Die Multi-Faktor-Authentifizierung (MFA) ist längst nicht mehr nur eine Sicherheitsempfehlung für Großunternehmen. Sie ist eine der praktischsten Methoden für Unternehmen, um das Risiko einer Kontoübernahme zu senken und gestohlene Passwörter weniger nützlich zu machen. Da sich der Zugriff auf Unternehmenssysteme über Cloud-Apps, Remote-Teams, gemeinsam genutzte Geräte und Plattformen von Drittanbietern erstreckt, wird MFA zu einem immer nützlicheren Werkzeug.

Doch bei der Implementierung stehen IT-Manager vor der Herausforderung, beurteilen zu müssen, ob MFA nützlich oder effektiv ist. Damit MFA in einer gesamten Organisation funktioniert, müssen viele Entscheidungen getroffen werden: Welche Konten benötigen sie zuerst? Welche MFA-Methoden sollten erlaubt sein? Wie vermeidest du den Widerstand von Mitarbeitenden? Wie stellst du sicher, dass MFA tatsächlich erzwungen und nicht nur empfohlen wird?

Dieser Leitfaden soll deinem Unternehmen helfen, die MFA-Implementierung erfolgreich umzusetzen. Er erklärt, was MFA ist, warum Passwörter allein nicht mehr ausreichen, wie gängige MFA-Methoden im geschäftlichen Einsatz abschneiden und wie du MFA so einführst, dass dein Team sie problemlos annehmen kann. Er zeigt auch, wie ein Passwort-Manager für Unternehmen mit integrierter 2FA-Unterstützung es einfacher macht, stärkere Authentifizierungspraktiken im großen Stil zu verwalten.

Was ist die Multi-Faktor-Authentifizierung?

Warum Passwörter allein nicht mehr ausreichen

MFA-Arten und geschäftliche Kompromisse

Woran die MFA-Implementierung scheitert

Das Problem des Widerstands von Mitarbeitenden

Wie du MFA in deinem Unternehmen einführst

Wie Proton Pass for Business MFA verwaltbar macht

Was ist die Multi-Faktor-Authentifizierung?

MFA ist ein Sicherheitsprozess, der mehr als eine Art der Identitätsprüfung erfordert, um auf ein Konto zuzugreifen. Anstatt sich nur auf ein herkömmliches Passwort zu verlassen, verlangt MFA einen zusätzlichen Faktor, der unbefugten Zugriff erschwert.

Die drei gängigen Authentifizierungsfaktoren sind:

  • Etwas, das du weißt, wie ein Passwort oder eine PIN.
  • Etwas, das du hast, wie ein Telefon, eine Authenticator-App, einen Hardware-Sicherheitsschlüssel oder ein vertrauenswürdiges Gerät.
  • Etwas, das du bist, wie ein Fingerabdruck oder eine Gesichtserkennung.

In der Praxis bedeutet MFA meist, dass ein Mitarbeitender ein Passwort eingibt und dann die Anmeldung über eine andere Methode verifiziert, wie z. B. einen zeitbasierten Code (oder TOTP), eine Push-Freigabe, einen Passkey oder einen Hardware-Schlüssel. Das Ziel ist einfach: Wenn ein Passwort gestohlen, erraten, per Phishing erbeutet oder wiederverwendet wird, benötigt der Angreifer immer noch einen weiteren Faktor, um Zugriff zu erhalten.

Multi-Faktor-Authentifizierung in Unternehmensumgebungen

Für Unternehmen ist die Implementierung von MFA eine Möglichkeit, die Kontosicherheit durch eine zusätzliche Zugriffskontrolle zu stärken, und nicht nur Passwörter zu ersetzen. In Unternehmensumgebungen besteht die Herausforderung darin, zu entscheiden, wo diese Methoden am dringendsten benötigt werden und wie sie konsistent über verschiedene Systeme, Rollen und Risikostufen hinweg bereitgestellt werden können.

