Inhalt in Kürze
- Multi-Faktor-Authentifizierung (MFA) verlangt mindestens zwei unabhängige Nachweise aus den Kategorien Wissen, Besitz und Inhärenz. Selbst ein erbeutetes Passwort öffnet das Konto dann nicht mehr.
- Microsoft beziffert die Blockrate auf über 99,9 % bei automatisierten Identitätsangriffen — aber nur phishing-resistente Methoden (FIDO2, Windows Hello for Business, Number-Matching) halten gegen moderne Adversary-in-the-Middle-Phishing stand.
- SMS-Codes und einfache Push-Bestätigungen sind 2026 nicht mehr Stand der Technik — sie schützen besser als nichts, aber lassen sich per SIM-Swap und MFA-Fatigue umgehen.
- NIS-2, Cyber-Versicherungen und die meisten Compliance-Frameworks setzen MFA voraus — meist phishing-resistent für privilegierte Konten und Standard-MFA für alle anderen Nutzer.
- Im Microsoft-365-Mittelstand bauen Sie MFA mit Authenticator + Number-Matching + Conditional Access auf — und ergänzen FIDO2-Keys für Geschäftsführung und Admins.
Wenn 2026 ein Account übernommen wird, war fast nie ein cleverer Hacker am Werk. Es war ein gestohlenes Passwort aus einem alten Leak, ein Phishing-Klick um 21 Uhr, eine wiederverwendete Login-Kombination aus dem Privatleben. Genau gegen dieses Szenario hilft Multi-Faktor-Authentifizierung — und zwar so wirksam, dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) sie als Mindeststandard im IT-Grundschutz führt und Cyber-Versicherer ohne MFA-Nachweis gar keine Police mehr schreiben.
Dieser Artikel klärt, was MFA technisch leistet, welche Methoden 2026 wirklich phishing-resistent sind und wie Sie MFA im Mittelstand sauber ausrollen — inklusive Conditional Access, Number-Matching und FIDO2-Sicherheits-Keys.
Was ist Multi-Faktor-Authentifizierung?
Multi-Faktor-Authentifizierung (MFA) ist ein Verfahren, bei dem mindestens zwei unabhängige Nachweise aus unterschiedlichen Kategorien erbracht werden müssen, bevor ein Zugang freigegeben wird. Die drei Kategorien definiert das BSI im IT-Grundschutz seit Jahren identisch:
- Wissen: Etwas, das nur Sie wissen — Passwort, PIN, Antwort auf eine Sicherheitsfrage.
- Besitz: Etwas, das nur Sie haben — Smartphone mit Authenticator-App, Hardware-Token, SIM-Karte.
- Inhärenz: Etwas, das Sie sind — Fingerabdruck, Gesichtsscan, Iris.
Sobald zwei dieser Kategorien kombiniert werden, sprechen wir von MFA. Zwei-Faktor-Authentifizierung (2FA) ist also nur die kleinste Variante davon. Wer mit Passwort plus Fingerabdruck plus Hardware-Token arbeitet, betreibt drei-faktorige MFA.
Im Alltag begegnen Sie MFA seit Jahren. Der Geldautomat akzeptiert Bankkarte (Besitz) plus PIN (Wissen). Das Online-Banking fordert TAN (Besitz) zusätzlich zum Passwort (Wissen). Neu ist 2026: Auch jeder Microsoft-365-Tenant, jedes Cloud-Backup und jede ERP-Login-Maske gehört in diese Liga.
Warum reicht ein Passwort nicht mehr?
Drei Realitäten machen das klassische Passwort 2026 zur Schwachstelle:
Erstens — Passwörter sind gestohlen. Die größten Leak-Sammlungen umfassen Milliarden geleakter Login-Kombinationen aus alten Datenpannen. Jeder Mitarbeiter, der ein Passwort doppelt verwendet hat (laut Verizon Data Breach Investigations Report 2024 sind das 65 % aller Menschen), ist potenziell betroffen. Hacker probieren diese Listen automatisiert gegen Microsoft-365-Logins — das nennt sich Credential Stuffing.
