Ein Mitarbeiter klickt auf einen Link. Dreißig Sekunden später hat ein Angreifer seine Zugangsdaten. Neunzig Sekunden später ist er im System. Am nächsten Morgen sind alle Kundendatensätze abgeflossen, inklusive Bankverbindungen. Im schlimmsten Fall sind sämtliche Daten verschlüsselt und werden nur gegen Lösegeld in Bitcoin wieder freigegeben. Sechs Monate später stellt die Aufsichtsbehörde die Frage, die sich das Unternehmen vorher hätte stellen sollen: Warum gab es keine Multi-Faktor-Authentifizierung?
Vielleicht stellt die Frage auch der Insolvenzverwalter.
Dieses Szenario ist nicht erfunden. Es ist, in groben Zügen, der Fall eines großen europäischen Telekommunikationsanbieters, der Anfang 2026 42 Millionen Euro Bußgeld u.A. dafür zahlte, weil der VPN-Zugang zu seinen Systemen nicht angemessen gesichert war.
Wir haben hier im Engity-Blog dargestellt, was heutzutage von einem modernen Authentifizierungssystem erwartet wird: Sicherheit, einfache Administrierbarkeit, Anpassbarkeit und Nutzerfreundlichkeit. Aber wie man am Eingangsbeispiel sieht: die Frage ist nicht mehr, was ein System kann – sondern was Recht, Markt und gesunder Menschenverstand heute verlangen.
Die kurze Antwort: Multi-Faktor-Authentifizierung (MFA) ist in den meisten Fällen keine Kür mehr. Sie ist Pflicht – oft im rechtlichen Sinne, fast immer im praktischen. Wer heute ein Unternehmen betreibt und seine Systeme nur mit Passwörtern schützt, geht ein Risiko ein, das gegenüber Aufsichtsbehörden. Kunden, Geschäftspartnern oder Gesellschaftern peinliche Erklärungsnöte hervorruft.
Aber der Reihe nach.
Die Bedrohungslage: Cyberangriffe als Existenzrisiko
Spricht man über Pflichten und Gesetze, ist die Gefahr hoch, dass den Zuhörern die Augenlieder schwer werden. Beginnen wir daher mit der geschäftlichen Realität. Unternehmen bestehen heute mehr denn je aus Daten, Software und geistigem Eigentum. Ein erfolgreicher Cyberangriff ist kein IT-Problem mehr – er kann die Existenz des Unternehmens gefährden.
Das ist keine Übertreibung und über viele Vorfälle berichteten wir schon in unseren Datenschutz-Digests.
Stoli, der Wodka-Hersteller, musste 2024 mit seinen US-Tochtergesellschaften Insolvenz anmelden, nachdem ein Ransomware-Angriff das ERP-System und die Finanzbuchhaltung lahmgelegt hatte. Das Unternehmen konnte schlicht keine Finanzberichte mehr an seine Kreditgeber liefern. Die Folge: Kreditlinien konnten nicht verlängert werden, was recht schnell die Insolvenzlage auslöste. Ein Cyberangriff hat ein Unternehmen buchstäblich hingerichtet.
Der japanische Getränkeriese Asahi wurde 2025 von der Ransomware-Gruppe Qilin getroffen – Bestell- und Logistiksysteme fielen aus, der Konzern musste auf Fax und handschriftliche Bestellungen zurückgreifen. In Deutschland ist die Verwendung von Fax normal, aber in Japan kam es zu Bierknappheit.
Der britische Autobauer Jaguar Land Rover verlor durch einen Cyberangriff sechs Wochen Produktion – mit Folgeschäden entlang der gesamten Lieferkette. Pikantes Detail am Rande: Eine Cyberversicherung gab es offenbar nicht.
Und der häufigste Angriffsvektor? Gestohlene Zugangsdaten. Der „Flashpoint Global Threat Intelligence Report 2025“ verzeichnete einen Anstieg kompromittierter Credentials um 33%. Allein in den ersten zwei Monaten des Jahres 2025 wurden 200 Millionen gestohlene Zugangsdaten entdeckt. Im Juni 2025 tauchte eine Sammlung von 16 Milliarden Passwörtern im Darknet auf – die größte jemals dokumentierte.
Gegen diese Art von Angriff hilft MFA. Sie ist, auch das schreiben wir immer wieder, keine magische Silberkugel. Aber sie schützt den mit Abstand häufigsten Einstiegspunkt.