Dennoch sind nicht alle MFA-Methoden gleich sicher. Ein per SMS gesendeter Code ist besser als ein Passwort allein, bietet aber nicht denselben Schutz wie ein Hardware-Sicherheitsschlüssel oder ein gut implementierter Passkey. Die richtige Wahl hängt vom Risiko, der Benutzerfreundlichkeit, dem Gerätezugriff, den Compliance-Anforderungen und dem Ausmaß an administrativer Kontrolle ab, das dein Unternehmen aufrechterhalten kann.

Warum Passwörter allein nicht mehr ausreichen

Starke Passwörter sind immer noch wichtig, aber sie reichen allein nicht mehr aus. Mitarbeitende verwalten mehr Konten als je zuvor, und Angreifer wissen, dass der geschäftliche Zugriff oft mit kompromittierten Anmeldedaten beginnt.

Ein Passwort kann durch Phishing, Malware(neues Fenster), Datenlecks, Credential Stuffing, Passwort-Wiederverwendung oder unsicheres Teilen offengelegt werden. Sobald Angreifer einen gültigen Benutzernamen und ein gültiges Passwort haben, können ihre Aktivitäten wie ein normaler Anmeldeversuch aussehen, sofern keine weitere Verifizierungsebene erforderlich ist.

Aus diesem Grund muss der Schutz vor Datenlecks für Unternehmen Kontrollen von Anmeldedaten, Endpunktsicherheit und Schulungen für Mitarbeitende umfassen. Eine starke Passwortrichtlinie hilft zwar, kann aber nicht verhindern, dass jedes gestohlene Passwort bei E-Mails, Cloud-Speichern, Finanztools, Administrator-Portalen oder Kundensystemen getestet wird.

Es steht finanziell viel auf dem Spiel. Der IBM-Bericht „Cost of a Data Breach 2025“(neues Fenster) beziffert die durchschnittlichen weltweiten Kosten eines Datenlecks auf 4,4 Millionen US-Dollar. MFA kann das Risiko von Datenlecks nicht vollständig beseitigen, verringert jedoch einen der häufigsten Pfade in Unternehmenssysteme: den unbefugten Zugriff über kompromittierte Anmeldedaten.

MFA ist besonders wichtig für Konten, die andere Konten kontrollieren. E-Mail, Identitätsanbieter, Passwort-Manager, Administrator-Konsolen, Entwicklerplattformen, Gehaltsabrechnungstools und Finanzsysteme sollten mit hoher Priorität behandelt werden, da der Zugriff auf sie weiteren Zugriff an anderer Stelle ermöglichen kann.

MFA-Arten und geschäftliche Kompromisse

Eine gute MFA-Implementierung beginnt mit der Wahl der richtigen Methoden. Die beste Option ist nicht immer für jedes Unternehmen, Team oder System dieselbe. IT-Manager müssen beispielsweise die Sicherheitsstärke, die Benutzerfreundlichkeit für Mitarbeitende, die Geräteverfügbarkeit, den administrativen Aufwand und den Support-Bedarf gegeneinander abwägen.

SMS-Einmalpasswörter

SMS-Einmalpasswörter (OTPs) senden bei der Anmeldung einen Code an eine Telefonnummer. Dies ist eine der am leichtesten verständlichen MFA-Methoden für Mitarbeitende, und sie kann nützlich sein, wenn keine besseren Optionen verfügbar sind.

Der Nachteil ist die Sicherheit. SMS können anfällig für SIM-Swapping, Abfangen, Social Engineering und Angriffe zur Wiederherstellung von Telefonnummern sein. Zudem führt dies zu betrieblichen Problemen, wenn Mitarbeitende ihre Rufnummer wechseln, ins Ausland reisen, schlechten Empfang haben oder private Telefone für die Arbeit nutzen.

Für Unternehmen sollten SMS-OTPs eher als Ausweichoption und nicht als bevorzugte MFA-Methode behandelt werden. Sie sind zwar immer noch besser als Passwörter allein, sollten aber nicht der Standard für Konten mit hohem Risiko sein.

Authenticator-Apps und TOTP-Codes

Mitarbeitende öffnen eine Authenticator-App, wie den Proton Authenticator, kopieren den für den Dienst generierten Code, bei dem sie sich anmelden, und geben ihn dann bei der Anmeldung ein.

Dies ist in der Regel sicherer als SMS, da der Code auf dem Gerät generiert wird und nicht vom Mobilfunknetz abhängt. Sie wird zudem von vielen Unternehmenstools weithin unterstützt, was sie zu einer praktischen Ausgangsbasis für viele MFA-Einführungen macht.

Der Kompromiss liegt in der Benutzerfreundlichkeit und Wiederherstellung. Mitarbeitende müssen die App korrekt einrichten, den Zugriff auf ihr Gerät behalten und verstehen, wie die Wiederherstellung funktioniert, wenn ein Telefon verloren geht oder ersetzt wird. IT-Teams müssen außerdem klare Richtlinien für Backup-Codes, Gerätewechsel und Offboarding erstellen.

TOTPs eignen sich gut als allgemeine MFA-Methode für Unternehmen, insbesondere in Kombination mit einer starken Passwortverwaltung und klaren Admin-Prozessen.

Hardware-Sicherheitsschlüssel

Hardware-Sicherheitsschlüssel wie YubiKeys bieten eine starke Authentifizierung, da der Mitarbeitende den Schlüssel physisch besitzen muss, um Zugriff auf die Unternehmenskonten zu erhalten. Viele Sicherheitsschlüssel schützen auch vor Phishing, da sie vor Abschluss der Authentifizierung überprüfen, ob die Website selbst legitim ist.

Für Rollen mit hohem Risiko können Hardware-Schlüssel eine der sichersten MFA-Optionen sein. Sie sind besonders nützlich für Administratoren, Führungskräfte, Finanzteams, Entwickler und alle, die Zugriff auf sensible Systeme haben.

Der Kompromiss ist die Komplexität der Einführung. Unternehmen müssen Schlüssel erwerben, sie verteilen, Mitarbeitende schulen, Backups verwalten und mit verlorenen oder beschädigten Geräten umgehen.

Passkeys

Passkeys verwenden eine kryptografische Authentifizierung anstelle eines herkömmlichen Passworts. In vielen Fällen entsperren Mitarbeitende den Passkey mit einem Fingerabdruck, einer Gesichtserkennung, einer PIN oder einer Freigabe über das Gerät. Der private Schlüssel bleibt auf dem Gerät, was Passkeys resistenter gegen Phishing macht als viele ältere Authentifizierungsmethoden.

Für Unternehmen können Passkeys sowohl die Sicherheit als auch die Benutzerfreundlichkeit verbessern. Sie verringern die Abhängigkeit von gemeinsam genutzten Geheimnissen und können die Anmeldung für Mitarbeitende beschleunigen. Die größte Herausforderung ist die Bereitschaft des Ökosystems. Noch nicht jedes Unternehmenstool unterstützt Passkeys, und IT-Teams benötigen Richtlinien für die Geräteregistrierung, die Wiederherstellung, gemeinsam genutzte Arbeitsstationen und das Offboarding von Mitarbeitenden.

Für viele Organisationen ist die praktische Lösung ein Hybridmodell: Passkeys verwenden, wo sie unterstützt werden, starke Passwörter und MFA beibehalten, wo sie noch erforderlich sind, und beides über klare Zugriffsrichtlinien verwalten.

MFA-MethodeSicherheitsstärkeEignung für UnternehmenOptimales Einsatzszenario
SMS-OTPBasisLeicht einzuführen, aber schwächer als andere MFA-MethodenFallback-Option, wenn stärkere MFA nicht verfügbar ist
Authenticator-AppsMittelstark bis starkPraktischer Standard für viele TeamsAlltägliche Geschäftskonten und SaaS-Tools
Hardware-SicherheitsschlüsselSehr starkAm besten für Rollen mit hohem Risiko, erfordert aber GeräteverwaltungAdministratoren, Führungskräfte, Finanzteams und sensible Systeme
PasskeysSehr starkSicher und benutzerfreundlich, sofern unterstütztModerne Apps, passwortlose Workflows und Phishing-resistenter Zugriff

Wo die MFA-Implementierung fehlschlägt

MFA kann immer noch fehlschlagen, selbst wenn ein Unternehmen sie implementiert hat. Die Qualität der Implementierung ist tatsächlich genauso wichtig wie die MFA-Methode selbst. Einige der Gründe für ein Fehlschlagen können sein:

  • Schwache Wiederherstellung. Wenn Mitarbeitende die MFA durch eine einfache Kontowiederherstellung, Helpdesk-Abkürzungen oder schlecht geschützte Backup-Codes umgehen können, nehmen Angreifer möglicherweise den Prozess zum Zurücksetzen anstelle des Anmeldebildschirms ins Visier.
  • Inkonsequente Durchsetzung. MFA ist möglicherweise für einige Tools aktiviert, bleibt jedoch für E-Mails, Admin-Konten, Finanzsysteme, gemeinsam genutzte Betriebskonten oder bestimmte Mitarbeitende optional. In diesem Fall wird MFA eher zu einem Wunschdenken als zu einer Kontrollmaßnahme, und Angreifer können immer noch nach dem schwächsten verfügbaren Pfad suchen.
  • Schlechte Benutzerfreundlichkeit. Wenn Mitarbeitende ständig unterbrochen oder ausgesperrt werden oder sich unklar darüber sind, was sie genehmigen sollen, sind sie frustriert und machen eher Fehler. Push-Müdigkeit ist ein Beispiel dafür: Wiederholte Genehmigungsaufforderungen können dazu führen, dass Menschen Anfragen unüberlegt akzeptieren.

Eine erfolgreiche MFA-Einführung erfordert Durchsetzung, Überwachung und Support. Es sollte für Mitarbeitende einfach sein, das Richtige zu tun, und schwierig, wichtige Konten ungeschützt zu lassen.

Das Problem des Mitarbeiterwiderstands

Mitarbeiterwiderstand ist eine der größten Hürden bei der MFA-Einführung. Mitarbeitende sehen darin oft einen zusätzlichen Schritt, ein Hindernis für die Produktivität oder eine weitere Sicherheitsregel, die ohne Kontext eingeführt wurde.

Diese Reaktion ist verständlich, besonders wenn MFA abrupt oder mit unklaren Anweisungen eingeführt wird. Widerstand resultiert oft aus einer schlechten Implementierung und nicht aus einer Ablehnung der Sicherheit an sich.

Die Lösung für dieses Problem besteht darin, MFA berechenbar und einfach verständlich zu machen. Erkläre deinen Mitarbeitenden, dass sie Geschäftskonten selbst dann schützt, wenn ein Passwort gestohlen wurde, beginne mit vertrauten Tools wie E-Mail und gemeinsam genutzten Business-Plattformen, stelle klare Einrichtungsschritte bereit und unterstütze deine Mitarbeitenden bei Gerätewechseln.

Vermeide es, MFA als Bestrafung oder Zeichen des Misstrauens darzustellen. Sie sollte sich wie eine praktische Schutzmaßnahme für das Unternehmen, seine Kunden und die eigenen Arbeitskonten der Mitarbeitenden anfühlen.

Eine BYOD-Richtlinie (Bring Your Own Device) hilft ebenfalls. Wenn Mitarbeitende private Geräte für die Arbeit nutzen, sorgen klare Regeln für Authentifizierungs-Apps, Gerätesicherheit, die Meldung verlorener Geräte und den Entzug des Zugriffs für eine reibungslosere MFA-Einführung.

So führst du MFA in deinem Unternehmen ein

Eine erfolgreiche MFA-Einführung ist ein Change-Management-Projekt. IT-Manager müssen entscheiden, was zuerst geschützt wird, wie die Durchsetzung funktioniert, wie mit Ausnahmen umgegangen wird und wie die Akzeptanz gemessen wird.

