markus.preinl • 3. Juni 2026

Multifaktor Authentifizierung (MFA) im Unternehmen einführen: Leitfaden für KMU

Multifaktor Authentifizierung (MFA) schützt Benutzerkonten, indem neben dem Passwort ein zusätzlicher Nachweis erforderlich ist – zum Beispiel per Authenticator-App, Smartphone-Freigabe oder Sicherheitsschlüssel.

MFA gehört heute zu den wichtigsten Sicherheitsmaßnahmen für Unternehmen. Denn gestohlene Passwörter allein reichen Angreifern oft bereits aus, um auf E-Mails, Cloud-Dienste, VPN-Zugänge oder interne Systeme zuzugreifen.

Besonders betroffen sind Microsoft 365, VPN-Zugänge, Cloud-Plattformen und administrative Konten. Genau dort verhindert MFA viele erfolgreiche Angriffe bereits mit einfachen zusätzlichen Sicherheitsfaktoren.


Dieser Leitfaden zeigt, wie Unternehmen MFA strukturiert einführen, welche Methoden sinnvoll sind und worauf es bei Rollout, Recovery und Betrieb wirklich ankommt.


Inhaltsverzeichnis

  • Was ist Multifaktor Authentifizierung?
  • Warum Passwörter allein nicht mehr ausreichen
  • MFA vs. 2FA
  • Welche MFA-Methode ist für Unternehmen sinnvoll?
  • MFA vorbereiten: Technik, Richtlinien & Voraussetzungen
  • MFA Einführung im Unternehmen: Rollout, Kommunikation & Betrieb
  • MFA in der Praxis aktivieren: Microsoft 365, Google Workspace, VPN & Admin-Konten
  • Kosten und Aufwand von MFA im Unternehmen
  • Fazit
  • FAQ zur Multifaktor Authentifizierung


Was ist Multifaktor Authentifizierung?

Multifaktor Authentifizierung (MFA) ist ein Sicherheitsverfahren, bei dem Benutzer ihre Identität mit mindestens zwei unabhängigen Faktoren bestätigen müssen. Typisch ist die Kombination aus Passwort und zusätzlicher Bestätigung per Smartphone, Authenticator-App oder Sicherheitsschlüssel. MFA reduziert das Risiko kompromittierter Konten deutlich und gehört heute zu den wichtigsten Schutzmaßnahmen für Unternehmen.

Warum Passwörter allein nicht mehr ausreichen

Passwörter bleiben ein zentraler Bestandteil digitaler Identitäten, reichen als alleiniger Schutz heute jedoch nicht mehr aus. Wiederverwendung, schwache Kennwörter, Credential-Stuffing und Social Engineering führen dazu, dass Angreifer häufig ohne große technische Hürden Zugriff auf Konten erhalten. Besonders kritisch wird es, wenn ein kompromittierter Login gleichzeitig Zugriff auf E-Mail, Cloud-Dienste oder zentrale Unternehmenssysteme ermöglicht.

Multifaktor Authentifizierung ergänzt das Passwort daher um mindestens einen weiteren Nachweis – etwa per Authenticator-App, Smartphone-Freigabe oder Sicherheitsschlüssel. Dadurch reichen gestohlene Zugangsdaten allein nicht mehr für einen erfolgreichen Login aus. Unternehmen reduzieren Kontoübernahmen, begrenzen Phishing-Schäden und verbessern die Kontrolle über Cloud- und Remote-Zugänge deutlich.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt MFA inzwischen als grundlegende Schutzmaßnahme für Unternehmenszugänge.

Wie funktioniert Multifaktor Authentifizierung im Unternehmen?

Bei der Anmeldung prüft das System nicht nur ein Passwort, sondern zusätzlich einen zweiten Nachweis. Dieser zweite Nachweis stammt idealerweise aus einer anderen Kategorie als das Passwort, etwa aus Besitz (App, Token) oder Biometrie. Erst wenn beide Prüfungen erfolgreich sind, wird der Zugriff gewährt.

Warum sind Phishing und Passwortdiebstahl heute das größte Risiko für Unternehmens-Accounts?

