Zum Hauptinhalt springen
Wissens-Artikel·Managed Workplace & Microsoft 365 · 9 min · Stand 2026-04-28

MFA für KMU: Warum ein zweiter Faktor kein Luxus ist

Warum MFA Schweizer KMU schützt, welche Fehler im Rollout häufig passieren und wie ein sauberer Roll-out ohne Helpdesk-Chaos gelingt, inklusive Entscheidungshilfe Security Defaults vs. Conditional Access.

Veröffentlicht2026-04-28Aktualisiert2026-04-28Lesezeit9 minVerbleibend9 minSGFManaged Workplace & Microsoft 365AutorSYSINFRA

Ein Passwort allein reicht nicht mehr

Viele KMU schützen Microsoft 365, Buchhaltung, Cloudflare, WordPress und banknahe Tools immer noch hauptsächlich mit Passwörtern. Das Problem ist nicht, dass jedes Passwort schlecht ist. Das Problem ist, dass Passwörter kopiert, wiederverwendet, erraten, abgefischt oder in alten Datenlecks gefunden werden können.

MFA bedeutet Multi-Faktor-Authentifizierung. Neben dem Passwort braucht der Benutzer einen zweiten Nachweis: eine Authenticator-App, einen Sicherheitsschlüssel oder eine Bestätigung auf einem vertrauenswürdigen Gerät. Microsoft beschreibt MFA als zweite Verifikationsmethode für Benutzeranmeldungen und stellt dafür Security Defaults und Conditional Access bereit.

Für ein KMU ist MFA keine Enterprise-Spielerei. Sie ist eine der einfachsten Massnahmen, um gestohlene Passwörter deutlich weniger gefährlich zu machen.

Was oft falsch läuft

Halber Rollout. Die Geschäftsleitung hat MFA, die IT-Admins vielleicht auch, aber normale Mitarbeitende nicht. Genau dort beginnen viele Angriffe: E-Mail-Konto übernehmen, interne Kommunikation lesen, Lieferantenrechnung manipulieren, Passwort-Reset auslösen.

Fehlende Planung. MFA wird über Nacht aktiviert, am nächsten Morgen stehen fünf Personen vor gesperrten Konten, zwei haben ein neues Handy und niemand weiss, wer helfen darf. Die interne Schlussfolgerung lautet dann schnell: „MFA nervt nur."

SMS als Dauerlösung. SMS ist besser als gar kein zweiter Faktor, aber für privilegierte Konten nicht die beste Wahl. Für Admins, Geschäftsleitung, Buchhaltung und Cloud-Zugänge sollten stärkere Methoden wie Authenticator-App mit Number-Matching oder FIDO2-Sicherheitsschlüssel geprüft werden.

Welche Variante für welches KMU passt

Für kleine M365-Tenants kann Security Defaults ein pragmatischer Start sein. Microsoft erzwingt damit unter anderem MFA-Registrierung, MFA für Administratoren, MFA bei Bedarf und blockiert alte Authentifizierungsprotokolle.

Sobald ein KMU mehr Kontrolle braucht, wird Conditional Access sinnvoll. Dann lassen sich Regeln definieren: Admin-Zugriffe immer mit MFA, Anmeldungen aus fremden Ländern blockieren, nur verwaltete Geräte für bestimmte Apps zulassen. Das ist mächtiger, aber auch gefährlicher, wenn es ohne Konzept gebaut wird.

SituationEmpfehlung
5–15 Benutzer, einfacher M365-TenantSecurity Defaults aktivieren, sauber kommunizieren
15–80 Benutzer, mehrere RollenConditional Access mit Pilotgruppe
Admins, Buchhaltung, GeschäftsleitungStärkere MFA-Methode, keine SMS als Zielbild
Aussendienst oder viele HandywechselVorher Supportprozess definieren
Cyberversicherung oder AuditMFA-Status dokumentieren und exportierbar halten

Beispiel aus dem KMU-Alltag

Ein Treuhandbüro nutzt M365, OneDrive und eine Cloud-Buchhaltung. Eine Mitarbeiterin erhält eine gefälschte Microsoft-Mail und gibt ihr Passwort ein. Ohne MFA kann der Angreifer direkt ins Postfach. Mit MFA scheitert der Login, sofern die Mitarbeiterin nicht auch noch eine Push-Anfrage blind bestätigt.

Das zeigt auch die Grenze: MFA ersetzt keine Schulung. Aber MFA macht aus einem gestohlenen Passwort nicht automatisch einen erfolgreichen Einbruch.

Konkrete Empfehlung

Aktivieren Sie MFA nicht „irgendwie". Machen Sie es sauber:

  1. Alle Benutzer erfassen
  2. Admin-Konten separat behandeln
  3. Break-Glass-Konto definieren und sicher ablegen
  4. Pilotgruppe mit 3–5 Benutzern
  5. Kurzanleitung für Mitarbeitende
  6. Rollout in Wellen
  7. Nachkontrolle: Wer hat MFA wirklich registriert?
  8. Bericht ablegen

Ein Break-Glass-Konto ist ein Notfallkonto für den Fall, dass eine Policy falsch greift oder MFA flächendeckend ausfällt. Es darf nicht im Alltag genutzt werden. Es braucht ein sehr starkes Passwort, sichere Ablage und Monitoring.

Wann wir helfen

Wir unterstützen, wenn MFA nicht nur aktiviert, sondern betrieben werden soll. Typischer Ablauf: Tenant prüfen → Benutzer und Rollen erfassen → MFA-Methode festlegen → Conditional Access planen → Pilot durchführen → Mitarbeitende informieren → Nachweisbericht ablegen.

Das ist Teil unserer Leistung Managed Workplace & Microsoft 365. Für viele KMU ist ein einmaliger M365 Security Check der richtige Einstieg, siehe auch das anonymisierte Setup Treuhand-Büro mit DATEV-Migration.

Häufige Fragen

Muss wirklich jeder MFA nutzen? Ja, das Zielbild ist MFA für alle. Ausnahmen müssen begründet und dokumentiert sein.

Reicht SMS? Für den Start besser als nichts. Für Admins und kritische Rollen sollte eine stärkere Methode gewählt werden.

Was passiert bei Handyverlust? Es braucht einen Supportprozess. Sonst wird MFA im Alltag zum Chaos.

Was ist besser: Security Defaults oder Conditional Access? Security Defaults sind einfach. Conditional Access ist flexibler. Für komplexere Tenants ist Conditional Access meistens sinnvoller.

Braucht es eine Schulung? Ja. 15 Minuten reichen oft, aber ohne Erklärung klicken Mitarbeitende MFA-Prompts eher blind weg.