Zurück zum Blog
IT-Sicherheit

3 MFA-Fehler, die KMU unnötig angreifbar machen

Max Schneider - Automation Engineer bei ProzessPilot21. April 20266 Min. Lesezeit

Warum MFA für KMU oft nur halb schützt

Mehrfaktor-Authentifizierung ist eine der wirksamsten Maßnahmen gegen Kontoübernahmen. Trotzdem sehen wir in KMU immer wieder das gleiche Problem: MFA ist zwar aktiviert, aber nicht sauber umgesetzt. Dann bleibt ein Großteil des Risikos bestehen.

Gerade im Alltag zählt nicht die Theorie, sondern die Praxis. Ein unvollständig abgesichertes E-Mail-Postfach reicht oft schon aus, um interne Daten, Kundendaten oder ganze Geschäftsprozesse zu kompromittieren. Wenn Angreifer Zugriff auf Microsoft 365, Google Workspace, ein ERP oder eine Cloud-Anwendung bekommen, ist der Schaden schnell groß.

Die gute Nachricht: Viele Schwachstellen lassen sich mit wenig Aufwand schließen. Du musst dafür keine komplexe Sicherheitsarchitektur aufbauen. Es reicht oft, die häufigsten MFA-Fehler zu vermeiden und die Einstellungen konsequent durchzuziehen.

Fehler 1: MFA ist nur für einzelne Konten aktiviert

Viele Unternehmen starten mit MFA bei der Geschäftsführung oder bei der Buchhaltung. Das ist besser als nichts, aber es reicht nicht aus. Ein einziges unge-schütztes Benutzerkonto kann der Einstiegspunkt für einen Angriff sein.

Warum das gefährlich ist

Angreifer suchen nicht immer den direktesten Weg. Sie nehmen oft den schwächsten. Wenn ein Mitarbeiterkonto ohne MFA kompromittiert wird, können Phishing-Mails intern weitergeleitet, Passwörter zurückgesetzt oder weitere Zugänge erschlichen werden.

Besonders kritisch sind diese Konten:

  • E-Mail-Postfächer
  • Cloud-Speicher
  • Buchhaltungs- und ERP-Systeme
  • CRM-Systeme
  • Remote-Zugänge wie VPN oder Admin-Portale

So machst du es besser

Setze MFA nicht nur für Führungskräfte ein, sondern für alle Nutzerkonten mit externem Zugriff. Starte mit den wichtigsten Anwendungen und arbeite dich systematisch vor.

Ein guter Ansatz für KMU ist diese Reihenfolge:

1. E-Mail und Office 365 / Google Workspace 2. Passwort-Manager und Admin-Konten 3. Cloud- und File-Sharing-Dienste 4. Fachanwendungen mit Kundendaten 5. Remote-Zugänge und VPN

Wichtig: Auch Konten von Dienstleistern sollten abgesichert sein, wenn sie auf deine Systeme zugreifen.

Fehler 2: Unsichere MFA-Methoden werden bevorzugt

Nicht jede MFA ist gleich sicher. Viele Unternehmen setzen noch auf SMS-Codes oder einfache Bestätigung per E-Mail. Das wirkt auf den ersten Blick bequem, ist aber deutlich anfälliger als moderne Methoden.

Warum SMS keine gute Standardlösung ist

SMS-basierte MFA kann durch SIM-Swapping, abgefangene Nachrichten oder Social Engineering umgangen werden. E-Mail-Codes sind ebenfalls problematisch, wenn das Postfach selbst schon angegriffen wurde.

Für KMU bedeutet das: Der zusätzliche Schutz ist oft schwächer, als man denkt. Wer sich auf die falsche Methode verlässt, baut Scheinsicherheit auf.

Welche Methoden besser sind

Die bessere Wahl sind in dieser Reihenfolge:

  • Authenticator-App mit zeitbasierten Einmalcodes
  • Push-Bestätigung mit zusätzlicher Nummernprüfung
  • Hardware-Token für besonders sensible Konten
  • Passkeys oder FIDO2-Sicherheitsschlüssel, wenn die Systeme es unterstützen

Für normale Nutzer ist eine Authenticator-App meist der beste Einstieg. Für Admin-Konten und Geschäftsführung sind Hardware-Token oder Passkeys oft die robustere Wahl.

So triffst du die richtige Entscheidung

Prüfe pro Anwendung:

  • Welche MFA-Methoden werden unterstützt?
  • Kann man unsichere Methoden deaktivieren?
  • Gibt es getrennte Regeln für Admins?
  • Wird eine Wiederherstellung sicher abgewickelt?

Wenn dein System es erlaubt, solltest du SMS und E-Mail als Standardmethode abschalten. Das reduziert das Risiko spürbar.

Fehler 3: Notfall- und Wiederherstellungsprozesse fehlen

Viele KMU führen MFA ein und denken damit sei alles erledigt. Doch was passiert, wenn ein Mitarbeiter das Smartphone verliert, ein Token kaputtgeht oder der Zugriff auf den Authenticator weg ist?

