Zurück zum Blog
IT-Infrastruktur

MFA & 2FA für KMU Schweiz: Methoden, Tools, Einführung 2026

Microsoft selbst gibt an: MFA blockiert 99,9% aller automatisierten Account-Übernahmen. Trotzdem fehlt MFA in vielen KMU – meist aus Angst vor Mehraufwand für Mitarbeitende. Welche Methoden 2026 wirklich sicher sind, was sie kosten und wie Sie MFA in zwei Wochen ohne Akzeptanzprobleme ausrollen.

Autor: Gian Marco Ma März 2026 8 Min. Lesezeit

Kurz zusammengefasst

Multi-Faktor-Authentisierung blockiert laut Microsoft 99,9% aller automatisierten Account-Übernahmen und entschärft damit die über 80% der KMU-Angriffe, die mit einem geknackten Passwort beginnen. Für Schweizer KMU führen vier Methoden ans Ziel: FIDO2-Schlüssel beziehungsweise Passkeys bieten den stärksten Phishing-Schutz, die Authenticator-App mit Number-Matching ist der Standard für die Breite, TOTP deckt Drittsysteme ab, SMS taugt nur noch als Notfall. Ein 30-Mitarbeitenden-KMU rüstet MFA für rund CHF 3’500 einmalig plus CHF 4’320 pro Jahr aus und rollt es in zwei Wochen ohne Lockouts aus.

Kurz vorweg: Über 80% der erfolgreichen Cyberangriffe auf Schweizer KMU starten mit einem geknackten Passwort – Phishing, Credential-Stuffing oder einfaches Wiederverwenden. MFA ist die einzige Massnahme, die diese Klasse von Angriffen praktisch komplett eliminiert. Sie ist kostenlos in M365 enthalten, lässt sich in zwei Wochen einführen, und Mitarbeitende gewöhnen sich nach 3–5 Logins daran.

Die vier MFA-Methoden im Vergleich

Für KMU gibt es 2026 vier praxistaugliche MFA-Methoden, und sie unterscheiden sich klar im Schutzniveau: FIDO2 beziehungsweise Passkeys bieten den höchsten Schutz, gefolgt von der Authenticator-App mit Number-Matching, dann TOTP-Codes – und SMS als schwächstes Glied. FIDO2-Hardware-Schlüssel wie YubiKey, Token2 oder Feitian sind kryptografisch an die Domain gebunden, sodass Phishing-Seiten den Schlüssel nicht auslesen können. Ein Tap genügt, es gibt keinen Code zum Abtippen; für Admin- und Power-User empfehlen sich pro Person zwei Schlüssel als Backup. Die Authenticator-App mit zweistelligem Number-Matching schützt zuverlässig vor MFA-Fatigue-Angriffen und eignet sich als Standard für die Breite. TOTP-Codes funktionieren offline und decken Drittdienste ohne Push-Support ab. SMS-Codes gelten wegen SIM-Swapping und SS7-Angriffen seit Jahren als kompromittierbar und taugen nur noch als Notfall-Methode. Nicht jede Methode ist gleich sicher – und nicht jede passt für jeden Mitarbeitenden. Die Kunst liegt im richtigen Mix aus phishing-resistenten Schlüsseln für Schlüsselrollen und bequemen Apps für alle anderen.

1

FIDO2 / Passkey – der Phishing-Killer

Hardware-Schlüssel (YubiKey, Token2, Feitian) oder Plattform-Passkeys (Windows Hello, Apple Passkey). Kryptografisch an die Domain gebunden – Phishing-Seiten bekommen den Schlüssel nicht ausgelesen. Kein Code zum Abtippen, ein Tap genügt.

Empfehlung: Für alle Admin- und Power-User. Pro Person 2 Schlüssel (Backup).
2

Authenticator-App mit Number-Matching

Microsoft Authenticator, Google Authenticator, Authy. Push-Benachrichtigung mit zwei-stelliger Zahl, die der User auf dem Login-Bildschirm wiederholen muss. Schützt vor MFA-Fatigue-Angriffen, in denen Angreifer minutenlang Push-Anfragen senden.

Empfehlung: Standard für alle Mitarbeitenden. Number-Matching aktivieren.
3

TOTP-Codes (6-stelliger Code aus App)

Klassisches Time-based One-Time Password. Funktioniert offline, gut für Drittdienste ohne Push-Support. Nicht ganz so phishing-resistent wie FIDO2, aber meilenweit besser als SMS.

Empfehlung: Für Drittsysteme, die FIDO2/Push nicht unterstützen.
4

SMS-Code – nur als Notfall

SIM-Swapping, SS7-Angriffe, weitergeleitete SMS – SMS-MFA gilt seit Jahren als kompromittierbar. Bietet zwar besseren Schutz als gar kein zweiter Faktor, sollte aber abgelöst werden.

Empfehlung: Nur als Recovery-Methode, nicht als Primärfaktor.

