In meiner täglichen Arbeit als IT-Spezialist sehe ich es immer wieder: Unternehmen investieren in Firewalls, schulen ihre Mitarbeiter gegen Phishing – und lassen dann das Offensichtlichste offen. Ihr E-Mail-Konto, ihr Microsoft 365, ihr VPN-Zugang – alle nur mit einem einzigen Passwort geschützt. Dabei ist Multi-Faktor-Authentifizierung (MFA) einrichten eine der wirksamsten und günstigsten Sicherheitsmaßnahmen, die es gibt.
In diesem Artikel erkläre ich, wie MFA funktioniert, warum ein kompromittiertes Passwort ohne MFA zur Katastrophe werden kann – und wo Sie heute noch anfangen sollten.
Was ist MFA und warum reicht ein Passwort nicht mehr?
Bei der normalen Anmeldung reicht ein Passwort. Bei MFA brauchen Sie zusätzlich einen zweiten Nachweis – einen Beweis, dass Sie wirklich Sie sind und nicht jemand, der Ihr Passwort gestohlen hat.
Das Prinzip kennen Sie vom Online-Banking: Die Karte allein reicht nicht, Sie brauchen auch die PIN. Genau so funktioniert MFA bei E-Mail, Microsoft 365, Social Media und Co. Die drei möglichen Faktoren:
- Etwas, das Sie wissen – Ihr Passwort
- Etwas, das Sie besitzen – Ihr Smartphone (App-Code oder SMS)
- Etwas, das Sie sind – Fingerabdruck oder Gesichtserkennung
Wer nur Ihr Passwort kennt, kommt ohne den zweiten Faktor nicht rein. Und genau das ist der entscheidende Unterschied.
Warum ein gestohlenes Passwort das gesamte Unternehmen gefährdet
Stellen Sie sich vor, jemand erbeutet Ihr E-Mail-Passwort – durch eine Phishing-Mail, ein Datenleck auf einer fremden Plattform oder ein zu schwaches Kennwort. Damit liest er nicht nur Ihre Mails. Er kann über das E-Mail-Konto die Passwörter sämtlicher anderer Konten zurücksetzen: Online-Banking, Kundenverwaltung, Cloud-Speicher mit sensiblen Unternehmensdaten.
Laut BSI ist das E-Mail-Konto der häufigste Einstiegspunkt bei Angriffen auf KMU – etwa auch bei Ransomware. Für einen Freiberufler oder ein kleines Unternehmen kann das den gesamten Betrieb zum Stillstand bringen – und das alles wegen eines einzigen fehlenden zweiten Faktors.
MFA einrichten: Wo Sie sofort anfangen sollten
Die Aktivierung dauert pro Konto meist zwei bis fünf Minuten. Sie finden die Einstellung fast immer unter „Sicherheit" oder „Anmeldung" in den Kontoeinstellungen. Beginnen Sie hier:
- E-Mail-Konto – höchste Priorität, Dreh- und Angelpunkt aller Passwort-Zurücksetzungen
- Microsoft 365 / Google Workspace – Firmendaten, Kalender, Ablage, Teams
- Online-Banking – direkter Zugriff auf Ihre Finanzen
- VPN und Fernzugänge – oft vergessen, aber besonders kritisch
- Social-Media-Konten – Reputation und Reichweite schützen
Wenn Sie Microsoft 365 im Unternehmen einsetzen, kann ich MFA für alle Mitarbeiter zentral aktivieren und verwalten – das ist Teil meines Cloud-Services.
App oder SMS – welche MFA-Methode ist wirklich sicher?
Viele Dienste bieten MFA per SMS an. Das ist besser als nichts – aber die deutlich sicherere Variante ist eine Authenticator-App. Der Unterschied in der Praxis:
- Authenticator-App (Microsoft Authenticator, Google Authenticator) – Codes werden lokal auf Ihrem Gerät erzeugt, zeitlich begrenzt, kein Angreifer kann sie abfangen. Empfehlung für den Alltag.
- SMS-Code – einfacher einzurichten, aber unter bestimmten Umständen abfangbar (SIM-Swapping). Trotzdem: deutlich besser als kein zweiter Faktor.
- Hardware-Token (z. B. YubiKey) – physischer USB-Stick als zweiter Faktor, für besonders sensible Zugänge wie Server-Administratoren.
Fazit: MFA ist kein Aufwand – es ist Pflicht
Ein Passwort allein ist heute kein ausreichender Schutz mehr. MFA einrichten kostet Sie pro Konto fünf Minuten – und schützt Sie vor den häufigsten Angriffsmethoden, die ich als IT-Sicherheitsspezialist täglich beobachte.
Wenn Sie nicht sicher sind, ob MFA in Ihrem Unternehmen überall aktiviert ist, welche Methode für Sie passt oder wie Sie es für mehrere Mitarbeiter ausrollen – sprechen Sie mich an. Ein kurzes Erstgespräch reicht, um die größten Lücken zu schließen.
Dieser Artikel basiert auf einem Erklärvideo von meinem YouTube-Kanal „IT-Sicherheit für jeden".
Haben Sie Fragen zu Ihrer IT-Sicherheit?
Kostenloses Erstgespräch