Wenn es keinen sauberen Recovery-Prozess gibt, entstehen zwei Risiken:

  • Mitarbeiter werden ausgesperrt und suchen unsichere Umwege
  • Support oder Admins schalten MFA kurzfristig ab, nur damit es schnell geht

Genau das hebelt die Schutzmaßnahme dann wieder aus.

Was du unbedingt definieren solltest

Lege einen klaren Prozess für den Fall fest, dass MFA nicht mehr verfügbar ist:

  • Wer darf die Wiederherstellung anstoßen?
  • Wie wird die Identität geprüft?
  • Welche Informationen müssen vorliegen?
  • Wie lange gilt ein Ersatzzugang?
  • Wer dokumentiert den Vorfall?

Besonders wichtig: Der Recovery-Prozess darf nicht einfacher sein als der reguläre Login. Sonst bauen Angreifer genau dort ihre Methode auf.

Praktische Regeln für den Alltag

  • Richte Backup-Codes ein und speichere sie sicher
  • Hinterlege bei kritischen Konten zwei unabhängige Faktoren
  • Vermeide, dass nur ein einzelnes Gerät den Zugriff ermöglicht
  • Teste den Wiederherstellungsprozess regelmäßig
  • Schalte MFA nicht „kurzzeitig aus“, ohne Dokumentation

Ein sauberer Prozess spart im Ernstfall Zeit, Nerven und Sicherheitsrisiken.

So setzt du MFA in deinem KMU richtig auf

Wenn du MFA sauber einführen willst, brauchst du keinen großen Sicherheitsapparat. Du brauchst klare Prioritäten und eine einfache Umsetzung.

Die 5-Punkte-Checkliste

1. Kritische Systeme zuerst absichern Starte mit E-Mail, Cloud, Buchhaltung und Admin-Zugängen.

2. Unsichere Verfahren ersetzen Wenn möglich, schalte SMS und E-Mail als MFA-Methode ab.

3. Rollen unterscheiden Admins und Geschäftsführung brauchen stärkeren Schutz als Standardnutzer.

4. Recovery sauber regeln Definiere einen Notfallprozess mit Prüfung und Dokumentation.

5. Umsetzung regelmäßig prüfen Kontrolliere neue Benutzer, externe Zugänge und Ausnahmen mindestens monatlich.

Ein einfaches Beispiel aus dem KMU-Alltag

Ein Handwerksbetrieb nutzt Microsoft 365, ein CRM und ein Buchhaltungssystem. MFA ist nur für die Geschäftsführung aktiv. Ein Mitarbeiter klickt auf eine Phishing-Mail, sein Konto wird übernommen, und der Angreifer verschickt intern weitere Nachrichten an Kunden und Lieferanten.

Wäre MFA für alle Konten aktiv gewesen, hätte der Angriff sehr wahrscheinlich an der ersten Hürde geendet. Wäre zusätzlich SMS als einzige Methode erlaubt gewesen, hätte das zwar etwas geholfen, aber nicht optimal geschützt. Mit Authenticator-App, klaren Regeln und sauberem Recovery-Prozess wäre das Risiko deutlich kleiner gewesen.

Warum sich das sofort lohnt

Saubere MFA ist keine reine IT-Frage. Sie schützt Umsatz, Reputation und Arbeitsfähigkeit.

Du profitierst direkt von:

  • weniger Kontoübernahmen
  • weniger Phishing-Schäden
  • besserem Schutz von Kundendaten
  • mehr Kontrolle über externe Zugriffe
  • weniger Notfällen im Support

Gerade für KMU ist das wichtig, weil Ausfälle oft nicht durch große Reserven abgefedert werden können. Ein kompromittiertes Konto kann hier schnell zum Betriebsproblem werden.

Fazit: MFA muss konsequent, nicht nur vorhanden sein

Mehrfaktor-Authentifizierung ist stark, wenn du sie konsequent umsetzt. Die größten Fehler sind schnell gemacht: nur Teilbereiche absichern, unsichere Methoden verwenden und keinen Recovery-Prozess haben.

Wenn du diese drei Punkte sauber löst, hebst du das Sicherheitsniveau deines Unternehmens sofort deutlich an. Fang bei den wichtigsten Konten an, zieh unsichere Verfahren raus und dokumentiere den Notfallweg.

Wenn du wissen willst, wo dein Unternehmen aktuell am meisten angreifbar ist, starte mit einer kurzen Sicherheitsprüfung deiner Zugänge. Genau dort entstehen oft die größten Lücken.

Haben Sie Fragen?

Wir beraten Sie gerne zu den Themen Digitalisierung, KI-Automatisierung und IT-Sicherheit. Nehmen Sie Kontakt mit uns auf.

Kontakt aufnehmen