Wie führen Sie MFA in Ihrem Unternehmen ein, ohne dass der Aussendienst rebelliert?

Wir alle kennen die Szene: Ein wichtiger Mitarbeiter im Aussendienst steht beim Kunden, muss dringend auf das CRM zugreifen, doch der Zugang wird durch eine neue, umständliche Sicherheitsabfrage blockiert. Der Frust wächst, die Produktivität sinkt und der Anruf bei der IT-Abteilung ist alles andere als freundlich. Als IT-Leiter stehen Sie im Spannungsfeld zwischen der unumstösslichen Notwendigkeit, die Unternehmensdaten zu schützen, und dem Druck, reibungslose Abläufe für alle Mitarbeiter zu gewährleisten, egal wo sie sich befinden. Die Antwort auf die zunehmenden Cyberbedrohungen heisst unbestreitbar Multi-Faktor-Authentifizierung (MFA).

Doch die blosse Aktivierung einer MFA-Lösung ist nur die halbe Miete. Viele Unternehmen konzentrieren sich auf die technische Implementierung und übersehen dabei den entscheidenden Faktor: den Menschen. Wenn die Benutzererfahrung ignoriert wird, entstehen Widerstand, unsichere Umgehungslösungen und genau die Sicherheitslücken, die man eigentlich schliessen wollte. Der Schlüssel zum Erfolg liegt nicht darin, die sicherste Technologie zu erzwingen, sondern die menschliche Hürde durch Empathie, gezielte Schulungen und die richtige Methodenauswahl so niedrig wie möglich zu gestalten. Es geht darum, Akzeptanz als erste und wichtigste Verteidigungslinie zu etablieren.

Dieser Leitfaden ist anders. Er betrachtet die MFA-Einführung nicht als technisches, sondern als psychologisches Projekt. Wir zeigen Ihnen, wie Sie die Balance zwischen eiserner Sicherheit und maximaler Benutzerfreundlichkeit finden und eine MFA-Strategie entwickeln, die von Ihrem gesamten Team – vom Digital Native bis zum langjährigen Experten im Aussendienst – nicht nur toleriert, sondern aktiv mitgetragen wird.

Um diese Herausforderung strategisch anzugehen, haben wir die wichtigsten Aspekte für eine erfolgreiche und reibungsarme MFA-Einführung in Schweizer Unternehmen für Sie aufgeschlüsselt. Der folgende Überblick führt Sie durch die entscheidenden Themen.

Warum Passwörter allein für Ihre VPN-Zugänge heute grob fahrlässig sind?

Die Vorstellung, dass ein einziges Passwort – egal wie komplex – einen sicheren Schutz für den Fernzugriff auf Ihr Unternehmensnetzwerk bietet, ist ein Relikt aus einer vergangenen IT-Ära. In der heutigen Bedrohungslandschaft, die von automatisierten Phishing-Angriffen und Credential-Stuffing-Attacken geprägt ist, ist ein reiner Passwortschutz mit einer unverschlossenen Haustür vergleichbar. Die Zahlen für die Schweiz sind alarmierend: Allein im Jahr 2024 gingen beim Nationalen Zentrum für Cybersicherheit (NCSC) insgesamt 62’954 freiwillige Meldungen von Unternehmen und aus der Bevölkerung zu Cybervorfällen ein. Jede dieser Meldungen repräsentiert ein potenzielles Einfallstor.

Was viele Entscheidungsträger jedoch noch mehr beunruhigen sollte, ist die rechtliche Dimension. Das neue Schweizer Datenschutzgesetz (nDSG) nimmt Führungskräfte stärker in die Pflicht. Bei unzureichenden Sicherheitsmassnahmen, die zu einer Datenpanne führen, drohen persönliche Geldstrafen von bis zu 250’000 CHF. Das Festhalten an einer reinen Passwortstrategie kann somit nicht nur das Unternehmen gefährden, sondern auch direkte finanzielle Konsequenzen für die verantwortlichen Personen haben. MFA ist daher keine Option mehr, sondern eine grundlegende Sorgfaltspflicht.

Die Gegenüberstellung der Risiken und des Nutzens zeigt deutlich, warum die Investition in MFA unumgänglich ist. Es geht nicht nur um die Abwehr von Angriffen, sondern auch um die Minimierung rechtlicher und finanzieller Haftungsrisiken.

