MFA für alle SaaS-Tools, nicht nur M365: die Nachzügler-Strategie

M365 und Google machen MFA einfach. Dropbox, Slack, GitHub, Trello auch. Aber die vielen einzelnen SaaS-Tools? Dort fehlt MFA oft. Hier kommt der Aufholplan.

Du hast MFA für M365 erzwungen. Hervorragend. Was machst du mit den 35 anderen SaaS-Abonnements? Die sind wahrscheinlich ohne MFA.

Inventarisieren

Ausgehend von deinem SaaS-Inventar: für jedes Tool eine Spalte „MFA möglich?" und „MFA für alle Nutzer aktiv?".

Priorisieren

1. Tools mit Kundendaten (CRM, Kundenportal).
2. Tools mit Finanzdaten (Buchhaltung, Rechnungsstellung, Banking).
3. Tools mit Quellcode (GitHub, GitLab).
4. Tools mit Admin-Rechten über andere Tools (SSO-Provider, Passwort-Manager).
5. Rest.

Muster pro Tool

• SSO wo möglich: Tool an dein M365/Google SSO anbinden. Dann greift automatisch die MFA des SSO.
• Tool-eigene MFA: In den Account-Einstellungen aktivieren. Lässt sich häufig für alle Team-Nutzer erzwingen.
• Tool ohne MFA: Ersatz in Betracht ziehen – oder das Risiko akzeptieren und dafür eine strengere Passwort-Richtlinie sowie kürzere Überprüfungszyklen einführen.

Recovery-Codes

Bei jeder MFA-Einrichtung erhältst du Recovery-Codes. Diese MÜSSEN in einem Vault (Passwort-Manager) oder sogar in einem physischen Safe aufbewahrt werden. Wenn dein Smartphone kaputt geht und du keine Recovery-Codes hast, wirst du ausgesperrt.

MFA bei geteilten Accounts

Siehe Verwaltung geteilter Passwörter. Nutze einen Passwort-Manager mit gemeinsamem TOTP oder einen YubiKey, den du physisch ausgeben kannst.

Siehe auch: MFA in M365 ausrollen, Security-Pillar.