Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Sicherheit & Datenschutz 02.06.2026 · 9 min Lesezeit

Zwei-Faktor-Authentifizierung (2FA/MFA) richtig einführen

So führst du Zwei-Faktor-Authentifizierung (2FA/MFA) im Mittelstand richtig ein: Verfahren im Vergleich, phasenweiser Roll-out vom Pilot bis zur Pflicht, sichere Recovery-Codes und ein NIS-2-konformes Konzept – anbieterunabhängig und praxisnah.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Infografik zur richtigen Einführung von Zwei-Faktor-Authentifizierung mit Passwort plus zweitem Faktor, Authenticator-App, Hardware-Token, Backup-Codes und sicherem Rollout für Benutzerkonten.

Ein gestohlenes Passwort reicht heute, um ein ganzes Unternehmen lahmzulegen. Zwei-Faktor-Authentifizierung (2FA/MFA) blockiert nach Branchenzahlen über 99 % der automatisierten Account-Übernahmen – aber nur, wenn sie richtig eingeführt wird. Diese Anleitung richtet sich an Mittelstands-Admins und Entscheider und zeigt anbieterunabhängig, welche Verfahren wirklich schützen, wie du MFA phasenweise im Team ausrollst, wie du Aussperrungen mit einem sauberen Recovery-Konzept verhinderst und welche rechtlichen Pflichten seit NIS-2 gelten. Die konkrete Umsetzung in Microsoft 365 ist ein eigenes Thema und am Ende verlinkt.

Kurzfassung: Echte 2FA kombiniert zwei verschiedene Faktor-Kategorien – Wissen, Besitz, Inhärenz. Für Hochrisiko-Konten (Admins) gehören phishing-resistente Verfahren wie FIDO2/Passkey her, für Standard-Nutzer mindestens eine TOTP-App. SMS und E-Mail nur als letzter Fallback. Rolle MFA risikobasiert in Phasen aus (zuerst Admins, dann Remote/Mail/Cloud, dann alle), und biete die Selbst-Registrierung immer VOR der Pflicht an. Lege für jeden Nutzer mindestens zwei Faktoren plus sicher verwahrte Notfall-Codes an. MFA ist seit dem NIS2UmsuCG (in Kraft seit 06.12.2025) nach § 30 BSIG explizite Pflicht und eine TOM nach Art. 32 DSGVO.Voraussetzungen

  1. Eine Bestandsaufnahme aller Konten, Anwendungen und Zugänge (Cloud/SaaS, VPN, Mail, Finanz, Admin-Konten, Service-Accounts, Externe).
  2. Identity-Provider oder Dienste, die MFA unterstützen (Microsoft 365/Entra ID, Google Workspace, IdP wie Keycloak, VPN-Gateway usw.).
  3. Budget für Hardware-Sicherheitsschlüssel (FIDO2) für privilegierte Konten – Passkeys und TOTP-Apps sind kostenlos.
  4. Einen verschlüsselten Passwort-Manager für die Hinterlegung von Notfall-Codes sowie einen physischen Tresor.
  5. Rückendeckung der Geschäftsleitung – sie haftet nach § 38 BSIG persönlich für die Umsetzung.

Schritt 1: Grundlagen klären – was 2FA wirklich ist

Authentifizierung stützt sich auf drei Faktor-Kategorien. Echte Zwei-Faktor-Authentifizierung kombiniert zwei verschiedene davon – zwei Passwörter sind kein 2FA.

  1. Wissen: etwas, das du weißt – Passwort, PIN.
  2. Besitz: etwas, das du hast – Smartphone, Hardware-Token, Smartcard.
  3. Inhärenz (Sein): etwas, das du bist – Fingerabdruck, Gesicht (Biometrie).

Der entscheidende Begriff für die Verfahrensauswahl ist Phishing-Resistenz. Viele gängige Verfahren – auch die beliebte TOTP-App – lassen sich über eine Phishing-Proxy-Seite (etwa Evilginx) in Echtzeit weiterreichen: Der Nutzer gibt seinen Code auf der gefälschten Seite ein, der Angreifer leitet ihn sofort an den echten Dienst weiter. Phishing-resistente Verfahren wie FIDO2/Passkey verhindern genau das durch kryptografische Schlüsselpaare und Origin-Binding: Der private Schlüssel verlässt das Gerät nie und der Login funktioniert nur auf der echten Domain.

