IT-Security - Hotline: 06581-8199 746 support@local-it-partner.de
Seite wählen
Security Playbook

MFA/2FA für Unternehmen: Richtlinie, Methoden & Rollout ohne Friktion

So sichern KMU Benutzer, Admin-Konten und Cloud-Dienste – mit einer MFA-Strategie, die Phishing-resistent ist, in Prozesse passt und von Teams akzeptiert wird.

Phishing-resistente MFA KMU-Best Practices Policy & Rollout

Warum MFA bei KMU nicht verhandelbar ist

Phishing, Credential-Stuffing und Passwort-Reuse sind die häufigsten Einfallstore. MFA setzt eine zweite, unabhängige Barriere – kompromittierte Passwörter reichen allein nicht mehr.

  • Critical Assets: M365/Entra ID, Google Workspace, VPN/Firewall, ERP/CRM, Admin-Konten
  • Outcome: deutliche Reduktion erfolgreicher Logins aus Phishing-Kampagnen

Welche Faktoren wirklich zählen

FIDO2 / WebAuthn (empfohlen) TOTP-App (MS/Google Authenticator) Push mit Number-Matching SMS/E-Mail-Codes (nur Notfall)

Praxis: FIDO2 für Admins & Hochrisiko-Nutzer priorisieren, TOTP als Standard, Push nur mit Number-Matching.

MFA-Richtlinie: Kernpunkte kurz & knapp

  • Scope: alle Benutzer; zuerst Admins & Remote-Zugänge
  • Methoden: 1) FIDO2, 2) TOTP, 3) Push (Number-Match); SMS nur Notfall
  • Recovery: 2 Wege (Backup-Codes + 2. Faktor), verifiziertes Helpdesk-Verfahren
  • Break-Glass: 2 Accounts, offline dokumentiert, streng protokolliert
  • Lifecycle: On/Offboarding, Gerätewechsel, regelmäßige Reviews

Technische Umsetzung (kurz & praxistauglich)

  • Entra ID/M365: Conditional Access (User/App/Standort/Risiko), Legacy-Auth aus, PIM für Admins
  • Google Workspace: MFA verpflichtend, Context-Aware Access
  • VPN/Firewall: MFA am Gateway (RADIUS/SAML/OIDC); kein Direkt-RDP ins Internet
  • SaaS: SSO zentralisieren; MFA auf IdP-Ebene; Shadow-IT abbauen

Rollout in 7 Schritten (ohne Reibung)

1) Asset & Risiko

Benutzer, Systeme, Zugänge, Ausnahmen erfassen.

2) Policies

Methoden, Ausnahmen, Recovery, Break-Glass definieren.

3) Pilot

IT + Key-User, Feedback-Schleife, Doku.

4) Kommunikation & Schulung

Kurz-Guides, 10-Min-Video, Helpdesk-Skript.

5) Stufenweiser Rollout

Abteilung für Abteilung, feste Zeitfenster.

6) Monitoring

Fehlversuche, Geovelocity, neue Geräte, ungewöhnliche Zeiten.

7) Härtung

Legacy-Auth aus, SMS nur Notfall, FIDO2 bevorzugen, Reviews.

Executive Checklist (IT-Leitung / Geschäftsführung)

MFA pflichtig für alle – zuerst Admins & Remote-Zugänge.

FIDO2/WebAuthn bevorzugen; TOTP als Standard; Push nur mit Number-Matching.

Conditional Access aktiv, Legacy-Auth deaktivieren.

Recovery & Break-Glass definiert, dokumentiert, regelmäßig getestet.

SSO zentralisieren; SaaS-Zugriffe am IdP absichern; Shadow-IT minimieren.

Wir planen Richtlinie, Technik & Rollout gemeinsam mit Ihrem Team – sicher, akzeptiert und ohne Produktivitätseinbruch.

Sicherheits-Check anfragen