MFA ist der wichtigste einzelne Hebel gegen Credential-Phishing. KMU schieben den Rollout trotzdem oft auf — meist aus Sorge vor Helpdesk-Aufwand und Mitarbeiter-Frust. Dieser Leitfaden zeigt, wie es ohne diese Probleme geht.
Methoden im Vergleich
- TOTP-Apps (z. B. Google Authenticator, Microsoft Authenticator): Solider Standard, gut für die Mehrheit
- Push-MFA: Bequem, anfällig für Push-Bombing — Number-Matching Pflicht
- Hardware-Keys (FIDO2): Stärkster Schutz, ideal für privilegierte Konten
- Passwortlos (Passkeys): Zukunft, oft mit Biometrie kombiniert
Rollout in 4 Wochen
- Pilot mit IT und Geschäftsführung
- Tier-2-Ausrollung an Buchhaltung und HR
- Allgemeiner Rollout
- Ausnahme-Workflows etablieren
Helpdesk-Aufwand minimieren
- Selfservice-Reset über Magic-Link plus Out-of-Band-Verifikation
- Vorab-Kommunikation mit Schritt-für-Schritt-Anleitung
- Mehrere Methoden parallel zulassen — nicht „TOTP only“
Phishgate-Schicht
MFA verhindert den Account-Takeover, sobald das Passwort kompromittiert ist. Phishgate setzt eine Stufe davor an — und warnt vor der Passworteingabe auf nicht freigegebenen Domains; im FULL Mode blockiert es stärker im Browser. Die Kombination ist deutlich robuster als jede einzelne Maßnahme für sich.