Schritt 2: Verfahren auswählen und vergleichen

Nicht jedes Verfahren ist gleich sicher. BSI (Bewertung der 2FA-Verfahren, Stand 2025) und NIST SP 800-63B-4 (Juli 2025) stufen phishing-resistente Verfahren als Goldstandard ein und werten SMS/E-Mail-OTP ab – NIST führt SMS/PSTN-OTP offiziell als restricted authenticator, E-Mail-OTP wurde ganz gestrichen. Wähle das Verfahren nach Schutzklasse des Kontos, nicht nach Bequemlichkeit.

VerfahrenFaktor-TypPhishing-resistentOffline-fähigKosten/GerätEignung

FIDO2-Sicherheitsschlüssel

Besitz

Ja

ja

mittel–hoch

Admins, Hochrisiko

Passkey (gerätegebunden)

Besitz + Biometrie

Ja

ja

gering

alle Nutzer

Hardware-OTP-Token (z. B. YubiKey OTP)

Besitz

nein

ja

mittel

Offline-Umgebungen

TOTP-App (Authenticator)

Besitz

Nein

ja

gering

Standard-Mitarbeiter

Push-Bestätigung

Besitz

Nein (MFA-Fatigue-Risiko)

nein

gering

nur mit Number-Matching

SMS/E-Mail-OTP

Besitz

Nein (schwächste Option)

nein

gering

nur Notfall/Fallback

Das BSI bewertet chipTAN und den Personalausweis (eID) als resistent gegen alle betrachteten Angriffsszenarien, FIDO2 als phishing-resistent bei korrekter Token-Bindung. chipTAN und eID sind in der Praxis aber meist nur für Banking und Behörden verfügbar – für den generischen Unternehmens-Login sind FIDO2/Passkey die realistische phishing-resistente Wahl. TOTP basiert auf RFC 6238 (6-stelliger Code, 30-Sekunden-Fenster, gemeinsames Secret) und ist offline-fähig, aber eben nicht phishing-resistent.

Faustregel zur Zuordnung

  1. Hochrisiko (Admins, privilegierte Konten): phishing-resistent, also FIDO2/Passkey – niemals nur TOTP.
  2. Standard-Mitarbeiter: TOTP-App als Minimum, Passkey wo möglich.
  3. Push: nur mit Number-Matching und Kontext-Anzeige (Standort/App).
  4. SMS/E-Mail: ausschließlich als letzter Fallback, nie als Standard.

Schritt 3: Roll-out risikobasiert in Phasen planen

Ein tenant-weites Big-Bang-Enforcement ohne Pilot führt zuverlässig zu Support-Flut und Login-Ausfällen. Rolle MFA stattdessen risikobasiert aus – nicht nach Hierarchie, sondern nach Schutzbedarf. Wichtig: Die Selbst-Registrierung (Enrollment) kommt IMMER vor der Pflicht-Aktivierung (Enforcement).

PhaseZielgruppe / Inhalt

Phase 0 – Vorbereitung

Bestandsaufnahme aller Konten/Apps, Policy schreiben, Support- und Recovery-Prozess definieren.

Phase 1 – Pilot (1–2 Wochen)

IT/Security plus freiwillige Power-User mit verschiedenen Geräten; Probleme einsammeln.

Phase 2 – privilegierte Konten

Alle Admin-/privilegierten Konten verpflichtend, phishing-resistent (FIDO2).

Phase 3 – Remote & Kernsysteme

VPN/Remote-Zugang, Mail, Cloud/SaaS, Finanz/Buchhaltung.

Phase 4 – alle Mitarbeiter

Restliche Belegschaft, Standard-Verfahren TOTP/Passkey.

Phase 5 – Externe

Partner- und Lieferanten-Zugänge zuletzt.

Die Priorisierungs-Reihenfolge nach Schutzbedarf lautet also: zuerst Admins und privilegierte Konten, dann VPN/Remote, Mail, Cloud/SaaS, Finanz/Buchhaltung, danach alle Mitarbeiter und zuletzt externe Nutzer.