Phishing ist so erfolgreich, weil es menschliche Routine ausnutzt: Login-Seiten wirken täuschend echt, E-Mails sind professionell gefälscht und Zeitdruck führt häufig zu Fehlentscheidungen. Selbst komplexe Passwörter verlieren ihren Schutzwert, sobald sie abgegriffen oder wiederverwendet werden.

Besonders gefährlich ist, dass ein einzelner kompromittierter Zugang oft weitere Systeme öffnet – etwa E-Mail, Cloud-Dienste, SSO-Plattformen oder Remote-Zugänge.

MFA sollte außerdem Teil eines umfassenden Sicherheitskonzepts sein. Warum auch Geräteabsicherung und Endpoint Security entscheidend sind, zeigt der Beitrag „Endpoint Security”.

Welche Unternehmensbereiche profitieren zuerst?

Am schnellsten steigt der Sicherheitsgewinn dort, wo ein erfolgreicher Login besonders weitreichende Folgen hat. E-Mail ist meist der wichtigste Einstiegspunkt, weil darüber Kommunikation, Passwort-Resets und Freigaben laufen. Danach folgen zentrale Cloud-Dienste, Remote-Zugänge und administrative Konten.

Nicht alle Systeme müssen gleichzeitig abgesichert werden. Für KMU empfiehlt sich eine Priorisierung nach Risiko und potenzieller Auswirkung eines kompromittierten Kontos.

Bereich Begründung für frühe Absicherung
Admin-Konten höchste Rechte, oft Ziel gezielter Angriffe; Kompromittierung wirkt systemweit
E-Mail Basis für Passwort-Resets, Freigaben und interne Kommunikation; häufigster Einstieg
Cloud-SSO ein erfolgreicher Login kann mehrere Anwendungen freischalten
VPN und Remote-Zugriff direkter Zugang zu internen Ressourcen; besonders relevant bei externen Standorten
Fachapplikationen abhängig von Datenkritikalität; oft nachgelagert, wenn SSO bereits abgesichert ist

Besonders bei virtualisierten Serverumgebungen und Administrationszugängen sollte MFA verpflichtend eingesetzt werden. Mehr dazu auch im Beitrag „Proxmox Cluster aufbauen: Hochverfügbarkeit für Ihre Server-Infrastruktur“.

Für technische Details und eine neutrale Darstellung der MFA-Techniken siehe auch den Überblick zur Mehrfaktor-Authentifizierung von onlinesicherheit.at.

MFA vs. 2FA

2FA bedeutet, dass beim Login zwei Nachweise verlangt werden – etwa Passwort plus Einmalcode. MFA (Multifaktor Authentifizierung) beschreibt allgemein die Nutzung mehrerer unabhängiger Faktoren und umfasst oft strengere Sicherheitsrichtlinien, etwa risikobasierte Anmeldungen, Geräteprüfung oder phishingresistente Verfahren.


In der Praxis werden 2FA und MFA häufig gleichgesetzt. Für Unternehmen ist der Unterschied dennoch relevant, weil nicht jede 2FA-Variante denselben Schutz gegen moderne Angriffe bietet. Entscheidend ist weniger der Begriff als die tatsächliche Sicherheit der eingesetzten Methode.



  • 2FA beschreibt zwei Anmeldeschritte, MFA mehrere oder strengere Faktoren
  • Nicht jede 2FA-Variante schützt zuverlässig vor modernem Phishing
  • Für kritische Konten sind phishingresistente Verfahren besonders wichtig


Was ist 2FA, was ist MFA – und warum ist das nicht dasselbe?

2FA nutzt genau zwei Faktoren bei der Anmeldung. MFA beschreibt allgemein die Nutzung mehrerer unabhängiger Faktoren und zusätzlicher Sicherheitsrichtlinien.

Für privilegierte Konten sollten Unternehmen möglichst phishingresistente Verfahren wie FIDO2 einsetzen. App-basierte Verfahren gelten dagegen als guter Standard für den breiten Rollout im KMU-Umfeld.

Welche Faktoren gibt es – und welche Kombinationen sind sinnvoll?

Authentifizierungsfaktoren werden typischerweise in Wissen, Besitz und Inhärenz eingeteilt. Sinnvoll sind Kombinationen aus unterschiedlichen Kategorien, weil ein kompromittierter Faktor nicht automatisch Zugriff auf den zweiten Nachweis ermöglicht.