Die Frage ist also nicht mehr, ob Sie MFA einführen sollten, sondern wie Sie es tun, um maximalen Schutz bei minimaler Reibung zu erzielen. Das Ignorieren dieser Notwendigkeit ist eine bewusste Inkaufnahme eines existenzbedrohenden Risikos.

Wie schulen Sie Mitarbeiter über 50 in der Nutzung von Authenticator-Apps, ohne Frust zu erzeugen?

Die Einführung neuer Technologien kann bei erfahrenen Mitarbeitern, die nicht mit Smartphones und Apps aufgewachsen sind, zu Unsicherheit und Ablehnung führen. Der Schlüssel zum Erfolg liegt hier in einem Wort: digitale Empathie. Statt einer unpersönlichen Massenschulung müssen Sie einen Rahmen schaffen, der Ängste abbaut, Vertrauen aufbaut und den Nutzen greifbar macht. Vergessen Sie den klassischen Frontalunterricht im sterilen Schulungsraum. Der effektivste Ansatz ist oft ein persönlicher und informeller.

Ein äusserst erfolgreiches Modell ist das „Reverse Mentoring“. Dabei werden digitalaffine, jüngere Mitarbeiter zu „MFA-Mentoren“ ausgebildet. Sie unterstützen ihre älteren Kollegen in 1-zu-1-Sitzungen – nicht als Lehrer, sondern als hilfsbereite Partner. Diese Interaktion findet am besten in einer entspannten Atmosphäre statt, etwa bei einem Kaffee in der Cafeteria. So wird die technische Hürde zu einer Gelegenheit für den generationenübergreifenden Austausch. Das Ziel ist es, ein positives Erfolgserlebnis zu schaffen, indem die Mitarbeiter die Einrichtung auf ihrem eigenen, vertrauten Smartphone unter Anleitung durchführen.

Wie die entspannte Szene zeigt, geht es darum, eine unterstützende Lernumgebung zu schaffen, in der Fragen willkommen sind und Fehler als Teil des Prozesses gesehen werden. Ein strukturierter Plan hilft dabei, diesen Ansatz im gesamten Unternehmen zu verankern.

Indem Sie den Fokus von der reinen Technik auf den Menschen verlagern, verwandeln Sie eine potenzielle Quelle von Frustration in eine Chance zur Stärkung des Teamzusammenhalts und der digitalen Kompetenz im gesamten Unternehmen.

SMS, App oder Hardware-Token: Was ist für Schweizer Banken-Standards wirklich sicher genug?

Die Wahl der richtigen MFA-Methode ist ein entscheidender Balanceakt zwischen Sicherheit, Kosten und Benutzerfreundlichkeit. Gerade in der Schweiz, wo Datenschutz und die Einhaltung strenger Standards (wie die der FINMA) oberste Priorität haben, ist nicht jede Methode gleichermassen geeignet. Die einst weitverbreitete SMS-TAN (Transaktionsnummer per SMS) gilt heute als überholt und unsicher. Das Hauptrisiko ist das sogenannte SIM-Swapping, bei dem Angreifer die Mobilfunknummer des Opfers auf eine eigene SIM-Karte portieren und so den zweiten Faktor abfangen können.

Eine anerkannte Stimme im Schweizer Sicherheitsmarkt bestätigt diesen Trend und weist auf moderne Alternativen hin. Wie die InfoGuard AG in ihrem Blogbeitrag hervorhebt, sind SMS-basierte Verfahren nicht mehr der Goldstandard:

Die gebräuchlichste 2FA-Variante bei Banken ist immer noch die mTAN-Methode, bei welcher Kunden zuerst Benutzername und Passwort eingeben (Wissen), bevor dann per SMS eine Transaktionsnummer (TAN) auf das Mobiltelefon (Besitz) geschickt wird. Die Authentifizierungsmethoden von Airlock bieten hier grossen und vor allem sicheren Spielraum.

