Passwörter sind seit Jahrzehnten der Schlüssel zur digitalen Welt. Doch selbst das stärkste Passwort ist heute nicht mehr genug, um Konten wirksam zu schützen. Cyberkriminelle nutzen automatisierte Tools, Datenlecks, Phishing oder Brute-Force-Angriffe (Angreifer versuchen verschiedenste Passwörter, bis eins passt) – und erschreckend oft reicht ein einziges kompromittiertes Passwort aus, um weitreichenden Schaden anzurichten.
Die gute Nachricht: Zwei-Faktor-Authentifizierung (2FA) fügt eine zusätzliche Schutzschicht hinzu.
Die weniger gute: 2FA ist nicht gleich 2FA. Es macht einen großen Unterschied, welcher zweite Faktor genutzt wird.
In diesem Beitrag erfahren Sie, wie 2FA funktioniert, welche Methoden sicher sind, welche weniger – und welche Alternativen es gibt, wenn Mitarbeitende nicht ihr privates Smartphone nutzen möchten.
2FA bedeutet, dass Sie zwei unabhängige Faktoren für die Anmeldung benötigen. In der Parxis sieht das folgendermassen aus:
Sie geben Ihr Passwort ein – doch statt direkt hineinzukommen, erscheint ein zweites Eingabefeld, in das Sie einen zusätzlichen Code eingeben müssen.
Dieser Code kommt klassischerweise (und idealerweise) aus einer Authenticator-App auf Ihrem Smartphone und ist nur wenige Sekunden gültig. Ohne diesen zweiten Faktor bleibt der Zugang gesperrt – selbst wenn jemand Ihr Passwort kennt. Für die 2FA braucht man also:
Wissen – etwas, das nur Sie wissen (Passwort)
Besitz oder Biometrie – etwas, das nur Sie haben (z. B. Smartphone, Hardware-Token)
Damit wird ein gestohlenes Passwort allein nutzlos.
Viele Unternehmen denken: „Wir haben 2FA aktiviert – also sind wir geschützt.“
Das klingt logisch, ist aber leider nur die halbe Wahrheit. Denn 2FA ist nicht immer gleich sicher – entscheidend ist, welcher zweite Faktor genutzt wird.
Die Zwei-Faktor-Authentifizierung beschreibt nur das Prinzip: Man braucht zwei Schritte, um sich anzumelden. Wie sicher dieser zweite Schritt ist, kann jedoch stark variieren. Manche Methoden lassen sich leicht abfangen oder austricksen, andere bieten echten, robusten Schutz.
Viele kennen 2FA als Code per SMS oder E-Mail – weil es einfach und vertraut ist. Gleichzeitig gehören genau diese Methoden zu den schwächsten Formen der 2FA. Das ist zwar einfach, aber:
SMS-Codes lassen sich durch SIM-Swapping (Angreifer übernehmen die Handynummer), Malware auf dem Smartphone oder unverschlüsselte Übertragung abfangen.
E-Mail-Postfächer sind oft selbst schlecht geschützt: Wenn jemand bereits Ihr E-Mail-Passwort kennt (was oft über Leaks passiert), kann der zweiten Faktor einfach mitgelesen werden. Damit wird der Schutz praktisch ausgehebelt.
Angreifer können beides in Kombination mit Phishing umgehen
Fazit: akzeptabel, aber kein hoher Schutz – Für Privatnutzer okay. Für Unternehmen – nicht empfehlenswert.
Apps wie Microsoft Authenticator, Google Authenticator oder Authy generieren Einmalcodes, die nicht über das Netzwerk gesendet werden.
Vorteile:
Codes entstehen lokal auf dem Smartphone
keine Angriffsfläche über SMS oder E-Mail
funktionieren auch ohne Empfang
schwer zu phishen
Fazit: Für Unternehmen eine klare und praktikable Lösung, die ein hohes Sicherheitsniveau bei minimalem Aufwand bietet.
Nicht jeder möchte für berufliche Logins ein privates Smartphone verwenden – und viele Unternehmen stellen auch nicht für jede Rolle ein Firmenhandy zur Verfügung. In solchen Fällen sind Hardware-Token eine ideale Alternative.
Dabei handelt es sich um kleine Geräte wie YubiKey oder den Reiner SCT Authenticator, die den zweiten Faktor ohne App, ohne SMS und ohne Internet bereitstellen. Sie funktionieren wie ein „digitaler Schlüssel“, den man bei Bedarf einfach einsteckt oder antippt.
Vorteile:
Perfekt für: Unternehmen, die maximale Sicherheit wollen – besonders bei Admin-Accounts, kritischen Systemen oder NIS2-relevanten Bereichen.
Zwei-Faktor-Authentifizierung ist ein wichtiger Schutz – aber sie ersetzt kein gutes Passwort.
Wenn das Passwort selbst schwach, bekannt oder mehrfach verwendet wurde, schafft 2FA zwar eine zusätzliche Hürde, aber Angreifer haben es deutlich leichter, diese zu überwinden.
Viele Cyberangriffe beginnen nämlich nicht mit hochkomplexen Tricks, sondern mit etwas sehr Einfachem:
gestohlenen oder wiederverwendeten Passwörtern aus alten Datenlecks.
Ist das Passwort unsicher, ist das Fundament wackelig – egal, wie gut die zweite Stufe ist.
Ein sicheres Passwort sollte deshalb:
aus mindestens 12–16 Zeichen bestehen
einzigartig sein – niemals dasselbe Passwort für verschiedene Dienste nutzen
komplex sein oder als Passphrase formuliert werden (z. B. mehrere Wörter + Satzzeichen)
sicher gespeichert werden, idealerweise in einem Passwortmanager
Zwei-Faktor-Authentifizierung ist heute unverzichtbar – doch die Wahl des zweiten Faktors macht den Unterschied.
SMS- oder E-Mail-Codes bieten einen grundlegenden Schutz, kommen aber bei modernen Angriffsmethoden schnell an ihre Grenzen. Authenticator-Apps sind die deutlich verlässlichere Wahl und lassen sich ohne großen Aufwand im Unternehmen einführen.
Wenn Mitarbeitende kein privates Smartphone nutzen möchten oder besonders sensible Konten geschützt werden müssen, bieten Hardware-Token wie YubiKey oder Reiner SCT eine ebenso einfache wie professionelle Alternative.
In Kombination mit starken, einzigartigen Passwörtern und einem Passwortmanager entsteht ein Sicherheitsniveau, das Angreifern das Leben erheblich erschwert – ohne komplizierte Umstellungen im Arbeitsalltag.
Wenn Sie Fragen haben oder sich über unsere Lösungen informieren möchten,
buchen Sie ganz einfach hier Ihren Termin für ein unverbindliches Beratungsgespräch.