  • Wissen: Passwort, PIN oder Passphrase
  • Besitz: Authenticator-App, FIDO2-Token oder Smartcard
  • Biometrie: Fingerabdruck oder Gesichtserkennung auf verwalteten Geräten


Wann reicht 2FA aus – und wann ist MFA Pflicht?

Für Standardnutzer kann eine konsequent umgesetzte 2FA mit App-basierter Bestätigung bereits einen deutlichen Sicherheitsgewinn bringen. Kritischer wird es dort, wo ein einzelner Zugriff weitreichende Folgen haben kann – etwa bei Administrationskonten, Identitätsplattformen, Remote-Zugängen oder Freigabeprozessen.


  • Standardnutzer: App-basierte MFA als praktikabler Mindeststandard
  • Admin-Konten: phishingresistente Verfahren und getrennte Konten
  • Remote-Zugänge: MFA verpflichtend, idealerweise kombiniert mit Geräteprüfung
  • Finanz- und Freigabeprozesse: zusätzliche Kontrollen und stärkere Authentifizierung

Die US-Sicherheitsbehörde CISA empfiehlt phishingresistente MFA insbesondere für privilegierte Konten und externe Zugriffe. Für weitergehende organisatorische Vorgaben in Österreich kann außerdem das österreichische Informationssicherheitshandbuch als Orientierung dienen.


FIGULI CONSULTING unterstützt Unternehmen dabei, MFA nicht nur technisch zu aktivieren, sondern sauber in bestehende IT-Strukturen einzubetten – von der Auswahl geeigneter Verfahren über Richtlinien und Rollout-Planung bis zur Absicherung von Microsoft 365, VPN, Cloud-Diensten und Administrationskonten.

MFA-Einführung mit FIGULI planen


Welche MFA-Methode ist für Unternehmen sinnvoll?

Die passende MFA-Methode hängt von Schutzbedarf, Benutzergruppe und Alltagstauglichkeit ab. Viele Unternehmen starten mit einer Authenticator-App, weil sie ohne zusätzliche Hardware funktioniert und in gängigen Plattformen gut integriert ist. Für besonders kritische Konten sind FIDO2-Sicherheitsschlüssel oder andere phishingresistente Verfahren meist die bessere Wahl.



Wichtig ist der Nutzungskontext: Mitarbeitende im Büro, Außendienst, Shared Devices, Produktion und Administratoren haben unterschiedliche Anforderungen. Eine gute MFA-Strategie ist daher differenziert, aber nicht unnötig kompliziert.


  • Authenticator-App: guter Standard für viele Mitarbeitende
  • FIDO2-Sicherheitsschlüssel: hoher Schutz für Admins und kritische Zugänge
  • SMS-Code: nur als Übergang oder Backup sinnvoll
  • Recovery-Prozesse: vor dem Rollout festlegen und testen 

Sind Passkeys und passwordless Login die Zukunft?

Passkeys und passwordless Verfahren gewinnen im Unternehmensumfeld an Bedeutung. Statt eines klassischen Passworts erfolgt die Anmeldung über kryptografische Schlüssel auf vertrauenswürdigen Geräten, häufig kombiniert mit Biometrie oder FIDO2.

Dadurch sinkt das Risiko erfolgreicher Phishing-Angriffe deutlich, weil keine klassischen Passwörter mehr übertragen werden. Für viele KMU ist heute eine sauber eingeführte MFA der realistische Standard, langfristig werden passwortlose Verfahren aber immer wichtiger.

Kryptografische Schlüssel von YubiKey

Authenticator-App mit Einmalcode für sichere Multifaktor Authentifizierung

Welche MFA-Methoden sind am sichersten?

Am sichersten sind phishingresistente Verfahren wie FIDO2-Sicherheitsschlüssel oder passwortlose Anmeldung. Sie eignen sich besonders für Admin-Konten, Management-Portale und andere kritische Zugänge. Auch Microsoft empfiehlt für privilegierte Konten möglichst phishingresistente MFA-Verfahren wie FIDO2 oder passwortlose Anmeldung.