Zweitens — Phishing ist industrialisiert. Adversary-in-the-Middle-Kits wie Evilginx oder Tycoon haben das Phishing-Spiel verändert: Sie spiegeln die echte Login-Seite, fangen Passwort UND Session-Cookie ab und übergehen damit auch klassische MFA per Push oder SMS. Laut Microsoft Digital Defense Report 2024 sind solche Angriffe seit 2022 um Faktor 10 gestiegen.
Drittens — Compliance verlangt MFA. Das NIS-2-Umsetzungsgesetz, die DORA-Verordnung für Finanzdienstleister, die TI-Sicherheitsrichtlinien im Gesundheitswesen, der PCI-DSS-Standard für Kartenzahlungen — alle nennen MFA explizit oder verlangen “sichere Authentifizierung”, die in der Praxis nur mit MFA darstellbar ist.
Keine deutsche Cyber-Versicherung schreibt 2026 noch eine Police, ohne MFA-Nachweis für Admins, Geschäftsführung und Cloud-Zugänge zu verlangen. Wer im Schadensfall MFA nicht belegen kann, riskiert die Leistungsfreiheit der Versicherung — der Schaden bleibt beim Unternehmen.
Die MFA-Methoden im Vergleich 2026
Nicht jede MFA-Methode ist gleich sicher. Hier die fünf relevanten Verfahren, sortiert von schwach nach stark:
| Methode | Faktor | Phishing-Schutz | Aufwand User | Empfehlung 2026 |
|---|---|---|---|---|
| SMS-Code | Besitz (SIM) | gering — SIM-Swap, SS7 | niedrig | Notlösung, nicht Standard |
| E-Mail-Code | Besitz (Mail-Account) | sehr gering — Mail-Hijack | niedrig | nur als Backup |
| OTP per App (Google Authenticator, FreeOTP) | Besitz | mittel — Code wird per Phishing-Seite abgegriffen | niedrig | besser als SMS, ohne Push-Komfort |
| Push mit Number-Matching (Microsoft Authenticator, Duo) | Besitz | gut — verhindert MFA-Fatigue | niedrig | Standard für KMU 2026 |
| FIDO2 / WebAuthn (YubiKey, Windows Hello, Passkey) | Besitz + oft Inhärenz | sehr hoch — domaingebundene Krypto | mittel beim Setup | Pflicht für Admins & Geschäftsführung |
Warum FIDO2 die Königsklasse ist: Ein FIDO2-Authentifikator prüft per Public-Key-Krypto die Domain, von der die Anfrage kommt. Eine Phishing-Seite unter microsoft-login.com bekommt schlicht keine gültige Signatur — der Key gibt nichts heraus, weil die Domain nicht stimmt. Das ist der Unterschied zwischen “ein Code, den man tippen muss” und “kryptographisch nachweisbar an die richtige Seite gebunden”.
Die FIDO Alliance hat den Standard 2018 finalisiert. Microsoft, Apple, Google, AWS, jeder größere Cloud-Dienst unterstützt FIDO2 inzwischen direkt. Hardware-Keys wie YubiKey 5 (ca. 50 Euro) oder Feitian K9 (ca. 35 Euro) funktionieren über USB-A, USB-C oder NFC.
Zwei-Faktor-Authentifizierung ist der Schutz Nummer eins vor Ransomware. Kostet nichts, dauert 5 Minuten pro Mitarbeiter — und macht 99 % der Angriffe wirkungslos.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Number-Matching: Wie Microsoft MFA-Fatigue stoppt
Bis 2022 war das größte praktische Problem von MFA der MFA-Fatigue-Angriff: Hacker, die ein Passwort gestohlen hatten, sendeten einfach so lange Push-Benachrichtigungen an das Smartphone des Opfers, bis irgendwann ein müder Nutzer um 22 Uhr “Annehmen” tippte. Der spektakulärste Fall war der Uber-Hack 2022 — ein Mitarbeiter genehmigte nach Dutzenden Push-Anfragen schließlich den Login-Versuch des Angreifers.