Schritt 4: Pilot durchführen und messen

Der Pilot deckt Stolpersteine auf, bevor sie die ganze Belegschaft treffen. Hake vor dem breiten Roll-out diese Punkte ab:

  1. mindestens 2 Verfahren angeboten (z. B. FIDO2 + TOTP)
  2. verschiedene Gerätetypen getestet (iOS / Android / Desktop)
  3. Login UND Recovery getestet
  4. Support-Team geschult
  5. Doku/Kurzanleitung für Endnutzer fertig
  6. Messung aufgesetzt: Registrierungsquote, Support-Tickets, Login-Fehlerquote

Erst wenn diese Kennzahlen stimmen und der Support den Andrang bewältigt, gehst du in die nächste Phase. Plane bewusst Reserve im Help-Desk ein, denn die erste Enrollment-Welle erzeugt erfahrungsgemäß die meisten Rückfragen.

Schritt 5: Recovery- und Notfall-Konzept aufsetzen

Ohne Recovery-Konzept droht der Massen-Lockout: Ist nur ein Faktor registriert und das Gerät geht verloren, sperrt sich der Nutzer aus. Das ist die häufigste und teuerste MFA-Panne. So beugst du vor:

  1. Bei jedem Enrollment 8–10 Einmal-Codes generieren lassen.
  2. Diese Codes verschlüsselt im Passwort-Manager und ausgedruckt im Tresor hinterlegen (Rule of Three).
  3. Mindestens zwei verschiedene Zweitfaktoren pro Nutzer registrieren (z. B. Hardware-Key + TOTP), um Aussperrungen zu vermeiden.
  4. Einen definierten, identitätsgeprüften Help-Desk-Reset-Prozess festlegen – kein Reset allein per E-Mail oder Anruf.
  5. Ein Break-Glass-/Notfall-Admin-Konto mit FIDO2 und separat verwahrtem Notfall-Code einrichten und regelmäßig testen.

Notfall-Codes sicher lagern (Rule of Three)

Notfall-Codes im Klartext in einer E-Mail, als Screenshot oder in einer Notiz-App machen den zweiten Faktor wertlos. Verteile die Codes nach der Rule of Three auf drei voneinander unabhängige Orte:

1) Verschluesselt digital  -> Passwort-Manager (Eintrag pro Account)
2) Physisch zuhause/Buero  -> Tresor oder abschliessbare Schublade
3) Physisch zweiter Ort    -> getrennt verwahrter Ausdruck (Backup-Standort)

NIEMALS: Klartext-E-Mail, Screenshot, Desktop-Datei, Notiz-App

Denke auch an die TOTP-Seeds: Ohne Backup des QR-Codes oder Secrets muss bei jedem Handywechsel neu registriert werden. Definiere dafür einen klaren Migrations- bzw. Recovery-Prozess.

Schritt 6: Schulung und Change-Management

Technik allein reicht nicht – ohne Kommunikation kippt die Stimmung. Setze diese Bausteine ein:

  1. Vorab-Ankündigung mit Termin und Begründung (Warum, ab wann, für wen).
  2. Kurzanleitung (eine Seite, mit Screenshots) pro Verfahren.
  3. Aufklärung über MFA-Fatigue / Push-Bombing: niemals eine unaufgeforderte Push-Anfrage bestätigen, Number-Matching nutzen.
  4. Ein klar benannter Kontakt für Support.
  5. Erinnerung an die sichere Aufbewahrung der Notfall-Codes.

MFA-Fatigue ist ein realer Angriff: Angreifer lösen wiederholt Push-Anfragen aus, bis ein genervter Nutzer bestätigt. Gegenmittel sind Number-Matching, Kontext-Anzeige oder – besser – phishing-resistente Verfahren statt einfacher Approve-Push.

Schritt 7: MFA-Policy als internen Standard schreiben

Halte die Regeln verbindlich fest, damit sie nachvollziehbar und prüfbar sind. Eine bewährte Gliederung des internen MFA-Standards:

  1. Geltungsbereich und betroffene Systeme.
  2. Pflicht-Verfahren je Schutzklasse: Hochrisiko = phishing-resistent (FIDO2/Passkey), Standard = TOTP, SMS nur als Fallback.
  3. Registrierungs-/Enrollment-Prozess.
  4. Recovery- und Lockout-Prozess.
  5. Verbotene Praktiken: SMS als primärer Faktor, geteilte Konten, Codes im Klartext.
  6. Verantwortlichkeiten und Review-Zyklus.

Die konkrete Umsetzung – etwa Conditional Access, Security Defaults oder Authentication Strengths in Microsoft 365/Entra ID – gehört nicht in die Policy selbst, sondern wird separat dokumentiert und verlinkt.

