Wenn Sie ein 25-Personen-Unternehmen führen, hat man Ihnen wahrscheinlich gesagt, dass Sie eine Zwei-Faktor-Authentifizierung brauchen. Der Rat kommt meist mit einem Preisschild: einen Sicherheitsberater engagieren, ein SIEM kaufen, Hardware-Token ausrollen. Nichts davon passt, wenn Ihr „IT-Team" die Büroleitung ist, die auch die Lohnabrechnung macht.
Zwei Dinge haben sich in den letzten Jahren geändert und machen 2FA zu einer 30-Minuten-Einrichtung statt zu einem 30-Tage-Projekt:
- TOTP (zeitbasierte Einmalpasswörter) ist zum universellen Standard geworden. Jede moderne Authenticator-App – Google Authenticator, Microsoft Authenticator, Authy, 1Password – spricht dasselbe Protokoll (RFC 6238). Ihr Team muss nichts Spezielles installieren.
- Self-Service-Registrierung ist heute Standard. Es braucht keine Administration, die 2FA für jemanden „bereitstellt": Man scannt einen QR-Code in der Authenticator-App, tippt einen 6-stelligen Code zur Bestätigung – fertig. Wiederherstellungscodes (10 Einmalcodes) decken den Fall des verlorenen Handys ab.
Dieser Beitrag zeigt die tatsächliche Einführung für ein kleines Unternehmen. Wir werden konkret, was diese Woche zu tun ist und was bis zum nächsten Quartal warten kann.
Warum 2FA für KMU wichtig ist
Die Datenlage ist eindeutig. Das Threat-Intelligence-Team von Microsoft berichtet, dass die Aktivierung von MFA 99,2 % der automatisierten Kontoübernahme-Versuche blockiert. Die verbleibenden 0,8 % erfordern ausgefeilte gezielte Angriffe – Phishing-Kits mit Echtzeit-Relay, SIM-Swap usw. Für ein 25-Personen-Unternehmen, das vor allem Password-Spraying-Bots und Credential-Stuffing aus geleakten Datenbanken abwehrt, ist 2FA die wirkungsvollste Sicherheitsmaßnahme, die Sie einführen können.
Auch die Kostenseite hat sich gedreht. SaaS-Apps (Buchhaltung, HR, CRM, Lohn) unterstützen alle 2FA; die Nutzung ist kostenlos. Authenticator-Apps fürs Handy sind kostenlos. Der einzige echte Aufwand sind die 30 Minuten pro Mitarbeitenden für die Registrierung.
Die 30-Minuten-Einführung (diese Woche)
Sie brauchen keinen Projektplan. Sie brauchen:
-
Eine Liste geschäftskritischer Apps. Beginnen Sie mit: E-Mail (Google Workspace / Microsoft 365), Buchhaltung, HR/Lohn, Dateifreigabe, Passwort-Manager (Sie haben einen, oder?) und Ihrer Kundendatenbank. Das sind meist 5 bis 8 Systeme für ein 25-Personen-Unternehmen.
-
Ein kurzes Dokument mit drei Abschnitten:
- Warum wir das tun (1 Absatz; unserer lautet: „Wenn unsere E-Mail kompromittiert wird, kann ein Angreifer alle anderen Passwörter zurücksetzen und das Unternehmen imitieren. 2FA verhindert das.")
- Was Mitarbeitende tun müssen (eine Authenticator-App herunterladen – nennen Sie die vier gängigen – und beim nächsten Login den Hinweisen der jeweiligen App folgen)
- Was passiert, wenn ich mein Handy verliere (Wiederherstellungscodes nutzen; sind sie aufgebraucht, die Büroleitung kontaktieren, die Ihre 2FA zurücksetzt)
-
Ein 15-minütiges All-Hands, um es vorzustellen. Der größte Erfolgsfaktor der Einführung ist, dass die Führungsebene 2FA sichtbar vor allen anderen aktiviert hat.
