MFA erklärt: Was ist Multi-Faktor-Authentifizierung und warum reicht ein Passwort nicht?

Stell dir vor: Ein Mitarbeiter nutzt für seinen Microsoft-365-Account dasselbe Passwort wie für ein Forum das vor einem Jahr gehackt wurde. Das Passwort taucht in einer Datenbank mit 50 Millionen geleakten Zugangsdaten auf. Irgendwo auf der Welt probiert ein automatisiertes Skript dieses Passwort gerade bei hunderten Diensten aus — darunter dein Firmen-E-Mail-System.

Mit Passwort allein: Zugang gewährt. Mit MFA: nicht ohne den zweiten Faktor.

Was „Faktor" eigentlich bedeutet

Authentifizierung beruht auf drei Kategorien:

• Wissen — etwas das du weißt (Passwort, PIN)
• Besitz — etwas das du hast (Smartphone, YubiKey, Chipkarte)
• Biometrie — etwas das du bist (Fingerabdruck, Gesichtserkennung)

Ein Passwort ist ein einziger Faktor aus der Kategorie „Wissen". Multi-Faktor bedeutet: mindestens zwei dieser Kategorien kombinieren. Ein gestohlenes Passwort allein öffnet die Tür nicht mehr.

Die drei gängigsten MFA-Methoden

1. Authenticator-App (TOTP)

Apps wie Microsoft Authenticator, Google Authenticator oder Aegis (Open Source) generieren alle 30 Sekunden einen neuen 6-stelligen Code. Der Code ist nur auf dem Gerät sichtbar, auf dem die App installiert ist.

Stärke: Kostenlos, funktioniert offline, weit verbreitet.
Schwäche: Kann durch Echtzeit-Phishing umgangen werden (Angreifer leitet Code sofort weiter).

2. SMS-Code

Ein Code wird per SMS ans Mobiltelefon geschickt.

Stärke: Kein zusätzliches Gerät nötig, breite Akzeptanz.
Schwäche: SIM-Swapping-Angriffe möglich, SMS ist kein sicherer Kanal. BSI empfiehlt SMS-MFA nur als letztes Mittel.

3. Hardware-Token (YubiKey, Passkey)

Ein physischer Sicherheitsschlüssel oder Passkey auf dedizierter Hardware. Unterstützt FIDO2/WebAuthn — phishing-resistent by design.

Stärke: Stärkste verfügbare Methode, kein Phishing möglich.
Schwäche: Initialer Anschaffungspreis (~55 € pro Token), muss physisch vorhanden sein.

MFA in Microsoft 365 aktivieren — so geht's

Microsoft 365 ist der häufigste Einstiegspunkt für Angriffe auf KMU. MFA lässt sich in wenigen Minuten aktivieren:

1. Microsoft 365 Admin Center → Benutzer → Aktive Benutzer
2. Multi-Faktor-Authentifizierung auswählen
3. Alle Benutzer markieren → MFA aktivieren

Alternativ über Conditional Access Policies in Azure AD — damit lässt sich genau steuern wann und für wen MFA gilt (empfohlen für differenziertere Kontrolle).

Security Defaults als schneller Einstieg

Microsoft bietet „Security Defaults" an — eine Einstellung die MFA für alle Benutzer erzwingt, ohne komplexe Konfiguration. Für kleine Unternehmen ohne dedizierten IT-Administrator ein sinnvoller erster Schritt.

Einstellung: Azure Portal → Azure Active Directory → Eigenschaften → Security Defaults verwalten

Häufige Einwände — und die ehrlichen Antworten

„Das ist unseren Mitarbeitern zu kompliziert."
Nach zwei Wochen ist es Gewohnheit. Der einmalige Aufwand beim Login ist minimal. Der Aufwand nach einem kompromittierten Account ist es nicht.

„Wir sind zu klein um interessant zu sein."
Angriffe sind automatisiert. Skripte testen Millionen von Zugangsdaten — ohne Rücksicht auf Unternehmensgröße. Kleinere Unternehmen werden bevorzugt angegriffen, weil die Abwehr meist schwächer ist.

„Wir haben Antivirus, das reicht."
Antivirus schützt vor Schadsoftware auf Geräten. Ein gestohlenes Passwort braucht keine Schadsoftware — der Angreifer loggt sich einfach ein.

Empfehlung für KMU

1. Sofort: MFA für alle Microsoft-365- oder Google-Workspace-Accounts aktivieren — Authenticator-App reicht als Einstieg.
2. Kurzfristig: MFA für VPN, SSH-Zugänge und alle kritischen Systeme.
3. Mittelfristig: Wechsel zu Passkeys / YubiKey für die stärkste Absicherung.

Rapid Conversion IT richtet MFA für dein Unternehmen ein — Microsoft 365, Google Workspace, VPN und mehr. Inklusive Mitarbeiterschulung. Anfragen →