← Zurück zum Blog

Jenseits von Passwörtern: Wie ein moderner Identitäts-Stack für KMU aussieht

Alexandros Fotiadis
sicherheit identität passkeys kmu iam
Jenseits von Passwörtern: Wie ein moderner Identitäts-Stack für KMU aussieht

Wer ein Unternehmen mit fünf bis fünfzig Personen führt, hat wahrscheinlich noch immer einen Identitäts-Stack nach dem Muster „Passwörter plus Passwort-Manager, bei den wichtigen Sachen zusätzlich SMS-Codes”. 2021 war das akzeptabel. 2026 ist es das größte nicht bepreiste Risiko in Ihrer Bilanz.

Die gute Nachricht: Die Werkzeuge zur Behebung sind günstig, ausgereift und weitgehend interoperabel. Sie können einen belastbaren Identitäts-Stack in diesem Quartal aufbauen, ohne ein Security-Team einzustellen. So sieht er aus, und so rollen Sie ihn aus.

Was ein moderner Stack umfasst

Denken Sie Identität in fünf Schichten. Jede sollte bewusst entschieden werden.

1. Authentifizierung: Passkeys als Standard

Passkeys — FIDO2-Credentials, die auf Ihrem Gerät oder in Ihrem Passwort-Manager liegen — sind von Natur aus phishing-resistent. Google, Microsoft, Apple, GitHub und die meisten ernsthaften SaaS-Anbieter unterstützen sie. Wo Passkeys nicht gehen, setzen Sie TOTP-Authenticator-Apps ein. SMS akzeptieren Sie als zweiten Faktor nirgends mehr, wo es um Geld oder Daten geht.

2. Hardware-Keys für Administratoren

Jeder mit Admin-Rechten auf Ihren Identity Provider, Ihre Cloud, Ihre DNS, Ihren Git-Host oder Ihr Banking bekommt einen Hardware-Key. Zwei pro Person (primär und Backup), bei der Einrichtung registriert, an unterschiedlichen physischen Orten aufbewahrt. YubiKey 5, Feitian oder Token2 — einen Hersteller wählen und standardisieren. Budget: 50–80 € pro Key.

3. Ein Identity Provider (IdP) mit SSO

Ein Ort, an dem Identitäten leben, ein Ort, an dem Zugriff erteilt und entzogen wird. Realistische Optionen für KMU: Google Workspace, Microsoft Entra ID oder ein dedizierter IdP wie JumpCloud oder Okta Workforce. Kosten: 6–15 € pro Nutzer und Monat in der Stufe, die Sie tatsächlich brauchen. Der ROI ist kein Feature — es ist die Tatsache, dass Offboarding dreißig Sekunden dauert statt zwei Tagen vergessener Konten.

4. Rückruf-Protokolle für menschliche Entscheidungen

Keine Technologie verhindert, dass ein Buchhalter Geld an eine gefälschte IBAN überweist, wenn der Prozess das zulässt. Sie brauchen schriftliche Regeln:

  • Jede Änderung eines Zahlungsziels wird per Rückruf auf einer hinterlegten Nummer verifiziert.
  • Jede ungewöhnliche Zahlungsanforderung per Stimme wird mit einem Codewort verifiziert.
  • Jede „dringende, vertrauliche” Anfrage, die den Normalprozess umgeht, gilt bis zum Beweis des Gegenteils als verdächtig.

Das ist ein einseitiges Dokument, gedruckt und unterschrieben. Gleichzeitig die günstigste Kontrolle auf dieser Liste.

5. Geräte-Vertrauen

Laptops und Telefone, die Unternehmensdaten berühren, müssen dem IdP bekannt sein, verschlüsselt im Ruhezustand und gepatcht. Für Apple-Flotten ist das eine MDM-Lizenz pro Gerät (3–8 €/Monat). In gemischten Umgebungen funktionieren Kandji, Jamf oder das in Google/Microsoft integrierte Gerätemanagement. Das Ziel ist einfach: Wenn ein Gerät verloren geht, können Sie seinen Zugang entziehen, ohne es anzufassen.