– InfoGuard AG, Blog über Zwei-Faktor-Authentifizierung in der Schweiz

Für Unternehmen, die einen hohen Sicherheitsstandard anstreben, der mit dem Finanzsektor vergleichbar ist, sind App-basierte Lösungen und Hardware-Token die Mittel der Wahl. Authenticator-Apps (wie Microsoft Authenticator oder Google Authenticator) generieren zeitbasierte Einmalpasswörter (TOTP) direkt auf dem Gerät und sind immun gegen SIM-Swapping. Für höchste Sicherheitsanforderungen, etwa für den Zugriff von Administratoren oder der Geschäftsleitung, bieten FIDO2-kompatible Hardware-Token den robustesten Schutz. Die folgende Matrix, basierend auf Empfehlungen wie sie auch von offiziellen Stellen wie der Anmeldestelle des Bundes bereitgestellt werden, hilft bei der Entscheidung.

Die beste Strategie für die meisten Schweizer Unternehmen ist ein hybrider Ansatz: Eine sichere und benutzerfreundliche Authenticator-App als Standard für alle Mitarbeiter, ergänzt durch Hardware-Token für besonders schützenswerte Konten. Dies gewährleistet sowohl hohe Sicherheit als auch eine breite Akzeptanz im Team.

Die Gefahr, wenn Mitarbeiter aus Gewohnheit jede Push-Benachrichtigung auf dem Handy bestätigen

Sie haben MFA erfolgreich eingeführt, und Ihre Mitarbeiter nutzen fleissig die Push-Benachrichtigungen ihrer Authenticator-App. Doch genau hier lauert eine neue, subtile Gefahr: die MFA-Ermüdung oder „MFA Fatigue“. Angreifer, die bereits das Passwort eines Nutzers erbeutet haben, lösen in schneller Folge Dutzende von Anmeldeversuchen aus. Der Mitarbeiter wird mit einer Flut von Push-Benachrichtigungen auf seinem Smartphone bombardiert. Aus Gewohnheit, Genervtheit oder in dem Glauben, es handle sich um eine Systemstörung, drückt er schliesslich auf „Bestätigen“ – und öffnet dem Angreifer damit Tür und Tor.

Diese Taktik ist erschreckend effektiv, da sie direkt auf die menschliche Psychologie abzielt. Identitätsbasierte Angriffe dieser Art sind auf dem Vormarsch. Eine Analyse von Microsoft zeigte bereits früh, dass sich die Situation wesentlich verschärft hat, mit einem Anstieg von 32% bei identitätsbasierten Angriffen im ersten Halbjahr, wobei generative KI zur Perfektionierung dieser Kampagnen beiträgt. Dies unterstreicht, dass eine einfache Push-Bestätigung nicht mehr ausreicht, um einen robusten Schutz zu gewährleisten.

Glücklicherweise gibt es wirksame technische Gegenmassnahmen, um diese Form der Sicherheits-Ermüdung zu bekämpfen. Moderne Identitäts- und Zugriff-Management-Systeme (IAM) bieten erweiterte Funktionen, die eine bewusste Interaktion des Nutzers erfordern und den Kontext der Anmeldung analysieren. Die Implementierung dieser Funktionen ist ein entscheidender Schritt zur Härtung Ihrer MFA-Strategie:

• Number Matching: Statt einer einfachen „Ja/Nein“-Abfrage zeigt die Anmeldeseite eine zweistellige Zahl an, die der Nutzer in seiner Authenticator-App eingeben muss. Dies erzwingt eine aktive Auseinandersetzung und verhindert versehentliche Bestätigungen.
• Conditional Access Policies: Konfigurieren Sie Regeln, die den Zugriff basierend auf dem Risikokontext steuern. So kann zum Beispiel eine Anmeldung von einem unbekannten Standort oder einem nicht konformen Gerät eine zusätzliche Überprüfung oder eine Blockade auslösen.
• Kontextbezogene Informationen: Zeigen Sie dem Nutzer in der App zusätzliche Informationen zur Anmeldung an, wie den geografischen Standort oder die Anwendung, die den Zugriff anfordert, um ihm bei der Erkennung verdächtiger Aktivitäten zu helfen.
• Anomalieerkennung: Nutzen Sie KI-gestützte Systeme, die ungewöhnliche Anmeldemuster (z.B. unmögliche Reisezeiten zwischen zwei Logins) automatisch erkennen und blockieren.