Schritt 1: Erfasse deine Konten und Risikostufen

Beginne mit einer Bestandsaufnahme des Zugriffs. Identifiziere die Systeme, von denen dein Unternehmen abhängt, und die Konten, die bei einer Gefährdung das größte Risiko darstellen.

Setze Prioritäten:

  • E-Mail- und Identitätsanbieter-Konten.
  • Admin-Konten und privilegierte Rollen.
  • Passwort-Manager-Konten.
  • Finanz-, Gehaltsabrechnungs- und Abrechnungstools.
  • Cloud-Speicher und Dateifreigabe.
  • Entwicklungs-, Infrastruktur- und Produktionssysteme.
  • Kundendatenplattformen und CRMs.

Dies ergibt eine Einführungsreihenfolge für dein Unternehmen, die auf dem Risiko und nicht auf der Bequemlichkeit basiert.

Schritt 2: Wähle zugelassene MFA-Methoden

Entscheide, welche MFA-Methoden dein Unternehmen zulassen wird. Für viele Teams werden Authenticator-Apps oder Passkeys wahrscheinlich zum Standard, während Hardware-Sicherheitsschlüssel für Rollen mit hohem Risiko reserviert sind. SMS kann im Bedarfsfall eine Ausweichlösung bleiben, sollte aber nicht die bevorzugte Methode für sensible Systeme sein.

Dokumentiere die Entscheidung klar. Mitarbeitende sollten wissen, welche Methoden zugelassen sind, von welchen abgeraten wird und was zu tun ist, wenn sie ein Gerät verlieren.

Schritt 3: Führe ein Pilotprojekt durch, bevor du die Regeln überall durchsetzt

Führe ein Pilotprojekt mit der IT, dem Betrieb, den Finanzen, der Führungsebene oder einer anderen Gruppe durch, die nützliches Feedback geben kann. Das Ziel besteht darin, den Einrichtungsprozess, die Supportdokumentation, die Wiederherstellungsabläufe und die Richtlinieneinstellungen zu testen, bevor die Einführung die gesamte Organisation erreicht.

Ein Pilotprojekt hilft auch dabei, festzustellen, wo MFA-Aufforderungen zu häufig auftreten, wo Mitarbeitende klarere Anweisungen benötigen und welche Systeme eine besondere Handhabung erfordern.

Schritt 4: Setze MFA zuerst für Konten mit hohem Risiko durch

Zuspruch reicht bei kritischen Systemen nicht aus. Sobald das Pilotprojekt abgeschlossen ist, setze MFA für die Konten durch, die das höchste Risiko darstellen.

Dazu gehören Admin-Konten, E-Mail-Dienste, Identitätssysteme, Passwort-Manager und Finanztools. Wenn diese Konten optional bleiben, finden Angreifer möglicherweise immer noch einen Pfad in das Unternehmen.

Der Schlüssel liegt darin, die Durchsetzung mit Support zu begleiten. Gib den Mitarbeitenden rechtzeitig Bescheid, stelle Einrichtungsanleitungen, Sprechzeiten und Anweisungen zur Wiederherstellung bereit. Die Durchsetzung funktioniert am besten, wenn die Menschen nicht davon überrascht werden.

Schritt 5: Weite die Einführung auf den Rest der Organisation aus

Sobald die Konten mit hohem Risiko geschützt sind, weite MFA auf die verbleibenden Geschäftstools aus. Dies kann nach Abteilung, Tool-Kategorie oder Risikostufe geschehen.

Verfolge die Einführung fortlaufend:

  • Bei welchen Konten ist MFA aktiviert?
  • Welche Mitarbeitenden haben sich noch nicht registriert?
  • Welche Systeme erlauben immer noch den Zugriff nur mit Passwort?
  • Welche Ausnahmen sind offen und wer ist dafür verantwortlich?

