Multi-Faktor-Authentifizierung (MFA) für KMU: Setup Guide

MFA für KMU: Der wichtigste Sicherheitsschalter, den die meisten noch nicht umgelegt haben

Multi-Faktor-Authentifizierung (MFA) ist die wirkungsvollste einzelne Massnahme, die ein KMU zum Schutz seiner Konten ergreifen kann. Und trotzdem nutzen laut einer Microsoft-Studie noch immer weniger als 38 Prozent der Schweizer KMU MFA konsequent für alle Mitarbeitenden.

Das ist bemerkenswert, denn MFA kostet fast nichts und verhindert laut Microsoft über 99 Prozent aller kontobasierten Angriffe. Wer MFA noch nicht eingeführt hat, lässt seine Unternehmenskonten buchstäblich offen stehen.

Nachfolgend die Schritt-für-Schritt-Anleitung für MFA in Microsoft 365, Google Workspace und VPN-Zugänge.

---

Was ist Multi-Faktor-Authentifizierung?

MFA verlangt beim Login zwei oder mehr unabhängige Nachweise der Identität:

1. Etwas, das Sie wissen: Passwort oder PIN
2. Etwas, das Sie haben: Smartphone (Authenticator-App), Hardware-Schlüssel (FIDO2)
3. Etwas, das Sie sind: Fingerabdruck, Gesichtserkennung (Biometrie)

Klassischer Login: Benutzername + Passwort. Ein gestohlenes Passwort reicht für den Angreifer aus.

Mit MFA: Benutzername + Passwort + zweiter Faktor. Selbst wenn das Passwort gestohlen wird, scheitert der Angreifer am zweiten Faktor.

---

MFA-Methoden im Vergleich: Sicherheit von niedrig bis hoch

Nicht alle MFA-Methoden sind gleich sicher. Diese Übersicht zeigt, was Sie wählen sollten — und was Sie vermeiden sollten.

SMS-OTP (Einmalpasswort per SMS)

Sicherheitsstufe: Niedrig bis mittel

SMS-basierte Codes sind besser als kein MFA, aber angreifbar durch:

• SIM-Swapping: Angreifer bringen den Mobilfunkanbieter dazu, die Nummer auf eine eigene SIM zu übertragen
• SS7-Angriffe auf die Telefoninfrastruktur
• Phishing-Seiten, die den Code in Echtzeit abfangen (Adversary-in-the-Middle)

Empfehlung: Nur als letzter Ausweg oder für temporäre Konten. Nicht für Hauptkonten.

E-Mail-OTP

Sicherheitsstufe: Niedrig

Wenn das E-Mail-Konto bereits kompromittiert ist, hat der Angreifer auch Zugriff auf den OTP-Code. Kein sinnvoller zweiter Faktor für E-Mail-Konten.

Time-based One-Time Password (TOTP) via Authenticator-App

Sicherheitsstufe: Mittel bis hoch

Apps wie Microsoft Authenticator, Google Authenticator oder Aegis generieren alle 30 Sekunden einen neuen 6-stelligen Code. Dieser Code ist an das Gerät gebunden und ohne Netzwerkverbindung nutzbar.

Schwachstelle: Phishing-Seiten können auch TOTP-Codes in Echtzeit abfangen. Wenn ein Nutzer auf einer gefälschten Login-Seite landet und seinen Code eingibt, kann ein Angreifer ihn sofort verwenden.

Empfehlung: Guter Standard für die meisten KMU-Anwendungen. Besser als SMS, aber nicht phishingresistent.

Push-Benachrichtigungen (Authenticator-App mit Nummernabgleich)

Sicherheitsstufe: Hoch

Microsoft Authenticator und andere Apps senden eine Push-Benachrichtigung auf das Smartphone. Der Nutzer muss bestätigen. Mit Nummernabgleich (Number Matching) wird zusätzlich eine im Browser angezeigte Zahl auf dem Smartphone bestätigt — das verhindert MFA-Fatigue-Angriffe (Angreifer senden so viele Push-Anfragen, bis der Nutzer aus Genervtheit bestätigt).