Schritt 8: Compliance – NIS-2 und DSGVO einordnen

MFA ist nicht mehr Kür, sondern Pflicht. Das NIS2UmsuCG ist seit dem 06.12.2025 ohne Übergangsfrist in Kraft. MFA wird dort explizit gefordert nach § 30 Abs. 2 Satz 2 Nr. 10 BSIG (Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung). Betroffen sind rund 29.500 wichtige und besonders wichtige Einrichtungen, und die Geschäftsleitung haftet nach § 38 BSIG persönlich.

  1. Bußgelder NIS-2: besonders wichtige Einrichtungen bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes; wichtige Einrichtungen bis 7 Mio. EUR oder 1,4 %.
  2. DSGVO: MFA gilt als technisch-organisatorische Maßnahme (TOM) nach Art. 32 DSGVO – bei Konten mit Zugriff auf personenbezogene Daten faktisch geboten (Stand der Technik).

Wichtig zur Einordnung: MFA allein erfüllt NIS-2 nicht. Sie ist eine von zehn Maßnahmen nach § 30 BSIG – ein Baustein, kein Freibrief. Aber ein zentraler, weil fehlende Umsetzung Bußgelder bis 10 Mio. EUR bzw. 2 % Umsatz auslösen kann.

Typische Fehler

  1. SMS/E-Mail als primärer zweiter Faktor: anfällig für SIM-Swapping, SS7-Angriffe und Echtzeit-Phishing – von BSI und NIST abgewertet. Nur als letzter Fallback.
  2. TOTP für phishing-resistent halten: Der Code lässt sich über eine Phishing-Proxy-Seite in Echtzeit weiterreichen. Für Admins gehört FIDO2/Passkey her.
  3. Kein Recovery-Konzept: nur ein registrierter Faktor plus Geräteverlust ergibt Massen-Lockout. Immer mindestens zwei Faktoren und Notfall-Codes.
  4. Big-Bang ohne Pilot: führt zu Support-Flut und Ausfällen. Phasenweise, Enrollment vor Enforcement.
  5. Vergessene Sonderfälle: Service-Accounts, Shared Mailboxes und vor allem Legacy-Auth (IMAP/POP/SMTP-Basic-Auth) umgehen MFA. Legacy-Auth blockieren, sonst ist MFA wirkungslos.
  6. Notfall-Codes unsicher gelagert: Klartext-Mail, Screenshot oder Notiz-App machen den zweiten Faktor wertlos.
  7. Compliance-Irrtum: MFA allein erfüllt NIS-2/DSGVO nicht – sie ist eine von zehn Maßnahmen, die Geschäftsleitung haftet persönlich.

Häufige Fragen

Reicht eine TOTP-App wie ein gängiger Authenticator nicht für alle aus?

Für Standard-Mitarbeiter ist eine TOTP-App ein gutes Minimum und deutlich besser als gar kein zweiter Faktor. Für privilegierte Konten reicht sie nicht: TOTP ist nicht phishing-resistent, der Code lässt sich über eine Proxy-Phishing-Seite in Echtzeit abfangen. Admins brauchen FIDO2/Passkey.

Warum ist SMS als zweiter Faktor so schlecht?

SMS-OTP ist anfällig für SIM-Swapping, SS7-Angriffe und Echtzeit-Phishing. NIST stuft SMS/PSTN-OTP offiziell als restricted authenticator ein, das BSI sieht deutliche Schwächen. Nutze SMS nur als letzten Fallback, niemals als Standard – und biete immer einen stärkeren Alternativ-Faktor an.

Was ist der Unterschied zwischen 2FA und MFA?

2FA bedeutet genau zwei Faktoren aus zwei verschiedenen Kategorien (Wissen, Besitz, Inhärenz). MFA (Multi-Faktor) ist der Oberbegriff für zwei oder mehr. In der Praxis werden die Begriffe oft synonym verwendet; entscheidend ist, dass die Faktoren aus unterschiedlichen Kategorien stammen.

Wie verhindere ich, dass sich Mitarbeiter aussperren?

Registriere pro Nutzer mindestens zwei verschiedene Zweitfaktoren (z. B. Hardware-Key plus TOTP), generiere 8–10 Notfall-Codes und verwahre sie nach der Rule of Three. Definiere zusätzlich einen identitätsgeprüften Help-Desk-Reset-Prozess – kein Reset allein per E-Mail oder Anruf.