Die rechtliche Landschaft: Der Druck kommt von NIS2, DORA, DSVGO und…
Um Risiken und Fälle wie die hier besprochenen zu adressieren, gibt es – kaum überraschend – auch Gesetze. Dabei gibt es nicht die „eine“ Vorschrift, die MFA vorschreibt. Es gibt vielmehr ein ganzes Geflecht aus Regelwerken, die alle in dieselbe Richtung zeigen.
DSGVO, Art. 32: Angemessene technische und organisatorische Maßnahmen
Die Datenschutz-Grundverordnung (DSGVO) verlangt von jedem Verantwortlichen, „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten zu ergreifen. Art. 32 Abs. 1 DSGVO nennt dabei explizit den „Stand der Technik" als Maßstab – neben den Implementierungskosten, der Art und dem Umfang der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere des Risikos.
Was heißt das konkret? Wer personenbezogene Daten verarbeitet – und das tut praktisch jedes Unternehmen –, muss bei der Wahl seiner Schutzmaßnahmen den aktuellen technischen Standard berücksichtigen. MFA ist heute ein solcher Standard. Die Argumentationslast liegt beim Unternehmen, das darauf verzichtet.
NIS2: Cybersicherheit als gesetzliche Pflicht. Fast
Die NIS2-Richtlinie geht einen Schritt weiter als die DSGVO. Art. 21 Abs. 2 der Richtlinie listet Mindestmaßnahmen des Cybersicherheits-Risikomanagements auf, die „wesentliche" und „wichtige" Einrichtungen ergreifen müssen. Unter lit. j nennt die Richtlinie ausdrücklich „die Nutzung von Lösungen zur Multi-Faktor-Authentifizierung oder kontinuierlichen Authentifizierung" – allerdings mit der Einschränkung „where appropriate", also „soweit angemessen."
Das ist keine uneingeschränkte Pflicht, aber es ist auch kein unverbindlicher Hinweis. MFA wird als konkrete Maßnahme beim Namen genannt. Unternehmen, die in den Anwendungsbereich der NIS2 fallen, müssen im Rahmen ihrer Risikobewertung begründen, wo MFA angemessen ist – und wo sie meinen, darauf verzichten zu können. Angesichts der aktuellen Bedrohungslage und der Tatsache, dass kompromittierte Zugangsdaten der häufigste Angriffsvektor sind, wird diese Begründung in der Praxis zunehmend schwer zu führen sein.
DORA – Der Finanzsektor als Vorreiter
Im Finanzsektor gilt der Digital Operational Resilience Act (DORA) seit Januar 2025. Art. 9 Abs. 4 lit. d der Verordnung verpflichtet Finanzunternehmen, „Richtlinien und Protokolle für starke Authentifizierungsmechanismen" zu implementieren - und zwar ohne die Einschränkung „where appropriate", die NIS2 verwendet. Die Regulatory Technical Standards zu DORA konkretisieren diese Anforderung und verlangen MFA ausdrücklich für privilegierten Zugang und für Systeme, die kritische oder wichtige Funktionen unterstützen. Wer im Finanzwesen ohne MFA arbeitet, verstößt damit nicht nur gegen Best Practices, sondern gegen geltendes Recht.
Weitere Regelwerke
Die Liste ist nicht abschließend. Der Cyber Resilience Act (CRA), der ab September 2026 Sicherheitsanforderungen für vernetzte Produkte und Software vorschreibt, verlangt „Security by Design" – was angemessene Authentifizierung einschließt. Die PSD2 im Zahlungsverkehr schreibt die sogenannte „starke Kundenauthentifizierung" (SCA) schon seit Jahren vor. Und branchenspezifische Anforderungen, etwa im Gesundheitswesen oder der kritischen Infrastruktur, verschärfen die Lage zusätzlich.
Unternehmensschutz und Haftung: Es geht nicht nur um Regulierung
Die bisher genannten Gesetze – DSGVO, NIS2, DORA – sind Regulierung „von außen“: Der Staat sagt, was zu tun ist. Aber MFA hat auch eine Dimension, die nichts mit Aufsichtsbehörden und Regulierung zu tun hat. Es geht um den Schutz des Unternehmens selbst – seiner Vermögenswerte, seiner Geschäftsgeheimnisse, seiner vertraglichen Pflichten. Und um die persönliche Haftung derjenigen, die diese Dinge schützen sollten.
