Zum Inhalt springen
Zurück zum Blog
Sicherheit
·Rouwen Behncke
6 Min.

Passwörter allein reichen 2026 nicht mehr: MFA & Passkeys einfach erklärt

MFA, die Mehr-Faktor-Anmeldung, verlangt neben dem Passwort einen zweiten Nachweis, etwa einen Code oder eine Bestätigung am Smartphone. Passkeys gehen noch weiter und ersetzen das Passwort ganz. Mit NIS2 ist MFA für viele Unternehmen Pflicht geworden. Dieser Beitrag erklärt beide Verfahren verständlich und zeigt, wie einfach die Umstellung ist.

Passwörter allein reichen 2026 nicht mehr: MFA & Passkeys einfach erklärt

Das Wichtigste in Kürze

Das Passwort allein ist 2026 kein ausreichender Schutz mehr. Angreifer erbeuten Zugangsdaten massenhaft über Phishing oder Datenlecks - und das BSI registriert im Schnitt rund 119 neue Schwachstellen pro Tag - ein Plus von 24 % gegenüber dem Vorjahr. Deshalb ist die Multi-Faktor-Authentifizierung (MFA) inzwischen Standard und über NIS2 für betroffene Unternehmen sogar Pflicht.

Der nächste Schritt sind Passkeys: Sie ersetzen das Passwort komplett durch eine sichere Anmeldung per Fingerabdruck - Gesicht oder Geräte-PIN. Das ist nicht nur sicherer - sondern für eure Mitarbeitenden auch bequemer - kein Merken - kein Zurücksetzen - kein Aufschreiben mehr. Beide Verfahren lassen sich in den meisten Firmen innerhalb eines Tages einführen.

Warum Passwörter scheitern

Passwörter haben drei eingebaute Schwächen: Sie werden mehrfach verwendet - sie lassen sich abphishen - und sie tauchen in Datenlecks auf. Selbst ein langes - komplexes Passwort nützt nichts - wenn es eine täuschend echte Phishing-Seite abfängt. Gegen diese Schwächen helfen die folgenden Verfahren.

MFA in einem Satz

Multi-Faktor-Authentifizierung bedeutet: Zum Passwort kommt ein zweiter Nachweis - etwa eine Bestätigung in einer App auf eurem Handy. Selbst wenn Angreifer das Passwort kennen - fehlt ihnen der zweite Faktor. Das blockiert die große Mehrheit automatisierter Angriffe.

Passkeys: passwortlos erklärt

Ein Passkey ist ein digitaler Schlüssel - der sicher auf eurem Gerät liegt. Beim Anmelden bestätigt ihr einfach per Fingerabdruck - Gesicht oder PIN - ohne ein Passwort einzugeben. Der entscheidende Vorteil: Es gibt kein Passwort - das gestohlen oder abgephisht werden könnte. Passkeys gelten daher als besonders sicher gegen Phishing.

Passwort - MFA - Passkey - der Vergleich

  • Nur Passwort: geringer Schutz - anfällig für Phishing und Datenlecks - hoher Verwaltungsaufwand (Zurücksetzen).
  • Passwort + MFA: deutlich höherer Schutz - blockiert die meisten Angriffe - kleiner Mehraufwand beim Anmelden.
  • Passkey: höchster Schutz (phishing-resistent) - bequemste Anmeldung - kein Passwort mehr nötig - moderne Geräte und Dienste unterstützen es bereits breit.

In einem Tag eingeführt

Für die meisten Betriebe genügt es - MFA in der bestehenden Microsoft-365- oder Cloud-Umgebung zu aktivieren und schrittweise auf Passkeys umzustellen. Wichtig ist eine kurze Einführung für die Mitarbeitenden - damit die Umstellung nicht als Hürde - sondern als Erleichterung ankommt. Im laufenden Managed-Service lässt sich das ohne Projektaufwand mitmachen.

Checkliste: Anmeldung absichern

  • ☐ MFA für alle Mitarbeitenden aktiviert (nicht nur für Admins)
  • ☐ MFA per App statt per SMS (SMS ist angreifbar)
  • ☐ Passkeys dort aktiviert - wo Geräte und Dienste sie unterstützen
  • ☐ Notfall-Zugänge (Break-Glass-Konten) definiert
  • ☐ Kurze Einweisung für Mitarbeitende durchgeführt

Häufige Fragen zu MFA & Passkeys (FAQ)

Ist MFA nicht umständlich im Alltag?

Kaum. Moderne Verfahren fragen nur bei neuen Geräten oder ungewöhnlichen Anmeldungen nach - im Alltag merkt man wenig davon.

Was passiert - wenn ein Mitarbeiter sein Handy verliert?

Über vorab eingerichtete Ersatzfaktoren oder Notfall-Zugänge lässt sich der Zugang sicher wiederherstellen. Das gehört zur sauberen Einrichtung dazu.

Brauchen wir trotzdem noch Passwörter - wenn wir Passkeys nutzen?

In der Übergangsphase meist ja - als Rückfalloption. Ziel ist aber - Passwörter Schritt für Schritt überflüssig zu machen.

Verlangt NIS2 zwingend MFA?

MFA gehört zu den geforderten Risikomanagementmaßnahmen. Für betroffene Unternehmen ist sie damit praktisch Pflicht.

Fazit

Passwörter allein sind 2026 zu wenig. MFA blockiert die meisten Angriffe - Passkeys machen das Passwort ganz überflüssig - sicherer und bequemer zugleich. Die Umstellung ist klein - der Sicherheitsgewinn groß.

Wir aktivieren MFA und Passkeys in eurer Umgebung und betreuen sie laufend mit - siehe Cyber-Sicherheit und Managed Services.

Quellen

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil