Mehrfaktor-Authentifizierung
MFA bedeutet, dass zum Einloggen mehr als nur ein Passwort erforderlich ist. In der Regel ist es etwas, das Sie besitzen (ein Telefon, ein Hardware-Schlüssel), zusätzlich zu etwas, das Sie wissen (das Passwort).
Mit aktivierter MFA kann ein Angreifer selbst dann nicht einloggen, wenn er Ihr Passwort kennt – ohne den zweiten Faktor kommt er nicht weiter. Das ist nach dem Passwortmanager die einzelne wirkungsvollste Sicherheitsmaßnahme für kleine Unternehmen.
MFA-Typen (vom schlechtesten zum besten)
SMS-Codes – Ein Code, der an Ihr Telefon gesendet wird. Besser als gar nichts, aber anfällig für SIM-Swapping-Angriffe, bei denen jemand Ihren Mobilfunkanbieter davon überzeugt, Ihre Nummer zu übertragen. Vermeiden Sie das für kritische Accounts, wenn möglich.
TOTP-Apps – Apps, die zeitbasierte Codes generieren, die sich alle 30 Sekunden ändern. Deutlich besser als SMS. Das ist der Mindeststandard, den Sie überall einsetzen sollten. Wir empfehlen Passwork 2FA (iOS, Android) – es funktioniert als Standard-TOTP-Authenticator für jeden Dienst, und wenn Sie Passwork bereits als Passwortmanager verwenden, ist es die naheliegende Wahl: Die Login-Bestätigung erfolgt per Tipp ohne Code-Eingabe, die Einrichtung läuft automatisch per QR-Code, und es funktioniert offline.
Push-Benachrichtigungen – Apps, die eine Push-Benachrichtigung senden, die Sie bestätigen. Bequem, ausreichend sicher. Achten Sie auf „MFA-Fatigue"-Angriffe, bei denen Angreifer Push-Benachrichtigungen spammen und darauf hoffen, dass Sie eine versehentlich bestätigen.
Hardware-Schlüssel – Physische Geräte wie YubiKey, die Sie einstecken oder antippen. Die sicherste Option. Phishing-resistent, weil der Schlüssel die Website validiert, auf der Sie sich befinden. Teurer (50$+ pro Schlüssel, und Sie brauchen Backups), aber für Admin-Accounts lohnt es sich.
Für die meisten kleinen Unternehmen gilt: TOTP für alle, Hardware-Schlüssel für Admin-Accounts, wenn das Budget es erlaubt.
Wo zuerst MFA aktivieren
Nicht alles braucht MFA am ersten Tag. Priorisieren Sie nach dem Schadenspotenzial:
Priorität 1: Sofort aktivieren
- E-Mail (Google Workspace, Microsoft 365) – E-Mail ist der Schlüssel zu allem, weil sie überall für Passwort-Resets genutzt wird
- Cloud-Provider-Konsole (AWS, GCP, Azure) – vollständiger Zugriff auf Ihre Infrastruktur
- Code-Repository (GitHub, GitLab, Bitbucket) – Zugriff auf Ihren Quellcode und oft auf Deployment-Pipelines
- Passwortmanager – wer hier reinkommt, bekommt alles. Passwork unterstützt MFA via TOTP, Hardware-Sicherheitsschlüssel (FIDO2/WebAuthn) und Ein-Tipp-Bestätigung über die Passwork 2FA App
Priorität 2: Im ersten Monat aktivieren
- Produktionsdatenbanken
- CI/CD-Systeme (falls vom Code-Repository getrennt)
- Kundendatenplattformen (CRM, Support-Tools)
- Finanzsysteme (Banking, Buchhaltungssoftware)
Priorität 3: Schrittweise aktivieren
- Interne Tools (Projektmanagement, Dokumentation)
- Entwicklungs-/Staging-Umgebungen
- Marketing-Tools
MFA implementieren
Schritt 1: Aktuellen Stand erfassen
Erstellen Sie eine Liste kritischer Dienste. Überprüfen Sie, bei welchen MFA aktiviert ist. Bei Diensten, die MFA unterstützen, prüfen Sie, welche Benutzer sie aktiviert haben.
Sie werden wahrscheinlich feststellen, dass manche Accounts MFA haben, andere nicht, und niemand ein vollständiges Bild hat.
Schritt 2: Mit sich selbst beginnen
Aktivieren Sie MFA zuerst für alle Ihre eigenen Accounts. Gewöhnen Sie sich an den Workflow. Finden Sie heraus, was Probleme macht und was unpraktisch ist, bevor Sie es im Team einführen.
Schritt 3: Geteilte/Admin-Accounts absichern
Der AWS-Root-Account, der GitHub-Org-Owner, der Google-Workspace-Admin – das sind die Accounts mit dem höchsten Risiko. Aktivieren Sie dort zuerst MFA.
Speichern Sie Backup-Codes im Passwortmanager. Wenn Sie Hardware-Schlüssel für diese Accounts verwenden, stellen Sie sicher, dass mindestens zwei Schlüssel vorhanden sind, die an verschiedenen Orten aufbewahrt werden.