Letztendlich geht es darum, die „menschliche Firewall“ zu stärken, indem man ihr die richtigen Werkzeuge an die Hand gibt, um bewusste und sichere Entscheidungen zu treffen, anstatt sie durch ständige, kontextlose Anfragen zu überfordern.

Wann greift das „Break-Glass“-Konto, wenn das IAM-System komplett ausfällt?

Ein „Break-Glass“-Konto ist das, was sein Name andeutet: ein Notfallzugang, den Sie nur im äussersten Notfall „einschlagen“. Stellen Sie sich das Schreckensszenario vor: Ihr zentrales Identitäts- und Zugriffsmanagement-System (IAM), das alle Anmeldungen und auch die MFA steuert, ist aufgrund eines technischen Fehlers, eines Konfigurationsproblems oder eines gezielten Angriffs nicht erreichbar. Niemand kann sich mehr anmelden – auch nicht die Administratoren. In dieser Situation ist das Break-Glass-Konto Ihr letzter Rettungsanker, um wieder die Kontrolle über Ihre Systeme zu erlangen.

Dieses Konto ist ein hochprivilegierter Account (oft ein globaler Administrator), der absichtlich von allen Standard-MFA- und Conditional-Access-Richtlinien ausgenommen ist. Seine Existenz ist ein zweischneidiges Schwert: Es ist unerlässlich für die Notfallwiederherstellung, stellt aber gleichzeitig ein extrem attraktives Ziel für Angreifer dar. Daher muss seine Absicherung mit äusserster Sorgfalt erfolgen.

Die Verwendung eines Break-Glass-Kontos sollte niemals eine Routinehandlung sein. Sie ist ausschliesslich für Notsituationen reserviert, in denen alle anderen administrativen Zugänge versagen. Typische Szenarien sind:

• Ausfall des Identitätsanbieters: Ihr Cloud-IAM-Dienst (z.B. Microsoft Entra ID, Okta) ist global gestört.
• Fehlkonfiguration: Eine fehlerhafte Conditional-Access-Richtlinie hat versehentlich alle Administratoren ausgesperrt.
• Verlust von Admin-Zugangsdaten: Der einzige Administrator hat sein Passwort und sein MFA-Gerät verloren.

Die Absicherung dieses Kontos folgt strengen Regeln. Das Passwort muss extrem komplex sein und an einem sicheren, physischen Ort (z.B. einem versiegelten Umschlag im Firmensafe) aufbewahrt werden, idealerweise aufgeteilt auf zwei Personen. Jede einzelne Anmeldung mit diesem Konto muss sofortige und unübersehbare Alarmierungen an mehrere Personen im Unternehmen auslösen. Dieses Konto darf niemals einer Einzelperson zugeordnet oder für tägliche administrative Aufgaben verwendet werden.

Ein gut durchdachtes Break-Glass-Protokoll ist somit kein Zeichen von Misstrauen gegenüber der Technologie, sondern ein Beweis für professionelles Risikomanagement und die Vorbereitung auf das Undenkbare.

Die Gefahr des Post-its am Monitor: Warum Passwörter nicht an den Bildschirm gehören

Der gelbe Zettel mit dem Passwort, der am Monitor klebt, ist ein IT-Sicherheits-Klischee – und doch in vielen Büros immer noch Realität. Doch anstatt die Mitarbeiter dafür zu verurteilen, sollten IT-Leiter diesen Zettel als das sehen, was er wirklich ist: ein Symptom einer gescheiterten User Experience. Menschen greifen nicht zu unsicheren Methoden, weil sie böswillig sind, sondern weil das sichere Verfahren zu kompliziert, zu umständlich oder zu schwer zu merken ist. Der Post-it ist ein Hilfeschrei der „menschlichen Firewall“.

Das Problem liegt oft in übertriebenen Passwortrichtlinien, die in Kombination mit fehlenden Single-Sign-On-Lösungen (SSO) zu einer unüberschaubaren Anzahl komplexer und ständig wechselnder Passwörter führen. Wenn ein Mitarbeiter für zehn verschiedene Systeme zehn unterschiedliche, 16-stellige Passwörter mit Sonderzeichen benötigt, die alle 90 Tage geändert werden müssen, ist das kognitive Limit schnell erreicht. Das Gehirn lagert diese Information aus – auf den nächstbesten, greifbaren „Speicher“: den Notizzettel.

