🛈 Die Antwort in Kürze:
SMS-basierte Zwei-Faktor-Authentifizierung (2FA) ist veraltet und unsicher, da Angreifer diese über Schwachstellen im Mobilfunknetz (SS7) oder SIM-Swapping leicht abfangen können. Der neue Goldstandard für Hamburger Unternehmen ist phishing-resistente MFA mittels FIDO2/Passkeys oder Hardware-Keys (z.B. YubiKey).
Diese Technologien binden den Login kryptografisch an die echte Domain und machen Phishing-Seiten wirkungslos.
⚠ Wer seine Firmendaten 2026 noch per SMS-Code schützt, handelt grob fahrlässig.
Moin, Jens Hagel hier. Seit Jahren predigen wir bei hagel IT: „Aktiviert die Multi-Faktor-Authentifizierung (MFA)!“ Und zum Glück hören immer mehr Geschäftsführer darauf. Es war lange der wichtigste Schritt zur Absicherung von Konten und Geräten.
Aber wir schreiben das Jahr 2026, und die Bedrohungslage hat sich massiv verändert.
Die unbequeme Wahrheit ist: Was vor drei Jahren noch als „sicher genug“ galt, ist heute ein offenes Tor für Hacker. Die klassische Methode – ein vier- oder sechsstelliger Code per SMS – ist bequem und besser als gar kein Schutz. Aber für uns als IT-Sicherheitsdienstleister in Hamburg ist SMS eine veraltete Technologie, die Cyberkriminelle mittlerweile im Schlaf umgehen. Für Unternehmen, die sensible Daten verarbeiten (und wer tut das nicht?), reicht SMS-basierte MFA schlicht nicht mehr aus.
Warum die SMS nie als Sicherheitsschleuse gedacht war
SMS wurde nie als sicherer Authentifizierungskanal konzipiert. Die Abhängigkeit von Mobilfunknetzen setzt sie Sicherheitslücken aus, insbesondere in Telekommunikationsprotokollen wie dem Signaling System No. 7 (SS7), das für die Kommunikation zwischen Netzwerken genutzt wird.
Angreifer wissen genau, dass viele Hamburger Mittelständler noch immer auf SMS setzen. Das macht sie zu attraktiven Zielen. Hacker können SS7-Schwachstellen nutzen, um Textnachrichten abzufangen, ohne Ihr Handy auch nur zu berühren. Techniken wie Abhören, Umleitung und das Einschleusen von Nachrichten können direkt im Betreibernetzwerk durchgeführt werden.
SMS-Codes sind anfällig für Phishing: Wenn ein Mitarbeiter Username, Passwort und den SMS-Code auf einer gefälschten Microsoft-365-Loginseite eingibt, haben die Angreifer alles, was sie brauchen – in Echtzeit.
⚠ Der Albtraum jedes Geschäftsführers: SIM-Swapping
Eine der gefährlichsten Bedrohungen für SMS-basierte Sicherheit ist der SIM-Swap. Dabei kontaktiert ein Krimineller Ihren Mobilfunkanbieter, gibt sich als Sie aus (oft mit Daten aus dem Darknet) und behauptet, sein Handy verloren zu haben.
Er bittet den Support, Ihre Nummer auf eine neue SIM-Karte zu portieren, die er bereits besitzt.
Wenn das gelingt, geht Ihr Handy plötzlich offline. Der Angreifer empfängt nun alle Ihre Anrufe und SMS – inklusive der MFA-Codes für Bankkonten und E-Mails.
Ohne Ihr Passwort zu kennen, kann er Zugangsdaten zurücksetzen und volle Kontrolle übernehmen.
Das Perfide daran: Dieser Angriff erfordert keine genialen Hacker-Skills. Es ist reines „Social Engineering“ gegen Support-Mitarbeiter. Low-Tech mit verheerenden Folgen.