Ein Passwort-Manager für Unternehmen kann diesen Prozess unterstützen, indem er Teams Aufschluss darüber gibt, bei welchen Konten MFA bereits aktiviert ist und welche noch eine stärkere Authentifizierung benötigen.

An dieser Stelle geraten viele Rollouts ins Stocken oder scheitern. MFA erfordert auch nach dem Rollout-Datum eine kontinuierliche Governance.

Schritt 6: Ausnahmen und Wiederherstellungspfade überprüfen

Jede Ausnahme sollte eine verantwortliche Person, einen Grund und ein Ablaufdatum haben. Wenn MFA für ein Tool nicht aktiviert werden kann, dokumentiere die Gründe und entscheide, ob eine kompensierende Sicherheitsmaßnahme erforderlich ist.

Auch die Wiederherstellung sollte regelmäßig überprüft werden. Backup-Codes, Abläufe zur Kontowiederherstellung, Admin-Overrides und das Zurücksetzen von Geräten können zu Schwachstellen werden, wenn sie nicht kontrolliert werden. Eine MFA-Implementierung sollte die Wiederherstellung sicher machen, nicht einfach nur bequem.

Wie Proton Pass for Business die Verwaltung von MFA vereinfacht

Der MFA-Rollout wird einfacher, wenn die Verwaltung von Anmeldedaten bereits geregelt ist. Wenn Passwörter wiederverwendet, informell geteilt, in Browsern gespeichert oder in Tabellen verstreut sind, lässt sich MFA nur schwer konsequent durchsetzen.

Ein Passwort-Manager für Unternehmen wie Proton Pass for Business hilft bei weit mehr als nur der Stärkung der Passwort-Ebene. Er kann auch den zweiten Faktor direkt unterstützen. Durch die integrierte 2FA-Unterstützung können Teams TOTP-Codes sicher speichern und den Passwort-Manager selbst als MFA-Gerät nutzen. Dadurch lässt sich eine stärkere Authentifizierung leichter einführen und bei Bedarf sicher teilen. Mitarbeitende können starke, einzigartige Passwörter generieren, sie in verschlüsselten Tresoren speichern, Anmeldedaten automatisch ausfüllen lassen, die integrierte 2FA-Unterstützung für TOTP-Codes nutzen und Passkeys verwalten, wo diese unterstützt werden.

Dies verbessert auch die Übersicht. Administratoren müssen nicht nur wissen, ob Mitarbeitende starke Passwörter haben, sondern auch, bei welchen Konten bereits 2FA aktiviert ist und welche sich noch ausschließlich auf Passwörter verlassen. Proton Pass kann IT-Admins dabei helfen, diese Informationen sichtbar zu machen, sodass sich die MFA-Einführung in der gesamten Organisation leichter verfolgen lässt.

Auch Passkeys spielen eine wichtige Rolle. Da Unternehmen sich in Richtung einer stärkeren, Phishing-resistenten Authentifizierung bewegen, hilft ein Passwort-Manager, der Passkeys unterstützt (wie Proton Pass), Teams dabei, sowohl traditionelle MFA-Abläufe als auch neuere, passwortlose Methoden an einem Ort zu verwalten. Das macht den Rollout in gemischten Umgebungen, in denen einige Systeme noch Passwörter und TOTP verwenden, während andere bereits bereit für Passkeys sind, weitaus praktischer.

Für IT-Teams bietet Proton Pass for Business eine zentrale Verwaltung, Richtlinien, sicheres Teilen sowie Übersicht durch Berichte und Protokolle. Das macht MFA in der Praxis umsetzbarer, da Teams den Wildwuchs bei Passwörtern reduzieren und gleichzeitig eine stärkere Authentifizierung in der gesamten Organisation einfacher bereitstellen und steuern können.

Ein Passwort-Manager für Unternehmen ersetzt kein MFA. Er macht die Implementierung von MFA jedoch viel einfacher, da er den ersten Faktor stärkt, den zweiten Faktor unterstützt und dem Unternehmen insgesamt einen leichter zu bewältigenden Pfad hin zu einer stärkeren Authentifizierung bietet.