Dieses Verhalten untergräbt jede noch so ausgeklügelte Netzwerksicherheit. Ein Angreifer muss keine komplexe Phishing-Kampagne starten, wenn er das Passwort für das VPN einfach vom Monitor eines unbesetzten Arbeitsplatzes ablesen kann. Dies gilt insbesondere in Grossraumbüros oder bei Arbeitsplätzen mit Publikumsverkehr. Die physische Sicherheit wird so zur Achillesferse der digitalen Sicherheit. MFA entschärft dieses spezielle Risiko, da das abgelesene Passwort allein nicht ausreicht. Es löst jedoch nicht das zugrundeliegende Problem der kognitiven Überlastung, das zu Frust und einer generellen Ablehnung gegenüber Sicherheitsmassnahmen führt.

Die Lösung liegt nicht in strengeren Verboten, sondern in einer intelligenteren Strategie. Durch die Kombination von SSO, das die Anzahl der Logins reduziert, und einer benutzerfreundlichen MFA-Lösung wird die Notwendigkeit, sich Dutzende Passwörter zu merken, eliminiert. Ein einziges, starkes Passwort für den initialen Login, abgesichert durch einen schnellen zweiten Faktor (z.B. per Fingerabdruck in der App), ist für den Nutzer wesentlich einfacher zu handhaben und eliminiert die Ursache für den Post-it am Monitor.

Der Post-it ist also nicht das Problem, sondern ein wertvoller Indikator dafür, dass Ihre Sicherheitsstrategie die Bedürfnisse Ihrer Mitarbeiter nicht ausreichend berücksichtigt. Hören Sie auf dieses Signal.

Smartphone oder Karte: Was wird von der jungen Generation „Digital Natives“ erwartet?

Während die Schulung für Mitarbeiter der Generation 50+ auf Empathie und persönliche Anleitung setzt, stellt die junge Generation der „Digital Natives“ IT-Leiter vor eine andere Herausforderung. Diese Mitarbeiter sind mit einer digitalen Welt aufgewachsen, in der Prozesse nahtlos, schnell und mobil-zentriert sind. Sie erwarten von Unternehmensanwendungen die gleiche intuitive Benutzererfahrung, die sie von ihren privaten Apps gewohnt sind. Ein umständlicher, langsamer oder altbackener Sicherheitsprozess wird hier nicht auf Ablehnung, sondern auf Ignoranz und die Suche nach „Schatten-IT“ stossen.

Für einen Digital Native ist das Smartphone die Kommandozentrale seines Lebens. Eine Authentifizierung, die sich nicht nahtlos in diesen mobilen Workflow einfügt, wird als Störfaktor empfunden. Die Erwartungshaltung ist klar:

• Biometrische Geschwindigkeit: Ein Login sollte so schnell sein wie das Entsperren des Telefons – also per Face ID oder Fingerabdruck. Alles andere fühlt sich an wie eine unnötige Verzögerung.
• App-Zentrierung: Die Authentifizierung muss über eine moderne, gut gestaltete App erfolgen. Die Nutzung von separaten Hardware-Tokens oder gar SMS wird als technischer Rückschritt wahrgenommen.
• „Zero Friction“-Erlebnis: Im Idealfall bemerkt der Nutzer den Sicherheitsprozess kaum. Intelligente Systeme, die vertrauenswürdige Geräte und Standorte erkennen und nur bei Anomalien eine zusätzliche Prüfung verlangen (risikobasiertes Conditional Access), entsprechen dieser Erwartungshaltung.

Wenn die offiziell bereitgestellte Lösung diesen Erwartungen nicht entspricht – zum Beispiel durch die alleinige Vorgabe eines klobigen USB-Tokens –, ist die Gefahr gross, dass diese Mitarbeiter eigene, bequemere Wege finden, um ihre Arbeit zu erledigen. Sie nutzen ungesicherte private Cloud-Dienste, leiten sich E-Mails auf private Konten weiter oder verwenden einfachere, aber nicht genehmigte Kollaborationstools. Dieses Verhalten ist nicht böswillig, sondern pragmatisch: Der Weg des geringsten Widerstands wird gewählt, um produktiv zu sein. Für die Unternehmenssicherheit ist diese unkontrollierte Schatten-IT jedoch ein Albtraum.