Schluss mit der SMS-Falle: Sichern Sie Ihr Unternehmen richtig ab.
Die Risiken wie SIM-Swapping sind keine Theorie, sondern Alltag für Hacker. Wenn Sie zweifeln, ob Ihre MFA-Lösung noch ausreicht, ist das ein gutes Zeichen. Lassen Sie uns in einem kostenfreien Erstgespräch Klartext reden und eine zukunftssichere Strategie finden.
Phishing-resistente MFA: Der neue Goldstandard in Hamburg
Um diese Angriffe zu verhindern, müssen wir den „Faktor Mensch“ aus der Gleichung nehmen. Die Lösung heißt phishing-resistente MFA. Dieser Ansatz stützt sich auf kryptografische Protokolle, die den Anmeldeversuch fest an die spezifische Domain binden.
Der wichtigste Standard hierfür ist FIDO2 (Fast Identity Online 2). Er nutzt sogenannte Passkeys, die mittels Public-Key-Kryptografie ein bestimmtes Gerät mit einer Domain verknüpfen. Selbst wenn ein Mitarbeiter auf einen Phishing-Link klickt, wird die Authentifizierung fehlschlagen, weil die Domain der Fake-Seite nicht mit dem gespeicherten Schlüssel übereinstimmt.
Technologie schlägt Täuschung: Da Passkeys passwortlos funktionieren, gibt es für Hacker keine Zugangsdaten mehr abzufischen. Sie müssten das physische Endgerät stehlen – was deutlich schwieriger ist, als eine gut gemachte E-Mail zu fälschen.
Hardware Security Keys: Der Tresor für die Hosentasche
Die vielleicht stärkste Lösung, die wir bei hagel IT insbesondere für Administratoren und Geschäftsführer empfehlen, sind Hardware-Sicherheitsschlüssel (z.B. YubiKey). Diese sehen aus wie kleine USB-Sticks.
Zum Einloggen stecken Sie den Key in den Computer oder halten ihn per NFC an Ihr Handy. Der Schlüssel führt einen kryptografischen Handshake durch. Kein Code tippen, kein Abfangen möglich.
Wer den Stick nicht physisch hat, kommt nicht rein. Punkt.
Authenticator Apps: Schluss mit „MFA Fatigue“
Sind physische Schlüssel logistisch nicht machbar, sind Authenticator-Apps (wie Microsoft Authenticator) der unverzichtbare Mindeststandard. Aber Vorsicht: Einfache „Ja/Nein“-Push-Benachrichtigungen reichen 2026 auch nicht mehr aus.
Wir haben in den letzten Jahren vermehrt Angriffe mit sogenannter „MFA Fatigue“ (MFA-Ermüdung) gesehen. Dabei bombardieren Hacker das Handy eines Nutzers nachts mit hunderten Login-Anfragen, bis dieser genervt oder verwirrt auf „Genehmigen“ drückt.
Unsere Praxis-Empfehlung: In modernen Konfigurationen nutzen wir zwingend das „Number Matching“. Der Nutzer muss eine Zahl, die auf dem PC-Bildschirm angezeigt wird, in die App eintippen. Das stellt sicher, dass derjenige, der den Zugriff genehmigt, auch wirklich vor dem Bildschirm sitzt.
Passkeys: Die Zukunft ist längst da
Passwörter werden so routinemäßig kompromittiert, dass wir bei Neukunden oft schon beim Erstgespräch feststellen, dass deren Zugangsdaten im Darknet kursieren. Moderne Systeme setzen daher voll auf Passkeys. Das sind digitale Anmeldeinformationen, die durch Biometrie (Face ID, Fingerabdruck) geschützt sind.
In unserer täglichen Arbeit bei hagel IT sehen wir, dass Passkeys nicht nur sicherer sind, sondern auch den Support-Aufwand drastisch senken. Keine „Passwort vergessen“-Tickets mehr am Montagmorgen. Sie bieten die Sicherheit eines Hardware-Keys mit dem Komfort des Smartphones, das Sie ohnehin dabei haben.
