· Rexoma IT Team · IT-Sicherheit  · 6 min read

MFA einrichten: Multi-Faktor-Authentifizierung für KMU

Kompromittierte Passwörter sind der häufigste Einstiegsweg für Cyberangriffe. Multi-Faktor-Authentifizierung (MFA) stoppt die überwiegende Mehrheit dieser Angriffe – und ist in 30 Minuten eingerichtet.

Kompromittierte Passwörter sind der häufigste Einstiegsweg für Cyberangriffe. Multi-Faktor-Authentifizierung (MFA) stoppt die überwiegende Mehrheit dieser Angriffe – und ist in 30 Minuten eingerichtet.

Jede Woche werden weltweit Millionen von Passwörtern gestohlen – durch Phishing, Datenlecks bei Drittanbietern oder schwache Zugangsdaten. Für KMU in Dresden, Leipzig, Chemnitz und ganz Sachsen ist das kein abstraktes Problem: Wenn ein einziges Passwort ausreicht, um auf Firmen-E-Mails, Buchhaltungsdaten oder einen VPN-Zugang zu gelangen, ist das Risiko real und unmittelbar. Die gute Nachricht: Multi-Faktor-Authentifizierung (MFA) löst dieses Problem mit vergleichsweise geringem Aufwand.

Was ist Multi-Faktor-Authentifizierung?

Multi-Faktor-Authentifizierung bedeutet: Wer sich einloggt, muss mindestens zwei unabhängige Nachweise erbringen, dass er tatsächlich der berechtigte Nutzer ist.

Diese Faktoren fallen in drei Kategorien:

  • Wissen – etwas, das nur der Nutzer kennt: Passwort, PIN
  • Besitz – etwas, das der Nutzer hat: Smartphone mit Authenticator-App, Hardware-Token (z. B. YubiKey)
  • Biometrie – etwas, das der Nutzer ist: Fingerabdruck, Gesichtserkennung

In der Praxis kombinieren die meisten KMU Passwort und Authenticator-App (TOTP – Time-based One-Time Password). Das ist kostenlos, schnell eingerichtet und funktioniert mit nahezu allen gängigen Diensten.

Wie TOTP funktioniert

Nach Eingabe des Passworts zeigt die App – beispielsweise Microsoft Authenticator, Google Authenticator oder das quelloffene Aegis – einen 6-stelligen Code, der alle 30 Sekunden wechselt. Diesen Code muss der Nutzer zusätzlich eingeben. Ein Angreifer, der nur das Passwort kennt, kommt ohne das Smartphone des Nutzers nicht weiter.

Warum MFA für KMU unverzichtbar ist

Laut einer Analyse von Microsoft blockt MFA über 99,9 % der automatisierten Kontoübernahme-Angriffe (Quelle: Microsoft Security Blog, Alex Weinert, 2019). Die meisten Angriffe auf Unternehmenskonten laufen maschinell ab: Gestohlene Passwortlisten werden automatisiert gegen E-Mail-Dienste getestet. Ein zweiter Faktor stoppt diese Angriffe vollständig, weil Angreifer keinen physischen Zugriff auf das Smartphone des Nutzers haben.

Aktuelle Meldungen zeigen, wie relevant das Thema bleibt: Im Mai 2026 wurden bei SAP 15 neue Sicherheitslücken gemeldet, darunter zwei kritische, die Angreifern erlauben, Authentifizierungsmechanismen zu umgehen und sich unberechtigten Zugang zu verschaffen. Systeme ohne MFA sind in solchen Szenarien besonders exponiert – selbst wenn Passwörter komplex sind.

Für ostdeutsche KMU kommt ein weiterer Aspekt hinzu: Die NIS2-Richtlinie, die seit Oktober 2024 gilt, verlangt von betroffenen Unternehmen angemessene technische Sicherheitsmaßnahmen. MFA ist dabei eine der einfachsten und nachweisbarsten Maßnahmen, die sich im nächsten IT-Audit direkt belegen lässt.

Welche Konten brauchen MFA zuerst?

Wenn MFA schrittweise eingeführt wird, empfiehlt sich diese Reihenfolge:

  1. Administrator-Konten – höchste Priorität, da Kompromittierung maximalen Schaden anrichtet
  2. E-Mail-Konten – E-Mail ist der häufigste Angriffsweg und gibt oft Zugang zu Passwort-Resets
  3. Cloud-Dienste – Microsoft 365, Google Workspace, Nextcloud
  4. VPN-Zugänge – besonders kritisch bei Homeoffice-Nutzung
  5. Buchhaltungs- und ERP-Systeme – sensible Geschäftsdaten mit hohem Schadenspotenzial

Multi-Faktor-Authentifizierung einrichten: Schritt für Schritt

Microsoft 365 (Entra ID / Azure AD)

Microsoft 365 ist in vielen Dresdner KMU der zentrale Dienst für E-Mail, Teams und Office. MFA lässt sich hier ohne zusätzliche Lizenzkosten aktivieren:

  1. Im Microsoft 365 Admin Center unter Benutzer → Aktive Benutzer → Multi-Faktor-Authentifizierung öffnen
  2. Benutzer auswählen und Aktivieren klicken
  3. Alternativ: In Entra ID unter Sicherheit → Bedingter Zugriff eine Richtlinie erstellen, die MFA für alle oder bestimmte Gruppen erzwingt
  4. Nutzer werden beim nächsten Login aufgefordert, die Microsoft Authenticator App oder eine TOTP-App einzurichten
  5. Für Konten ohne Smartphone: Hardware-Token (TOTP-Dongle) als Alternative konfigurieren

Schnelleinstieg: Mit Security Defaults (in jedem Microsoft-Tenant kostenlos enthalten) wird MFA automatisch für alle Administratoren erzwungen. Für kleine Teams ist das ein sinnvoller erster Schritt ohne aufwendige Konfiguration.

