Kontakt aufnehmen
Cybersecurity

MFA: Warum 99,9 % aller gehackten Accounts keine Zwei-Faktor-Authentifizierung hatten

Es ist 3:14 Uhr morgens, ein Dienstag. In einem Frankfurter Mittelstand schläft die Belegschaft. In einem Rechenzentrum in Osteuropa läuft ein Skript. Es probiert eine Liste mit Zugangsdaten durch, die vor sechs Monaten bei einem Datenleck eines völlig unbeteiligten Cloud-Dienstes abgeflossen ist. Beim 1.847. Versuch ein Treffer: ein Mitarbeiter, der dieselbe Mailadresse und dasselbe Passwort auch geschäftlich nutzt. Kein Alarm, keine Warnung, kein zweiter Faktor. Der Angreifer ist drin. Bis zur Mittagspause sind die Outlook-Regeln so manipuliert, dass alle Antworten der Buchhaltung in einen versteckten Unterordner umgeleitet werden. Bis Freitag liegt eine gefälschte Rechnung auf 187.000 Euro im Postausgang.

Mit Multi-Faktor-Authentifizierung wäre dieser Login schon an der Tür gescheitert. Laut Microsoft in 99,9 von 100 Fällen. Trotzdem nutzt sie ein erschreckend großer Teil der deutschen Unternehmen bis heute nicht konsequent — und laut aktuellem BSI-Lagebericht 2025 wird es im privaten Umfeld sogar wieder weniger. Wenn Sie ein Unternehmen führen, ist das nicht nur ein Sicherheitsthema. Es ist ein Compliance-Thema, ein Haftungsthema und ein Thema persönlicher Verantwortung.

Auf einen Blick

  • 99,9 Prozent der kompromittierten Microsoft-Enterprise-Accounts hatten keine MFA aktiviert. Und trotzdem ist die Akzeptanz in Deutschland laut BSI-Lagebericht 2025 zum zweiten Mal in Folge rückläufig.
  • Mit NIS-2 ist die Multi-Faktor-Authentifizierung für rund 30.000 deutsche Unternehmen faktisch verpflichtend. Geschäftsführer haften persönlich.
  • MFA ist nicht gleich MFA. SMS-Codes und einfache Push-Bestätigungen sind 2026 angreifbar. Phishing-resistente Verfahren wie FIDO2 und Passkeys sind der neue Standard.

Inhalt

Was Multi-Faktor-Authentifizierung wirklich ist, und warum Passwörter allein längst verloren haben

Multi-Faktor-Authentifizierung bedeutet, dass ein Login nicht nur einen einzigen Nachweis verlangt, sondern mindestens zwei aus drei unabhängigen Kategorien: etwas, das Sie wissen (Passwort, PIN), etwas, das Sie besitzen (Smartphone, Hardware-Token), und etwas, das Sie sind (Fingerabdruck, Gesichtsscan). Selbst wenn ein Angreifer das Passwort hat, fehlt ihm der zweite Faktor — und damit der Zugang. Das BSI verwendet im behördlichen Sprachgebrauch den Begriff Zwei-Faktor-Authentisierung, technisch und rechtlich meint die Multi-Faktor-Authentifizierung dasselbe Grundprinzip, nur mit der Option auf mehr als zwei Faktoren.

Der entscheidende Punkt für Sie als Entscheider: Das Passwort allein ist ein gebrochenes Modell. Microsoft registriert nach eigenen Angaben über 300 Millionen betrügerische Anmeldeversuche pro Tag auf seinen Cloud-Diensten — Tag für Tag, Jahr für Jahr. Diese Angriffe heißen Credential Stuffing (gestohlene Zugangsdaten aus Datenlecks werden massenhaft durchprobiert), Password Spraying (eine kleine Liste plausibler Passwörter wird gegen Millionen Konten getestet) oder klassisches Phishing. Sie alle haben eines gemeinsam: Sie scheitern an einem zweiten Faktor. Sie scheitern nicht an einem komplizierteren Passwort, weil der Angreifer das Passwort längst hat — er hat es nicht erraten, sondern aus einem fremden Datenleck eingekauft.

