Zwei-Faktor-Authentifizierung

Eine Zwei-Faktor-Authentifizierung (2FA) ist heute ein Mindeststandard, aber längst kein Garant für sichere Anmeldungen und Transaktionen mehr. Wer heute erst überlegt, einen zweiten Faktor im Unternehmen einzuführen, sollte den dritten Faktor gleich mitdenken.

Warum ist eine Zwei-Faktor-Authentifizierung wichtig?

Immer wieder kommt es zu Datenpannen in Unternehmen, wenn Betrüger sensible Daten über gefälschte E-Mails, SMS oder Anrufe abfragen (Phishing). Oft werden hierbei E-Mail-Adressen, Passwörter oder Namen und Geburtsdaten abgefragt. Auch Malware (Viren, Ransomware) können in einen Betrieb gelangen, wenn Mitarbeitende unvorsichtig mit E-Mails und insbesondere Anhängen oder Links in diesen umgehen. Neben dem Diebstahl personenbezogener Daten können Angriffe dieser Art auch Betriebsabläufe stören, indem Systeme abgeschaltet oder Server überlastet werden, Daten und Systeme verändert, beschädigt oder gelöscht werden und zu finanziellen Einbußen führen, wenn Geld erpresst oder Finanzinformationen gestohlen werden.

Obwohl all diese Risiken weder neu noch unbekannt sind, gibt es immer noch zahlreiche Betriebe, die bisher keinen zweiten Faktor als gängigen Standard im Unternehmen etabliert haben. Es scheint der Glaube daran zu bestehen, dass solche Angriffe beim eigenen Unternehmen ausgeschlossen seien oder die eigenen Mitarbeitenden sicher davor seien, auf Betrüger hereinzufallen. Oftmals muss scheinbar erst etwas passieren, damit ein Handlungsbedarf erkannt wird.

Was sind die Folgen eines Hackerangriffs ohne Zwei-Faktor-Authentifizierung?

Die Folgen, wenn es zu einem Hackerangriff kommt, können weitreichend, langfristig und teuer sein:

  • Verlust von Vertrauen der Mitarbeitenden, Kunden, Geschäftspartnern
  • Finanzielle Einbußen durch gestohlene Finanzdaten
  • Gesunkene Reputation in den Augen der Öffentlichkeit

Umso verheerender sind die Folgen, wenn kein zweiter Faktor im Unternehmen vorhanden ist. Denn dieser wird von der Unternehmenshaftpflicht und Cyberversicherung vorausgesetzt, damit die Versicherung überhaupt greift und in Betracht zieht, die Folgen des Angriffs zu bezahlen.

Ist das Kind dann in den Brunnen gefallen, der Schaden bestmöglich begrenzt und der zweite Faktor eingeführt, kann aufgeatmet werden – oder?

Audits beim Summer of Compliance
Testen Sie Ihre Datenschutzkonformität mit unserem Datenschutz Webaudit!

Wie wird die 2FA umgangen?

Zwar ist ein zweiter Faktor auf jeden Fall sicherer als ein reiner Passwortschutz, doch gilt er als bloßer Mindeststandard und ist schon lange kein Garant mehr dafür, dass Daten zuverlässig geschützt sind. Betrüger haben Wege gefunden, auch diesen zu umgehen. Beispiel hierfür ist Tycoon 2FA, das die Zwei-Faktor-Authentifizierung aushebelt, indem Opfer auf gefälschte Websites gelockt werden, die bekannten Anbietern wie Google oder Microsoft bis ins Detail ähneln. Dort werden Opfer aufgefordert, sich mit ihren Zugangsdaten und der 2FA-Authentifizierung anzumelden. Während die eingegebenen Daten im Hintergrund an den echten Anbieter weitergeleitet werden, was einen erfolgreichen Login ermöglicht, wird der zweite Faktor von den Hackern über einen Reverse-Proyxy-Server abgefangen. Über einen Sitzungscookie erhalten die Betrüger dauerhaften Zugriff auf das Konto des Opfers.

Wie sieht eine Drei-Faktor-Authentifizierung aus?

Hacker sind einfallsreich und geschickt, sodass die Zahl der Betrugsmaschen stetig steigt. Wer 2025 erst plant, einen 2. Faktor einzuführen, sollte diesen gleich so einrichten, dass auch ein dritter Faktor abgefragt werden kann, um Betrügern weiterhin einen Schritt voraus zu sein. Folgendermaßen kann eine Drei-Faktor-Authentifizierung aussehen:

  • Faktor 1: Wissen – etwas, das ich weiß (z. B. PIN).
  • Faktor 2: Besitz – etwas, das ich habe (z. B. mein Handy/Arbeitslaptop).
  • Faktor 3: Ich selbst – etwas, das ich bin oder nur ich tun kann (z. B. Fingerabdruck/FaceID oder eine konkrete Bestätigung „Empfänger X, Betrag Y passt“).

Nachfolgend ein Beispiel, wie die Drei-Faktor-Authentifizierung im Alltag eingesetzt werden kann:

  • Normaler Login: Handy + Fingerabdruck/FaceID.
  • Sensible Aktion (z. B. Geld überweisen, Rechte ändern, Stammdaten ändern): zusätzliche Bestätigung wird verlangt, das ist der „3. Faktor“.
  • Bei auffälligen Situationen (neues Land, neues Gerät): ebenfalls dritter Faktor.

Vorteil dieser Methode ist, dass im Alltag bequeme, klickarme Authentifizierungsmaßnahmen eingesetzt werden, bei heiklen Situationen jedoch automatisch ein dritter Faktor verlangt wird. Dadurch dauert ein Login auch nicht zwingend länger als zuvor. Kosten, die durch die Einführung entstehen, rechnen sich mit der Zeit, da teure Sicherheitsvorfälle eher vermieden werden können. Auch Alt-Systeme sollten nicht als Ausrede gelten dürfen, da ein Wechsel unausweichlich ist. Arbeiten Sie mit Übergangslösungen und setzen Sie klare Abschalttermine.

M365 Tenant datenschutzkonform konfigurieren. Sie sind unser Kunde? Dann füllen Sie das Kontaktformular aus und erhalten Sie einen 100 %-Rabatt auf das Produkt!
M365 Tenant datenschutzkonform konfigurieren. Sie sind unser Kunde? Dann füllen Sie das Kontaktformular aus und erhalten Sie einen 100 %-Rabatt auf das Produkt!

Fazit

Um Ihr Unternehmen vor Angriffen zu schützen, ist eine Zwei-Faktor-Authentifizierung obligat und sollte ein Mindeststandard sein. Besser noch ist es, einen weiteren Schritt zu gehen und über die Einführung eines dritten Faktors nachzudenken. Sollten Sie individuelle Beratung wünschen oder Hilfe bei der Umsetzung brauchen, kontaktieren Sie uns gerne.

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!
Hermine Klehm
Hermine Klehm
Veröffentlicht am 10. Oktober 2025

Hermine Klehm ist Content-Managerin mit einem Hintergrund in Deutscher Literatur und Philosophie. Sie verfasst Inhalte für Blogs und Websites. Mit einem feinen Gespür für Sprache und Struktur verbindet sie kreative Textarbeit mit strategischem Content-Marketing.

Tags: