Projekt Hibiskus

StartMaßnahmenMFA

Technische Maßnahme

Multi-Faktor-Authentifizierung

Priorität: Hoch Blockiert 99,9% automatisierter Kontoübernahmen (Microsoft) ~1 Stunde Einrichtungsaufwand
Was ist MFA?
Multi-Faktor-Authentifizierung (MFA) verlangt beim Login zwei oder mehr Nachweise: etwas, das Sie wissen (Passwort), etwas, das Sie haben (Smartphone/Token) oder etwas, das Sie sind (Fingerabdruck). Ein gestohlenes Passwort allein reicht damit nicht mehr aus.

Warum MFA die wichtigste Einzelmaßnahme ist

99,9%
Automatisierter Angriffe werden blockiert
81%
aller Datenpannen nutzen schwache/gestohlene Passwörter
~1h
Einrichtungsaufwand pro Nutzer

MFA-Methoden im Vergleich

Empfohlen

Authenticator-App (TOTP)

Zeitbasierter Einmalcode (30 Sekunden gültig). Funktioniert offline. Apps: Microsoft Authenticator, Google Authenticator, Aegis.

Sicher
Empfohlen

Hardware-Token (FIDO2)

Physischer USB-Stick (z.B. YubiKey). Phishing-resistent, da an die Domain gebunden. Ideal für Hochrisiko-Accounts.

Sehr sicher
Akzeptabel

Push-Notification

App sendet Genehmigungsanfrage zum Smartphone. Komfortabel, aber anfällig für MFA-Fatigue-Angriffe (viele Anfragen senden).

Akzeptabel
Schwach

SMS-Code

Code per SMS. Besser als kein MFA, aber SIM-Swapping und SS7-Angriffe können SMS abfangen. Nur als letzter Ausweg.

Schwach

Schritt-für-Schritt: MFA einrichten

Microsoft 365 / Entra ID

  1. Anmelden als Global Administrator in admin.microsoft.com
  2. Sicherheit → Authentifizierungsrichtlinien → Mehrstufige Authentifizierung
  3. Conditional Access Policy erstellen: MFA für alle Benutzer bei allen Cloud-Apps
  4. Mitarbeiter beim nächsten Login aufgefordert, Microsoft Authenticator einzurichten
  5. Legacy-Authentifizierung blockieren (verhindert Umgehung über ältere Protokolle)

Google Workspace

  1. Admin-Konsole öffnen: admin.google.com
  2. Sicherheit → Authentifizierung → Bestätigung in zwei Schritten
  3. Erzwingen für alle Nutzer aktivieren
  4. Empfohlen: Google Authenticator oder Hardware-Token als Methode
  5. Backup-Codes für jeden Nutzer herunterladen und sicher aufbewahren

Andere Dienste (allgemein)

  1. Konto-Einstellungen öffnen → Sicherheit oder Zwei-Faktor-Authentifizierung
  2. Authenticator-App als Methode wählen (nicht SMS)
  3. QR-Code mit der App scannen (Microsoft Authenticator oder Aegis)
  4. Einmalcode eingeben, um die Einrichtung zu bestätigen
  5. Backup-Codes sicher speichern (Passwortmanager oder ausgedruckt im Tresor)

Häufige Fehler vermeiden

MFA-Fatigue-Angriffe

Angreifer senden wiederholt Push-Benachrichtigungen, bis ein Nutzer aus Versehen bestätigt. Lösung: Number Matching aktivieren (Nutzer muss eine Zahl eingeben, die im Login-Formular angezeigt wird) oder auf TOTP/FIDO2 wechseln.

Backup-Codes vergessen/verloren

Ohne Backup-Codes ist ein Account nach Geräteverlust nicht mehr zugänglich. Backup-Codes müssen sicher gespeichert werden – im Passwortmanager oder als Ausdruck in einem physischen Tresor. Niemals als Screenshot auf dem Gerät.

MFA nur für einen Teil der Accounts

Angreifer nutzen den schwächsten Link. MFA muss für alle Accounts gelten, besonders für privilegierte Konten (Admin, Buchhaltung, Geschäftsführung). Ausnahmen schaffen Lücken.

Legacy-Authentifizierung nicht blockiert

Ältere E-Mail-Protokolle (IMAP, POP3, SMTP ohne Auth) unterstützen kein MFA. Angreifer können diese Protokolle nutzen, um MFA zu umgehen. Legacy-Auth muss in Microsoft 365 und Google Workspace explizit blockiert werden.

Empfohlene Prioritäten für die Einführung

Woche 1

Privilegierte Konten

Administratoren, IT-Konten, Geschäftsführung. Sofortiger Schutz der wichtigsten Zugänge.

Sofort
Woche 2–3

Alle Mitarbeiter

Rollout auf alle Unternehmenszugänge. Schulungsunterlagen bereitstellen.

Kurzfristig
Monat 2

Drittanbieter-Dienste

SaaS-Tools, Cloud-Dienste, Buchhaltungssoftware – alle geschäftlichen Konten absichern.

Mittelfristig

Checkliste: MFA-Einführung