Für den breiten Rollout in KMU ist eine Authenticator-App meist der beste Kompromiss aus Sicherheit, Aufwand und Akzeptanz. E-Mail oder SMS-Codes sollten nur verwendet werden, wenn keine bessere Methode verfügbar ist oder ein definierter Backup-Kanal benötigt wird.

Wie wählt man die passende Methode je Nutzergruppe?

Nicht jede Nutzergruppe braucht dieselbe MFA-Methode. Für Standardnutzer reicht häufig eine App-basierte Bestätigung. Für Admins und kritische Rollen sollte der Schutz deutlich stärker sein. Im Außendienst zählen außerdem Gerätewechsel, Offline-Situationen und schnelle Wiederherstellung.

Wie plant man Backup-Codes und Account-Recovery?

Account-Recovery ist ein Kernbestandteil jeder MFA-Einführung. Ohne geregelte Wiederherstellung entstehen schnell Ausfälle, etwa bei Handyverlust, Gerätewechsel oder defekten Smartphones.

Legen Sie deshalb vor dem Rollout fest, welche Nachweise für eine Wiederherstellung erforderlich sind, wer Freigaben erteilt und wie Notfallzugänge dokumentiert werden. Gerade in kleineren Unternehmen sollten diese Prozesse vorab getestet werden.

MFA-Methoden im Vergleich für KMU

Die folgende Übersicht fasst die wichtigsten MFA-Methoden für KMU nochmals kompakt zusammen.

Methode Eignung und Hinweise
Authenticator-App Guter Standard für viele Rollen; Recovery und Gerätewechsel müssen geregelt sein
FIDO2-Sicherheitsschlüssel Sehr hohe Sicherheit; ideal für Admins und kritische Zugänge
E-Mail oder SMS-Code Einfach ausrollbar, aber anfälliger; eher als Übergang oder Backup
Biometrie auf Gerät Komfortabel, aber an Geräteverwaltung und Richtlinien gebunden

Detailinformationen zu Authentifizierungsfaktoren für ID Austria finden Sie bei den Authentifizierungsfaktoren bei ID Austria.

MFA vorbereiten: Technik, Richtlinien & Voraussetzungen

Eine stabile MFA-Einführung beginnt vor der technischen Aktivierung. Identitäten, Geräte, Lizenzen, Anwendungen und Verantwortlichkeiten müssen zusammenpassen. Viele Probleme entstehen nicht durch MFA selbst, sondern durch unklare Ausnahmen, fehlende Recovery-Prozesse oder nicht berücksichtigte Sonderfälle wie Servicekonten, Shared Devices und ältere Authentifizierungsverfahren.

Organisatorisch braucht es eine klare MFA-Richtlinie. Sie legt fest, für welche Systeme Multifaktor Authentifizierung verpflichtend ist, welche Methoden erlaubt sind, wie Ausnahmen behandelt werden und wer im Störfall entscheidet. Technisch sollten Unternehmen prüfen, ob alle relevanten Systeme moderne Authentifizierung unterstützen und ob unsichere Altverfahren reduziert oder ersetzt werden können.

Vor dem Rollout sollten insbesondere diese Punkte geklärt sein:


  • Identitäten, Anwendungen und Zugriffswege erfassen
  • MFA-Policy mit Stufenplan, Ausnahmen und Recovery definieren
  • Legacy-Authentifizierung reduzieren oder absichern
  • Admin-Zugänge getrennt und stärker schützen 

Welche technischen Voraussetzungen sollten vorab geprüft werden?

Prüfen Sie zuerst, wo Identitäten verwaltet werden: Cloud-Identity-Provider, Verzeichnisdienst, SSO-Plattform oder Mischbetrieb. Danach sollten alle relevanten Anwendungen, Protokolle und Zugriffswege erfasst werden.

Besonders kritisch sind ältere Authentifizierungsverfahren, die MFA umgehen können, wenn sie weiterhin erlaubt bleiben. Dazu gehören zum Beispiel veraltete Mail-Protokolle, Legacy-Clients oder nicht sauber eingebundene Drittanwendungen.

Wie erstellt man eine MFA-Richtlinie für das Unternehmen?

Eine MFA-Richtlinie sollte kurz, verständlich und umsetzbar sein. Sie definiert, für welche Systeme MFA verpflichtend ist, welche Methoden erlaubt sind und welche Ausnahmen möglich sind.

