Fragen Sie ein Sicherheitsteam nach Multi-Faktor-Authentifizierung, und Sie bekommen ein Gespräch über Risiken. Fragen Sie die Finanzabteilung, bekommen Sie eine Kostenposition. Beide haben recht. Und das Verfahren, das die meisten Organisationen heute betreiben, Passwörter mit SMS-Einmalcodes, ist in beiden Währungen zugleich teuer. Die Rechnungen kommen nur aus verschiedenen Abteilungen, deshalb zählt sie niemand zusammen.
Hier steht die gesamte Rechnung an einem Ort.
Passwörter sind eine dauerhafte Helpdesk-Steuer
Jedes vergessene Passwort ist ein Support-Ticket, und das Zurücksetzen von Passwörtern gehört zu den größten Einzelposten des Helpdesk-Aufkommens: Gartner beziffert 20–50 % aller Helpdesk-Anrufe auf genau diese Kategorie, und Forrester schätzt den Personalaufwand für ein einzelnes Zurücksetzen auf rund $70. Jeder Vorgang kostet Personalzeit in der Bearbeitung, und den ausgesperrten Mitarbeiter Produktivität, während er wartet.
Es ist ein Kostenposten, der nie endet, mit der Belegschaft wächst und nichts hervorbringt. Sie zahlen Monat für Monat dafür, eine Sicherheitsmaßnahme wieder aufzuheben, die Ihren eigenen Nutzern im Weg steht.
Der Folgekostenposten wiegt schwerer: Weil das Zurücksetzen lästig ist, wählen Nutzer schwache Passwörter, verwenden sie mehrfach und schreiben sie auf, und genau so beginnen die teuren Sicherheitsvorfälle.
SMS-Codes sind eine Verbrauchsrechnung, die immer weiter steigt
Einmalcodes per SMS zu versenden macht aus der Authentifizierung eine Ausgabe pro Nachricht:
- Sie zahlen für jede Anmeldung. Jeder Code ist eine berechnete Nachricht, und die Tarife für Application-to-Person-Nachrichten (A2P) sind gestiegen, nicht gefallen. Das Volumen wächst mit jedem Nutzer und jeder Sitzung.
- Auslands- und Roaming-Verkehr ist schlimmer. Codes an Nutzer im Ausland treffen auf Premium-Tarife und Zuschläge der Mobilfunkanbieter.
- Nicht zugestellte Codes kosten doppelt. Wenn eine SMS verzögert wird oder nie ankommt, scheitert die Anmeldung, und dieses Scheitern landet als weiteres Ticket direkt wieder beim Helpdesk, dazu ein frustrierter Nutzer oder ein verlorener Kunde im denkbar schlechtesten Moment.
- Und es ist ohnehin der schwache Faktor. SMS lässt sich per SIM-Swap übernehmen und abfangen. Sie zahlen also eine steigende Rechnung für genau die Methode, die Angreifer am leichtesten aushebeln.
Die Kosten, die Sie erst nach einem Vorfall sehen
Die Kosten von Sicherheitsvorfällen und Ausfallzeiten stellen die laufenden Ausgaben oben in den Schatten, und schwache Authentifizierung ist einer der häufigsten Einstiegswege. IBMs Cost of a Data Breach Report 2025 beziffert den weltweiten Durchschnitt eines Sicherheitsvorfalls auf $4.44 Millionen, und Vorfälle, die mit kompromittierten Zugangsdaten beginnen, mit $4.67 Millionen noch höher – ein einziger kann mehr kosten als Jahre der Helpdesk- und SMS-Posten zusammen. Diese laufenden Kosten zu beseitigen lohnt sich ebenso sehr, um jene Angriffsfläche zu schließen, wie um die monatliche Rechnung zu kürzen.
Was ein Fingertipp an der Rechnung ändert
Passwörter und SMS-Codes durch eine hardwaregebundene Freigabe auf dem Telefon des Nutzers zu ersetzen, streicht Kostenposten, statt sie umzuschichten:
- Keine Reset-Tickets. Nutzer registrieren sich in etwa zwei Minuten selbst und bestätigen mit einem Tipp: es gibt kein Passwort zu vergessen und keinen Code zu vertippen, sodass die größte Helpdesk-Kategorie gegen null schrumpft.
- Keine Gebühren pro Nachricht. Freigaben reisen als Daten, nicht als berechnete SMS. Die Verbrauchsrechnung entfällt vollständig, im Inland wie im Ausland.
- Weniger fehlgeschlagene Anmeldungen. Keine nicht zugestellten Codes bedeuten weniger Support-Tickets und weniger abgebrochene Sitzungen.
- Geringere Angriffsfläche bei Vorfällen. Ein an die Hardware des Telefons gebundener Schlüssel lässt sich nicht per Phishing erlangen, kopieren oder per SIM-Swap übernehmen. Das beseitigt jene Klasse von Angriffen auf Zugangsdaten, die die teuersten Vorfälle antreibt.
Wo Notakey ins Bild passt
Notakey ist darauf ausgelegt, diese Posten von der Rechnung zu nehmen, ohne ein Reiß-und-Ersetz-Projekt.
- Mitarbeiter registrieren sich in etwa zwei Minuten selbst: kein IT-Ticket pro Nutzer.
- Es läuft in Ihrer eigenen Infrastruktur oder in der Cloud, über die Protokolle, die Ihre Systeme ohnehin sprechen, sodass Sie es zu Ihrem Bestand hinzufügen, statt ihn zu ersetzen. Sehen Sie sich die praktischen Anleitungen an für 2FA an einem VPN über RADIUS, Windows-Remotedesktop und Linux-SSH.
- Die Ausrichtung an PSD2, eIDAS und DSGVO ist eingebaut, sodass derselbe Schritt, der Kosten senkt, auch auf der Compliance-Seite hilft.
Beziffern Sie es mit einem Pilotprojekt
Der ehrliche Weg, die Ersparnis zu bemessen, führt über Ihre eigene Umgebung: Ihr Reset-Aufkommen, Ihre SMS-Ausgaben, Ihre Fehlerquote bei Anmeldungen. Ein kurzes Pilotprojekt an einer echten VPN- oder Admin-Anmeldung liefert Ihnen diese Zahlen in einer Woche.
Testen Sie die Live-Demo, um eine Anmeldung in etwa zwei Minuten vom eigenen Telefon aus zu bestätigen, oder fordern Sie eine Demo an – wir bilden Ihre Zugänge auf ein Pilotprojekt ab und helfen Ihnen, den Business Case aufzustellen.