In gewisser Weise ist ein Verstoß gegen Pflichten der ordnungsgemäßen Geschäftsführung für das Management eines Unternehmens oft unangenehmer als ein „reiner“ Verstoß gegen Gesetze. Es ist eine Sache, ein Bußgeld zu zahlen, eine andere Sache, eine Schadenersatzklage von den eigenen Gesellschaftern zu bekommen oder den Verlust einen Schlüsselkunden erklären zu müssen.
Geschäftsführerhaftung: Cybersicherheit ist Chefsache
Geschäftsführer einer GmbH sind nach § 43 Abs. 1 GmbHG verpflichtet, die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden. Für Vorstände einer AG gilt § 93 AktG mit vergleichbarem Maßstab. Diese Pflicht umfasst selbstverständlich auch den Schutz der IT-Systeme und Daten des Unternehmens.
Das NIS2-Umsetzungsgesetz verschärft diese Verantwortung nochmals erheblich: Es sieht eine ausdrückliche persönliche Verantwortlichkeit der Geschäftsleitung für das Cybersicherheits-Risikomanagement vor – einschließlich einer Pflicht zur eigenen Fortbildung in diesem Bereich. Die Geschäftsleitung kann diese Verantwortung nicht einfach an die IT-Abteilung delegieren und sich dann zurücklehnen.
Das bedeutet konkret: Wenn ein Geschäftsführer MFA als „zu teuer" oder „zu umständlich" ablehnt und das Unternehmen anschließend über gestohlene Zugangsdaten kompromittiert wird, steht die Frage im Raum, ob er seine Sorgfaltspflicht verletzt hat. Die Gesellschaft – oder im Insolvenzfall der Insolvenzverwalter – kann Schadensersatz fordern. Bei den Summen, die ein erfolgreicher Cyberangriff verursachen kann, ist das kein theoretisches Risiko.
Geschäftsgeheimnisse: Ohne Schutzmaßnahmen kein Schutz
Der Punkt des Schutzes von Geschäftsgeheimnissen wird in der Praxis häufig übersehen, ist aber möglicherweise der schärfste.
Nach § 2 Nr. 1 lit. b des Geschäftsgeheimnisgesetzes (GeschGehG) – der nationalen Umsetzung der EU-Geschäftsgeheimnisrichtlinie (2016/943) – ist eine Information nur dann ein Geschäftsgeheimnis, wenn der Inhaber „angemessene Geheimhaltungsmaßnahmen" getroffen hat. Das ist kein Zusatzerfordernis. Es ist ein definitorisches Element: Ohne angemessene Schutzmaßnahmen gibt es kein Geschäftsgeheimnis im Sinne des Gesetzes.
Die Konsequenz ist weitreichend. Wenn ein Unternehmen seine Systeme, auf denen wertvolles Know-how, Kundenlisten, Konstruktionsdaten oder Algorithmen liegen, nur mit Passwörtern schützt und ein Wettbewerber diese Daten abgreift, könnte das Unternehmen vor Gericht scheitern – nicht weil der Datendiebstahl in Ordnung wäre, sondern weil die Information mangels angemessener Schutzmaßnahmen gar nicht als Geschäftsgeheimnis qualifiziert. Man verliert den Schutz nicht erst durch den Angriff. Man hatte ihn möglicherweise nie.
Ob MFA in jedem Einzelfall zu den „angemessenen Maßnahmen“ im Sinne des GeschGehG gehört, hängt vom konkreten Schutzbedarf und dem Wert der Information ab. Aber bei hochsensiblen Geschäftsgeheimnissen – und das dürfte bei allem, was einen echten Wettbewerbsvorteil darstellt, der Fall sein – wird es zunehmend schwer, den Verzicht auf MFA als „angemessen" zu verteidigen.
Vertragliche Haftung: Das NDA-Problem
Ein letzter – und besonders wichtiger – Punkt folgt logisch aus den beiden vorherigen und betrifft praktisch jedes Unternehmen mit Geschäftspartnern.
Wer Vertraulichkeitsvereinbarungen (NDAs) mit Kunden, Lieferanten oder Kooperationspartnern abgeschlossen hat, verpflichtet sich typischerweise, vertrauliche Informationen mit einem bestimmten Sorgfaltsmaßstab zu schützen. Übliche Formulierungen verlangen „angemessene Maßnahmen“ oder die „Sorgfalt, die das Unternehmen auf eigene vertrauliche Informationen anwendet.“
Wenn nun ein Breach über fehlende MFA läuft und vertrauliche Informationen des Vertragspartners exponiert werden, stehen Schadensersatzansprüche und – sofern vereinbart – Vertragsstrafen im Raum. Hinzu kommen Kündigungsrechte des Partners und der Verlust des Vertrauens, der in vielen Geschäftsbeziehungen schwerer wiegt als die Vertragsstrafe.
