Der häufigste Weg, wie Unternehmen kompromittiert werden, ist nicht ein ausgeklügelter technischer Angriff. Es ist ein Passwort, das irgendwo geleakt wurde, mit dem jemand versucht, sich einzuloggen, und bei dem es klappt, weil dasselbe Passwort auch für das Unternehmens-E-Mail-Konto genutzt wurde.
Datenlecks sind so häufig und so umfangreich, dass es für Kriminelle heute Datenbanken mit Milliarden von Nutzername-Passwort-Kombinationen gibt. Diese werden automatisiert gegen bekannte Dienste ausprobiert. Der Angriff heißt Credential Stuffing und erfordert keine Fachkenntnis, nur eine dieser Datenbanken und ein Script.
MFA und Passwortmanager sind die beiden Maßnahmen, die dieses Problem direkt adressieren. Beide zusammen schließen den größten Teil dieser Angriffsfläche.
Warum Passwörter das Problem nicht lösen
Das Problem ist nicht, dass Passwörter an sich unsicher sind. Es ist die Art, wie Menschen sie in der Praxis nutzen.
Die meisten Menschen verwalten Dutzende Konten. Ein wirklich einzigartiges, starkes Passwort für jedes Konto zu erfinden und zu merken ist nicht realistisch. Das Ergebnis: Passwörter werden wiederverwendet, leicht variiert oder in einer unsicheren Notiz gespeichert.
Dazu kommt die Leck-Problematik. Selbst wenn Sie ein starkes, einzigartiges Passwort wählen: Wenn der Dienst, bei dem Sie es nutzen, gehackt wird und die Passwort-Datenbank entwendet wird, ist Ihr Passwort kompromittiert, egal wie stark es war. Sie erfahren das oft erst Monate später.
Have I Been Pwned (haveibeenpwned.com) ist ein kostenloser Dienst, der prüft, ob eine E-Mail-Adresse in bekannten Datenlecks auftaucht. Die meisten Unternehmens-E-Mail-Adressen, die schon einige Jahre in Betrieb sind, tauchen dort auf.
MFA: Was es ist und warum es wirkt
Multi-Faktor-Authentifizierung (MFA) verlangt beim Login neben dem Passwort einen zweiten Faktor. Das kann ein Code sein, eine Bestätigung in einer App oder ein physischer Schlüssel.
Wenn ein Krimineller Ihr Passwort hat, aber nicht Ihr Smartphone, kommt er nicht rein. Das ist das Prinzip. Es löst das Leck-Problem nicht vollständig, macht aber gestohlene Passwörter allein wertlos.
Der Anteil der gehackten Konten, die MFA aktiv hatten, ist in der Sicherheitsforschung sehr gering. MFA ist keine Garantie, aber es ist die einzelne Maßnahme mit dem größten Schutzeffekt pro Aufwand.
MFA-Methoden im Vergleich
Nicht alle MFA-Methoden sind gleich sicher.
SMS-Codes. Der Code wird per SMS an eine Telefonnummer gesendet. Das ist besser als kein zweiter Faktor, hat aber zwei Schwachstellen: SIM-Swapping, bei dem ein Angreifer die Telefonnummer auf eine eigene SIM-Karte übertragt, und Echtzeit-Phishing, bei dem eine gefälschte Login-Seite den eingegebenen SMS-Code sofort an den echten Dienst weiterleitet. SMS ist die schwächste MFA-Variante.
Authenticator-Apps. Apps wie Microsoft Authenticator, Google Authenticator oder Aegis erzeugen einen zeitbasierten 6-stelligen Code lokal auf dem Gerät. Der Code ist an das Gerät gebunden und läuft nach 30 Sekunden ab. Phishing-Seiten können den Code noch in Echtzeit abfangen, aber der Angriff wird aufwendiger. Deutlich sicherer als SMS.
Push-Benachrichtigungen mit Number Matching. Microsoft Authenticator zeigt beim Login eine Zahl auf dem Bildschirm. Die Authenticator-App fragt, welche Zahl bestätigt werden soll. Das verhindert MFA-Bombing, bei dem Angreifer den Nutzer mit Push-Anfragen überfluten, bis er versehentlich oder genervt bestätigt.
FIDO2-Sicherheitsschlüssel. Physische Hardware-Schlüssel (YubiKey und ähnliche) werden beim Login eingesteckt oder an den NFC-Chip gehalten. Der Login ist an den genauen Domain-Namen des Dienstes gebunden. Eine gefälschte Login-Seite bekommt keinen Zugang, weil der Schlüssel die Domain nicht kennt. FIDO2 ist phishing-resistent.
Passkeys. Passkeys sind die Software-Variante von FIDO2, gespeichert auf dem Gerät oder in iCloud/Google-Keychain. Kein Passwort, Login über Biometrie oder Geräte-PIN. Ebenfalls phishing-resistent und zunehmend von großen Diensten unterstützt, darunter Microsoft 365.
Passwortmanager im Team
Ein Passwortmanager speichert Passwörter verschlüsselt und füllt sie beim Login automatisch aus. Der Nutzer merkt sich ein einziges starkes Master-Passwort, alle anderen Passwörter werden generiert und gespeichert.
Der Effekt: Jedes Konto bekommt ein einzigartiges, starkes, zufälliges Passwort. Kein Konto-Sharing über E-Mail mit Passwörtern im Klartext. Kein Zettel am Monitor.
Für den Unternehmenseinsatz gibt es Team-Varianten mit gemeinsamen Tresoren:
Bitwarden Teams. Open-Source-Basis, günstig, selbst hostbar. Geteilte Tresore, Benutzerrollen, Audit-Log. Für KMU mit IT-Affinität eine gute Wahl.