Genau hier setzt die Multi-Faktor-Authentifizierung an. Sie verhindert, dass eine einzige kompromittierte Zugangsdatei zur Eintrittskarte für Ihr gesamtes Unternehmen wird. Sie verhindert unbefugten Zugriff auch dann, wenn die erste Verteidigungslinie längst gefallen ist. Und sie tut das mit einer Wirksamkeit, die kaum eine andere Sicherheitsmaßnahme erreicht.

Die 99,9-Prozent-Zahl, die jeder Geschäftsführer kennen sollte

Im Februar 2020 stand Alex Weinert auf der RSA-Konferenz in San Francisco, dem wichtigsten Branchentreffen für IT-Sicherheit. Weinert leitet bei Microsoft den Bereich Identity Security, er sieht jeden Tag die Zahlen aller weltweit kompromittierten Microsoft-Konten. Sein Befund war so einfach wie schockierend: Mehr als 99,9 Prozent aller Microsoft-Enterprise-Accounts, in die Angreifer eingedrungen waren, hatten keine Multi-Faktor-Authentifizierung aktiviert. Im Umkehrschluss: Wer MFA hatte, war praktisch vollständig geschützt. Diese Zahl hat Microsoft in den Folgejahren mehrfach bestätigt, sie steht auch in der aktuellen Microsoft-Dokumentation für Geschäftskunden.

Eine 2023 veröffentlichte wissenschaftliche Studie über Microsoft-Azure-Active-Directory-Konten hat den Befund nicht nur reproduziert, sondern auf eine breitere Datenbasis gestellt. Über 99,99 Prozent der Konten mit aktivierter MFA blieben im untersuchten Zeitraum unangetastet. Die Multi-Faktor-Authentifizierung reduzierte das Kompromittierungsrisiko über die gesamte Nutzerpopulation um 99,22 Prozent — und selbst bei Konten, deren Passwörter nachweislich in einem Datenleck aufgetaucht waren, lag die Risikoreduktion noch bei 98,56 Prozent. Lassen Sie diese letzte Zahl wirken: Selbst wenn der Angreifer Ihr Passwort bereits in der Hand hält, scheitert er in 98 von 100 Fällen, sofern Sie MFA aktiviert haben.

Das ist die statistische Wirklichkeit. Und doch beziffert Microsoft selbst die Adoptionsrate über alle Nutzer hinweg auf rund 28 Prozent. Mehr als zwei Drittel der Konten bleiben ungeschützt — und die Angreifer wissen das. Die böswilligen Akteure auf der anderen Seite richten ihre Anstrengungen genau dort aus, wo der Aufwand am geringsten ist: bei den Konten ohne zweiten Faktor.

Warum Deutschland MFA gerade abschafft, während die Angriffe explodieren

Hier wird es für deutsche Unternehmen besonders unangenehm. Am 11. November 2025 stellten BSI-Präsidentin Claudia Plattner und Bundesinnenminister Alexander Dobrindt den Bericht zur Lage der IT-Sicherheit in Deutschland 2025 vor. Eine der Kernaussagen lautet sinngemäß: Im zweiten Jahr in Folge sind sowohl die Bekanntheit als auch die Nutzung essenzieller Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung und Passwortmanager bei den Bürgern rückläufig. Als Hauptgrund wird genannt, dass die Maßnahmen als zu kompliziert empfunden werden.

Während die Angriffsdichte steigt, sinkt die wirksamste Verteidigung. Das BSI nennt diese Schere ausdrücklich eine wachsende digitale Sorglosigkeit. Gleichzeitig dokumentiert derselbe Bericht eine Flut von durchschnittlich 119 neuen Schwachstellen pro Tag — ein Anstieg um 24 Prozent gegenüber dem Vorjahr. Rund 80 Prozent aller Ransomware-Angriffe treffen mittlerweile kleine und mittlere Unternehmen, und es klafft eine fatale Wahrnehmungslücke: 91 Prozent der KMU halten ihre eigene Cybersicherheit für gut, erfüllen aber nur rund 56 Prozent der Basisanforderungen des BSI-Cyber-Risiko-Checks.

