Kurz zusammengefasst
Multi-Faktor-Authentisierung blockiert laut Microsoft 99,9% aller automatisierten Account-Übernahmen und entschärft damit die über 80% der KMU-Angriffe, die mit einem geknackten Passwort beginnen. Für Schweizer KMU führen vier Methoden ans Ziel: FIDO2-Schlüssel beziehungsweise Passkeys bieten den stärksten Phishing-Schutz, die Authenticator-App mit Number-Matching ist der Standard für die Breite, TOTP deckt Drittsysteme ab, SMS taugt nur noch als Notfall. Ein 30-Mitarbeitenden-KMU rüstet MFA für rund CHF 3’500 einmalig plus CHF 4’320 pro Jahr aus und rollt es in zwei Wochen ohne Lockouts aus.
Kurz vorweg: Über 80% der erfolgreichen Cyberangriffe auf Schweizer KMU starten mit einem geknackten Passwort – Phishing, Credential-Stuffing oder einfaches Wiederverwenden. MFA ist die einzige Massnahme, die diese Klasse von Angriffen praktisch komplett eliminiert. Sie ist kostenlos in M365 enthalten, lässt sich in zwei Wochen einführen, und Mitarbeitende gewöhnen sich nach 3–5 Logins daran.
Die vier MFA-Methoden im Vergleich
Für KMU gibt es 2026 vier praxistaugliche MFA-Methoden, und sie unterscheiden sich klar im Schutzniveau: FIDO2 beziehungsweise Passkeys bieten den höchsten Schutz, gefolgt von der Authenticator-App mit Number-Matching, dann TOTP-Codes – und SMS als schwächstes Glied. FIDO2-Hardware-Schlüssel wie YubiKey, Token2 oder Feitian sind kryptografisch an die Domain gebunden, sodass Phishing-Seiten den Schlüssel nicht auslesen können. Ein Tap genügt, es gibt keinen Code zum Abtippen; für Admin- und Power-User empfehlen sich pro Person zwei Schlüssel als Backup. Die Authenticator-App mit zweistelligem Number-Matching schützt zuverlässig vor MFA-Fatigue-Angriffen und eignet sich als Standard für die Breite. TOTP-Codes funktionieren offline und decken Drittdienste ohne Push-Support ab. SMS-Codes gelten wegen SIM-Swapping und SS7-Angriffen seit Jahren als kompromittierbar und taugen nur noch als Notfall-Methode. Nicht jede Methode ist gleich sicher – und nicht jede passt für jeden Mitarbeitenden. Die Kunst liegt im richtigen Mix aus phishing-resistenten Schlüsseln für Schlüsselrollen und bequemen Apps für alle anderen.
FIDO2 / Passkey – der Phishing-Killer
Hardware-Schlüssel (YubiKey, Token2, Feitian) oder Plattform-Passkeys (Windows Hello, Apple Passkey). Kryptografisch an die Domain gebunden – Phishing-Seiten bekommen den Schlüssel nicht ausgelesen. Kein Code zum Abtippen, ein Tap genügt.
Authenticator-App mit Number-Matching
Microsoft Authenticator, Google Authenticator, Authy. Push-Benachrichtigung mit zwei-stelliger Zahl, die der User auf dem Login-Bildschirm wiederholen muss. Schützt vor MFA-Fatigue-Angriffen, in denen Angreifer minutenlang Push-Anfragen senden.
TOTP-Codes (6-stelliger Code aus App)
Klassisches Time-based One-Time Password. Funktioniert offline, gut für Drittdienste ohne Push-Support. Nicht ganz so phishing-resistent wie FIDO2, aber meilenweit besser als SMS.
SMS-Code – nur als Notfall
SIM-Swapping, SS7-Angriffe, weitergeleitete SMS – SMS-MFA gilt seit Jahren als kompromittierbar. Bietet zwar besseren Schutz als gar kein zweiter Faktor, sollte aber abgelöst werden.
Wo MFA 2026 zwingend hingehört
MFA gehört 2026 überall dort hin, wo Geschäftsdaten oder privilegierte Zugänge liegen – konkret an sieben neuralgischen Stellen. Zuoberst stehen Microsoft 365 und Google Workspace, idealerweise mit Conditional Access pro Standort und Gerät, sowie ausnahmslos alle Admin-Konten – inklusive lokaler Server-, Firewall- und Switch-Logins. Ebenso zwingend sind VPN- und Remote-Zugänge wie RDP, SSH, Citrix, AnyDesk und TeamViewer. Dazu kommen Cloud-Apps mit Geschäftsdaten: CRM-Systeme wie HubSpot, Pipedrive oder Salesforce, ERP-Lösungen wie Bexio und Abacus, HR-Tools und E-Banking. Auch Code-Repositories wie GitHub, GitLab und Azure DevOps müssen geschützt sein, weil sie ein Lieferketten-Risiko darstellen. Passwort-Manager wie Bitwarden, 1Password oder Keeper bilden das letzte Wallet, das es zu schützen gilt. Und schliesslich Domain-Registrar und DNS – etwa CHregistry, Cloudflare oder Hostpoint –, denn ein Domain-Hijack ist tödlich. Fehlt an nur einer dieser Stellen MFA, bleibt genau dort das schwächste Glied für Angreifer offen.
- Microsoft 365 / Google Workspace – mit Conditional Access pro Standort & Gerät.
- Alle Admin-Konten ausnahmslos – auch lokale Server-, Firewall- und Switch-Logins.
- VPN- und Remote-Zugänge (RDP, SSH, Citrix, AnyDesk, TeamViewer).
- Cloud-Apps mit Geschäftsdaten: CRM (HubSpot, Pipedrive, Salesforce), ERP (Bexio, Abacus), HR-Tools, E-Banking.
- Code-Repositories (GitHub, GitLab, Azure DevOps) – Lieferketten-Risiko.
- Passwort-Manager (Bitwarden, 1Password, Keeper) – das letzte Wallet zum Schutz.
- Domain-Registrar & DNS (CHregistry, Cloudflare, Hostpoint) – Domain-Hijack ist tödlich.
Empfohlener MFA-Mix nach Rolle
Der richtige MFA-Mix richtet sich nach Rolle und Risiko und lässt sich für fünf typische KMU-Rollen abstufen: Je höher die Privilegien, desto stärker der Primärfaktor – und jede Rolle erhält zusätzlich eine passende Backup-Methode. Geschäftsleitung und IT-Admins nutzen als Primärfaktor FIDO2-Schlüssel (zwei Stück) mit der Authenticator-App als Backup. Finance, HR und Legal setzen auf FIDO2-Schlüssel oder Passkey, ebenfalls mit Authenticator-App als Rückfallebene. Sales und Marketing arbeiten mit der Authenticator-App im Number-Matching-Modus, abgesichert durch TOTP oder Recovery-Codes. Für Werkstatt und Aussendienst empfiehlt sich die Authenticator-App auf dem Firmen-Phone, mit einem Recovery-Code im Tresor als Backup. Externe und Praktikanten erhalten eine TOTP-App plus einen zeitlich limitierten Recovery-Code. Dieser abgestufte Ansatz sorgt dafür, dass phishing-resistente Hardware-Schlüssel dort zum Einsatz kommen, wo der Schaden am grössten wäre, während bequemere App-Methoden die Breite abdecken – ohne dass am Ende jemand ganz ohne zweiten Faktor dasteht.
| Rolle | Primärfaktor | Backup |
|---|---|---|
| Geschäftsleitung & IT-Admins | FIDO2-Schlüssel (2 Stück) | Authenticator-App |
| Finance, HR, Legal | FIDO2-Schlüssel oder Passkey | Authenticator-App |
| Sales & Marketing | Authenticator-App (Number-Match) | TOTP / Recovery-Codes |
| Werkstatt / Aussendienst | Authenticator-App auf Firmen-Phone | Recovery-Code im Tresor |
| Externe / Praktikanten | TOTP-App | Recovery-Code (zeitlich limitiert) |
In 2 Wochen MFA für das ganze KMU einführen
Ein vollständiger MFA-Rollout gelingt in einem KMU in rund zwei Wochen – aufgeteilt in vier klar getaktete Phasen. In den Tagen 1 bis 3 stehen Bestandsaufnahme und Notfallzugänge an: eine Liste aller Konten über M365, lokal, Cloud-Apps und Drittsysteme, dazu zwei Break-Glass-Konten in Entra ID ohne MFA, mit langem Passwort und im Tresor verwahrt. Tag 4 bis 6 gehört dem Pilot mit IT und Geschäftsleitung – FIDO2-Schlüssel beschaffen, Authenticator-App ausrollen und mit 3 bis 5 Personen über 48 Stunden testen. In den Tagen 7 bis 10 folgt der schrittweise Rollout mit 5 bis 10 Mitarbeitenden pro Tag, rund 15 Minuten pro Person; sobald 90 Prozent registriert sind, wechselt Conditional Access von „Report-only" auf „Enforce". Zum Abschluss, Tag 11 bis 14, wird gehärtet und dokumentiert: SMS entfernen, Number-Matching erzwingen, Sign-in-Logs prüfen und den Notfall-Prozess für den Ernstfall einmal durchspielen.