Herausforderung Unternehmenskultur: Sicherheit vs. Bequemlichkeit
Der Abschied von der SMS erfordert ein Umdenken. Mitarbeiter lieben die Bequemlichkeit. Wenn wir plötzlich Hardware-Keys oder Apps einführen, kann das auf Widerstand stoßen. Hier ist Führung gefragt.
Es ist entscheidend, das „Warum“ zu erklären. Wenn wir Ihren Teams anhand von echten Beispielen aus der Hamburger Praxis zeigen, wie schnell ein SIM-Swap passieren kann, steigt die Akzeptanz sofort. Niemand will derjenige sein, der das Einfallstor für den Ransomware-Angriff war.
Die Kosten des Nichtstuns
An veralteten MFA-Methoden festzuhalten, ist eine tickende Zeitbombe. Es mag für die Compliance-Checkliste reichen, aber es wiegt Sie in falscher Sicherheit.
Ein einziger erfolgreicher Phishing-Angriff kostet ein Unternehmen im Schnitt Euro – von der Rufschädigung ganz zu schweigen.
Das Upgrade Ihrer Authentifizierungsmethoden bietet einen der höchsten ROIs in der Cybersicherheit. Die Kosten für YubiKeys oder die saubere Konfiguration von Microsoft Entra ID sind minimal im Vergleich zu den Kosten einer Datenrettung nach einem Vorfall. Auch in Bremen bieten wir unseren IT Service Bremen an.
Jens Hagel
Geschäftsführer
Unsere Expertise: Gebündelte Erfahrung für Ihren Erfolg
Seit 2004 sind wir der Fels in der Brandung für Hamburger Mittelständler. Unser inhabergeführtes Unternehmen besteht aus 32 festangestellten und zertifizierten Experten. Diese Praxiserfahrung aus hunderten Projekten – von Cloud-Migrationen bis zur Abwehr komplexer Cyberangriffe – ist die Basis für jede unserer Empfehlungen.
Unser tiefes Fachwissen ist offiziell bestätigt. Als Microsoft Partner und Watchguard GOLD Partner gehören wir zur Spitze der IT Dienstleister Hamburg. Auszeichnungen wie „Deutschlands beste IT-Dienstleister 2025“ von Statista und Expertenanfragen vom ZDF unterstreichen unsere Autorität in der Branche. Wir sprechen nicht nur über sichere IT, wir setzen sie für den Mittelstand um.
Doch am Ende zählt nur das Ergebnis für Sie. Das beweisen über 5.000 gelöste Support-Tickets pro Jahr mit einer Kundenzufriedenheit von 4,9 von 5 Sternen. Geschäftsführer von Firmen wie Les Mills Germany oder Hanse Service bestätigen unsere Zuverlässigkeit. Wir bauen auf ehrliche Beratung und das Vertrauen, das wir uns mit einer Zufriedenheitsgarantie und monatlich kündbaren Verträgen jeden Tag neu verdienen.
Ist Ihr Unternehmen bereit, Passwörter und SMS-Codes hinter sich zu lassen? Wir bei hagel IT sind darauf spezialisiert, genau diese modernen Identitätslösungen hier in Hamburg auszurollen – sicher, aber ohne Ihre Mitarbeiter in den Wahnsinn zu treiben. Lassen Sie uns schnacken. Wir helfen Ihnen bei einer Strategie, die wirklich schützt.
Häufig gestellte Fragen (FAQ)
Lohnt sich der Aufwand für phishing-resistente MFA für unser mittelständisches Unternehmen überhaupt?