Was ist MFA-Fatigue und wie schütze ich mein Team?

Bei MFA-Fatigue (Push-Bombing) lösen Angreifer wiederholt Push-Anfragen aus, bis jemand genervt bestätigt. Schütze dich mit Number-Matching, Kontext-Anzeige (Standort/App) und der Schulungsregel, niemals eine unaufgeforderte Push-Anfrage zu bestätigen. Phishing-resistente Verfahren umgehen das Problem ganz.

Sind Passkeys sicher genug für Unternehmen?

Ja. Das BSI bezeichnet Passkeys als sehr sichere Lösung. Sie ersetzen Passwörter vollständig und verhindern Phishing durch Public-Key-Kryptografie – der private Schlüssel verlässt das Gerät beziehungsweise den Authenticator nicht. Standardbasis ist FIDO2 (WebAuthn nach W3C plus CTAP2).

Fazit

Die erfolgreiche Einführung von 2FA/MFA ist weniger ein Technik- als ein Prozessthema. Wähle die Verfahren nach Schutzklasse – phishing-resistentes FIDO2/Passkey für Admins, TOTP als Standard, SMS nur als Notnagel. Rolle risikobasiert in Phasen aus, biete die Registrierung immer vor der Pflicht an und teste den Recovery-Weg genauso gründlich wie den Login. Mit mindestens zwei Faktoren pro Nutzer, sicher verwahrten Notfall-Codes und einer schriftlichen Policy verhinderst du Aussperrungen und erfüllst zugleich die NIS-2- und DSGVO-Anforderungen. Vergiss die Sonderfälle nicht: Legacy-Auth blockieren, sonst läuft die beste MFA ins Leere.

Weiterführende Anleitungen und Quellen

  1. Konkrete Umsetzung in Microsoft 365: Microsoft 365 MFA mit Conditional Access in Entra ID einrichten
  2. Passwörter ablösen und Passkeys ausrollen: Sichere Passwörter und Passkeys im Unternehmen
  3. Damit MFA-Fatigue nicht greift: Phishing erkennen und melden – Leitfaden fürs Team
  4. Weitere Anleitungen rund um IT-Sicherheit: Kategorie Sicherheit

Quellen: BSI – Technische Betrachtung zur Sicherheit bei 2FA-Verfahren und NIS-2-Infopaket Multi-Faktor-Authentisierung (§ 30 BSIG); NIST SP 800-63B-4 Digital Identity Guidelines (Juli 2025); § 30 BSIG (BSIG 2025). Stand 2025/2026.

Verwandt

Weiter lesen

Alle Artikel →
Infografik zur Absicherung eines Linux-Servers mit UFW-Firewall und Fail2ban, mit Firewall-Regeln, SSH-Schutz, gesperrten Angreifer-IP-Adressen und Protokollüberwachung.
02.06.2026 ·10 min

Linux-Server absichern: UFW-Firewall und Fail2ban

Härte deinen Debian-12- oder Ubuntu-24.04-Server mit UFW und Fail2ban ab: Firewall-Regeln richtig setzen, Brute-Force-Angriffe automatisch sperren und den gefürchteten SSH-Lockout vermeiden.
Infografik zu einem datensicheren Löschkonzept nach DSGVO, mit Datenarten, Löschfristen, Verantwortlichkeiten, Speicherorten, Backups und dokumentierter Löschung personenbezogener Daten.
02.06.2026 ·11 min

Datensicheres Löschkonzept nach DSGVO erstellen

Mit einem DSGVO-Löschkonzept legst du fest, welche personenbezogenen Daten wann und wie gelöscht werden. Diese Anleitung führt dich Schritt für Schritt durch Datenarten, Löschklassen, Löschfristen und den Nachweis – inklusive Vorlagen und Backup-Regeln für den Mittelstand.
Infografik zur DSGVO-Praxis mit dokumentierten technischen und organisatorischen Maßnahmen, Risikoanalyse, Verantwortlichkeiten sowie vertraglich geregelter Auftragsverarbeitung nach Art. 28 DSGVO.
02.06.2026 ·10 min

DSGVO-Praxis: TOMs dokumentieren und Auftragsverarbeitung regeln

So dokumentierst du deine technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO und schließt rechtssichere Auftragsverarbeitungsverträge nach Art. 28 ab – mit Vorlagenstruktur, Checklisten und einer zentralen AVV-Übersicht für den Mittelstand.