazit: Die meisten erfolgreichen Cyberangriffe auf KMU nutzen keine Zero-Day-Exploits — sie nutzen gestohlene oder rate-limited Passwörter. MFA stoppt das.

Häufige Fragen

MFA bedeutet: Anmeldung mit zwei oder mehr unabhängigen Faktoren — z. B. Passwort + Einmalcode aus einer Authenticator-App. Selbst wenn ein Angreifer Ihr Passwort kennt, kann er sich ohne den zweiten Faktor nicht anmelden. MFA verhindert laut Studien über 99 % aller automatisierten Angriffe auf Konten.
Sicherheitsrangfolge (sicherste zuerst): Hardware-Security-Keys (FIDO2, z. B. YubiKey) > Authenticator-App (TOTP, z. B. Google Authenticator, Authy) > SMS-OTP (anfällig für SIM-Swapping) > E-Mail-Codes. Für Unternehmensumgebungen empfehlen wir Authenticator-Apps als Mindeststandard, Hardware-Keys für privilegierte Accounts.
Schrittweise Einführung ist am erfolgreichsten: Zuerst privilegierte Accounts (Admin, Finanzen), dann alle Mitarbeiter. Wählen Sie einen zentralen Identity Provider (Azure AD, Keycloak, Okta), konfigurieren Sie MFA als Pflicht und nicht als Option, schulen Sie Mitarbeiter und planen Sie ein Recovery-Verfahren für verlorene Geräte.
MFA ist die wichtigste Einzelmaßnahme, aber kein vollständiger Schutz. Ergänzend empfohlen: Passwortmanager für starke, einzigartige Passwörter, Privileged Access Management (PAM) für Admin-Rechte, Conditional Access (nur bekannte Geräte dürfen sich anmelden), und regelmäßige Überprüfung von Zugriffsrechten.

Identitätsmanagement absichern

Im Erstgespräch analysieren wir Ihre aktuellen Zugriffsstrukturen und zeigen Ihnen, wo die größten Lücken liegen — und wie Sie diese mit vertretbarem Aufwand schließen.

Erstgespräch vereinbaren Pentest & Sicherheit →