Wo MFA 2026 zwingend hingehört

MFA gehört 2026 überall dort hin, wo Geschäftsdaten oder privilegierte Zugänge liegen – konkret an sieben neuralgischen Stellen. Zuoberst stehen Microsoft 365 und Google Workspace, idealerweise mit Conditional Access pro Standort und Gerät, sowie ausnahmslos alle Admin-Konten – inklusive lokaler Server-, Firewall- und Switch-Logins. Ebenso zwingend sind VPN- und Remote-Zugänge wie RDP, SSH, Citrix, AnyDesk und TeamViewer. Dazu kommen Cloud-Apps mit Geschäftsdaten: CRM-Systeme wie HubSpot, Pipedrive oder Salesforce, ERP-Lösungen wie Bexio und Abacus, HR-Tools und E-Banking. Auch Code-Repositories wie GitHub, GitLab und Azure DevOps müssen geschützt sein, weil sie ein Lieferketten-Risiko darstellen. Passwort-Manager wie Bitwarden, 1Password oder Keeper bilden das letzte Wallet, das es zu schützen gilt. Und schliesslich Domain-Registrar und DNS – etwa CHregistry, Cloudflare oder Hostpoint –, denn ein Domain-Hijack ist tödlich. Fehlt an nur einer dieser Stellen MFA, bleibt genau dort das schwächste Glied für Angreifer offen.

  • Microsoft 365 / Google Workspace – mit Conditional Access pro Standort & Gerät.
  • Alle Admin-Konten ausnahmslos – auch lokale Server-, Firewall- und Switch-Logins.
  • VPN- und Remote-Zugänge (RDP, SSH, Citrix, AnyDesk, TeamViewer).
  • Cloud-Apps mit Geschäftsdaten: CRM (HubSpot, Pipedrive, Salesforce), ERP (Bexio, Abacus), HR-Tools, E-Banking.
  • Code-Repositories (GitHub, GitLab, Azure DevOps) – Lieferketten-Risiko.
  • Passwort-Manager (Bitwarden, 1Password, Keeper) – das letzte Wallet zum Schutz.
  • Domain-Registrar & DNS (CHregistry, Cloudflare, Hostpoint) – Domain-Hijack ist tödlich.

Empfohlener MFA-Mix nach Rolle

Der richtige MFA-Mix richtet sich nach Rolle und Risiko und lässt sich für fünf typische KMU-Rollen abstufen: Je höher die Privilegien, desto stärker der Primärfaktor – und jede Rolle erhält zusätzlich eine passende Backup-Methode. Geschäftsleitung und IT-Admins nutzen als Primärfaktor FIDO2-Schlüssel (zwei Stück) mit der Authenticator-App als Backup. Finance, HR und Legal setzen auf FIDO2-Schlüssel oder Passkey, ebenfalls mit Authenticator-App als Rückfallebene. Sales und Marketing arbeiten mit der Authenticator-App im Number-Matching-Modus, abgesichert durch TOTP oder Recovery-Codes. Für Werkstatt und Aussendienst empfiehlt sich die Authenticator-App auf dem Firmen-Phone, mit einem Recovery-Code im Tresor als Backup. Externe und Praktikanten erhalten eine TOTP-App plus einen zeitlich limitierten Recovery-Code. Dieser abgestufte Ansatz sorgt dafür, dass phishing-resistente Hardware-Schlüssel dort zum Einsatz kommen, wo der Schaden am grössten wäre, während bequemere App-Methoden die Breite abdecken – ohne dass am Ende jemand ganz ohne zweiten Faktor dasteht.

RollePrimärfaktorBackup
Geschäftsleitung & IT-AdminsFIDO2-Schlüssel (2 Stück)Authenticator-App
Finance, HR, LegalFIDO2-Schlüssel oder PasskeyAuthenticator-App
Sales & MarketingAuthenticator-App (Number-Match)TOTP / Recovery-Codes
Werkstatt / AussendienstAuthenticator-App auf Firmen-PhoneRecovery-Code im Tresor
Externe / PraktikantenTOTP-AppRecovery-Code (zeitlich limitiert)

In 2 Wochen MFA für das ganze KMU einführen

Ein vollständiger MFA-Rollout gelingt in einem KMU in rund zwei Wochen – aufgeteilt in vier klar getaktete Phasen. In den Tagen 1 bis 3 stehen Bestandsaufnahme und Notfallzugänge an: eine Liste aller Konten über M365, lokal, Cloud-Apps und Drittsysteme, dazu zwei Break-Glass-Konten in Entra ID ohne MFA, mit langem Passwort und im Tresor verwahrt. Tag 4 bis 6 gehört dem Pilot mit IT und Geschäftsleitung – FIDO2-Schlüssel beschaffen, Authenticator-App ausrollen und mit 3 bis 5 Personen über 48 Stunden testen. In den Tagen 7 bis 10 folgt der schrittweise Rollout mit 5 bis 10 Mitarbeitenden pro Tag, rund 15 Minuten pro Person; sobald 90 Prozent registriert sind, wechselt Conditional Access von „Report-only" auf „Enforce". Zum Abschluss, Tag 11 bis 14, wird gehärtet und dokumentiert: SMS entfernen, Number-Matching erzwingen, Sign-in-Logs prüfen und den Notfall-Prozess für den Ernstfall einmal durchspielen.

1

Tag 1–3 · Bestandsaufnahme & Notfallzugänge

Liste aller Konten erstellen (M365, lokal, Cloud-Apps, Drittsysteme). Break-Glass-Konten in Entra ID anlegen (2 Konten ohne MFA, mit langem Passwort, im Tresor) – damit man sich nicht aussperrt, falls etwas schiefgeht.

2

Tag 4–6 · Pilot mit IT & Geschäftsleitung

FIDO2-Schlüssel beschaffen, Authenticator-App ausrollen. Pilot mit 3–5 Personen über 48 Stunden – Erfahrungen sammeln, Schulungsmaterial finalisieren.

3

Tag 7–10 · Schrittweiser Rollout

Pro Tag 5–10 Mitarbeitende onboarden – idealerweise persönlich oder per Teams-Call. 15 Min. pro Person genügen. Conditional Access von „Report-only" auf „Enforce" umstellen, sobald 90% registriert sind.

4

Tag 11–14 · Härten & Dokumentieren

SMS als Methode entfernen, Number-Matching erzwingen, Sign-in-Logs auf verbleibende Legacy-Auth prüfen. Notfall-Prozess („Ich habe mein Phone verloren") dokumentieren und einmal durchspielen.

Kostenrahmen für ein 30-MA-KMU

Ein KMU mit 30 Mitarbeitenden ist mit rund CHF 3’500 einmalig und rund CHF 4’320 pro Jahr komplett MFA-ausgestattet. Der einmalige Aufwand setzt sich zusammen aus FIDO2-Schlüsseln für 8 Schlüsselrollen (je 2 Stück à CHF 50, zusammen CHF 800), der kostenlosen Authenticator-App für die restlichen 22 Mitarbeitenden (CHF 0), Schulung und Rollout-Begleitung (CHF 2’500) sowie Recovery-Tokens und Tresor-Hardware (CHF 200). Wiederkehrend fällt das M365 Business Premium-Upgrade für Conditional Access mit CHF 4’320 pro Jahr an. Wer bereits die M365 Business Standard-Lizenz besitzt, zahlt nur die Differenz zu Premium – rund CHF 9 pro User und Monat, also etwa CHF 3’240 zusätzlich pro Jahr für 30 Mitarbeitende. Die grösste laufende Position ist damit die Lizenz, nicht die Hardware; die FIDO2-Schlüssel schlagen einmalig mit nur CHF 800 zu Buche. Damit bleibt MFA selbst inklusive Hardware, Lizenzen und begleiteter Einführung eine der günstigsten Sicherheitsmassnahmen, die ein Schweizer KMU überhaupt umsetzen kann.

PositionEinmaligPro Jahr
FIDO2-Schlüssel für 8 Schlüsselrollen (à 2 Stück, CHF 50)CHF 800
Authenticator-App für restliche 22 MACHF 0
M365 Business Premium-Upgrade (für Conditional Access)CHF 4’320
Schulung & Rollout-BegleitungCHF 2’500
Recovery-Tokens & Tresor-HardwareCHF 200
Total≈ CHF 3’500≈ CHF 4’320

Wer die M365 Business Standard-Lizenz schon hat, zahlt nur die Differenz zu Premium (ca. CHF 9/User/Monat) – also rund CHF 3’240 zusätzlich pro Jahr für 30 MA.

Fazit: MFA ist nicht mehr verhandelbar

Multi-Faktor-Authentisierung ist 2026 die kosten-effizienteste Sicherheitsmassnahme überhaupt: niedrige Kosten, geringer Mehraufwand für Mitarbeitende, drastische Reduktion des Risikos. Wer noch ohne MFA arbeitet, riskiert nicht nur einen kompromittierten Account – sondern den vollständigen Wegfall der Versicherungsdeckung im Schadensfall.

Der pragmatische Weg: FIDO2-Schlüssel für Admins und Schlüsselpositionen, Authenticator-App mit Number-Matching für die Breite, SMS abschalten. Conditional Access in M365 ergänzt das Setup um intelligente Regeln (vertrauenswürdige Standorte, konforme Geräte) – und reduziert MFA-Prompts auf das nötige Minimum.

MFA in Ihrem KMU einführen lassen

Wir richten MFA in M365 inkl. FIDO2-Schlüsseln, Conditional Access und Mitarbeiter-Schulung in 2 Wochen ein – ohne Lockouts.

Beratung anfragen
Gian Marco Ma – CTO & Mitgründer von GIAR Digital GmbH

Über den Autor

Gian Marco Ma

CTO & Mitgründer, GIAR Digital GmbH

Gian Marco verantwortet bei GIAR Digital die technische Umsetzung – von IT-Infrastruktur und Microsoft 365 über individuelle Softwareentwicklung bis zur KI-Automatisierung für Schweizer KMU.

Veröffentlicht am

GIAR Digital GmbH

Passende Leistung: Managed IT & Security

Dieser Beitrag stammt von GIAR Digital, Ihrem IT-Partner für Schweizer KMU aus dem Kanton Aargau. Was wir hier beschreiben, setzen wir auch konkret um – am direktesten passt dazu unsere Leistung Managed IT & Security.

Weitere Leistungen