ISMS

Multi-Faktor-Authentifizierung (MFA) einführen: Strategie, Rollout und Akzeptanz

15 Min. Lesezeit
TL;DR
  • MFA ist unter NIS2 Mindestmaßnahme Nr. 10 und gehört zu den wirksamsten Schutzmaßnahmen: Sie blockiert über 99 % aller Credential-basierten Angriffe.
  • Die vier relevanten MFA-Methoden sind TOTP (Authenticator-App), Push-Benachrichtigung, FIDO2/Passkeys (Hardware-Token oder biometrisch) und SMS. FIDO2 bietet die höchste Sicherheit, TOTP das beste Verhältnis aus Sicherheit und Aufwand.
  • Der Rollout erfolgt in vier Phasen: zuerst IT-Admins und privilegierte Accounts, dann Geschäftsführung und Führungskräfte, dann Abteilungen mit Zugang zu kritischen Daten, zuletzt alle Mitarbeiter.
  • Ein Break-Glass-Verfahren mit versiegelten Recovery-Codes ist Pflicht. Ohne Notfallzugang riskierst du, dass gesperrte Accounts den Geschäftsbetrieb lahmlegen.
  • Die häufigsten Fehler: SMS als einziger zweiter Faktor, keine Backup-Methode, fehlende Kommunikation vor dem Rollout und vergessene Service-Accounts.

Warum MFA nicht mehr optional ist

Ein einziges kompromittiertes Passwort reicht aus, um ein ganzes Unternehmen zu gefährden. Der Angreifer loggt sich mit gestohlenen Credentials in den VPN ein, bewegt sich durch das Netzwerk, verschafft sich Zugriff auf das Active Directory und rollt Ransomware aus. Die gesamte Angriffskette beginnt mit einem Passwort, das über Phishing, Credential Stuffing oder einen Datenbankleak in die falschen Hände geraten ist.

Multi-Faktor-Authentifizierung unterbricht diese Kette. Selbst wenn der Angreifer das Passwort kennt, fehlt ihm der zweite Faktor: die Authenticator-App auf dem Smartphone, der Hardware-Token am Schlüsselbund oder der Fingerabdruck auf dem Sensor. Microsoft beziffert die Wirksamkeit von MFA auf über 99 Prozent aller Credential-basierten Angriffe. Google berichtet, dass die Einführung von FIDO2-Schlüsseln für alle Mitarbeiter die Anzahl erfolgreicher Phishing-Angriffe auf null reduziert hat.

Trotz dieser Zahlen ist MFA in vielen Unternehmen noch nicht flächendeckend eingeführt. Eine Studie des BSI zeigt, dass nur etwa 40 Prozent der kleinen und mittleren Unternehmen in Deutschland MFA für alle Mitarbeiter einsetzen. Bei Cloud-Diensten ist die Quote höher, aber bei VPN-Zugängen, internen Anwendungen und Service-Accounts klafft eine große Lücke.

Die regulatorische Seite macht diese Lücke zunehmend unhaltbar. NIS2 listet in Artikel 21, Absatz 2 zehn Mindestmaßnahmen auf, die betroffene Unternehmen umsetzen müssen. Punkt 10 fordert explizit die Verwendung von Lösungen zur Multi-Faktor-Authentifizierung. ISO 27001 adressiert das Thema in Annex A.8.5 (sichere Authentifizierung) und empfiehlt MFA für den Zugang zu kritischen Systemen. Und auch der BSI-Grundschutz enthält in ORP.4 (Identitäts- und Berechtigungsmanagement) die Anforderung, mindestens für privilegierte Accounts eine starke Authentifizierung einzusetzen.

Die Frage ist also nicht mehr ob, sondern wie du MFA in deinem Unternehmen einführst. Und genau darum geht es in diesem Artikel.

MFA-Methoden im Vergleich

Nicht jeder zweite Faktor ist gleich. Die verfügbaren Methoden unterscheiden sich erheblich in Sicherheit, Benutzerfreundlichkeit und Implementierungsaufwand. Die richtige Wahl hängt von deinem Risikoprofil, deiner Infrastruktur und den Anforderungen deiner Mitarbeiter ab.