Microsofts Antwort heißt Number-Matching. Seit Mai 2023 ist es im Microsoft Authenticator Standard:
- Nutzer gibt Passwort im Browser ein. System zeigt eine zweistellige Zahl auf dem Login-Bildschirm an — zum Beispiel 47.
- Push erscheint auf dem Smartphone. Statt "Annehmen / Ablehnen" verlangt die App, dass der Nutzer aktiv eine Zahl eintippt.
- Nutzer tippt die 47 ein. App vergleicht — stimmt, Login wird freigegeben.
- Bei Angreifer-Initiierung: Der Hacker sieht die 47 auf SEINEM Bildschirm — der echte Nutzer sieht nur den Push, aber keine Zahl. Tippt er aus Reflex zustimmend, fehlt die Eingabe. Login bleibt blockiert.
Das Verfahren ist in Microsoft Learn dokumentiert. Number-Matching ist kostenlos in allen Microsoft-365-Plänen mit MFA enthalten — Sie müssen es nur aktivieren, falls Ihr Tenant älter als 2023 ist.
Conditional Access: MFA mit Kontext
MFA für jede Anmeldung wäre für Mitarbeiter unzumutbar — und ist auch nicht das Ziel. Conditional Access in Microsoft Entra ID (früher Azure AD) löst das durch kontextbasierte Regeln. Beispiele aus echten KMU-Tenants:
- Aus Deutschland mit verwaltetem Gerät: Passwort genügt, MFA nur alle 30 Tage.
- Aus dem Ausland: MFA Pflicht bei jeder Anmeldung.
- Von unbekanntem Gerät: MFA Pflicht plus zusätzliche Risikoauswertung.
- Für Admin-Rollen: Phishing-resistente MFA Pflicht (FIDO2 oder Windows Hello), Tokens dürfen max. 1 Stunde leben.
- Login zwischen 22 und 6 Uhr aus Ländern außerhalb DACH: Blockieren oder Step-up-MFA.
Conditional Access ist in Microsoft 365 Business Premium enthalten (rund 22 Euro pro Nutzer pro Monat). Wer noch auf Business Standard fährt, hat keinen Zugriff auf das Feature — das ist 2026 unsere häufigste Empfehlung beim Lizenz-Upgrade.
1. MFA für alle aktivieren mit Microsoft Authenticator + Number-Matching. 2. Conditional-Access-Regel: MFA bei jeder Anmeldung von unverwalteten Geräten. 3. FIDO2-Keys für Geschäftsführung und IT-Admins. 4. Self-Service-Passwortrücksetzung aktivieren. Aufwand: ein bis zwei Tage Projekt — und Sie sind über dem Schutzniveau von 95 % der deutschen KMU.
NIS-2, DSGVO, Cyber-Versicherung: Wer fordert MFA?
| Regelwerk | MFA-Vorgabe | Wen betrifft es? |
|---|---|---|
| NIS-2-Umsetzungsgesetz (Deutschland, ab Dez. 2025) | “sichere Authentifizierung” — in Praxis MFA | KMU ab 50 MA in 18 Sektoren (Energie, Verkehr, Wasser, Gesundheit, ICT, Lebensmittel u.a.) |
| DORA-Verordnung (EU, ab Jan. 2025) | starke Authentifizierung explizit gefordert | Finanzdienstleister, Versicherungen, Krypto |
| PCI DSS 4.0 (seit 2024) | MFA für jeden Admin- und Remote-Zugang | jedes Unternehmen mit Karten-Zahlungsdaten |
| TI-Sicherheitsrichtlinie | MFA für KIM, ePA, eRezept | Arztpraxen, Apotheken, Krankenhäuser |
| DSGVO Art. 32 | ”Stand der Technik” — heute = MFA | jedes Unternehmen mit personenbezogenen Daten |
| BSI IT-Grundschutz (ORP.4) | MFA für privilegierte Zugänge | Behörden, KRITIS, NIS-2-Betroffene |
| Cyber-Versicherung 2026 | MFA-Nachweis für Admins, M365, RDP | jeder Versicherungsnehmer |
Wer mehr zur konkreten NIS-2-Umsetzung wissen will, findet die Details auf unserer NIS-2-Beratung Hamburg. Wir haben dort den Pflichten-Katalog für KMU aufbereitet — inklusive Schwellenwerten und Frist-Plan. Eine breitere Sicht auf Passwort- und Identitätssicherheit liefert unser Schwester-Artikel MFA & Passwort-Sicherheit für Unternehmen.