Warum sollte Sie das interessieren? Weil die Belegschaft, die im Privaten MFA als zu lästig abschaltet, dieselbe Belegschaft ist, die morgens an ihren Schreibtisch kommt und sich in Ihr Microsoft-365-Tenant einloggt. Die Gewohnheiten privater Nutzer setzen den kulturellen Rahmen für das, was im Unternehmen akzeptiert wird. Wenn Mitarbeitende daheim gelernt haben, dass MFA „nervt“, werden sie auch im Job alles tun, um die Pflicht zu unterlaufen — über Ausnahmeanträge, schwache Methoden, das berühmte „kann ich das nicht abschalten lassen, ich muss schnell rein“. Genau dort entscheidet sich die Sicherheitskultur eines Unternehmens, nicht in der nächsten Richtlinie.

NIS-2 macht MFA zur Pflicht — und Sie haften persönlich

Die regulatorische Diskussion ist 2026 beendet. Mit dem deutschen NIS-2-Umsetzungsgesetz und der Neufassung des BSI-Gesetzes ist MFA für rund 30.000 deutsche Unternehmen faktisch verpflichtend. § 30 Absatz 2 Satz 2 Nummer 10 des neuen BSIG verlangt von besonders wichtigen und wichtigen Einrichtungen ausdrücklich die „Verwendung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung, gesicherte Sprach-, Video- und Textkommunikation sowie gegebenenfalls gesicherte Notfallkommunikationssysteme innerhalb der Einrichtung“. Die Rechtsgrundlage dafür liefert Artikel 21 Absatz 2 Buchstabe j der NIS-2-Richtlinie der EU.

Das BSI hat zu diesem Punkt sogar ein eigenes Informationspaket veröffentlicht und verweist auf die Technische Richtlinie BSI-TR-03107 zur Implementierung von Authentisierungslösungen. Wer unter NIS-2 fällt — und das sind alle mittleren und großen Unternehmen in 18 als wesentlich oder wichtig eingestuften Sektoren — kommt um MFA nicht mehr herum. Wer es trotzdem versäumt, riskiert Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Umsatzes. Und, der Punkt, der diese Verpflichtung von früheren Sicherheitsregeln unterscheidet: Die Geschäftsleitung haftet persönlich. Das Risikomanagement ist nicht delegierbar, die Schulung der Geschäftsleitung ist nicht delegierbar, die Verantwortung ist es ebenfalls nicht.

Multi-Faktor-Authentifizierung ist damit kein technisches Detail mehr, das man der IT-Abteilung überlässt. Sie ist eine technische und organisatorische Maßnahme, die Sie als Geschäftsführer persönlich verantworten. Wie MFA in das übergeordnete Sicherheitsarchitektur-Prinzip Zero Trust eingebettet wird, vertiefen wir an anderer Stelle — aber ohne MFA gibt es kein Zero Trust, und ohne Zero Trust kein zukunftsfähiges Sicherheitsmodell.

MFA ist nicht gleich MFA: SMS, Push oder Passkey?

Wenn Sie jetzt erleichtert denken „wir haben doch MFA per SMS, das reicht“, muss ich Sie bremsen. 2026 unterscheiden sich die Verfahren um Größenordnungen in ihrer Schutzwirkung. Wer das nicht weiß, hält sich für sicher und ist es nicht.

SMS-basierte 2FA ist besser als nichts, aber sie hat einen kritischen Schwachpunkt: Telefonnummern lassen sich übernehmen. Beim sogenannten SIM-Swapping überzeugt ein Angreifer den Mobilfunkanbieter, die Rufnummer des Opfers auf eine neue SIM-Karte umzuleiten. Ab diesem Moment landen alle SMS-Codes beim Angreifer. Hochkarätige Fälle aus den letzten Jahren haben gezeigt, dass das auch bei Personen mit eigentlich solidem Sicherheitsbewusstsein funktioniert.

Authenticator-Apps mit Einmalcodes (TOTP) wie Microsoft Authenticator, Google Authenticator oder Authy sind deutlich besser. Der Code wird auf dem Gerät generiert, nicht über das Mobilfunknetz übertragen. SIM-Swapping läuft hier ins Leere. Trotzdem bleibt eine Schwäche: Wer den sechsstelligen Code in eine gefälschte Webseite eintippt, hat ihn einem Angreifer übergeben — dazu gleich mehr.