TOTP (Time-based One-Time Password)

TOTP ist die am weitesten verbreitete MFA-Methode. Eine Authenticator-App auf dem Smartphone generiert alle 30 Sekunden einen sechsstelligen Code, der bei der Anmeldung zusätzlich zum Passwort eingegeben wird. Gängige Apps sind Microsoft Authenticator, Google Authenticator und Authy.

Sicherheit: Gut. TOTP-Codes können nicht wiederverwendet werden und haben eine kurze Gültigkeitsdauer. Allerdings ist TOTP nicht gegen Echtzeit-Phishing geschützt: Wenn ein Angreifer eine gefälschte Login-Seite betreibt und der Mitarbeiter dort Passwort und TOTP-Code eingibt, kann der Angreifer beides in Echtzeit an den echten Server weiterleiten (Adversary-in-the-Middle-Angriff).

Benutzerfreundlichkeit: Mittel. Mitarbeiter müssen bei jeder Anmeldung die App öffnen und einen Code eintippen. Das dauert wenige Sekunden, kann aber bei häufigen Anmeldungen als lästig empfunden werden.

Implementierungsaufwand: Gering. Die meisten Cloud-Dienste und VPN-Lösungen unterstützen TOTP nativ. Für interne Anwendungen lässt es sich über Identitätsprovider wie Keycloak oder Azure AD integrieren.

Kosten: Minimal. Die Authenticator-Apps sind kostenlos und laufen auf privaten oder dienstlichen Smartphones.

Push-Benachrichtigung

Bei der Push-Methode erhält der Benutzer nach Eingabe des Passworts eine Push-Benachrichtigung auf seinem Smartphone und bestätigt die Anmeldung mit einem Fingertipp. Manche Implementierungen zeigen zusätzlich eine Zahl an, die mit der auf dem Anmeldebildschirm abgeglichen werden muss (Number Matching).

Sicherheit: Gut bis sehr gut, abhängig von der Implementierung. Number Matching schützt gegen sogenannte MFA-Fatigue-Angriffe, bei denen der Angreifer wiederholt Anmeldeversuche auslöst, bis der Benutzer genervt auf „Bestätigen" tippt. Ohne Number Matching ist diese Methode anfällig für genau dieses Angriffsmuster.

Benutzerfreundlichkeit: Hoch. Ein Fingertipp ist schneller und bequemer als das Eintippen eines Codes. Mitarbeiter akzeptieren Push-basierte MFA in der Regel besser als TOTP.

Implementierungsaufwand: Mittel. Erfordert eine Integration mit dem Identitätsprovider und die Verteilung der Authenticator-App. Microsoft Authenticator und Duo sind die gängigsten Lösungen im Enterprise-Bereich.

Kosten: Abhängig von der Lösung. Microsoft Authenticator ist im Microsoft-365-Lizenzmodell enthalten, Duo und andere Lösungen erfordern separate Lizenzen.

FIDO2 / Passkeys

FIDO2 ist der Goldstandard der MFA. Der zweite Faktor ist ein Hardware-Security-Key (z. B. YubiKey) oder ein biometrisches Merkmal (Fingerabdruck, Gesichtserkennung), das auf dem Gerät selbst verifiziert wird. Die Authentifizierung basiert auf Public-Key-Kryptographie und ist an die Domain des Dienstes gebunden. Wer sich für den nächsten Schritt nach MFA interessiert, findet im Artikel zur passwortlosen Authentifizierung eine vertiefte Betrachtung.

Sicherheit: Sehr hoch. FIDO2 ist die einzige MFA-Methode, die strukturell gegen Phishing geschützt ist. Da die Authentifizierung an die Domain des Dienstes gebunden ist, funktioniert sie auf einer gefälschten Login-Seite schlicht nicht. Auch Adversary-in-the-Middle-Angriffe scheitern, weil die Challenge-Response kryptographisch an die legitime Domain gebunden ist.