Empfehlung: Standardempfehlung für Microsoft-365-Umgebungen. Nummernabgleich unbedingt aktivieren.

FIDO2 / Passkeys / Hardware-Schlüssel

Sicherheitsstufe: Sehr hoch (phishingresistent)

FIDO2 ist der Goldstandard der MFA. Hardware-Schlüssel (YubiKey, Nitrokey) oder gerätgebundene Passkeys (Windows Hello, Apple Face ID/Touch ID) sind vollständig phishingresistent: Der Schlüssel ist kryptografisch an die legitime Domain gebunden. Auf einer gefälschten Phishing-Seite funktioniert er schlicht nicht.

Empfehlung: Pflicht für privilegierte Konten (Admins), Finanzteam, Geschäftsleitung. Mittelfristig für alle Mitarbeitenden anstreben.

---

MFA einrichten: Microsoft 365

Microsoft 365 ist die mit Abstand häufigste Produktivitätslösung in Schweizer KMU. Hier ist die Schritt-für-Schritt-Anleitung für die MFA-Einrichtung.

Voraussetzungen

• Microsoft 365 Business Basic, Standard oder Premium (alle Lizenzen unterstützen MFA)
• Administratorzugang zum Microsoft 365 Admin Center

Option A: Security Defaults aktivieren (empfohlen für Einsteiger)

Microsoft hat sogenannte Security Defaults eingeführt: Eine Einstellung, die mit einem Klick grundlegende Sicherheitsmassnahmen aktiviert, darunter MFA für alle Nutzer.

1. Gehen Sie zum Microsoft Entra Admin Center (entra.microsoft.com)
2. Navigieren Sie zu Identität > Übersicht > Eigenschaften
3. Klicken Sie auf Sicherheitsstandards verwalten
4. Aktivieren Sie Sicherheitsstandards aktivieren
5. Speichern Sie die Einstellung

Bei der nächsten Anmeldung werden alle Nutzer aufgefordert, MFA einzurichten. Microsoft Authenticator wird empfohlen.

Vorteil: Einfach, schnell, kostenlos. Nachteil: Keine granulare Kontrolle. Für differenziertere Anforderungen (z. B. MFA nur beim ersten Login eines Tages, nicht bei jeder App) brauchen Sie Conditional Access.

Option B: Conditional Access Policies (empfohlen für Fortgeschrittene)

Conditional Access erfordert Microsoft Entra ID P1 (enthalten in M365 Business Premium, CHF 22/Nutzer/Monat).

1. Gehen Sie zum Microsoft Entra Admin Center
2. Navigieren Sie zu Schutz > Bedingter Zugriff
3. Klicken Sie auf + Neue Richtlinie erstellen
4. Konfigurieren Sie:
   • Benutzer: Alle Nutzer (oder spezifische Gruppen)
   • Ziel-Ressourcen: Alle Cloud-Apps
   • Bedingungen: Optional (z. B. nur wenn Gerät nicht compliant)
   • Zugriffssteuerung: MFA verlangen
5. Richtlinie aktivieren und testen

Tipp: Erstellen Sie immer zuerst eine Notfallzugang-Account (Break-Glass-Account), der von Conditional-Access-Richtlinien ausgenommen ist. Andernfalls können Sie sich selbst aussperren.

