Täglich werden Unternehmenszugangsdaten über Phishing, Malware oder einfaches Wiederverwenden von Passwörtern gestohlen. Das Problem liegt nicht darin, dass Mitarbeiter unvorsichtig sind – ein Passwort allein ist schlicht kein ausreichendes Authentifizierungsmittel im Jahr 2026. Die Multi-Faktor-Authentifizierung (MFA) fügt einen zweiten Verifizierungsschritt hinzu – einen App-Code, ein Hardware-Token, eine Benachrichtigung auf dem Smartphone – der ein gestohlenes Passwort allein wertlos macht.
Was MFA in der Praxis bedeutet
MFA basiert auf einer einfachen Logik: Um auf ein Konto zuzugreifen, braucht es mindestens zwei voneinander unabhängige Elemente. Üblicherweise werden kombiniert:
- Etwas, das Sie wissen – das Passwort
- Etwas, das Sie haben – das Smartphone mit der Authenticator-App oder ein USB-Hardware-Schlüssel
- Etwas, das Sie sind – der Fingerabdruck oder die Gesichtserkennung
Für ein KMU ist die praktischste Kombination: eine Authenticator-App (Microsoft Authenticator, Google Authenticator) für alle Mitarbeiter und ein FIDO2-Hardware-Schlüssel für IT-Administratoren und Führungskräfte. FIDO2-Schlüssel kosten zwischen 25 und 60 Euro pro Stück und sind die robusteste heute verfügbare Form, weil sie auch anspruchsvollen Phishing-Angriffen standhalten.
SMS als zweiter Faktor ist besser als nichts, aber die unsicherste Variante: SMS-Codes können abgefangen oder per SIM-Swapping umgangen werden. Wer neu anfängt, sollte direkt auf eine Authenticator-App setzen.
Warum das Kosten-Nutzen-Verhältnis kaum zu schlagen ist
Eine MFA-Lösung für Unternehmensanwendungen oder VPN-Zugriff kostet rund 3–5 Euro pro Benutzer und Monat. Für viele KMU, die bereits Microsoft 365 Business Premium einsetzen, ist MFA in der bestehenden Lizenz enthalten – es fallen keine zusätzlichen Kosten für die Aktivierung an.
Auf der anderen Seite belaufen sich laut IBM-Daten 2025, zitiert von BullTech, die durchschnittlichen Kosten eines Datenschutzvorfalls für ein italienisches KMU auf rund 43.000 Euro. Nicht eingerechnet sind dabei die indirekten Kosten: Betriebsausfall, Reputationsschäden, Kundenkommunikation, mögliche Rechtsberatung.
Ein KMU mit 30 Benutzern, das MFA aktiviert, gibt weniger als 1.800 Euro im Jahr aus. Ein einziger vermiedener Vorfall rechtfertigt Jahre an Investition.
Dazu kommt das regulatorische Risiko. Die NIS2-Richtlinie, in Italien mit dem D.Lgs. 138/2024 umgesetzt, sieht Bußgelder vor, die für wichtige Einrichtungen bis zu 7 Millionen Euro erreichen können. Das sind keine willkürlichen Zahlen: Sie stehen so im Gesetzestext.
NIS2 und die MFA-Pflicht bis September 2026
NIS2 betrifft italienische KMU mit mindestens 50 Mitarbeitern oder 10 Millionen Euro Umsatz, die in kritischen oder wichtigen Sektoren tätig sind: Energie, Verkehr, Gesundheit, Digitales, fortgeschrittene Fertigung und weitere. Wenn Ihr Unternehmen unter diese Parameter fällt, ist die vollständige technische Anpassung bis zum 30. September 2026 erforderlich.
Die ACN (Agenzia per la Cybersicurezza Nazionale) hat operative Leitlinien veröffentlicht, die ausdrücklich eine verpflichtende MFA für alle kritischen Zugänge, Cloud-Dienste und Remote-Verbindungen vorsehen. Es handelt sich nicht um eine Empfehlung: Es ist eine technische Anforderung, die im Rahmen eines Audits überprüft werden kann.
Auch für Unternehmen, die nicht direkt in den NIS2-Geltungsbereich fallen, hat die Regelung einen Kaskadeneffekt: Große Auftraggeber und öffentliche Verwaltungen werden zunehmend Nachweise über die Compliance ihrer Lieferanten verlangen. Wer sich nicht anpasst, riskiert den Verlust von Aufträgen – nicht nur Bußgelder.
Der blinde Fleck: Administratorkonten ohne MFA
Daten von Intrusa.io über italienische KMU zeigen ein beunruhigendes Bild: Über 21 % der administrativen Benutzerkonten haben keine aktive MFA. Das sind die gefährlichsten Konten, die offengelegt werden können, denn wer sie kontrolliert, hat vollständigen Zugriff auf die Systeme.
Ein Angreifer, der das Passwort eines Administrators ohne MFA erbeutet, kann in wenigen Minuten Unternehmensdateien mit Ransomware verschlüsseln, sensible Daten exfiltrieren oder neue Konten mit erhöhten Berechtigungen anlegen. Die Unternehmensgröße bietet keinen Schutz – im Gegenteil: Sie ist für Angreifer ein Anreiz, weil KMU häufig weniger gut abgesichert sind als große Organisationen.
Ebenfalls laut Intrusa.io-Daten waren über 60 % der von italienischen SOCs im Jahr 2025 bearbeiteten Angriffe Unternehmen mit weniger als 250 Mitarbeitern betroffen. KMU sind das bevorzugte Ziel von Ransomware, eben weil sie als anfälliger gelten.
Wo anfangen: eine praktische Schritt-für-Schritt-Anleitung
Es braucht kein monatelanges Projekt. Für ein KMU, das bei null startet, ist folgende Reihenfolge sinnvoll:
- Prüfen Sie, was Sie bereits haben. Wer Microsoft 365 Business Premium oder Google Workspace nutzt, hat MFA bereits inklusive. Sie kaufen nichts Neues: Sie aktivieren eine Funktion, für die Sie bereits zahlen und die Sie nicht nutzen.
- Beginnen Sie mit den kritischen Konten. IT-Administratoren, Zugriffe auf das ERP-System, das Unternehmens-VPN, die E-Mail-Konten der Führungskräfte. Das sind die Hauptangriffsziele.
- Weiten Sie es auf alle Benutzer aus. Die Authenticator-App ist kostenlos, wird in fünf Minuten auf dem Smartphone installiert und erfordert minimale Schulung.
- Verwenden Sie Hardware-Schlüssel für privilegierte Benutzer. Für Administratoren eliminiert ein FIDO2-Schlüssel das Restrisiko von Phishing auf OTP-Codes.
- Dokumentieren Sie alles. Für NIS2 genügt es nicht, MFA zu aktivieren: Es braucht den Nachweis, dass sie aktiv, überwacht und in den Unternehmensrichtlinien verankert ist.
Punkt 5 ist es, den viele KMU vernachlässigen. Die technische Aktivierung ist der einfachste Teil. Die Dokumentation und Governance – schriftliche Richtlinien, Zugriffsprotokolle, Verfahren zur Kontoverwaltung – sind das, was ein NIS2-Audit tatsächlich prüfen wird.
Wenn Sie keine interne IT-Fachkraft haben, reichen ein bis zwei Tage externer Beratung aus, um MFA auf Microsoft 365 oder Google Workspace korrekt zu konfigurieren und die grundlegenden Richtlinien zu setzen. Das ist kein Monatelanger Projekt: Es ist ein gezielter Eingriff mit sofortiger Wirkung.