MFA im KMU einführen: Der saubere Rollout
So sehen unsere Rollouts in Hamburger Mittelständlern typischerweise aus — vom 15-Mitarbeiter-Handwerksbetrieb bis zum 150-Mann-Bauunternehmen:
- Bestandsaufnahme — Welche Konten brauchen MFA? Microsoft 365, ERP-Cloud, VPN, Remote-Desktop, Banking, Buchhaltungs-Tools. Faustregel: alles, was außerhalb des LAN erreichbar ist.
- Methoden-Wahl pro Rolle. Standard-Mitarbeiter: Authenticator-App. Geschäftsführung und Admins: zusätzlich FIDO2-Hardware-Key. Mitarbeiter ohne Firmen-Smartphone: Hardware-Token oder Windows Hello.
- Conditional Access aufsetzen. Mindest-Regeln: MFA bei Anmeldung von unverwaltetem Gerät, Blockade aus Ländern ohne Geschäftsbezug, härtere Regeln für Admin-Rollen.
- Backup-Methoden definieren. Verliert ein Mitarbeiter sein Smartphone, muss er trotzdem an seine Mails kommen. Lösung: zweite registrierte Methode (FIDO2-Key im Tresor) oder Self-Service-Workflow mit Identitätsprüfung durch IT.
- Self-Service-Registrierung aufmachen. Jeder Mitarbeiter registriert beim nächsten Login selbst — kein zentraler Admin-Aufwand. Microsoft Entra fragt automatisch nach der Methode.
- Schulungs-Material verteilen. Eine A4-Seite mit Screenshot reicht. Wichtigste Botschaft: Number-Matching nicht reflexartig genehmigen — Zahl prüfen.
- Monitoring scharf stellen. Im Microsoft Entra Sign-in Log auf riskante Anmeldungen, Reise-Anomalien, fehlgeschlagene MFA-Versuche prüfen. Mindestens wöchentlich, besser automatisiert per Alert.
- Nach 30 Tagen: Audit. Sind alle Konten MFA-pflichtig? Wer ist ausgenommen und warum? Welche Methoden sind im Tenant aktiv? Dokumentation für Compliance und Versicherung anlegen.
Wir wären ein leichtes Opfer — das weiß ich. Da hätte ich gerne einen verlässlichen Partner, der davon mehr versteht als ich als Laie.
Häufige Fehler beim MFA-Rollout
Aus 50+ MFA-Projekten unsere Top-7-Fallen:
- Nur Admins MFA — Rest „später". Angreifer übernehmen längst auch Standard-Konten, um intern Phishing-Mails zu verschicken. MFA muss für alle gelten.
- Service-Accounts ignorieren. Backup-Software, Drucker-Konten, App-Logins ohne MFA sind die Hintertüren. Lösung: Managed Identities oder konditionale Ausnahmen mit harter IP-Restriktion.
- SMS als Standard-Methode. SIM-Swap kostet Hacker im Darknet 200 Dollar — billiger als jeder Cyberangriff. SMS nur als Notfall-Backup, nicht als Hauptmethode.
- Keine Backup-Methode definiert. Verlorenes Smartphone am Freitag → Montag ohne Login → produktiver Stillstand. Vorab regeln, bevor der erste Notfall kommt.
- Conditional Access zu locker. „MFA bei jeder zweiten Anmeldung" reicht nicht — gegen Token-Diebstahl helfen kurze Session-Dauer und Device-Compliance.
- Schulung weggelassen. Mitarbeiter, die Number-Matching nicht verstehen, drücken weiter auf „Genehmigen". MFA wird damit zur Theaterveranstaltung.
