Authenticator-Apps, 2FA und der ganz normale Wahnsinn im Arbeitsalltag

Was ist ein Authenticator?

Ein Authenticator ist eine kleine App (oder Hardware), die zeitbasierte Einmalpasswörter (TOTP) oder Push-Benachrichtigungen erzeugt. Damit wird aus einem simplen Passwort ein zweiter Faktor. Ohne diesen zweiten Faktor ist jeder Zugang nur so sicher wie das schwächste Passwort – und wir wissen alle: das ist meist „Sommer2025!“ oder noch schlimmer.

Kurz gesagt: Wer heute ohne 2FA arbeitet, lädt Einbrecher mit Kaffee und Keks an den Server ein. Passwörter allein sind tot. Punkt.

Wieso ist ein Authenticator notwendig?

Phishing-Mails, Passwort-Leaks, gestohlene Laptops – die Angriffsfläche ist riesig. Microsoft selbst sagt: 99,9 % der kompromittierten Konten hätten mit MFA verhindert werden können. Wer also noch glaubt, 2FA sei optional, hat das Internet der letzten 10 Jahre verschlafen. In 2025 ist MFA kein Nice-to-have, sondern Pflicht. Wer es nicht einführt, handelt grob fahrlässig.

Arbeitsrechtliche Situation: Privat vs. Dienstlich

Und jetzt wird’s spannend: Arbeitgeber führen MFA ein, z. B. bei Microsoft 365. Schön. Nur: was ist, wenn Mitarbeiter ihr privates Handy dafür hergeben sollen?

Arbeitsrechtlich klar: Niemand muss sein Privathandy dienstlich nutzen. BYOD (Bring Your Own Device) geht nur mit Zustimmung. Der Arbeitgeber muss Arbeitsmittel stellen. Alles andere ist eine Grauzone, die spätestens beim nächsten Handy-Defekt oder Datenleck teuer wird.

Gründe für Ablehnung – berechtigt oder nicht?

Berechtigte Gründe:

• Privatsphäre & Datenschutz: Angst vor MDM-Profilen, Ortung, Remote-Wipe – auch wenn es „nur“ um eine App geht, bleibt Misstrauen.
• Trennung Privat/Arbeit: Push-Prompts und MFA-Pings am Sonntagabend nerven.
• Eigentum & Haftung: Geht das private Gerät kaputt, wer zahlt?
• Verfügbarkeit: Handy verloren = Konto gesperrt. Katastrophe, wenn kein Backup-Faktor existiert.

Weniger berechtigt:

• „Die App liest alles mit“ – faktisch stimmt das nicht, der Microsoft Authenticator verlangt keine Vollzugriffe. Aber: der Zwang zu einer bestimmten App ist trotzdem angreifbar.
• „SMS reicht doch“ – nein, SMS ist unsicher und wird von Microsoft nur noch widerwillig unterstützt.

Alternativen zum Microsoft Authenticator

Microsoft bevorzugt seinen eigenen Authenticator, weil nur der Push-Login und Passwortlos-Anmeldung ermöglicht. Aber: für klassisches TOTP (6-stellige Codes) lassen sich auch andere Apps oder Hardware nutzen.

Optionen:

• Andere Authenticator-Apps:
  • Google Authenticator (simpel, funktioniert)
  • Aegis (Open Source, verschlüsselte Backups)
  • Bitwarden Authenticator (Teil des Passwort-Managers)
  • Proton Authenticator (dazu gleich mehr)
• Hardware-Lösungen:
  • FIDO2 Keys (z. B. YubiKey oder Nitrokey): Phishing-resistent, passwortlos möglich. Keine App, kein Handy nötig.
  • OATH-Hardware-Token: Kleine Geräte, die TOTP-Codes anzeigen. Perfekt für Mitarbeiter ohne Smartphone.
• Diensthandy: Das sauberste Modell: Firma gibt ein separates Gerät raus, fertig.

Was macht Proton Authenticator besonders?

Proton – bekannt von ProtonMail und ProtonVPN – hat eine eigene Authenticator-App veröffentlicht. Und die geht ein paar Schritte weiter:

• Open Source: Jeder kann reinschauen. Mehr Transparenz, weniger Misstrauen.
• Ende-zu-Ende-Verschlüsselung: Alle Backups und Syncs sind verschlüsselt – keine Klartext-Codes in der Cloud.
• Multiplattform (Android, iOS, Desktop): Kein Lock-in, kein Ökosystem-Zwang.
• Import/Export: Einfacher Umzug von anderen Apps.
• Keine Werbung, kein Tracking: Wohltuend im Vergleich zu manch anderem Anbieter.

Einschränkung: Proton Authenticator funktioniert für Microsoft 365 nur als TOTP-Generator, nicht für Push-Logins oder Passwortlos-Anmeldung. Wer genau das braucht, kommt um den MS Authenticator nicht herum – oder setzt gleich auf FIDO2.

Fazit

Ohne MFA ist jede IT-Sicherheit ein Kartenhaus. Aber: Kein Mitarbeiter muss sein Privathandy dafür hergeben. Arbeitgeber müssen Alternativen bieten: Diensthandy, FIDO2-Key oder Hardware-Token. Alles andere ist billiges Outsourcing auf Kosten der Mitarbeiter. Der neue Proton Authenticator ist ein spannendes Werkzeug für alle, die mehr Kontrolle und Sicherheit bei TOTP wollen – aber in der Microsoft-Welt nicht alle Features ersetzt.

Quellen:

• Heise.de: Zwei-Faktor-Authentifizierung in der Praxis
• Microsoft Docs: Multi-Factor Authentication in Entra ID
• Golem.de: Proton bringt eigene Authenticator-App
• Arbeitsrecht.de: BYOD – rechtliche Grenzen und Probleme