Google Workspace

  1. In der Google Admin Console unter Sicherheit → 2-Schritt-Verifizierung
  2. Verifizierung für alle Nutzer oder eine Organisationseinheit erzwingen
  3. Stichtag setzen – bis wann Nutzer die Einrichtung abschließen müssen
  4. Nutzer erhalten automatisch eine geführte Einrichtung beim nächsten Login

Linux-Server und SSH absichern

Für Server, die per SSH erreichbar sind – etwa ein selbst gehosteter Nextcloud-Server oder ein WireGuard-Gateway –, lässt sich MFA über das Google PAM-Modul einrichten:

sudo apt install libpam-google-authenticator
# Als der jeweilige Nutzer ausführen:
google-authenticator

Der Dialog generiert einen QR-Code, den der Nutzer mit einer TOTP-App scannt. Anschließend trägt man in /etc/pam.d/sshd die Zeile auth required pam_google_authenticator.so ein und setzt in /etc/ssh/sshd_config den Parameter KbdInteractiveAuthentication yes.

Hinweis: SSH-Key-Authentifizierung und MFA lassen sich kombinieren – für maximale Sicherheit auf exponierten Servern empfohlen.

Typische Stolpersteine bei der MFA-Einführung

Backup-Codes nicht gespeichert: Jeder Dienst bietet bei der MFA-Einrichtung Einmal-Backup-Codes an, die bei verlorenem Smartphone den Zugang sichern. Diese müssen sicher offline gespeichert werden – im Passwortmanager oder physisch in einem Tresor.

Mitarbeiter nicht vorbereitet: Eine MFA-Einführung ohne vorherige Kommunikation erzeugt Support-Aufwand und Frustration. Ein kurzes Informationsschreiben mit Schritt-für-Schritt-Anleitung reicht meist aus.

Ausnahmen für Führungskräfte: Gerade bei Geschäftsführerkonten gibt es manchmal Widerstand gegen MFA. Das ist verständlich, aber kontraproduktiv – Führungskräfte sind besonders häufig Ziel von gezieltem Spear-Phishing.

TOTP reicht nicht für Hochrisiko-Konten: Standard-TOTP-Apps sind gut, aber gegen fortgeschrittene Angriffe (sogenannte Adversary-in-the-Middle-Proxys) kann ein TOTP-Code in Echtzeit abgefangen werden. Vollständiger Schutz gegen diese Methode bieten nur FIDO2-Hardware-Tokens wie YubiKey oder Nitrokey. Für Administrator-Konten lohnt die Investition von ca. 45–60 € pro Token.

Sie suchen Unterstützung bei MFA in Dresden?

Rexoma IT unterstützt KMU in Dresden, Leipzig und Chemnitz bei der Planung und Umsetzung von Multi-Faktor-Authentifizierung – von Microsoft 365 über Linux-Server bis hin zu WireGuard-VPN-Gateways. Wir helfen dabei, die richtige Methode für Ihre Infrastruktur zu wählen, den Rollout für alle Mitarbeiter zu koordinieren und MFA in bestehende Systeme zu integrieren – ohne Ausfallzeiten und ohne überforderte Mitarbeiter.

Jetzt Kontakt aufnehmen

Häufige Fragen zu Multi-Faktor-Authentifizierung

Kostet MFA etwas?

Die meisten MFA-Methoden sind kostenlos. Microsoft 365 und Google Workspace enthalten MFA ohne Aufpreis. Authenticator-Apps wie Microsoft Authenticator, Google Authenticator oder Aegis sind ebenfalls gratis. Nur Hardware-Tokens (YubiKey: ca. 45–60 € pro Stück) verursachen Kosten – sind aber nur für besonders kritische Konten notwendig.

Was passiert, wenn ein Mitarbeiter sein Smartphone verliert?

Jeder Dienst bietet bei der MFA-Einrichtung Backup-Codes an. Zusätzlich kann der IT-Administrator MFA für einen Nutzer zurücksetzen. Mit einer klaren internen Richtlinie und gespeicherten Backup-Codes ist der Verlust eines Smartphones kein Totalausfall, sondern ein lösbares Problem.

Muss ich MFA für alle Mitarbeiter gleichzeitig einführen?

Nein. Empfehlenswert ist ein schrittweiser Rollout: zuerst Administratoren, dann privilegierte Nutzer, dann alle. So können Probleme in kleinen Gruppen erkannt und behoben werden, bevor das gesamte Unternehmen umgestellt wird.

Schützt MFA auch gegen Phishing?

Standard-TOTP-MFA bietet guten Schutz, aber fortgeschrittenes Phishing mit Echtzeit-Proxys kann TOTP-Codes abfangen. Vollständiger Schutz gegen diese Angriffsmethode bieten nur FIDO2/Passkeys – ein Standard, der heute bereits von Microsoft 365 und Google Workspace unterstützt wird und für Hochrisiko-Konten empfohlen ist.

Zählt MFA als Nachweis für NIS2-Compliance?

MFA ist eine explizit empfohlene technische Schutzmaßnahme im Kontext der NIS2-Anforderungen an Authentifizierung und Zugangskontrolle. Sie allein reicht nicht für vollständige NIS2-Compliance aus – NIS2 verlangt ein umfassendes Risikomanagement. Als Teil eines Gesamtkonzepts ist MFA jedoch ein nachweisbarer und unverzichtbarer Baustein.

Share:
Back to Blog

Related Posts

View All Posts »