MFA-Methoden für Microsoft 365 konfigurieren

1. Gehen Sie im Entra Admin Center zu Schutz > Authentifizierungsmethoden
2. Aktivieren Sie die gewünschten Methoden:
   • Microsoft Authenticator: Aktivieren, Nummernabgleich erzwingen
   • FIDO2-Sicherheitsschlüssel: Für privilegierte Nutzer aktivieren
   • SMS/Sprachanruf: Nur wenn unbedingt nötig aktivieren
3. Deaktivieren Sie SMS und E-Mail als primäre MFA-Methoden für normale Nutzer

---

MFA einrichten: Google Workspace

Voraussetzungen

• Google Workspace-Administrator-Zugang
• Beliebige Google-Workspace-Lizenz

Schritt-für-Schritt-Anleitung

1. Gehen Sie zur Google Admin-Konsole (admin.google.com)
2. Navigieren Sie zu Sicherheit > Anmeldung und Sicherheit > Bestätigung in zwei Schritten
3. Klicken Sie auf Bestätigung in zwei Schritten erlauben
4. Wählen Sie Bestätigung in zwei Schritten erzwingen
5. Legen Sie einen Zeitraum fest, innerhalb dessen sich Nutzer anmelden müssen (empfohlen: 1 Woche)
6. Wählen Sie unter Methoden mindestens Google Authenticator oder Google Prompt
7. Für höchste Sicherheit: Sicherheitsschlüssel erzwingen (FIDO2)

Passkeys in Google Workspace aktivieren

Google unterstützt Passkeys in Workspace. Aktivieren Sie diese unter Sicherheit > Passkeys > Passkeys für Nutzer erlauben.

---

MFA für VPN einrichten

Ein VPN ohne MFA ist eine offene Tür. Besonders, weil VPN-Zugänge direkt ins Unternehmensnetz führen.

VPN-MFA-Integration: Die gängigsten Methoden

RADIUS mit MFA-Server: Die traditionelle Methode. Ein MFA-Server (z. B. Cisco Duo, Azure MFA-Server) wird vor den VPN-Server geschaltet und prüft den zweiten Faktor.

SAML/OAuth Integration: Moderne VPN-Lösungen (Cloudflare ZTNA, Cisco AnyConnect, GlobalProtect) unterstützen SAML-basierte Authentifizierung. Das bedeutet: Der Login läuft über Microsoft Entra ID oder Google Identity — inklusive MFA und Conditional Access.

Empfehlung für KMU: Wenn Sie Microsoft 365 nutzen, integrieren Sie Ihren VPN-Zugang über SAML mit Microsoft Entra ID. So haben Sie eine zentrale MFA-Verwaltung für alle Dienste.

Mehr zur sicheren VPN-Konfiguration in unserem Leitfaden Home Office Sicherheit für KMU.

---

FIDO2-Hardware-Schlüssel: Setup und Empfehlungen

Für privilegierte Konten (Administratoren, Geschäftsleitung, Finanzteam) empfehlen wir FIDO2-Hardware-Schlüssel.

Empfohlene Hardware-Schlüssel

Modell	Anschlüsse	Preis
YubiKey 5 NFC	USB-A, NFC	CHF 55–65
YubiKey 5C NFC	USB-C, NFC	CHF 65–75
YubiKey Security Key NFC	USB-A, NFC	CHF 30–35
Nitrokey 3C NFC (DACH-Hersteller)	USB-C, NFC	CHF 65–75

YubiKey in Microsoft 365 einrichten

1. Melden Sie sich mit Ihrem Konto bei myaccount.microsoft.com an
2. Gehen Sie zu Sicherheit > Anmeldemethoden > Sicherheitsschlüssel hinzufügen
3. Folgen Sie den Anweisungen und stecken Sie den YubiKey ein, wenn aufgefordert
4. Vergeben Sie einen Namen für den Schlüssel (z. B. “YubiKey Büro”)
5. Wiederholen Sie den Vorgang mit einem zweiten Schlüssel als Backup

Wichtig: Kaufen Sie immer zwei Hardware-Schlüssel pro Nutzer. Einer für den Alltag, einer als Backup im Tresor. Ein verlorener Schlüssel ohne Backup kann zur Kontosperrung führen.

---

Notfallzugang: Was tun, wenn der zweite Faktor nicht verfügbar ist?