Benutzerfreundlichkeit: Hoch. Hardware-Key einstecken und Knopf drücken, oder Fingerabdruck auf den Sensor legen. Kein Code eintippen, keine App öffnen, kein Smartphone nötig.

Implementierungsaufwand: Mittel bis hoch. Die meisten modernen Cloud-Dienste und Betriebssysteme unterstützen FIDO2. Die Integration in ältere On-Premise-Anwendungen kann jedoch aufwändig sein. Zusätzlich müssen Hardware-Keys beschafft, verteilt und inventarisiert werden.

Kosten: Hardware-Keys kosten zwischen 25 und 70 Euro pro Stück, je nach Modell. Bei 100 Mitarbeitern (mit jeweils einem Haupt- und einem Backup-Key) sind das 5.000 bis 14.000 Euro. Ein Investment, das sich durch die verhinderten Angriffe schnell amortisiert.

SMS-basierte Codes

Ein Einmalcode wird per SMS an die hinterlegte Mobilnummer gesendet und bei der Anmeldung eingegeben.

Sicherheit: Schwach. SMS ist die unsicherste MFA-Methode. SIM-Swapping-Angriffe, bei denen der Angreifer die Mobilnummer auf eine eigene SIM-Karte umleitet, sind dokumentiert und kommen in der Praxis vor. Außerdem werden SMS unverschlüsselt übertragen und können unter bestimmten Umständen abgefangen werden.

Benutzerfreundlichkeit: Mittel. Die meisten Mitarbeiter kennen SMS-Codes von ihrem Online-Banking und empfinden die Methode als vertraut. Probleme entstehen, wenn das Mobilnetz schlecht ist oder die SMS verzögert ankommt.

Empfehlung: SMS-basierte MFA ist besser als gar keine MFA, sollte aber nicht die einzige Option sein. Setze SMS nur als Fallback ein, wenn TOTP oder FIDO2 nicht möglich sind, und plane die Migration auf eine sicherere Methode.

Welche Methode für welchen Einsatzbereich?

Bereich Empfohlen Begründung
Admin-Accounts, IT-Infrastruktur FIDO2 Höchstes Sicherheitsniveau, Phishing-resistent
Cloud-Dienste (Microsoft 365, Google) Push oder TOTP Gute Balance aus Sicherheit und Benutzerfreundlichkeit
VPN-Zugang TOTP oder Push Breit unterstützt, schnell implementierbar
Interne Webanwendungen TOTP via Identitätsprovider Zentrale Steuerung über SSO
Mitarbeiter ohne Diensthandy FIDO2 Hardware-Key Kein Smartphone erforderlich
Backup-/Fallback-Methode Recovery-Codes Für den Fall, dass der primäre Faktor nicht verfügbar ist

Rollout-Strategie: Vier Phasen zum Ziel

Der häufigste Fehler bei der MFA-Einführung ist der Versuch, alles auf einmal zu machen. Am Montag wird die Richtlinie erlassen, am Mittwoch ist MFA für alle aktiviert, am Donnerstag rufen 50 Mitarbeiter beim Helpdesk an, weil sie sich nicht anmelden können. Das erzeugt Frust, Widerstand und im schlimmsten Fall den Ruf nach einer Ausnahme, die dann dauerhaft bestehen bleibt.

Ein phasenbasierter Rollout vermeidet diese Probleme. Er gibt jedem Benutzerkreis Zeit zur Vorbereitung, ermöglicht der IT, Probleme frühzeitig zu erkennen, und schafft interne Referenzpersonen, die ihre Kollegen unterstützen können.

Phase 1: IT-Administratoren und privilegierte Accounts (Woche 1-2)

Beginne mit den Accounts, die den höchsten Schaden anrichten können, wenn sie kompromittiert werden: Domain-Admins, Cloud-Administratoren, Service-Account-Verwalter, Firewall-Administratoren. Diese Gruppe hat das technische Verständnis, um MFA selbst einzurichten, und kann gleichzeitig als Pilotgruppe Probleme identifizieren, bevor der breitere Rollout beginnt.

