Kurz vorweg: Über 80% der erfolgreichen Cyberangriffe auf Schweizer KMU starten mit einem geknackten Passwort – Phishing, Credential-Stuffing oder einfaches Wiederverwenden. MFA ist die einzige Massnahme, die diese Klasse von Angriffen praktisch komplett eliminiert. Sie ist kostenlos in M365 enthalten, lässt sich in zwei Wochen einführen, und Mitarbeitende gewöhnen sich nach 3–5 Logins daran.
Die vier MFA-Methoden im Vergleich
Nicht jede Methode ist gleich sicher – und nicht jede passt für jeden Mitarbeitenden. Die Kunst liegt im richtigen Mix.
FIDO2 / Passkey – der Phishing-Killer
Hardware-Schlüssel (YubiKey, Token2, Feitian) oder Plattform-Passkeys (Windows Hello, Apple Passkey). Kryptografisch an die Domain gebunden – Phishing-Seiten bekommen den Schlüssel nicht ausgelesen. Kein Code zum Abtippen, ein Tap genügt.
Authenticator-App mit Number-Matching
Microsoft Authenticator, Google Authenticator, Authy. Push-Benachrichtigung mit zwei-stelliger Zahl, die der User auf dem Login-Bildschirm wiederholen muss. Schützt vor MFA-Fatigue-Angriffen, in denen Angreifer minutenlang Push-Anfragen senden.
TOTP-Codes (6-stelliger Code aus App)
Klassisches Time-based One-Time Password. Funktioniert offline, gut für Drittdienste ohne Push-Support. Nicht ganz so phishing-resistent wie FIDO2, aber meilenweit besser als SMS.
SMS-Code – nur als Notfall
SIM-Swapping, SS7-Angriffe, weitergeleitete SMS – SMS-MFA gilt seit Jahren als kompromittierbar. Bietet zwar besseren Schutz als gar kein zweiter Faktor, sollte aber abgelöst werden.
Wo MFA 2026 zwingend hingehört
- Microsoft 365 / Google Workspace – mit Conditional Access pro Standort & Gerät.
- Alle Admin-Konten ausnahmslos – auch lokale Server-, Firewall- und Switch-Logins.
- VPN- und Remote-Zugänge (RDP, SSH, Citrix, AnyDesk, TeamViewer).
- Cloud-Apps mit Geschäftsdaten: CRM (HubSpot, Pipedrive, Salesforce), ERP (Bexio, Abacus), HR-Tools, E-Banking.
- Code-Repositories (GitHub, GitLab, Azure DevOps) – Lieferketten-Risiko.
- Passwort-Manager (Bitwarden, 1Password, Keeper) – das letzte Wallet zum Schutz.
- Domain-Registrar & DNS (CHregistry, Cloudflare, Hostpoint) – Domain-Hijack ist tödlich.
Empfohlener MFA-Mix nach Rolle
| Rolle | Primärfaktor | Backup |
|---|---|---|
| Geschäftsleitung & IT-Admins | FIDO2-Schlüssel (2 Stück) | Authenticator-App |
| Finance, HR, Legal | FIDO2-Schlüssel oder Passkey | Authenticator-App |
| Sales & Marketing | Authenticator-App (Number-Match) | TOTP / Recovery-Codes |
| Werkstatt / Aussendienst | Authenticator-App auf Firmen-Phone | Recovery-Code im Tresor |
| Externe / Praktikanten | TOTP-App | Recovery-Code (zeitlich limitiert) |
In 2 Wochen MFA für das ganze KMU einführen
Tag 1–3 · Bestandsaufnahme & Notfallzugänge
Liste aller Konten erstellen (M365, lokal, Cloud-Apps, Drittsysteme). Break-Glass-Konten in Entra ID anlegen (2 Konten ohne MFA, mit langem Passwort, im Tresor) – damit man sich nicht aussperrt, falls etwas schiefgeht.
Tag 4–6 · Pilot mit IT & Geschäftsleitung
FIDO2-Schlüssel beschaffen, Authenticator-App ausrollen. Pilot mit 3–5 Personen über 48 Stunden – Erfahrungen sammeln, Schulungsmaterial finalisieren.
Tag 7–10 · Schrittweiser Rollout
Pro Tag 5–10 Mitarbeitende onboarden – idealerweise persönlich oder per Teams-Call. 15 Min. pro Person genügen. Conditional Access von „Report-only" auf „Enforce" umstellen, sobald 90% registriert sind.
Tag 11–14 · Härten & Dokumentieren
SMS als Methode entfernen, Number-Matching erzwingen, Sign-in-Logs auf verbleibende Legacy-Auth prüfen. Notfall-Prozess („Ich habe mein Phone verloren") dokumentieren und einmal durchspielen.
Kostenrahmen für ein 30-MA-KMU
| Position | Einmalig | Pro Jahr |
|---|---|---|
| FIDO2-Schlüssel für 8 Schlüsselrollen (à 2 Stück, CHF 50) | CHF 800 | – |
| Authenticator-App für restliche 22 MA | CHF 0 | – |
| M365 Business Premium-Upgrade (für Conditional Access) | – | CHF 4’320 |
| Schulung & Rollout-Begleitung | CHF 2’500 | – |
| Recovery-Tokens & Tresor-Hardware | CHF 200 | – |
| Total | ≈ CHF 3’500 | ≈ CHF 4’320 |
Wer die M365 Business Standard-Lizenz schon hat, zahlt nur die Differenz zu Premium (ca. CHF 9/User/Monat) – also rund CHF 3’240 zusätzlich pro Jahr für 30 MA.
Fazit: MFA ist nicht mehr verhandelbar
Multi-Faktor-Authentisierung ist 2026 die kosten-effizienteste Sicherheitsmassnahme überhaupt: niedrige Kosten, geringer Mehraufwand für Mitarbeitende, drastische Reduktion des Risikos. Wer noch ohne MFA arbeitet, riskiert nicht nur einen kompromittierten Account – sondern den vollständigen Wegfall der Versicherungsdeckung im Schadensfall.
Der pragmatische Weg: FIDO2-Schlüssel für Admins und Schlüsselpositionen, Authenticator-App mit Number-Matching für die Breite, SMS abschalten. Conditional Access in M365 ergänzt das Setup um intelligente Regeln (vertrauenswürdige Standorte, konforme Geräte) – und reduziert MFA-Prompts auf das nötige Minimum.
MFA in Ihrem KMU einführen lassen
Wir richten MFA in M365 inkl. FIDO2-Schlüsseln, Conditional Access und Mitarbeiter-Schulung in 2 Wochen ein – ohne Lockouts.
Beratung anfragen