Im schlimmsten Fall entsteht eine Kaskade: Breach über gestohlene Credentials verursacht Schadensersatz und Vertragsstrafen aus NDAs gegenüber Geschäftspartnern, dazu Verlust des Geschäftsgeheimnisschutzes für eigene Informationen nach GeschGehG und draus folgende persönliche Haftung der Geschäftsführung gegenüber der Gesellschaft.
Das ist kein konstruiertes Horrorszenario, sondern die logische Abfolge bestehender Rechtsgrundlagen.
Stand der Technik: Eine Messlatte, die sich bewegt
Über all den vorher diskutierten Punkten schwebt als Messlatte der Begriff „Stand der Technik". Das klingt harmlos, ist aber juristisch brisant. Denn er ist dynamisch. Was gestern als angemessen galt, kann heute schon zu wenig sein.
Wenn die ENISA (die EU-Agentur für Cybersicherheit), das BSI (Bundesamt für Sicherheit in der Informationstechnik), das amerikanische NIST und praktisch jeder relevante Branchenstandard MFA als „Baseline“ empfehlen, dann ist es für ein Unternehmen argumentativ sehr schwer, vor einer Aufsichtsbehörde oder einem Gericht zu begründen, warum man darauf verzichtet hat.
Das Argument „war uns zu teuer" verfängt dabei nicht. Art. 32 DSGVO verlangt zwar ausdrücklich eine Abwägung zwischen Implementierungskosten und Risiko. Aber angesichts der heute verfügbaren MFA-Lösungen – viele davon skalierbar, cloudbasiert und erschwinglich – ist dieses Argument kaum noch haltbar. Zumal das Risiko auf der anderen Seite der Waage dramatisch gewachsen ist.
Die BSI-Grundschutz-Bausteine empfehlen MFA für den Zugang zu administrativen Schnittstellen und sensiblen Systemen. ISO 27001, der internationale Standard für Informationssicherheit, verlangt eine risikoangemessene Zugriffskontrolle – und nennt MFA als wesentliches Mittel. Wer eine ISO-27001-Zertifizierung anstrebt oder hält, kommt an MFA praktisch nicht vorbei.
Hinzu kommt ein Aspekt, der gern übersehen wird: Auch die Angreifer entwickeln sich weiter. Laut einem Gartner-Report aus dem Jahr 2025 werden Kontoübernahmen durch den Einsatz von generativer und agentischer KI in naher Zukunft deutlich schneller und automatisierter ablaufen. Deepfakes und autonome KI-Agenten ermöglichen Spear-Phishing in industriellem Maßstab. Die Passwort-basierte Authentifizierung war diesem Druck schon vorher kaum gewachsen. Gegen KI-gestützte Angriffe ist sie chancenlos.
Was passiert, wenn man es nicht tut
Die Theorie ist das eine. Was in der Praxis passiert, wenn Unternehmen auf angemessene Authentifizierung verzichten, zeigen die Enforcement-Entscheidungen der letzten Monate.
Im Januar 2026 verhängte die französische Datenschutzbehörde CNIL Bußgelder von insgesamt 42 Millionen Euro gegen die Telekommunikationsanbieter Free Mobile und Free. Was war passiert? Ein Angreifer hatte sich über einen schwach gesicherten VPN-Zugang Zugriff auf die Systeme verschafft und Daten von 24 Millionen Kundenverträgen abgegriffen – einschließlich Bankverbindungen (IBANs). Über 2.500 Betroffene beschwerten sich bei der CNIL.
Die Behörde stellte unter anderem fest, dass die Sicherheitsmaßnahmen unzureichend waren. Ein besser geschützter Zugang – etwa durch MFA – hätte den Angriff möglicherweise verhindert oder zumindest erheblich erschwert. 42 Millionen Euro, weil der Zugang zum VPN nichtvernünftig abgesichert war. Das sollte jedem Geschäftsführer zu denken geben.
Und das ist kein Einzelfall. Die Gesamtsumme der DSGVO-Bußgelder hat Anfang 2026 die Marke von 7,1 Milliarden Euro überschritten. Die Zahl der täglichen Breach-Meldungen in Europa liegt erstmals über 400 – ein Anstieg von 22 Prozent gegenüber dem Vorjahr. Unzureichende technische Schutzmaßnahmen, insbesondere bei der Zugangssicherung, sind einer der häufigsten Bußgeldgründe.