Maßnahmen in Phase 1:

  • MFA für alle Admin-Accounts aktivieren (FIDO2 bevorzugt, TOTP als Fallback)
  • Break-Glass-Verfahren einrichten und testen (dazu gleich mehr)
  • Dokumentation erstellen: Einrichtungsanleitung, FAQ, Troubleshooting
  • Conditional-Access-Policies konfigurieren (z. B. keine Admin-Anmeldung ohne MFA, auch nicht aus dem internen Netz)

Phase 2: Geschäftsführung und Führungskräfte (Woche 3-4)

Die Geschäftsführung ist ein bevorzugtes Ziel für Spear-Phishing und CEO-Fraud. Gleichzeitig hat die Einführung von MFA auf Führungsebene eine Signalwirkung: Wenn die Geschäftsführung MFA nutzt, kann niemand argumentieren, dass es zu umständlich sei.

Maßnahmen in Phase 2:

  • Persönliches Onboarding für Geschäftsführung und Führungskräfte (kein Massenversand einer Anleitung per E-Mail, sondern ein kurzes Gespräch mit Einrichtungsunterstützung)
  • Push-Benachrichtigung als bevorzugte Methode (geringster Aufwand für die Benutzer)
  • Backup-Methode einrichten (TOTP oder Recovery-Codes für den Fall, dass das Smartphone nicht verfügbar ist)

Phase 3: Abteilungen mit Zugang zu kritischen Daten (Woche 5-8)

Finanzabteilung, Personalwesen, Vertrieb (CRM mit Kundendaten), Entwicklung (Zugang zu Quellcode und Produktionsumgebungen). Diese Abteilungen verarbeiten sensitive Daten und sind häufig Ziel gezielter Angriffe.

Maßnahmen in Phase 3:

  • Abteilungsweise Kommunikation: Ankündigung zwei Wochen vor dem Rollout, Erklärung des Warums, Einrichtungsanleitung
  • Schulungstermine anbieten (30-minütige Sessions, in denen Mitarbeiter MFA unter Anleitung einrichten können)
  • Helpdesk-Kapazität erhöhen (in der ersten Woche nach Aktivierung werden mehr Anfragen eingehen als üblich)
  • Monitoring: Wie viele Mitarbeiter haben MFA eingerichtet? Wie viele haben Probleme?

Phase 4: Alle verbleibenden Mitarbeiter (Woche 9-12)

Der letzte Schritt: MFA für alle Mitarbeiter aktivieren. Zu diesem Zeitpunkt hast du drei Monate Erfahrung gesammelt, die Dokumentation ist erprobt, das Helpdesk kennt die häufigsten Probleme und in jeder Abteilung gibt es Kollegen, die MFA bereits nutzen und unterstützen können.

Maßnahmen in Phase 4:

  • Unternehmensweite Kommunikation mit konkretem Datum der Aktivierung
  • Grace Period von zwei Wochen, in der MFA angeboten, aber noch nicht erzwungen wird (Mitarbeiter können es freiwillig einrichten und sich an den Ablauf gewöhnen)
  • Nach Ablauf der Grace Period: Erzwingung der MFA durch Conditional-Access-Policies
  • Nachfassen bei Mitarbeitern, die MFA noch nicht eingerichtet haben

Mitarbeiterakzeptanz: Widerstände ernst nehmen

Die technische Einführung von MFA ist der einfachere Teil. Der schwierigere ist die Akzeptanz bei den Mitarbeitern. MFA bedeutet einen zusätzlichen Schritt bei jeder Anmeldung, und jeder zusätzliche Schritt wird von einem Teil der Belegschaft als Hindernis empfunden. Das ist menschlich und nachvollziehbar. Die Aufgabe ist, diesen Widerstand nicht zu ignorieren oder zu überrollen, sondern ihn durch Kommunikation und Benutzerfreundlichkeit zu reduzieren.