Ausnahmen sollten immer begründet, dokumentiert und zeitlich befristet werden. Sonst entstehen dauerhafte Sicherheitslücken, die später schwer kontrollierbar sind.

Wie lässt sich MFA ohne eigene Security-Abteilung umsetzen?

Auch ohne eigene Security-Abteilung lässt sich MFA sauber einführen, wenn Zuständigkeiten klar geregelt sind. Wichtig sind Verantwortliche für technische Administration, Helpdesk, Ausnahmen, Recovery und Richtlinienpflege.

Ein externer IT-Partner kann bei Architektur, Policy-Design, Pilotierung und Monitoring unterstützen, ohne den laufenden Betrieb vollständig zu übernehmen. 


FIGULI CONSULTING unterstützt KMU dabei, MFA strukturiert einzuführen – insbesondere bei Cloud-Zugängen, Remote-Zugriffen, Microsoft 365, VPN und administrativen Konten.

Weitere Informationen zu passenden Leistungen finden Sie unter Leistungen.


Mitarbeitende besprechen Einführung von Multifaktor Authentifizierung im Unternehmen

MFA-Einführung im Unternehmen: Rollout, Kommunikation & Betrieb

Eine erfolgreiche MFA-Einführung beginnt kontrolliert und skaliert schrittweise. Statt alle Benutzer gleichzeitig umzustellen, sollten Unternehmen zuerst mit einem Pilot starten, typische Sonderfälle prüfen und danach in Wellen ausrollen. Entscheidend ist nicht nur die technische Aktivierung, sondern ein stabiler Ablauf aus Kommunikation, Support und Recovery.

Akzeptanz entsteht vor allem dann, wenn Mitarbeitende nachvollziehen können, warum MFA eingeführt wird und wie sie im Problemfall schnell Unterstützung erhalten. Kurze Anleitungen, klare Termine und erreichbarer Support reduzieren Widerstand und vermeiden unnötige Ausfälle.

Wenn die Plattform es unterstützt, sollte MFA zusätzlich mit risikobasierten Regeln, Geräteprüfung und Einschränkungen für unsichere Altverfahren kombiniert werden. Besonders in Microsoft-365-Umgebungen kann Conditional Access (kontextbasierte Zugriffssteuerung) helfen, Zugriffe abhängig von Standort, Gerät, Benutzerrolle oder Risiko zu steuern.


  • Pilot mit repräsentativen Nutzergruppen durchführen
  • Rollout in Wellen mit festen Terminen und Supportfenstern planen
  • Sonderfälle wie Gerätewechsel, Offline-Zugriffe und Recovery früh berücksichtigen
  • Unsichere Altverfahren nach erfolgreichem Rollout schrittweise deaktivieren

Wie läuft eine MFA-Einführung im KMU typischerweise ab?

Starten Sie mit einem Pilotprojekt, das typische Rollen abbildet: Office, Außendienst, IT-Administration und Management. Prüfen Sie dabei nicht nur die Technik, sondern auch Registrierung, Gerätewechsel, Recovery, Helpdesk-Prozesse und Protokollierung.

Danach erfolgt der Rollout schrittweise – idealerweise nach Abteilungen oder Standorten.

  1. Pilot (1–2 Wochen): Registrierung, Recovery, Support und Sonderfälle testen
  2. Rollout in Wellen (2–6 Wochen): Benutzergruppen schrittweise aktivieren
  3. Go-live: MFA verpflichtend machen und unsichere Protokolle reduzieren
  4. Stabilisierung: Tickets analysieren, Richtlinien optimieren und Reviews durchführen

Wie läuft eine MFA-Einführung im KMU typischerweise ab?

Kommunizieren Sie frühzeitig, verständlich und wiederholt. Mitarbeitende sollten wissen, warum MFA eingeführt wird, was sich verändert, bis wann Maßnahmen erforderlich sind und wo Hilfe verfügbar ist.


Vermeiden Sie unnötig technische Formulierungen. Kurze Schritt-für-Schritt-Anleitungen und Screenshots sind meist wirksamer als lange Dokumentationen.