Push-Bestätigung ist bequem und auf den ersten Blick elegant. Statt einen Code abzutippen, bestätigt der Nutzer einfach mit einem Tipp auf dem Smartphone. Die Bequemlichkeit ist zugleich das Risiko: Angreifer feuern Dutzende Push-Benachrichtigungen in kurzer Folge, bis der genervte Nutzer auf „Zulassen“ tippt, nur damit das Display Ruhe gibt. Diese Masche heißt MFA-Fatigue oder Push-Bombing und führte unter anderem zum Uber-Sicherheitsvorfall 2022. Die Gegenmaßnahme heißt Number-Matching: Statt eines einfachen „Zulassen“ muss der Nutzer eine vom Anmeldebildschirm angezeigte Zahl im Push-Dialog eintippen. Wer den Bildschirm nicht sieht, kommt nicht durch. Microsoft hat Number-Matching inzwischen als Standard für Microsoft 365 hinterlegt.

Hardware-Token mit FIDO2 und Passkeys sind 2026 der Goldstandard. Ein YubiKey, ein TitanKey oder ein in modernen Geräten eingebauter Passkey bindet die Authentifizierung kryptografisch an die echte Domain. Wer auf einer gefälschten Seite landet, kann den Faktor nicht eintippen — der Schlüssel verweigert den Dienst, weil die Domain nicht stimmt. Das macht diese Verfahren phishing-resistent. Sowohl das BSI als auch die US-amerikanische CISA empfehlen mittlerweile ausdrücklich phishing-resistente MFA für alle Konten mit erhöhtem Schutzbedarf.

Für die Praxis bedeutet das eine klare Hierarchie. Privilegierte Konten — Administratoren, Geschäftsleitung, Buchhaltung, Personalabteilung — gehören auf FIDO2 oder Passkey. Reguläre Konten profitieren bereits stark von Authenticator-App mit Number-Matching. SMS sollten Sie nur dort dulden, wo nichts anderes geht, und so schnell wie möglich ersetzen. Diese Hierarchie lässt sich über Conditional Access in Microsoft 365 oder vergleichbare Richtlinien in anderen Identitätsplattformen durchsetzen, ohne dass jeder einzelne Mitarbeiter sich umstellen muss.

Die ehrliche Wahrheit: Auch MFA lässt sich umgehen

Hier kommt die unbequeme Wahrheit, die in den meisten Marketing-Broschüren fehlt: MFA ist nicht unfehlbar. Sie ist die wirksamste einzelne Maßnahme, die Sie heute treffen können. Sie ist nicht die einzige.

Die dominierende Angriffstechnik 2025 und 2026 ist die sogenannte Adversary-in-the-Middle-Attacke, kurz AiTM. Der Angreifer schickt sein Opfer auf eine gefälschte Login-Seite, die nicht nur die Eingabe abfängt, sondern den kompletten Anmeldevorgang in Echtzeit an die echte Microsoft- oder Google-Seite weiterleitet. Das Opfer gibt Passwort und MFA-Code ein, beides geht durch zum echten Dienst, der Login gelingt — und der Angreifer kassiert das fertige Sitzungs-Cookie. Mit diesem Cookie ist er drin, ohne dass jemals ein weiterer MFA-Prompt erscheint. Microsoft hat 2023 und 2024 AiTM-Kampagnen gegen über 10.000 Organisationen dokumentiert, der CrowdStrike Global Threat Report 2026 nennt einen Anstieg von 146 Prozent in einem Jahr. Fast 40.000 AiTM-Vorfälle werden täglich erkannt, und kommerzielle Phishing-Kits mit Namen wie Tycoon 2FA, Evilproxy oder Rockstar 2FA werden im einschlägigen Untergrund stundenweise vermietet.

PwC formuliert in seinem Threat-Report 2026 sehr nüchtern, was diese Entwicklung bedeutet: Angreifer „loggen sich heute ein, statt einzubrechen“. 82 Prozent aller Sicherheitsvorfälle in der CrowdStrike-Statistik 2025 waren malware-frei. Es geht nicht mehr um Viren auf der Festplatte, es geht um gestohlene Identitäten und übernommene Sitzungen. Zur AiTM-Attacke gesellen sich Push-Bombing, SIM-Swapping und das gezielte Social Engineering von Helpdesk-Mitarbeitern, die einem freundlichen Anrufer „nur kurz“ einen MFA-Reset spendieren. Viele dieser Angriffe sind übrigens nichts anderes als hochentwickeltes Social Engineering — die menschliche Schwachstelle bleibt der bevorzugte Hebel, ständig weiterentwickelte Bedrohungen drehen sich um genau diesen Faktor.