Tag 1–3 · Bestandsaufnahme & Notfallzugänge
Liste aller Konten erstellen (M365, lokal, Cloud-Apps, Drittsysteme). Break-Glass-Konten in Entra ID anlegen (2 Konten ohne MFA, mit langem Passwort, im Tresor) – damit man sich nicht aussperrt, falls etwas schiefgeht.
Tag 4–6 · Pilot mit IT & Geschäftsleitung
FIDO2-Schlüssel beschaffen, Authenticator-App ausrollen. Pilot mit 3–5 Personen über 48 Stunden – Erfahrungen sammeln, Schulungsmaterial finalisieren.
Tag 7–10 · Schrittweiser Rollout
Pro Tag 5–10 Mitarbeitende onboarden – idealerweise persönlich oder per Teams-Call. 15 Min. pro Person genügen. Conditional Access von „Report-only" auf „Enforce" umstellen, sobald 90% registriert sind.
Tag 11–14 · Härten & Dokumentieren
SMS als Methode entfernen, Number-Matching erzwingen, Sign-in-Logs auf verbleibende Legacy-Auth prüfen. Notfall-Prozess („Ich habe mein Phone verloren") dokumentieren und einmal durchspielen.
Kostenrahmen für ein 30-MA-KMU
Ein KMU mit 30 Mitarbeitenden ist mit rund CHF 3’500 einmalig und rund CHF 4’320 pro Jahr komplett MFA-ausgestattet. Der einmalige Aufwand setzt sich zusammen aus FIDO2-Schlüsseln für 8 Schlüsselrollen (je 2 Stück à CHF 50, zusammen CHF 800), der kostenlosen Authenticator-App für die restlichen 22 Mitarbeitenden (CHF 0), Schulung und Rollout-Begleitung (CHF 2’500) sowie Recovery-Tokens und Tresor-Hardware (CHF 200). Wiederkehrend fällt das M365 Business Premium-Upgrade für Conditional Access mit CHF 4’320 pro Jahr an. Wer bereits die M365 Business Standard-Lizenz besitzt, zahlt nur die Differenz zu Premium – rund CHF 9 pro User und Monat, also etwa CHF 3’240 zusätzlich pro Jahr für 30 Mitarbeitende. Die grösste laufende Position ist damit die Lizenz, nicht die Hardware; die FIDO2-Schlüssel schlagen einmalig mit nur CHF 800 zu Buche. Damit bleibt MFA selbst inklusive Hardware, Lizenzen und begleiteter Einführung eine der günstigsten Sicherheitsmassnahmen, die ein Schweizer KMU überhaupt umsetzen kann.
| Position | Einmalig | Pro Jahr |
|---|---|---|
| FIDO2-Schlüssel für 8 Schlüsselrollen (à 2 Stück, CHF 50) | CHF 800 | – |
| Authenticator-App für restliche 22 MA | CHF 0 | – |
| M365 Business Premium-Upgrade (für Conditional Access) | – | CHF 4’320 |
| Schulung & Rollout-Begleitung | CHF 2’500 | – |
| Recovery-Tokens & Tresor-Hardware | CHF 200 | – |
| Total | ≈ CHF 3’500 | ≈ CHF 4’320 |
Wer die M365 Business Standard-Lizenz schon hat, zahlt nur die Differenz zu Premium (ca. CHF 9/User/Monat) – also rund CHF 3’240 zusätzlich pro Jahr für 30 MA.
Fazit: MFA ist nicht mehr verhandelbar
Multi-Faktor-Authentisierung ist 2026 die kosten-effizienteste Sicherheitsmassnahme überhaupt: niedrige Kosten, geringer Mehraufwand für Mitarbeitende, drastische Reduktion des Risikos. Wer noch ohne MFA arbeitet, riskiert nicht nur einen kompromittierten Account – sondern den vollständigen Wegfall der Versicherungsdeckung im Schadensfall.
Der pragmatische Weg: FIDO2-Schlüssel für Admins und Schlüsselpositionen, Authenticator-App mit Number-Matching für die Breite, SMS abschalten. Conditional Access in M365 ergänzt das Setup um intelligente Regeln (vertrauenswürdige Standorte, konforme Geräte) – und reduziert MFA-Prompts auf das nötige Minimum.
MFA in Ihrem KMU einführen lassen
Wir richten MFA in M365 inkl. FIDO2-Schlüsseln, Conditional Access und Mitarbeiter-Schulung in 2 Wochen ein – ohne Lockouts.
Beratung anfragen