Die klare Antwort ist: Ja, absolut. Angreifer zielen gezielt auf den Mittelstand, weil sie dort oft eine professionelle IT-Infrastruktur, aber veraltete Sicherheitsstandards vermuten. Phishing-resistente MFA ist keine übertriebene Maßnahme für Konzerne, sondern eine notwendige Absicherung Ihrer digitalen Existenz. Die Kosten für Hardware-Keys (ca. 50–70 € pro Stück) oder die korrekte Konfiguration von sicheren App-Methoden sind eine verschwindend geringe Investition im Vergleich zum potenziellen Schaden durch einen erfolgreichen Angriff, der Ihren Betrieb wochenlang lahmlegen und Hunderttausende Euro kosten kann.
Was sind die konkreten ersten Schritte, um von SMS-Codes auf sichere MFA umzusteigen, ohne den Betrieb zu stören?
Ein überhasteter Umstieg ist riskant. Ein bewährtes Vorgehen sieht so aus:
- Analyse & Priorisierung: Identifizieren Sie die wichtigsten Konten. Das sind immer die Administratoren-Zugänge sowie die Konten der Geschäftsführung und der Finanzabteilung.
- Pilotprojekt starten: Beginnen Sie mit dieser kleinen, kritischen Gruppe. Führen Sie hier beispielsweise Hardware-Keys ein. So sammeln Sie Erfahrungen in einem kontrollierten Umfeld.
- Konzepterstellung für alle: Entscheiden Sie, welche Methode für welche Mitarbeitergruppe sinnvoll ist. Nicht jeder braucht einen Hardware-Key; für viele ist eine Authenticator-App mit Nummern-Abgleich (Number Matching) ein enormer Sicherheitsgewinn und einfach zu handhaben.
- Geplanter Roll-out mit Kommunikation: Schulen Sie Ihre Mitarbeiter und erklären Sie, warum dieser Schritt notwendig ist. Ein gestaffeltes Vorgehen, Abteilung für Abteilung, vermeidet Frust und überlastet den Support nicht.
Mein Team schätzt einfache Lösungen. Wie vermeiden wir Widerstand bei der Einführung neuer Sicherheitsmaßnahmen?
Das ist ein entscheidender Punkt, der oft über Erfolg oder Misserfolg der Implementierung entscheidet. Der Schlüssel liegt in der Kombination aus Kommunikation, der richtigen Technologiewahl und sichtbarer Unterstützung durch die Führungsebene.
- Zeigen Sie auf, dass es nicht um Gängelung, sondern um den Schutz der Firma und somit jedes Arbeitsplatzes geht.
- Wählen Sie den Weg des geringsten Widerstands, wo immer möglich: Moderne Passkeys, die mit dem Fingerabdruck oder Gesichtsscan am Laptop oder Handy funktionieren, werden als Erleichterung empfunden, nicht als Hürde.
- Betonen Sie die Vorteile: Kein „Passwort vergessen“ mehr, kein Warten auf SMS-Codes.
- Gehen Sie als Führungskraft mit gutem Beispiel voran. Wenn der Chef den YubiKey wie selbstverständlich nutzt, wird es zur Normalität.
Gibt es Risiken bei der Implementierung, zum Beispiel wenn ein Mitarbeiter einen Hardware-Key verliert?
Ja, operative Risiken gibt es immer, aber sie sind gut beherrschbar. Der Verlust eines Hardware-Keys ist das häufigste Szenario. Der Prozess dafür muss von Anfang an klar sein: Ein verlorener Key ist im Gegensatz zu einem gestohlenen Passwort nicht sofort ein Sicherheitsrisiko, da der Angreifer ja immer noch das Passwort des Nutzers braucht. Jeder Mitarbeiter sollte mindestens zwei Authentifizierungsmethoden registriert haben – zum Beispiel einen primären Hardware-Key und eine Authenticator-App als Backup. Geht der Key verloren, kann der Mitarbeiter sich über die Backup-Methode anmelden und den verlorenen Key sperren. Ein guter IT-Partner richtet diese Prozesse von Anfang an sauber ein, damit im Ernstfall kein Stress entsteht.