Was folgt daraus? Nicht „MFA bringt nichts“. Sondern: Klassische MFA stoppt zuverlässig die ungezielten Massenangriffe — Credential Stuffing, Password Spraying, Phishing nach Schema F. Gezielte Angriffe mit AiTM brauchen phishing-resistente MFA wie FIDO2 oder Passkeys, weil diese Verfahren kryptografisch an die echte Domain gebunden sind und auf einer gefälschten Seite schlicht nicht funktionieren. Wer also heute eine Authenticator-App im Einsatz hat, ist gegen 99 von 100 Angreifern geschützt — und braucht für den hundertsten den nächsten Schritt.

Was Sie diese Woche tun sollten

Drei Schritte, die jede Geschäftsführung sofort veranlassen kann, ohne auf das nächste IT-Quartalsmeeting zu warten:

Erstens: Privilegierte Konten heute auf phishing-resistente MFA umstellen.

Geschäftsführung, IT-Administration, Buchhaltung und Personalabteilung sind die wertvollen Ziele. Wenn dort ein Hardware-Token oder Passkey vor dem Login steht, ist ein Großteil aller realistischen Angriffsszenarien erledigt. Diese Maßnahme ist nicht teuer und nicht kompliziert. Sie kostet pro Konto den Preis eines Mittagessens.

Zweitens: Number-Matching aktivieren, Legacy-Protokolle abschalten.

Wenn Sie Microsoft 365 nutzen, ist Number-Matching mittlerweile Standard, aber prüfen Sie es. Schalten Sie alte Authentifizierungsprotokolle ab, die kein MFA unterstützen — POP3, IMAP mit Basic Authentication, SMTP-Auth. Microsoft selbst dokumentiert, dass über 99 Prozent aller erfolgreichen Password-Spraying-Attacken über genau diese Altprotokolle laufen.

Drittens: NIS-2-Betroffenheit prüfen lassen, MFA in alle kritischen Systeme rollen.

Sind Sie eine wichtige oder besonders wichtige Einrichtung im Sinne des NIS-2-Umsetzungsgesetzes? Dann ist die Frage nicht ob, sondern wie schnell. Die Registrierungspflicht beim BSI hat klare Fristen, die Bußgelder klare Höchstwerte, und die persönliche Haftung der Geschäftsleitung kennt keine Übergangsfrist. Welche weiteren Sicherheitstechnologien 2026 wirklich schützen, zeigt der Überblick über unsere aktuellen Empfehlungen zur Verteidigungslinie deutscher Unternehmen.

FAQ: Die wichtigsten Fragen zu MFA

Was ist Multi-Faktor-Authentifizierung?

Multi-Faktor-Authentifizierung verlangt für einen Login mindestens zwei voneinander unabhängige Nachweise aus den Kategorien Wissen (Passwort), Besitz (Smartphone, Hardware-Token) und Inhärenz (Fingerabdruck, Gesichtsscan). Selbst wer das Passwort kennt, kommt ohne den zweiten Faktor nicht ins System. MFA ist die wirksamste Einzelmaßnahme gegen Account-Übernahmen.

2FA bezeichnet Zwei-Faktor-Authentifizierung, also genau zwei Faktoren. MFA ist der Oberbegriff für mindestens zwei, manchmal auch drei oder mehr Faktoren. In der Praxis werden die Begriffe meist synonym verwendet. Das BSI spricht im behördlichen Kontext von Zwei-Faktor-Authentisierung, technisch ist das Schutzprinzip identisch.

Phishing-resistente Verfahren auf Basis von FIDO2 oder Passkeys gelten 2026 als Goldstandard. Sie binden den Login kryptografisch an die echte Domain und sind damit gegen Adversary-in-the-Middle-Phishing immun. Hardware-Token wie YubiKey oder in Geräten eingebaute Passkeys sind die Empfehlung von BSI und CISA für privilegierte Konten.

Ja. § 30 Absatz 2 Satz 2 Nummer 10 des neuen BSI-Gesetzes verpflichtet besonders wichtige und wichtige Einrichtungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung. Grundlage ist Artikel 21 NIS-2-Richtlinie. Verstöße werden mit Bußgeldern bis zehn Millionen Euro geahndet, die Geschäftsleitung haftet persönlich.