  • Nutzen und Risiko verständlich erklären
  • Aktivierungsdatum und Fristen klar kommunizieren
  • Supportkanäle und Ansprechpartner sichtbar machen
  • Kurze Schulungen und FAQ bereitstellen 

Welche Probleme treten bei der MFA-Einführung häufig auf?

Typische Probleme entstehen bei Gerätewechseln, fehlender Netzverbindung oder gemeinsam genutzten Geräten. Werden diese Szenarien erst nach dem Rollout berücksichtigt, steigt der Supportaufwand deutlich.

Definieren Sie deshalb früh Alternativen wie TOTP-Codes, Reservefaktoren oder Hardware-Token für betroffene Rollen.


  • Gerätewechsel: schneller Prozess für Re-Registrierung und Recovery
  • Offline-Situationen: TOTP oder Hardware-Token bereitstellen
  • Akzeptanz: kurze Anleitung und sichtbarer Support
  • Notfallzugänge: streng verwalten, dokumentieren und regelmäßig prüfen 

Checkliste: Go-live-Vorbereitung für MFA

Vor der verpflichtenden Aktivierung sollten insbesondere folgende Punkte geprüft werden:


  • Alle Konten und Anwendungen inventarisieren
  • MFA-Methoden, Ausnahmen und Stichtage definieren
  • Helpdesk- und Eskalationswege bereitstellen
  • Recovery-Prozesse und Backup-Codes testen
  • Pilotgruppe durchführen und Erkenntnisse dokumentieren
  • Anmeldeprotokolle und Ausnahmen regelmäßig prüfen

In Finanzprozessen ist MFA bereits Standard. Ein praktisches Beispiel dafür ist die FinanzOnline 2-Faktor-Authentifizierung als behördliche Sicherheitsanforderung.

MFA in der Praxis aktivieren: Microsoft 365, Google Workspace, VPN & Admin-Konten

Die technische MFA-Aktivierung unterscheidet sich je Plattform, folgt aber denselben Grundprinzipien: privilegierte Konten zuerst absichern, Pilotgruppen testen und MFA danach schrittweise verpflichtend machen. Gleichzeitig sollten unsichere Altverfahren wie Legacy-Authentifizierung oder unnötige App-Passwörter reduziert werden.

Bei Cloud-Diensten ist die Identitätsplattform meist der zentrale Hebel. Sobald dort MFA und Richtlinien durchgesetzt werden, profitieren angebundene Anwendungen automatisch über SSO. Für VPN und Remote-Zugänge muss zusätzlich geprüft werden, ob MFA direkt unterstützt wird oder über einen Identity Provider eingebunden werden kann.

Dokumentieren Sie vor der Aktivierung die Zielkonfiguration für Methoden, Ausnahmen, Recovery und Admin-Schutz. Das erleichtert Rollout, Betrieb und spätere Audits deutlich.


  • Privilegierte Konten und Notfallzugänge zuerst absichern
  • MFA schrittweise über Gruppen und Richtlinien aktivieren
  • Legacy-Authentifizierung und Sonderfälle gezielt behandeln
  • Zielkonfiguration und Recovery-Prozesse dokumentieren

Gerade in KMU ist Microsoft 365 häufig der zentrale Einstiegspunkt für E-Mail, Teams, SharePoint und Passwort-Resets. Deshalb sollte MFA dort meist zuerst verpflichtend aktiviert werden.


MFA für Microsoft 365 sicher einrichten

Für Microsoft 365 ist entscheidend, wie MFA gesteuert wird: über zentrale Richtlinien, gruppenbasierte Zuweisung und – sofern verfügbar – risikobasierte Regeln wie Conditional Access.

Beginnen Sie mit Admin-Konten und einem streng kontrollierten Notfallkonto. Danach aktivieren Sie MFA für Pilotgruppen und rollen die Pflicht schrittweise aus.

MFA für Google Workspace aktivieren

In Google Workspace wird MFA typischerweise über Admin-Einstellungen sowie organisatorische Einheiten oder Gruppen gesteuert. Legen Sie fest, welche Methoden erlaubt sind und ab wann MFA verpflichtend wird.

Auch hier sollten zuerst privilegierte Konten abgesichert werden, bevor die Aktivierung breit ausgerollt wird.