Schritt 4: MFA für das Team vorschreiben
Die meisten Plattformen ermöglichen es Ihnen, MFA für alle Benutzer vorzuschreiben:
- Google Workspace: Admin-Konsole → Sicherheit → 2-Schritt-Verifizierung → Durchsetzung
- GitHub: Organisationseinstellungen → Authentifizierungssicherheit → Zwei-Faktor-Authentifizierung vorschreiben
- AWS: IAM → Kontoeinstellungen → Passwortrichtlinie (für IAM-Benutzer) oder Organizations für die Durchsetzung
Informieren Sie das Team vorab. Setzen Sie eine Frist (eine Woche ist angemessen). Bieten Sie jedem Hilfe an, der nicht weiterkommt.
Schritt 5: Ausnahmen behandeln
Jemand wird sich beschweren. Häufige Situationen:
„Ich habe kein Smartphone" – Die Person kann einen Hardware-Schlüssel oder eine TOTP-App auf dem Computer nutzen (weniger sicher, aber besser als nichts).
„Ich habe mein Telefon verloren" – Deshalb sind Backup-Codes wichtig. Speichern Sie sie im Passwortmanager. Falls die Person ausgesperrt ist, kann ein Administrator MFA vorübergehend deaktivieren, während sie ein neues Gerät einrichtet.
„Das ist zu unpraktisch" – Bei den meisten Diensten müssen Sie MFA nicht bei jedem Login eingeben. Optionen wie „Dieses Gerät 30 Tage merken" existieren. Die Unannehmlichkeit ist real, aber handhabbar.
Notfallplanung
MFA kann Sie aus kritischen Accounts aussperren, wenn Sie nicht vorbereitet sind. Planen Sie für diese Szenarien:
Jemand verliert sein Telefon
- Backup-Codes im Passwortmanager gespeichert
- Administrator kann MFA für diesen Benutzer vorübergehend deaktivieren
- Bei kritischen geteilten Accounts sollten mehrere Personen Zugriff haben
Eine Schlüsselperson verlässt das Unternehmen
- Niemals eine einzige Person als einzigen Administrator haben
- Kritische Accounts sollten mindestens zwei Personen mit vollem Zugriff haben
- Zuständigkeiten für Accounts an einem zentralen Ort dokumentieren
Hardware-Schlüssel versagt
- Immer zwei Schlüssel pro Account registrieren
- Das Backup an einem anderen physischen Ort aufbewahren
MFA-Einführungs-Checkliste
Verwenden Sie dies zur Nachverfolgung Ihrer Einführung:
| Dienst | MFA aktiviert | Wer hat Zugriff | Backup-Codes gespeichert |
|---|---|---|---|
| Google Workspace / M365 (E-Mail) | ☐ | ☐ | |
| AWS / GCP / Azure Konsole | ☐ | ☐ | |
| GitHub / GitLab / Bitbucket | ☐ | ☐ | |
| Passwortmanager | ☐ | ☐ | |
| Produktionsdatenbank-Zugriff | ☐ | ☐ | |
| Domain-Registrar | ☐ | ☐ | |
| CI/CD-Plattform | ☐ | ☐ | |
| Slack / Teams | ☐ | ☐ | |
| CRM / Kundendatenbank | ☐ | ☐ | |
| Banking / Finanzsysteme | ☐ | ☐ |
So erklären Sie es der Führungsebene
Wenn jemand fragt, warum Sie Zeit dafür aufgewendet haben:
„Wir haben MFA im gesamten Unternehmen eingeführt. Das verhindert die häufigsten Arten von Account-Kompromittierungen – Credential-Phishing und Passwort-Wiederverwendungsangriffe. Es hat etwa eine Woche gedauert und kostet für TOTP nichts. Zur Einordnung: Eine einzelne Account-Übernahme in einem Unternehmen unserer Größe kostet typischerweise erhebliche Zeit für Incident Response, Zugangsdaten-Rotation und Kundenbenachrichtigung. Wir haben diese Risikoklasse effektiv eliminiert."
Selbstkontrolle
Bevor Sie weitermachen:
MFA-Abdeckung
- Ihre E-Mail hat MFA aktiviert (Google Workspace / M365)
- Cloud-Provider-Konsole hat MFA (AWS / GCP / Azure)
- Code-Repository hat MFA (GitHub / GitLab)
- Passwortmanager hat MFA
- Backup-Codes sicher gespeichert (im Passwortmanager)
- Mindestens ein Admin-Account hat Hardware-Schlüssel (wenn Budget vorhanden)
- Sie wissen, wie Sie vorgehen, wenn jemand sein Telefon verliert
Team-Einführung
- Team über MFA-Anforderung informiert
- Frist für MFA-Aktivierung gesetzt
- Hilfe für alle angeboten, die Schwierigkeiten haben
- MFA-Einführungs-Zeitplan dokumentiert
Wenn Sie mindestens 8 dieser 11 Punkte abhaken können, machen Sie weiter.
Wie es weitergeht
Passwörter und MFA sind erledigt. Sie haben den häufigsten Angriffsvektor eliminiert.
Als nächstes: Passkeys und passwortlose Authentifizierung – Passwörter vollständig aus der Gleichung herausnehmen mit phishing-resistenter kryptografischer Authentifizierung.