1Password Business. Breite Plattformunterstützung, gute UX, Tresore pro Team oder Abteilung, Admin-Kontrolle über Richtlinien. Höherer Preis pro Nutzer.
Keeper Business. Starker Fokus auf Compliance und Audit. Gut für Unternehmen mit Nachweis-Anforderungen.
Was bei der Einführung wichtig ist: Der Passwortmanager muss für alle einfach genug sein. Wenn Mitarbeitende parallel weiterhin Passwörter im Browser speichern, weil der Manager umständlich ist, nützt er wenig.
Conditional Access in Microsoft 365
Microsoft 365 Business Premium enthält Conditional Access über Azure Active Directory. Damit können Sie regeln, unter welchen Bedingungen ein Login erlaubt oder verweigert wird.
Typische Regeln in KMU:
MFA für alle externen Zugriffe. Login von außerhalb des Büronetzwerks erfordert immer einen zweiten Faktor. Im Büro, im bekannten WLAN, ist kein zweiter Faktor nötig. Das reduziert Reibung im Alltag, ohne Schutz aufzugeben.
Zugriff nur von verwalteten Geräten. Nur Geräte, die in Intune eingetragen sind, dürfen auf bestimmte Anwendungen zugreifen. Fremde Geräte werden blockiert. Das ist besonders relevant, wenn Mitarbeitende private Geräte nutzen.
Login aus unbekannten Ländern blockieren. Wenn niemand im Unternehmen aus bestimmten Ländern auf M365 zugreift, können diese Länder pauschal geblockt werden. Das schließt einen Teil automatisierter Angriffe aus.
Risikobewertung. Microsoft wertet Login-Versuche auf Anomalien aus: ungewöhnliche Uhrzeit, unbekannter Standort, auffälliges Verhalten. Risky Sign-ins können automatisch blockiert oder mit MFA-Pflicht belegt werden.
Conditional Access ist kein Selbstläufer. Falsch konfiguriert sperrt es legitime Nutzer aus. Die Einrichtung gehört in die Hände von jemanden, der weiß, was er tut.
Rollout: Wie es in der Praxis gelingt
MFA und Passwortmanager funktionieren nur, wenn sie tatsächlich genutzt werden. Rollout-Fehler, die den Erfolg gefährden:
Zu schnell, ohne Vorbereitung. Wenn MFA von heute auf morgen erzwungen wird, ohne dass Mitarbeitende wissen, was auf sie zukommt, gibt es Helpdesk-Chaos am ersten Tag. Besser: zwei Wochen Vorlauf, kurze Erklärung, was sich ändert und warum.
Keine Ausnahme für Ausnahmefälle. Was passiert, wenn jemand sein Smartphone verloren hat? Was, wenn das Authenticator-Gerät defekt ist? Es braucht einen Backup-Prozess: Backup-Codes, alternative Methode, IT-Support-Kontakt. Ohne das sperren Sie jemanden aus, wenn er es am wenigsten brauchen kann.
MFA ohne Passwortmanager. MFA allein löst das Wiederverwendungsproblem nicht. Wer MFA einführt, aber Mitarbeitende weiterhin schwache, wiederverwendete Passwörter nutzen lässt, hat nur die halbe Lösung.
Die empfohlene Reihenfolge für ein KMU ohne bestehende Lösung: Passwortmanager einführen, Passwörter bereinigen, dann MFA aktivieren, dann Conditional Access konfigurieren.
Was das kostet
Microsoft Authenticator ist kostenlos. Conditional Access ist in M365 Business Premium enthalten, das 22 Euro pro Nutzer und Monat kostet.
Bitwarden Teams kostet etwa 3 bis 4 Euro pro Nutzer und Monat. 1Password Business liegt bei rund 7 bis 8 Euro.
Für ein Unternehmen mit 15 Mitarbeitenden auf M365 Business Standard plus Bitwarden Teams sind das ungefähr 45 bis 60 Euro zusätzlich im Monat. Dafür ist die Angriffsfläche durch kompromittierte Passwörter erheblich kleiner.
Der Schaden durch ein kompromittiertes Konto beginnt bei Kosten für Forensik und Wiederherstellung, geht weiter über mögliche Datenverluste und endet beim Reputationsschaden gegenüber Kunden, wenn deren Daten betroffen sind. Die 60 Euro monatlich stehen in keinem schlechten Verhältnis dazu.
ITCC richtet MFA und Passwortmanager für KMU ein und konfiguriert Conditional Access in Microsoft 365. Wenn Sie wissen wollen, wo Ihr Unternehmen aktuell steht, sprechen Sie uns an.
Häufige Fragen
Verwandte Themen
- StrategieBackup-Strategien für Unternehmen: 3-2-1 und ransomware-sicher
Wie die 3-2-1-Regel funktioniert, was Immutable Backups leisten, warum Sync kein Backup ist und wie M365-Daten wirklich gesichert werden.
- StrategieCloud oder eigener Server: Die Entscheidung für KMU
Wann ein lokaler Server noch sinnvoll ist, wann Cloud die bessere Wahl ist und was Datenschutz, Kosten und Internetabhängigkeit dabei wirklich bedeuten.
- StrategieWenn der IT-Betreuer ausfällt: Das Klumpenrisiko der Ein-Mann-Bude
Was passiert, wenn das gesamte IT-Wissen bei einer Person liegt. Wie KMU das Klumpenrisiko erkennen, bewerten und mit dem richtigen Partner absichern.