Warum MFA für Admin-Konten Pflicht ist

Admin-Konten gehören zu den wichtigsten Angriffszielen, weil sie Sicherheitsrichtlinien ändern, Benutzer verwalten und weitreichende Zugriffe ermöglichen können. Deshalb sollten privilegierte Konten strikt von normalen Arbeitskonten getrennt werden.

Für Administratoren empfehlen sich phishingresistente Verfahren wie FIDO2-Sicherheitsschlüssel oder passwortlose Anmeldung.

Break-Glass-Konten (streng geschützte Notfallzugänge für den Ausnahmefall) dienen als Notfallzugang, falls MFA-Richtlinien oder zentrale Dienste ausfallen. Sie sollten nur minimal genutzt, sicher dokumentiert und regelmäßig getestet werden.


FIGULI CONSULTING unterstützt Unternehmen dabei, privilegierte Konten, Recovery-Prozesse und Notfallzugänge strukturiert abzusichern und in bestehende Microsoft-365- und Remote-Zugriffsmodelle einzubinden.

Aktuelle Praxisbeispiele und Sicherheitsthemen finden Sie außerdem in den IT-News bei FIGULI.

Kosten und Aufwand von MFA im Unternehmen

Die Kosten für Multifaktor Authentifizierung bestehen aus Lizenzen, optionaler Hardware wie FIDO2-Schlüsseln, Implementierungsaufwand sowie laufendem Support und Betrieb. Gerade in KMU werden weniger die Lizenzkosten unterschätzt, sondern vielmehr Rollout-Support, Gerätewechsel, Recovery-Prozesse und die Verwaltung von Ausnahmen.

Eine realistische Planung berücksichtigt deshalb sowohl die Einführung als auch den laufenden Betrieb – inklusive Monitoring, Reviews und regelmäßiger Anpassungen der Richtlinien.

Welche Kostenblöcke gibt es – und wo wird es oft unterschätzt?

Typische Kostenblöcke sind Identitäts- und Sicherheitslizenzen, Hardware-Token für kritische Rollen, Implementierungszeit sowie Schulung und Support.

Unterschätzt werden häufig indirekte Aufwände: Helpdesk-Spitzen während des Rollouts, Recovery-Fälle nach Geräteverlust, Pflege von Ausnahmen und regelmäßige Anpassungen der Richtlinien.

Wie kalkuliert man Aufwand und Betrieb im Mittelstand realistisch?

Kalkulieren Sie den Aufwand entlang der gesamten Einführung: Vorbereitung, Pilot, Rollout, Pflichtsetzung und laufender Betrieb. Der Supportaufwand ist in den ersten Wochen typischerweise am höchsten und sinkt später deutlich, wenn Recovery und Selbsthilfeprozesse sauber funktionieren.

Zum laufenden Betrieb gehören außerdem Gerätewechsel, Rollenwechsel, Offboarding, Token-Erneuerung und regelmäßige Sicherheitsreviews.

Wie misst man den Sicherheitsgewinn nach dem Rollout?

Der Sicherheitsgewinn lässt sich über technische und organisatorische Kennzahlen bewerten. Relevant sind beispielsweise blockierte Anmeldeversuche, auffällige Login-Muster, erfolgreiche Phishing-Abwehr oder reduzierte Kontoübernahmen.

Zusätzlich helfen Helpdesk- und Nutzerfeedback dabei, Reibungspunkte im Alltag zu erkennen und Richtlinien gezielt zu optimieren.


  • KPIs: verdächtige Logins, blockierte Versuche, Ticketvolumen
  • Reviews: Ausnahmen, privilegierte Konten und neue Anwendungen prüfen
  • Härtung: Legacy-Authentifizierung reduzieren und stärkere Faktoren nutzen
  • Prozesse: Recovery und Offboarding regelmäßig testen 

Typische Kosten- und Aufwandsfelder bei MFA im KMU

Die tatsächlichen Kosten hängen stark von Nutzeranzahl, Plattformen und Sicherheitsniveau ab. Typische Aufwandsbereiche ähneln sich jedoch in den meisten MFA-Projekten.