Die Lösung besteht darin, Flexibilität innerhalb eines sicheren Rahmens zu bieten. Indem Sie moderne, App-basierte und biometrisch unterstützte MFA-Methoden als primäre Option anbieten, erfüllen Sie nicht nur die Erwartungen der Digital Natives, sondern erhöhen auch die Sicherheit für das gesamte Unternehmen, da die Notwendigkeit für unsichere Umgehungslösungen entfällt.

Wie verhindern Sie Datenabfluss durch Mitarbeiter, indem Sie das „Least Privilege“-Prinzip konsequent anwenden?

Die Einführung einer starken Multi-Faktor-Authentifizierung ist wie der Einbau eines hochwertigen Sicherheitsschlosses an Ihrer Haustür. Sie stellt sicher, dass nur autorisierte Personen das Gebäude betreten können. Doch was passiert, wenn eine autorisierte Person – sei es durch Unachtsamkeit, einen kompromittierten Account oder böswillige Absicht – im Inneren Schaden anrichtet? Hier kommt das Prinzip der geringsten Rechte („Least Privilege“) ins Spiel. Es ist die entscheidende zweite Verteidigungslinie, die den potenziellen Schaden minimiert, selbst wenn die erste (MFA) überwunden wurde.

Das Prinzip ist einfach und doch fundamental: Jeder Benutzer, jede Anwendung und jedes System sollte nur über exakt die Berechtigungen verfügen, die für die Erfüllung der jeweiligen Aufgabe zwingend erforderlich sind. Nicht mehr und nicht weniger. Ein Mitarbeiter aus dem Marketing benötigt keinen Zugriff auf die Finanzdatenbank, und ein Buchhalter muss nicht in der Lage sein, die Systemkonfiguration des Webservers zu ändern. In der Praxis erhalten Mitarbeiter jedoch oft aus Bequemlichkeit oder durch veraltete Prozesse viel zu weitreichende Zugriffsrechte, die sich über die Zeit ansammeln.

Die konsequente Anwendung des Least Privilege-Prinzips ist der effektivste Weg, um Datenabfluss und internen Missbrauch zu verhindern:

• Begrenzung des Explosionsradius: Wenn ein Benutzerkonto kompromittiert wird, kann der Angreifer nur auf den eng begrenzten Bereich zugreifen, für den der Benutzer berechtigt war. Der Zugriff auf kritische Unternehmensdaten bleibt ihm verwehrt.
• Reduzierung der Angriffsfläche: Weniger privilegierte Konten bedeuten weniger potenzielle Einfallstore für Angreifer, die versuchen, ihre Rechte im Netzwerk auszuweiten (Privilege Escalation).
• Verbesserung der Compliance und Auditierbarkeit: Klar definierte Rollen und Berechtigungen (Role-Based Access Control, RBAC) machen es einfacher nachzuweisen, wer auf welche Daten zugegriffen hat, was für die Einhaltung von Vorschriften wie dem nDSG unerlässlich ist.

MFA und Least Privilege sind keine konkurrierenden, sondern sich perfekt ergänzende Konzepte. MFA sichert den Zugang zum Netzwerk, während Least Privilege den Zugriff innerhalb des Netzwerks kontrolliert. Gemeinsam bilden sie das Fundament einer modernen „Zero Trust“-Sicherheitsarchitektur, bei der keinem Benutzer und keinem Gerät standardmässig vertraut wird.

Die Umsetzung erfordert eine anfängliche Anstrengung zur Analyse und Definition von Benutzerrollen, zahlt sich aber langfristig durch eine drastisch erhöhte Sicherheit und eine bessere Kontrolle über Ihre Unternehmensdaten aus. Beginnen Sie noch heute mit der Planung Ihrer nutzerzentrierten MFA-Strategie und der Überprüfung Ihrer Berechtigungsstrukturen, um Ihr Unternehmen und Ihre Mitarbeiter wirksam zu schützen.