Eines der häufigsten Gegenargumente gegen MFA: “Was, wenn ich mein Handy vergesse?” Hier sind die wichtigsten Strategien:

Backup-Codes

Beim MFA-Setup generiert fast jeder Dienst Backup-Codes. Diese einmaligen Codes ermöglichen den Zugang ohne zweiten Faktor. Sie müssen sicher aufbewahrt werden — ausgedruckt im Tresor, nicht digital.

Break-Glass-Konten für Admins

Für Microsoft-365-Administratoren: Erstellen Sie ein oder zwei Notfall-Administrator-Konten, die:

• Keine reguläre Arbeit verwenden werden
• Von Conditional-Access-Richtlinien ausgenommen sind
• Mit sehr langen, zufälligen Passwörtern gesichert sind (16+ Zeichen)
• Regelmässig überprüft werden (mindestens monatlich)
• Nur im absoluten Notfall verwendet werden

Wiederherstellungsmethoden registrieren

Legen Sie immer mindestens zwei MFA-Methoden pro Nutzer an: z. B. Authenticator-App UND Hardware-Schlüssel. Dann ist der Ausfall einer Methode kein Problem.

---

Benutzerakzeptanz: So bringen Sie Mitarbeitende auf MFA-Kurs

MFA scheitert oft nicht an der Technik, sondern am Widerstand der Mitarbeitenden. Diese Strategien helfen:

Kommunizieren Sie das Warum

Mitarbeitende, die verstehen, warum MFA wichtig ist, akzeptieren die zusätzliche Anmeldungsschritte eher. Erklären Sie konkret: Ein gestohlenes Passwort reicht nicht mehr aus, um das Konto zu übernehmen.

Stufenweise Einführung

Beginnen Sie mit der Geschäftsleitung und dem IT-Team. Pilotgruppe, Feedback sammeln, dann für alle ausrollen. Das vermeidet einen massiven Support-Aufwand an einem einzigen Tag.

Helpdesk bereitstellen

In den ersten Wochen nach der Einführung steigt das Support-Aufkommen. Planen Sie Kapazitäten ein oder lagern Sie den MFA-Rollout-Support temporär aus.

Microsoft Authenticator empfehlen (nicht erzwingen)

Microsoft Authenticator ist die einfachste Option für M365-Nutzer. Schritt-für-Schritt-Videos auf dem Intranet helfen auch weniger technikaffinen Mitarbeitenden.

“Wir haben MFA in 48 Stunden für alle 65 Mitarbeitenden ausgerollt. Der Schlüssel war eine kurze Erklärungsmail vom CEO, ein kurzes Tutorial-Video und ein Helpdesk-Slot am Folgetag. Die Akzeptanz war überraschend hoch.” — IT-Verantwortlicher, Produktionsunternehmen, Aarau

---

MFA und Phishing: Was MFA nicht schützt

MFA ist mächtig, aber kein Allheilmittel. Fortgeschrittene Angreifer nutzen Adversary-in-the-Middle (AiTM)-Techniken, um auch MFA-geschützte Konten zu übernehmen:

1. Angreifer richtet eine täuschend echte Phishing-Seite ein (z. B. eine geklonte Microsoft-Login-Seite)
2. Opfer gibt Benutzername und Passwort ein
3. Phishing-Seite leitet die Daten in Echtzeit an echte Microsoft-Seite weiter
4. Microsoft sendet MFA-Anfrage, Opfer bestätigt (unwissentlich für den Angreifer)
5. Angreifer erhält gültigen Session-Token und ist eingeloggt — trotz MFA

Schutz gegen AiTM: Nur FIDO2/Passkeys sind phishingresistent und schützen auch vor AiTM-Angriffen. Das ist ein weiterer Grund, privilegierte Konten mit Hardware-Schlüsseln zu sichern.

Lesen Sie mehr über Phishing-Angriffe in unserem Leitfaden Phishing-Schutz für Unternehmen in der Schweiz.