Kostenfeld Typischer Inhalt
Lizenzen Identity-Funktionen, Richtlinien, Protokollierung, ggf. Conditional Access
Hardware FIDO2-Schlüssel, Ersatzgeräte, Inventarisierung
Implementierung Policy-Design, Pilot, Gruppen, Tests, Dokumentation
Support & Betrieb Rollout-Support, Recovery, Monitoring, regelmäßige Reviews

Fazit

Multifaktor Authentifizierung gehört heute zu den wichtigsten Sicherheitsmaßnahmen für Unternehmen, weil gestohlene Passwörter allein oft bereits für erfolgreiche Angriffe ausreichen.


Erfolgreich ist MFA jedoch nur dann, wenn Technik, Richtlinien, Recovery und Benutzerfreundlichkeit zusammenpassen.


Gerade KMU profitieren davon, MFA schrittweise und praxisnah einzuführen – zuerst bei E-Mail, Cloud-Zugängen, VPN und Admin-Konten. So lässt sich das Sicherheitsniveau deutlich erhöhen, ohne den laufenden Betrieb unnötig zu belasten.


FIGULI CONSULTING unterstützt Unternehmen dabei, Multifaktor Authentifizierung technisch und organisatorisch sauber umzusetzen – von der MFA-Policy über Rollout und Recovery bis zur Absicherung von Microsoft 365, Cloud-Plattformen, VPN-Zugängen und privilegierten Konten.

Kontakt aufnehmen


FAQ zur Multifaktor Authentifizierung

Was ist der Unterschied zwischen MFA und 2FA?

2FA (Zwei-Faktor-Authentifizierung) ist eine Unterform von MFA. Während 2FA genau zwei Faktoren nutzt, kann Multifaktor Authentifizierung auch mehrere Sicherheitsfaktoren kombinieren, etwa Passwort, Authenticator-App und Hardware-Token. Im Unternehmensumfeld wird meist der Begriff MFA verwendet.


Welche Systeme sollten Unternehmen zuerst mit MFA absichern?

Unternehmen sollten zuerst kritische Zugänge absichern: Microsoft 365, E-Mail-Konten, VPN-Zugänge, Cloud-Plattformen, Remote-Zugriffe und administrative Konten. Besonders E-Mail-Konten gelten als häufigstes Angriffsziel und sollten priorisiert werden.


Welche MFA-Methode ist am sichersten: App, SMS oder Token?

FIDO2-Sicherheitsschlüssel gelten derzeit als die sicherste MFA-Methode für Unternehmen, weil sie Phishing deutlich erschweren. Für viele KMU ist eine Authenticator-App jedoch der praktikabelste Standard. SMS-Codes sollten möglichst nur als Übergang oder Backup genutzt werden.


Was passiert bei Handyverlust oder Gerätewechsel?

Unternehmen sollten Recovery-Prozesse für Gerätewechsel und Verlustfälle definieren. Empfehlenswert sind Backup-Codes, ein zweiter registrierter Faktor oder ein klar geregelter Helpdesk-Prozess mit Identitätsprüfung. Gerade in KMU entstehen Probleme häufig erst beim ersten Gerätewechsel.


Reicht Multifaktor Authentifizierung allein als Schutz gegen Phishing aus?

MFA reduziert das Risiko erfolgreicher Angriffe deutlich, ersetzt aber keine weiteren Sicherheitsmaßnahmen. Moderne Phishing-Angriffe versuchen teilweise auch Sitzungen oder Tokens zu übernehmen. Deshalb sollten Unternehmen zusätzlich auf sichere Endgeräte, Monitoring und Security Awareness setzen.


Wie führen Unternehmen MFA Schritt für Schritt ein?

Eine MFA-Einführung beginnt meist mit privilegierten Konten und kritischen Systemen. Danach folgen Richtlinien, Pilotgruppe, Rollout, Schulung und Recovery-Prozesse. Wichtig sind klare Kommunikation, Tests und ein Supportkonzept für den laufenden Betrieb.


Was kostet MFA für Unternehmen?

Die Kosten hängen von Plattformen, Nutzeranzahl und Sicherheitsniveau ab. Viele Cloud-Plattformen wie Microsoft 365 oder Google Workspace enthalten MFA bereits teilweise im Lizenzumfang. Zusätzlicher Aufwand entsteht meist durch Rollout, Schulung, Conditional Access, Hardware-Token und Supportprozesse.