- Dokumentation fehlt. Im Schadensfall verlangt die Cyber-Versicherung Nachweise. Ohne Screenshots aus Entra Sign-in Logs ist die Police schnell wertlos.
FIDO2 und Passkeys: Wohin die Reise geht
Die Microsoft-Vision für 2027 heißt “passwortlos”. Statt Passwort plus MFA reicht ein Authentifikator — zum Beispiel Windows Hello (Fingerabdruck oder Gesichtsscan) oder ein FIDO2-Key. Der Vorteil:
- Kein Passwort mehr zu stehlen — der private Schlüssel bleibt im Secure-Enclave des Geräts.
- Phishing-resistent von Haus aus — der Schlüssel signiert nur für die echte Domain.
- User-Experience besser als heute — kein Tippen, kein Code, kein Wechseln zum Smartphone.
Apple, Google und Microsoft haben sich 2022 auf Passkeys geeinigt — denselben Standard, plattformübergreifend synchronisiert. Wer 2026 Microsoft 365 Business Premium nutzt, kann das aktivieren. Wir empfehlen Mittelständlern, passwortlose Anmeldung als nächstes Quartal-Ziel zu setzen, sobald MFA stabil läuft.
Passwortlos heißt nicht „ohne Sicherheit". Es heißt: Der Authentifikator ersetzt das Passwort. Wer einfach das Passwort abschaltet, ohne FIDO2 oder Windows Hello sauber aufgesetzt zu haben, sperrt sich aus. Sauberer Plan ist Pflicht.
Was Sie diese Woche tun können
Drei konkrete Schritte:
- Tenant-Audit: Im Microsoft 365 Admin Center prüfen, welcher Anteil Ihrer Konten MFA aktiviert hat. Unter “Sicherheit → Identitäts-Sicherheits-Score” steht die Quote schwarz auf weiß. Realistisch sollte sie bei 100 % liegen.
- Methoden-Bestand: Welche Authentifizierungs-Methoden sind im Tenant aktiv? Wenn SMS noch als Primärmethode erlaubt ist, sollte sie auf “nur Backup” umgestellt werden.
- Cyber-Versicherung anrufen: Welche MFA-Form verlangt Ihre Police konkret? Viele 2024er-Verträge wurden 2025/26 stillschweigend verschärft. Wer die Bedingungen nicht kennt, ist im Schadensfall überrascht.
Wer Unterstützung bei der Umsetzung möchte — wir machen MFA-Rollouts seit Jahren bei Hamburger Mittelständlern und in ganz Norddeutschland. Im Managed-IT-Paket ist MFA inkludiert, im Co-Managed-Modell unterstützen wir Ihren internen Admin. Details: Managed IT-Services und Co-Managed IT. Wer einen tieferen Einblick in typische Angriffsvektoren möchte, dem hilft unser Artikel 7 überraschende Wege, wie Hacker auf Konten zugreifen.
IT-Sicherheit ist Chefsache. Sprechen Sie mit uns.
15 Minuten. Kostenlos. Ihre aktuelle MFA-Lage — ehrlich bewertet.
Erstgespräch buchen →Fazit
Multi-Faktor-Authentifizierung ist 2026 kein Sicherheits-Bonus mehr, sondern Mindeststandard — gefordert von NIS-2, vorausgesetzt von Cyber-Versicherungen, erwartet von Auditoren. Die gute Nachricht: Mit Microsoft Authenticator plus Number-Matching plus Conditional Access plus FIDO2-Keys für Admins haben Sie ein Schutzniveau, das industrialisierte Angriffe abprallen lässt. Die schlechte: SMS-Codes und einfache Push-Bestätigungen sind keine ausreichende MFA mehr — Phishing-Kits umgehen sie heute routiniert.
Wer noch ohne MFA arbeitet, sollte diese Woche anfangen. Wer schon MFA hat, sollte prüfen: Ist sie phishing-resistent? Sind Admins per FIDO2 geschützt? Greift Conditional Access bei unbekannten Geräten? Drei Fragen, die über den nächsten Schadenfall entscheiden.
Weiterführende Quellen:
