| 29. März 2026 | 4 Min.

Multi-Faktor-Authentifizierung und Passwort-Sicherheit: Der Schutz, der nichts kostet

Jens Hagel in IT-Sicherheit

Inhalt in Kürze

82 Prozent aller Datenschutzverletzungen gehen auf schwache oder gestohlene Passwörter zurück
MFA verhindert über 99 Prozent aller Accountübernahmen und ist in Microsoft 365 kostenlos
68 Prozent der Unternehmen weltweit haben MFA bereits eingeführt — Tendenz stark steigend
Die NIS2-Richtlinie macht MFA für viele Unternehmen ab 2025 zur Pflicht

Der häufigste Einstiegspunkt für Cyberangriffe ist kein raffinierter Hack. Es ist ein gestohlenes Passwort. „Sommer2025!” oder „Firmenname123” — diese Passwörter knackt ein Angreifer in Sekunden. Multi-Faktor-Authentifizierung macht diesen Angriffsweg wirkungslos.

Warum Passwörter allein nicht reichen

Über 82 Prozent aller Datenschutzverletzungen sind laut Sicherheitsstudien mit schwachen oder gestohlenen Zugangsdaten verbunden. Die Gründe:

Passwort-Wiederverwendung. Die meisten Menschen nutzen dasselbe Passwort für mehrere Dienste. Wird einer gehackt, sind alle betroffen.
Phishing. Mitarbeiter geben ihr Passwort auf einer gefälschten Login-Seite ein — fertig.
Brute Force. Einfache Passwörter werden durch automatisiertes Ausprobieren geknackt.
Credential Stuffing. Gestohlene Passwort-Listen aus früheren Datenlecks werden systematisch bei anderen Diensten ausprobiert.

82 %

der Datenverletzungen durch schwache Passwörter

99 %

der Accountübernahmen durch MFA verhinderbar

68 %

der Unternehmen nutzen bereits MFA

MFA erklärt: So funktioniert es

Multi-Faktor-Authentifizierung verlangt beim Login zwei oder mehr Nachweise aus verschiedenen Kategorien:

Faktor	Beispiel	Sicherheit
Wissen (etwas, das Sie wissen)	Passwort, PIN	Basis — allein nicht ausreichend
Besitz (etwas, das Sie haben)	Smartphone mit Authenticator-App, Sicherheitsschlüssel	Hoch — Angreifer braucht physischen Zugriff
Biometrie (etwas, das Sie sind)	Fingerabdruck, Gesichtserkennung	Sehr hoch — nicht kopierbar

Die gängigste Kombination: Passwort + Authenticator-App auf dem Smartphone. Der Mitarbeiter gibt sein Passwort ein und bestätigt den Login mit einem Tipp in der App. Dauert 3 Sekunden.

Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 Prozent der Angriffe wirkungslos.

Jens HagelGeschäftsführer, hagel IT-Services GmbH

MFA einrichten — in einem Tag erledigt.

15 Minuten. Kostenlos. Ohne Vertriebsdruck.

Termin buchen →

MFA einführen: Schritt für Schritt

Bestandsaufnahme. Welche Systeme haben Ihre Mitarbeiter? Microsoft 365, VPN, CRM, Buchhaltung, Online-Banking. Alle Systeme, die einen Login haben, brauchen MFA.
Microsoft 365 zuerst. MFA über [Azure AD Security Defaults](https://learn.microsoft.com/de-de/entra/identity/authentication/concept-mandatory-multifactor-authentication) aktivieren. Ein Klick im Admin Center, und alle Nutzer müssen MFA einrichten.
Authenticator-App verteilen. Microsoft Authenticator auf allen Diensthandys installieren. Alternativ: Google Authenticator oder Authy.
Schrittweise ausrollen. Erst IT und Geschäftsführung, dann Abteilung für Abteilung über 2-3 Wochen.
Schulung. 10 Minuten pro Mitarbeiter: Warum MFA? Wie funktioniert die App? Was tun, wenn das Handy verloren geht?
Notfallzugriff einrichten. Für den Fall, dass ein Mitarbeiter sein Smartphone verliert: Backup-Codes, alternative Telefonnummer oder Admin-Reset.

Passwort-Manager: Schluss mit Passwort-Chaos

MFA ist der wichtigste Schutz. Aber gute Passwörter bleiben die Basis. Ein Passwort-Manager löst das Problem:

Ein Master-Passwort. Das einzige Passwort, das Sie sich merken müssen.
Einzigartige Passwörter. Für jeden Dienst ein anderes, zufällig generiertes Passwort.
Automatisches Ausfüllen. Browser-Extension füllt Login-Felder automatisch aus.
Geteilte Passwörter im Team. IT-Admin-Zugänge, Social-Media-Konten, WLAN-Passwörter — sicher geteilt statt per E-Mail.

Empfehlung für KMU: 1Password Business (ca. 8 €/Nutzer/Monat) oder Bitwarden Teams (ca. 4 €/Nutzer/Monat). Beide bieten zentrale Verwaltung, Notfallzugriff und starke Verschlüsselung.

Windows Defender: Reicht der Basisschutz?

Microsoft Windows Defender ist in Windows 11 enthalten und bietet soliden Grundschutz. Für viele KMU reicht das — wenn zusätzlich MFA, Firewall und regelmäßige Updates aktiv sind.

Wo Defender an Grenzen stößt:

Keine zentrale Verwaltung über mehrere PCs (ohne Intune/Defender for Business)
Kein E-Mail-Schutz (dafür brauchen Sie Exchange Online Protection)
Eingeschränkte Bedrohungsanalyse im Vergleich zu Enterprise-Lösungen

Mit Microsoft 365 Business Premium bekommen Sie Defender for Business — die Enterprise-Variante für KMU: zentrale Verwaltung, erweiterte Bedrohungserkennung und automatische Reaktion auf Angriffe.

Die Zukunft: Passwortlos

59 Prozent der Unternehmen planen laut aktuellen Studien, innerhalb von zwei Jahren auf passwortlose Authentifizierung umzusteigen. FIDO2-Sicherheitsschlüssel und Passkeys machen Passwörter überflüssig. Microsoft, Google und Apple unterstützen Passkeys bereits.

Das Wichtigste: MFA ist die wichtigste einzelne Sicherheitsmaßnahme, die Sie umsetzen können — und sie kostet nichts. 5 Minuten Einrichtung pro Mitarbeiter verhindern 99 Prozent aller Accountübernahmen. Kombiniert mit einem Passwort-Manager haben Sie die Grundlage für echte Sicherheit.

Ihr nächster Schritt

Sie haben MFA noch nicht aktiviert? Wir richten es für Ihr gesamtes Unternehmen ein — in wenigen Stunden, mit Schulung für alle Mitarbeiter.

Jens Hagel

Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2025 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Gespräch buchen Über uns

Inhalt

Alle Kundenstimmen

Bester IT-Dienstleister

2026 — brand eins / Statista

4,9

Kostenlos & unverbindlich

Wie sicher ist Ihre IT wirklich?

Kostenloser Security-Check in 15 Minuten — wir zeigen Ihnen, wo Ihre Lücken sind.

Security-Check anfragen 040 284 10 26-0

Häufig gestellte Fragen

MFA verlangt beim Login neben dem Passwort einen zweiten Faktor — zum Beispiel einen Code aus einer Authenticator-App, einen Fingerabdruck oder einen USB-Sicherheitsschlüssel. Selbst wenn ein Angreifer Ihr Passwort kennt, kommt er ohne den zweiten Faktor nicht rein.

Die NIS2-Richtlinie schreibt MFA für regulierte Unternehmen ab 2025 vor. Auch ohne NIS2 empfiehlt das BSI MFA dringend. Für Microsoft 365 wird MFA ab 2025 von Microsoft selbst schrittweise erzwungen.

FIDO2-Sicherheitsschlüssel (z. B. YubiKey) gelten als sicherste Methode, gefolgt von Authenticator-Apps (Microsoft Authenticator, Google Authenticator). SMS-Codes sind besser als nichts, aber anfällig für SIM-Swapping.

Für KMU empfehlen wir 1Password Business, Bitwarden Teams oder den in Microsoft 365 integrierten Credential Manager. Entscheidend: zentrale Verwaltung, Notfallzugriff für Admins und Verschlüsselung nach aktuellem Standard.

Schrittweise: Erst die IT-Admins und Geschäftsführung, dann alle Mitarbeiter über 2-3 Wochen. Pro Mitarbeiter dauert die Einrichtung 5 Minuten. Begleiten Sie es mit einer kurzen Schulung — warum MFA wichtig ist und wie die App funktioniert.