Die häufigsten Einwände und wie du ihnen begegnest

„Das ist mir zu umständlich." Zeige, wie schnell MFA tatsächlich ist: Ein Fingertipp auf eine Push-Benachrichtigung dauert zwei Sekunden. Ein TOTP-Code einzutippen dauert fünf Sekunden. Im Vergleich zur Zeit, die ein Ransomware-Angriff kostet (Tage bis Wochen Ausfallzeit), sind das vernachlässigbare Sekunden.

„Ich will mein privates Smartphone nicht für die Arbeit nutzen." Ein berechtigter Einwand. Biete Alternativen: FIDO2-Hardware-Keys benötigen kein Smartphone. Manche Unternehmen stellen Diensthandys bereit oder nutzen Desktop-Authenticator-Anwendungen. Erzwinge nicht die Installation einer App auf dem privaten Gerät ohne Einverständnis.

„Was ist, wenn mein Handy leer ist oder ich es vergessen habe?" Deshalb gibt es Backup-Methoden und Recovery-Codes. Erkläre die Fallback-Optionen in der Einrichtungsanleitung und sorge dafür, dass jeder Mitarbeiter mindestens eine Backup-Methode konfiguriert hat.

„Mein Arbeitsplatz hat keinen USB-Anschluss / kein Bluetooth." Prüfe die Infrastruktur vor dem Rollout. FIDO2-Keys gibt es als USB-A, USB-C und NFC-Varianten. Wähle die Varianten, die zu deiner Hardware passen.

„Die Geschäftsführung braucht das nicht." Die Geschäftsführung braucht es am dringendsten: Sie ist bevorzugtes Ziel für Spear-Phishing und CEO-Fraud, und NIS2 sieht die persönliche Haftung der Geschäftsleitung für Cybersicherheitsmaßnahmen vor.

Kommunikation als Schlüssel

Die Einführung von MFA beginnt nicht mit der technischen Konfiguration, sondern mit der Kommunikation. Mitarbeiter müssen verstehen, warum MFA eingeführt wird (nicht „weil die IT das so will", sondern „weil gestohlene Passwörter der häufigste Einstiegspunkt für Cyberangriffe sind und MFA dieses Risiko um über 99 Prozent reduziert"). Sie müssen wissen, wann es sie betrifft, was sie tun müssen und an wen sie sich bei Problemen wenden können.

Kommuniziere frühzeitig, klar und wiederholt:

  • Zwei Wochen vorher: Ankündigungs-Mail mit Erklärung, Zeitplan und Link zur Anleitung
  • Eine Woche vorher: Erinnerung mit konkreten Schritten und Hinweis auf Schulungstermine
  • Am Tag des Rollouts: Kurze Nachricht mit Helpdesk-Kontakt für Fragen
  • Eine Woche danach: Rückmeldung, wie viele eingerichtet haben, Nachfassen bei offenen Fällen

Notfallzugang: Das Break-Glass-Verfahren

Was passiert, wenn ein Administrator seinen Hardware-Key verliert und das Smartphone defekt ist? Was passiert, wenn am Wochenende ein kritisches System gepatcht werden muss und der einzige Admin mit FIDO2-Key im Urlaub auf einer Berghütte ohne Mobilfunkempfang ist?

Ohne ein Break-Glass-Verfahren kann MFA den Geschäftsbetrieb lahmlegen, statt ihn zu schützen. Das klingt paradox, ist aber ein reales Risiko, das du vor dem Rollout adressieren musst.

Was ein Break-Glass-Verfahren ist

Ein Break-Glass-Account ist ein Notfall-Account mit administrativen Rechten, der ohne den üblichen zweiten Faktor zugänglich ist. Der Name kommt von der Analogie „Break Glass in Case of Emergency", wie beim Feuermelder hinter der Glasscheibe.

Wie du es umsetzt

Eigene Notfall-Accounts anlegen: Erstelle einen oder zwei dedizierte Break-Glass-Accounts (z. B. emergency-admin@firma.de), die nicht an eine einzelne Person gebunden sind. Diese Accounts haben die nötigen Berechtigungen, um administrative Aufgaben durchzuführen, und verwenden ein extrem langes, zufällig generiertes Passwort.