Ein Phasen-Rollout

Sie müssen das nicht alles auf einmal tun. Tatsächlich sollten Sie das nicht — Änderungen an der Authentifizierung sperren Menschen gerne zum schlechtestmöglichen Zeitpunkt aus.

Phase 1 — Woche 1: Inventar und Aufräumen

  • Jedes SaaS-Konto auflisten, das das Unternehmen nutzt. Ja, alle.
  • Identifizieren, welche an private E-Mails, geteilte Passwörter oder ehemalige Mitarbeiter gebunden sind.
  • Löschen, was nicht genutzt wird. Konsolidieren, was genutzt wird.

Diese Phase ist unspektakulär und findet fast immer mindestens ein Konto, an das sich niemand mehr erinnert hat.

Phase 2 — Wochen 2–3: IdP und SSO

  • Gewählten IdP aufsetzen.
  • Die zehn meistgenutzten SaaS-Anwendungen via SSO anbinden.
  • Den Rest auf „Login mit Google/Microsoft” migrieren, wo SSO nicht verfügbar ist.
  • Standalone-Konten nach und nach stilllegen.

Phase 3 — Wochen 4–5: Passkeys und MFA-Upgrade

  • Passkeys auf dem IdP und den wichtigsten SaaS aktivieren.
  • SMS als zweiten Faktor überall deaktivieren, wo möglich.
  • Hardware-Keys an Admins ausgeben, zwei pro Person registrieren.

Phase 4 — Wochen 6–8: Geräte-Vertrauen und Prozesse

  • Laptops und Telefone ins MDM aufnehmen.
  • Rückruf-/Codewort-Dokument schreiben und unterzeichnen.
  • Erste Phishing- und Stimmbetrugs-Übung durchführen.

Nach acht Wochen ist ein Unternehmen mit 5–50 Personen materiell besser aufgestellt als neunzig Prozent seiner Vergleichsgruppe.

Kostenrahmen (grob, EU-Preise 2026)

Für ein 20-Personen-Unternehmen rechnen Sie grob mit:

  • IdP + SSO: 2.400–3.600 €/Jahr.
  • Hardware-Keys (2 × 5 Admins): 500–800 € einmalig.
  • MDM für 20 Geräte: 720–2.000 €/Jahr.
  • Rollout-Aufwand: 40–80 Stunden, intern oder extern.

Gesamtausgabe im ersten Jahr: rund 5.000–8.000 €. Vergleichen Sie das mit einem einzigen erfolgreichen Überweisungsbetrug, der sich bei unseren Kunden 2025 zwischen 8.000 € und 180.000 € bewegte.

Die Checkliste

Ausdrucken, abhaken, sichtbar aufhängen:

  • IdP steht, alle Mitarbeiter sind angelegt
  • Top-10-SaaS via SSO
  • Passkeys aktiv auf IdP + E-Mail + Git + Cloud + Banking
  • SMS-2FA überall deaktiviert, wo möglich
  • Hardware-Keys für jeden Admin, zwei pro Person
  • MDM aktiv auf allen Firmengeräten
  • Schriftliches Rückruf- und Codewort-Protokoll, unterzeichnet
  • Eine Übung in den ersten 90 Tagen
  • Offboarding-Test: Können Sie einen Austritt in unter fünf Minuten aussperren?

Wo wir ins Spiel kommen

Vieles davon können Sie selbst. Wo wir unterstützen, sind die Umstellungswochen — SaaS auf SSO migrieren, Passkey-Enforcement im IdP verdrahten, das Rückruf-Protokoll in eine Form bringen, die Menschen tatsächlich befolgen, und die erste ehrliche Übung durchführen. Wenn Sie ein zweites Paar Hände oder Augen brauchen, sprechen Sie uns an.