MFA als Wettbewerbsvorteil
Bislang haben wir über Risiken gesprochen: Gesetzliche Pflichten, Bußgelder, existenzielle Bedrohungen. Es gibt aber auch eine andere Seite der Medaille: MFA kann ein aktiver Wettbewerbsvorteil sein, mehr hier.
Der Mechanismus ist einfach: Immer mehr Unternehmen – insbesondere solche, die selbst reguliert sind – prüfen ihre Lieferanten und Dienstleister auf deren Cybersicherheitsniveau. Wer eine ISO-27001-Zertifizierung hält, kennt das Supplier Onboarding: Fragebögen, Audits, Nachweise. Dasselbe gilt im Rahmen von NIS2, wo Unternehmen ausdrücklich verpflichtet sind, die Sicherheit ihrer Lieferkette zu gewährleisten.
Ob ein Zulieferer MFA einsetzt, ist dabei eine Standardfrage – und zunehmend ein K.O.-Kriterium. Wer MFA nachweisen kann, kommt durch diese Prüfungen. Wer es nicht kann, fliegt raus – oder kommt gar nicht erst rein.
Dass dieses Thema noch an Bedeutung gewinnen wird, zeigt ein Blick auf die aktuelle EU-Gesetzgebung. Im Januar 2026 hat die Europäische Kommission im Rahmen des neuen Cybersecurity-Pakets (CSA2) ausdrücklich anerkannt, dass die Supply-Chain-Pflichten der NIS2-Richtlinie zu „belastenden und inkonsistenten Fragebögen" geführt haben, die sich kaskadenartig durch Lieferketten ziehen. Die Kommission arbeitet an einer EU-weiten Standardisierung: einheitliche Vorgaben dafür, was in solchen Fragebögen gefragt werden darf und wie. Parallel soll ein Zertifizierungspfad entstehen, bei dem ein EU-Cybersicherheitszertifikat individuelle Fragebögen und Audits ersetzen kann.
Was bedeutet das? Wenn standardisierte Supply-Chain-Prüfungen kommen, wird MFA mit hoher Wahrscheinlichkeit als Standardanforderung auftauchen. Unternehmen, die es bereits implementiert haben, sind im Vorteil. Die anderen müssen nachrüsten – oder verlieren Aufträge.
MFA ist damit nicht nur eine Kostenstelle, sondern ein Türöffner im Vertrieb.
Nicht jedes MFA ist gleich
Wer sich für MFA entscheidet, steht vor der nächsten Frage: Welche Art von MFA?
Nicht alle MFA-Verfahren bieten das gleiche Schutzniveau. SMS-basierte Einmalcodes gelten heute beispielsweise als vergleichsweise anfällig, etwa durch SIM-Swapping oder Phishing-Angriffe. Viele Anbieter setzen daher zunehmend auf modernere Verfahren wie Authenticator-Apps, Hardware-Token oder Passkeys, die ein höheres Sicherheitsniveau bieten.
Für Unternehmen lautet die Empfehlung: Nicht einfach „irgendein“ MFA einführen, sondern die Lösung wählen, die zum Risikoprofil, den eingesetzten Anwendungen und den Schutzanforderungen der Organisation passt.
Fazit: Handeln - bevor es andere für einen tun
Die Frage „Brauche ich Multi-Faktor-Authentifizierung?" ist im Jahr 2026 die falsche Frage. Die richtige Frage lautet: Kann ich es mir leisten, darauf zu verzichten?
Die Antwort ist in den meisten Fällen: Nein. Die Bedrohungslage, die rechtlichen Anforderungen und die Erwartungen von Geschäftspartnern konvergieren. MFA ist keine Luxusmaßnahme für Großkonzerne. Es ist der Mindeststandard, den Regulatoren, Kunden und Versicherer erwarten – und der bei einem Vorfall den Unterschied zwischen „angemessen gehandelt" und „grob fahrlässig" ausmachen kann.
Wir bei Engity beschäftigen uns täglich mit genau diesen Fragen. Als europäischer Anbieter von Identity- und Access-Management-Lösungen helfen wir Unternehmen dabei, MFA und moderne Authentifizierungsverfahren sicher, DSGVO-konform und praxistauglich umzusetzen – ohne Abhängigkeit von außereuropäischen Anbietern.
Wenn Sie wissen möchten, welche Lösung zu Ihrem Unternehmen passt, sprechen Sie uns gerne an.