Passwort sicher verwahren: Drucke das Passwort aus und verwahre es in einem versiegelten Umschlag in einem physischen Tresor. Alternativ nutze einen Hardware-Tresor (z. B. ein separates, gesichertes Passwort-Management-Gerät). Der versiegelte Umschlag hat den Vorteil, dass du sofort siehst, ob er geöffnet wurde.

Nutzung protokollieren: Konfiguriere Alerting auf diese Accounts. Jede Anmeldung mit einem Break-Glass-Account muss einen Alarm auslösen, der an das Sicherheitsteam und die Geschäftsführung geht. Jede Nutzung muss dokumentiert und nachträglich gerechtfertigt werden.

Regelmäßig testen: Teste das Break-Glass-Verfahren mindestens halbjährlich. Funktioniert der Account? Ist das Passwort noch korrekt? Kommt der Alert an? Ist der Tresor zugänglich?

Recovery-Codes für individuelle Accounts: Zusätzlich zum Break-Glass-Account sollte jeder Mitarbeiter bei der MFA-Einrichtung Recovery-Codes generieren und sicher verwahren. Diese Codes ermöglichen die Anmeldung, wenn der primäre zweite Faktor nicht verfügbar ist.

Häufige Fehler bei der MFA-Einführung

Aus der Erfahrung mit MFA-Rollouts in mittelständischen Unternehmen kristallisieren sich immer wieder dieselben Fehler heraus. Wenn du sie kennst, kannst du sie vermeiden.

SMS als einziger zweiter Faktor

SMS ist die unsicherste MFA-Methode. SIM-Swapping, SS7-Schwachstellen und unverschlüsselte Übertragung machen SMS-Codes angreifbar. Verwende SMS nur als Fallback, wenn keine andere Methode möglich ist, und plane die Migration auf TOTP oder FIDO2.

Keine Backup-Methode konfiguriert

Wenn der einzige zweite Faktor das Smartphone ist und das Smartphone ausfällt, ist der Mitarbeiter ausgesperrt. Stelle sicher, dass jeder Benutzer mindestens eine Backup-Methode hat: Recovery-Codes, ein zweiter Hardware-Key oder eine alternative Authenticator-App auf einem anderen Gerät.

Service-Accounts vergessen

Service-Accounts können in der Regel kein MFA durchführen, weil kein Mensch den zweiten Faktor bestätigt. Sie müssen anders abgesichert werden: lange, zufällige Passwörter, IP-Einschränkungen, regelmäßige Rotation und Monitoring. In ISMS Lite lässt sich der MFA-Rollout-Fortschritt pro Benutzergruppe tracken und die Ausnahmen für Service-Accounts mit Begründung und Ablaufdatum dokumentieren. Vergiss sie nicht bei der MFA-Planung und dokumentiere explizit, warum sie ausgenommen sind.

Fehlende Kommunikation vor dem Rollout

Mitarbeiter, die am Montagmorgen plötzlich vor einer MFA-Aufforderung stehen, von der sie nichts wussten, sind frustriert und verunsichert. Kommuniziere den Rollout mindestens zwei Wochen im Voraus, erkläre das Warum und biete Unterstützung an.

Ausnahmen ohne Ablaufdatum

„Die Produktionshalle hat kein WLAN, also machen wir für die Mitarbeiter dort eine Ausnahme." Solche Ausnahmen sind manchmal nötig, aber sie dürfen nicht dauerhaft bestehen bleiben. Versehe jede Ausnahme mit einem Ablaufdatum und einem Plan, wie die Ausnahme aufgelöst wird (z. B. durch die Bereitstellung von FIDO2-Keys mit NFC, die kein WLAN benötigen).

MFA nur für Cloud-Dienste, nicht für interne Systeme

Viele Unternehmen aktivieren MFA für Microsoft 365 und Google Workspace, vergessen aber den VPN-Zugang, das interne Ticketsystem, den Datenbankzugriff und die Admin-Panels der Netzwerkinfrastruktur. Angreifer nutzen genau diese Lücken. MFA muss überall dort eingeführt werden, wo ein kompromittierter Account Schaden anrichten kann.

