🚨 Im Notfall: Polizei: 110 Bank/Karten-Sperre: 116 116 → Was jetzt zu tun ist
Schutz

Passwörter und MFA

Die effektivste Einzel-Maßnahme gegen Account-Übernahmen. Multi-Faktor-Authentifizierung verhindert 99 % der automatisierten Angriffe.

Warum Passwörter allein nicht reichen

Die meisten erfolgreichen Account-Übernahmen 2026 passieren über kompromittierte Passwörter. Quellen: Daten-Leaks, Phishing, Brute-Force, Credential Stuffing.

Mit aktivierter MFA bleibt der Account meist sicher, selbst wenn das Passwort bekannt ist. Microsoft-Studie 2024: MFA blockiert 99,9 % der automatisierten Account-Angriffe.

Was ein gutes Passwort ausmacht

  • Länge wichtiger als Komplexität: 16+ Zeichen schlagen 8 Zeichen mit Sonderzeichen
  • Einzigartig pro Account: wiederverwendete Passwörter sind das größte Risiko
  • Nicht wörterbuchbasiert: keine echten Wörter, keine bekannten Sätze
  • Keine persönlichen Bezüge: Geburtsdatum, Haustier, etc.

Praxis-Lösung: Passwort-Manager, der zufällige 20-Zeichen-Passwörter generiert und speichert.

Passwort-Manager 2026

Empfehlenswerte Anbieter:

  • 1Password: kommerziell, Enterprise-tauglich, sehr gute UX (~36 Euro/Jahr)
  • Bitwarden: Open Source, gratis-Tier reicht meistens, kommerziell ab 10 Euro/Jahr
  • KeePassXC: Open Source, lokal, kostenlos - für Tech-affine
  • Apple Keychain / Google Password Manager: kostenlos, im Ökosystem bequem - reicht für Privat

Wichtig:

  • Master-Passwort sehr stark wählen und gut merken
  • Recovery-Optionen einrichten (gedrucktes Backup im Tresor)
  • MFA auch für den Passwort-Manager aktivieren

Have-I-Been-Pwned

Prüfe regelmäßig, ob deine E-Mail-Adressen oder Passwörter in bekannten Daten-Leaks aufgetaucht sind: haveibeenpwned.com

Wenn ja: betroffene Passwörter überall ändern, wo sie genutzt wurden.

MFA-Methoden im Vergleich

1. SMS-TAN

Bequem, aber unsicher. Anfällig für SIM-Swapping. Besser als nichts, aber nicht erste Wahl.

2. Authenticator-App (TOTP)

Apps wie Google Authenticator, Microsoft Authenticator, Authy, Aegis (Android). Generieren Einmal-Codes alle 30 Sekunden. Sehr sicher, einfache Nutzung.

3. Push-Benachrichtigung

Microsoft Authenticator, Google Prompt. Push-Mitteilung auf bekanntem Gerät, das man bestätigt. Bequem und sicher.

4. Hardware-Token (FIDO2/U2F)

YubiKey, Google Titan, SoloKey. Physische USB-/NFC-Schlüssel. Höchste Sicherheit. Pflicht bei sehr sensiblen Konten (Admin, Krypto-Börsen, Geschäftskonten).

5. Passkeys

Standard seit 2023, durchgesetzt 2025-2026. Kryptografische Schlüssel, gespeichert in Gerät/Wolke (Apple iCloud Keychain, Google Password Manager, 1Password). Ersetzt Passwort + MFA in einem.

Vorteile: kein Phishing möglich, keine Passwörter zum Merken oder Stehlen. Wo angeboten: nutzen.

MFA-Priorisierung

Wo MFA zwingend ist:

  • E-Mail-Account (oft Recovery-Konto für alles andere)
  • Banking, Broker, Krypto-Börsen
  • Cloud-Speicher (Google Drive, Dropbox, iCloud)
  • Passwort-Manager
  • Social Media (Account-Wert oft unterschätzt)
  • Geschäfts-Accounts (Microsoft 365, Google Workspace)
  • Admin-Zugänge zu Servern, Hosting, Domain-Registraren

Backup-Codes

Bei MFA-Aktivierung werden meist Backup-Codes ausgegeben (8-10 Einmal-Codes für den Fall, dass das Authenticator-Gerät verloren geht). Diese:

  • Ausdrucken und im Tresor / Schließfach aufbewahren
  • NICHT im gleichen Passwort-Manager speichern (Single Point of Failure)
  • Nicht in E-Mail oder Notiz-App

Für Unternehmen

  • MFA-Pflicht für alle Mitarbeiter-Accounts
  • SSO (Single Sign-On) mit zentraler MFA
  • Hardware-Tokens für Admin-Zugänge
  • Passwort-Manager für Team (z.B. 1Password Business, Bitwarden Teams)
  • Pflicht-Schulungen bei Onboarding
  • Notfall-Plan: was tun bei MFA-Gerät-Verlust

Brauchst du Hilfe?

Bei akuter Betroffenheit: Polizei 110 oder Sperr-Hotline 116 116. Bei IT-Sicherheits-Fragen im Unternehmen hilft SEO NW.

SEO NW Agentur