Geben Sie nach dem All-Hands allen zwei Wochen Zeit. Prüfen Sie dann: Welche Mitarbeitenden haben in den Pflicht-Apps noch keine 2FA? Zwei weitere Wochen Kulanz, dann beginnen Sie mit der Durchsetzung.
Was bei einem verlorenen Handy zu erwarten ist
Wiederherstellungscodes sind die Antwort. Es sind 10 Einmalcodes, die während der 2FA-Einrichtung EINMALIG angezeigt werden. Der Nutzer druckt sie aus, macht einen Screenshot in seinen Passwort-Manager, oder beides.
Wenn ein Handy kaputtgeht oder verloren ist:
- Der Nutzer meldet sich mit E-Mail und Passwort an.
- Statt des Authenticator-Codes gibt er einen der Wiederherstellungscodes ein.
- Er erhält vollen Zugriff. Der verwendete Wiederherstellungscode wird ungültig.
- Er registriert 2FA auf dem neuen Handy neu (das System erlaubt das nach der Anmeldung).
Keine Wiederherstellungscodes mehr? Dann muss eine Administration die 2FA im Konto manuell deaktivieren; der Nutzer meldet sich nur mit Passwort an und registriert die 2FA neu. Rechnen Sie bei einem 25-Personen-Team mit etwa 1 solchen Fall pro Quartal.
Was zu vermeiden ist
- 2FA per SMS. SMS ist besser als nichts, aber SIM-Swap-Angriffe haben es unzuverlässig gemacht. Nutzen Sie wo möglich TOTP (Authenticator-App). Viele Apps unterstützen beides – wählen Sie TOTP.
- Geteilte 2FA-Token. Wenn sich drei Personen ein einziges Google-Workspace-Admin-Konto teilen, ist die Versuchung groß, das 2FA-Token zu teilen. Tun Sie es nicht. Legen Sie getrennte Admin-Konten an.
- Eine bestimmte Authenticator-App erzwingen. Lassen Sie jeden nutzen, was er will – Google, Microsoft, Authy, 1Password funktionieren alle. Eine vorzuschreiben erzeugt Widerstand.
- 2FA bei einzelnen Konten aus Gefälligkeit deaktivieren. Der häufigste Einbruchsvektor bei KMU ist die Führungskraft, deren 2FA „vorübergehend deaktiviert" wurde, weil sie unterwegs war, und nie wieder aktiviert wurde. Tun Sie das nicht.
Wann Sie diesem Ansatz entwachsen
Bei etwa 50 bis 100 Mitarbeitenden bricht das Modell „Büroleitung als IT" zusammen. Symptome:
- Mehrere Hilfeanfragen pro Woche wegen verlorener Handys
- Uneinheitliche Durchsetzung in den Teams
- On-/Offboarding wird zur Checkliste, die niemand abarbeitet
Dann brauchen Sie entweder eine dedizierte IT-Person oder ein Tool, das Registrierung, Wiederherstellung und Audit zentral verwaltet – meist Identity Provider (IdP) genannt, wie Okta, Microsoft Entra oder JumpCloud. Die Kosten liegen typischerweise bei 5 bis 10 $ pro Mitarbeitenden und Monat.
Wenn Sie SVDY nutzen, ist die IdP-Arbeit bereits integriert: SCIM-basiertes Provisioning, SAML-SSO und zentrale 2FA-Verwaltung sind ab dem Pro-Tarif Teil der Plattform. Sie erhalten die zentrale Identitätsebene, ohne für zwei Systeme zu zahlen.
Fazit
Für ein 25-Personen-Unternehmen im Jahr 2026: TOTP-basierte 2FA ist eine 30-Minuten-Einführung, die 99 % der Angriffe auf Zugangsdaten blockiert, in der Software nichts kostet, und die einzige echte Reibung ist der Fall des verlorenen Handys, den Wiederherstellungscodes abdecken. Es gibt im Grunde keine Ausrede, es nicht zu tun.
Wählen Sie ein Datum in den nächsten zwei Wochen. Verschicken Sie die All-Hands-Einladung noch heute.