Praxisbeispiel: MFA-Rollout in einem 100-Mitarbeiter-Unternehmen

Um die bisherigen Konzepte greifbar zu machen, hier ein konkretes Beispiel. Ein mittelständisches Unternehmen mit 100 Mitarbeitern, Microsoft 365 als Cloud-Plattform, einem on-premise Active Directory, VPN-Zugang für Außendienst und Homeoffice, und einer Handvoll interner Webanwendungen.

Ausgangslage

  • MFA ist für keinen Account aktiviert
  • Die IT-Abteilung besteht aus drei Personen
  • Das Unternehmen fällt unter NIS2 und muss MFA nachweisen
  • Budget für den Rollout: 15.000 Euro

Planung (2 Wochen)

Die IT-Abteilung definiert die MFA-Strategie:

  • Primäre Methode: Microsoft Authenticator mit Push-Benachrichtigung und Number Matching (in der Microsoft-365-Lizenz enthalten)
  • Für IT-Admins: YubiKey 5 NFC (FIDO2), zwei Keys pro Admin (Haupt + Backup)
  • Für Mitarbeiter ohne Smartphone: YubiKey 5 NFC (FIDO2)
  • Fallback für alle: Recovery-Codes, sicher verwahrt

Kosten: 10 YubiKeys für IT-Admins (5 Admins x 2 Keys x 50 Euro = 500 Euro), 20 YubiKeys als Reserve für Mitarbeiter ohne Smartphone (20 x 50 Euro = 1.000 Euro). Verbleibende 13.500 Euro als Puffer für unvorhergesehene Anforderungen.

Phase 1: IT-Team (Woche 1-2)

Die drei IT-Mitarbeiter richten MFA für ihre Admin-Accounts mit YubiKeys ein. Sie testen den Ablauf, dokumentieren die Einrichtung, erstellen eine FAQ und konfigurieren das Break-Glass-Verfahren: zwei Emergency-Admin-Accounts mit 40-Zeichen-Passwörtern in versiegelten Umschlägen im Tresor der Geschäftsführung.

Conditional-Access-Policy: Keine Admin-Anmeldung ohne MFA, unabhängig vom Standort.

Phase 2: Geschäftsführung und Abteilungsleiter (Woche 3-4)

Persönliches Onboarding für die zwei Geschäftsführer und acht Abteilungsleiter. Die IT richtet Microsoft Authenticator ein und erklärt das Number-Matching-Verfahren. Jeder Teilnehmer generiert Recovery-Codes und verwahrt sie in seinem persönlichen Tresor oder an einem definierten sicheren Ort.

Phase 3: Finanzen, Personal und Vertrieb (Woche 5-8)

Ankündigung per E-Mail und in der Abteilungsbesprechung zwei Wochen vor dem Rollout. Zwei Schulungstermine (je 30 Minuten) pro Abteilung, in denen die Mitarbeiter unter Anleitung MFA einrichten. Drei Mitarbeiter ohne Smartphone erhalten YubiKeys.

Grace Period: MFA wird angeboten, aber zwei Wochen lang nicht erzwungen. Nach Ablauf der Grace Period greift die Conditional-Access-Policy.

Helpdesk-Aufkommen in der ersten Woche: 12 Anfragen, hauptsächlich „App zeigt keinen Code an" (Lösung: App-Update) und „Neues Smartphone, wie übertrage ich MFA?" (Lösung: Backup-Methode nutzen, MFA auf neuem Gerät einrichten).

Phase 4: Alle Mitarbeiter (Woche 9-12)

Unternehmensweite Kommunikation. Zwei Schulungstermine pro Woche über drei Wochen. Individuelle Unterstützung für Mitarbeiter, die Hilfe benötigen. Nach Ablauf der Grace Period: 98 von 100 Mitarbeitern haben MFA eingerichtet. Die verbleibenden zwei sind in Elternzeit und werden bei Rückkehr eingerichtet (dokumentierte Ausnahme mit Ablaufdatum).

Ergebnis nach 12 Wochen

  • MFA für alle aktiven Benutzer-Accounts aktiviert
  • IT-Admin-Accounts mit FIDO2 (Phishing-resistent) abgesichert
  • Break-Glass-Verfahren eingerichtet und getestet
  • Conditional-Access-Policies für alle Benutzergruppen aktiv
  • Dokumentation für das ISMS erstellt: MFA-Richtlinie, Rollout-Protokoll, Ausnahmenregister
  • Gesamtkosten: 2.300 Euro (Hardware-Keys + Arbeitszeit IT-Team)
  • NIS2-Anforderung nachweisbar erfüllt

MFA in die Zugangskontrollrichtlinie integrieren

Die MFA-Einführung ist eine operative Maßnahme, die in deiner Zugangskontrollrichtlinie verankert werden muss. Das stellt sicher, dass MFA nicht als einmaliges Projekt verstanden wird, sondern als dauerhafte Anforderung, die für neue Mitarbeiter, neue Systeme und neue Dienste gilt.

Die Richtlinie sollte folgende Punkte abdecken:

  • Geltungsbereich: Für welche Systeme und Accounts ist MFA Pflicht?
  • Zugelassene Methoden: Welche MFA-Methoden sind erlaubt? Welche sind bevorzugt?
  • Ausnahmen: Unter welchen Umständen sind Ausnahmen zulässig? Wer genehmigt sie? Wie lange gelten sie?
  • Onboarding: Wie wird MFA bei neuen Mitarbeitern eingerichtet?
  • Offboarding: Wie werden MFA-Faktoren bei ausscheidenden Mitarbeitern deaktiviert?
  • Geräteverlust: Was passiert, wenn ein Mitarbeiter sein Smartphone oder seinen Hardware-Key verliert?
  • Break-Glass: Wie funktioniert der Notfallzugang? Wer hat Zugriff? Wie wird die Nutzung überwacht?

Diese Richtlinie ist gleichzeitig dein Nachweis gegenüber Auditoren und Behörden, dass du MFA nicht nur technisch eingeführt, sondern organisatorisch verankert hast.

Der Weg zur passwortlosen Authentifizierung

MFA ist ein wichtiger Schritt, aber nicht das Ende der Reise. Der nächste logische Schritt ist die passwortlose Authentifizierung, bei der das Passwort komplett entfällt und die Anmeldung ausschließlich über starke Faktoren wie FIDO2-Keys oder biometrische Merkmale erfolgt.

Die Vorteile liegen auf der Hand: Kein Passwort bedeutet kein Passwort, das gestohlen, erraten oder geleakt werden kann. Die Benutzerfreundlichkeit steigt und die IT-Abteilung spart sich die Passwort-Resets, die nach Studien zwischen 20 und 50 Prozent aller Helpdesk-Anfragen ausmachen.

Der Weg dorthin führt über genau die Schritte, die in diesem Artikel beschrieben sind: MFA einführen, FIDO2 für kritische Accounts etablieren, Erfahrung sammeln, Infrastruktur anpassen. Wenn MFA flächendeckend funktioniert, ist der Übergang zur passwortlosen Authentifizierung ein natürlicher nächster Schritt.

Beginne jetzt mit Phase 1: MFA für Admin-Accounts. Der Rest folgt Woche für Woche, Phase für Phase. In zwölf Wochen kann dein Unternehmen dort stehen, wo es hingehört: mit einer flächendeckenden Multi-Faktor-Authentifizierung, die den wichtigsten Angriffsvektor neutralisiert und die NIS2-Anforderung nachweisbar erfüllt.

Weiterführende Artikel

MFA Multi-Faktor-Authentifizierung Zwei-Faktor-Authentifizierung NIS2 Zugangskontrolle ISMS ISO 27001 IT-Sicherheit

MFA-Rollout im ISMS dokumentieren

ISMS Lite unterstützt dich bei der Dokumentation deiner Zugangskontrollrichtlinie, beim Tracking des MFA-Rollouts und bei der Nachweisführung für Audits und NIS2.

Jetzt installieren