---

MFA und Red Teaming: Testen Sie Ihre MFA wirklich

MFA einzurichten ist der erste Schritt. Zu wissen, ob Ihre MFA-Implementierung einem echten Angriff standhält, ist der nächste. Professionelles Red Teaming testet MFA gezielt mit realen Angriffstechniken:

• MFA-Fatigue-Angriffe: Massenhaft Push-Benachrichtigungen senden, bis ein Nutzer bestätigt
• AiTM-Phishing: Reale Session-Tokens abgreifen trotz MFA
• Social Engineering gegen Helpdesk: Angreifer geben vor, ihr Handy verloren zu haben und lassen sich MFA zurücksetzen
• SIM-Swapping: Über den Mobilfunkanbieter die SMS-MFA übernehmen

Laut einer Analyse von Proofpoint wurden im Jahr 2024 mehr als 1 Million MFA-Bypass-Versuche pro Tag in Microsoft-365-Umgebungen registriert. MFA-Bypass ist keine akademische Übung, sondern gelebte Angriffspraxis.

“In jedem Red-Team-Einsatz testen wir MFA. In etwa 40 Prozent der Fälle gelingt uns ein Bypass — entweder über MFA-Fatigue, AiTM-Phishing oder über den Helpdesk-Prozess. Die technische MFA-Einrichtung allein reicht nicht; auch die Prozesse drumherum müssen stimmen.” — Red-Team-Spezialist, CybersecuritySwitzerland

Mehr zum Thema in unserem Vergleich Red Teaming vs. Penetrationstest und im Artikel Was ist Red Teaming?.

---

MFA-Kosten: Was kostet MFA für ein KMU?

Lösung	Kosten
Microsoft Security Defaults (TOTP)	Kostenlos (in jeder M365-Lizenz)
Microsoft Authenticator App	Kostenlos
Google Authenticator	Kostenlos
Aegis Authenticator (Open Source, Android)	Kostenlos
YubiKey Security Key NFC	CHF 30–35 pro Schlüssel
YubiKey 5 NFC	CHF 55–65 pro Schlüssel
Cisco Duo (für VPN + SSO)	Ab USD 3 pro Nutzer/Monat

Fazit zur Kostenstruktur: MFA mit Authenticator-App ist für die meisten KMU kostenlos oder so gut wie kostenlos. Der einzige nennenswerte Kostenblock entsteht beim Kauf von Hardware-Schlüsseln für privilegierte Nutzer. Für 10 Admin-Konten mit je zwei YubiKeys rechnen Sie mit CHF 700–1’300 — eine einmalige Investition mit grossem Sicherheitsgewinn.

---

Fazit

Multi-Faktor-Authentifizierung ist die wirkungsvollste und gleichzeitig günstigste Sicherheitsmassnahme, die ein KMU ergreifen kann. Wer MFA noch nicht eingeführt hat, muss das sofort tun — nicht nächsten Monat, nicht nach dem nächsten Budget-Zyklus, sondern heute.

Die Reihenfolge: SMS-MFA ist besser als nichts. Authenticator-App ist besser als SMS. FIDO2-Hardware-Schlüssel ist besser als Authenticator-App. Für privilegierte Konten gibt es keine Ausrede für alles ausser FIDO2.

Und wenn Sie wissen wollen, ob Ihre MFA-Implementierung einem realen Angriff standhält — dafür ist Red Teaming da. Unsere Spezialisten testen systematisch, ob und wie Ihre MFA-Schutzmassnahmen umgangen werden können.

Unser Red-Teaming-Angebot für Schweizer KMU startet ab CHF 11’900 und liefert Ihnen einen klaren Bericht, wo Ihre Authentifizierungsmassnahmen angreifbar sind — und wie Sie es beheben.

Jetzt Red Teaming anfragen

Weiterführende Leitfäden:

• Zero Trust für KMU: Einführung ohne Enterprise-Budget
• Home Office Sicherheit für KMU
• Cybersecurity-Checkliste für KMU
• Phishing-Schutz für Unternehmen in der Schweiz
• Kosten eines Red-Team-Einsatzes in der Schweiz
• nDSG-Checkliste für KMU