Cyber Essentials Plus: MFA jetzt für alle Benutzer Pflicht
28.06.2026 - 02:01:48 | boerse-global.de
Ab sofort müssen Unternehmen eine Multi-Faktor-Authentifizierung (MFA) für sämtliche Benutzerkonten nachweisen – nicht mehr nur für Administratoren.
Das ist ein Paradigmenwechsel. Bislang galt die MFA-Pflicht lediglich für administrative Zugänge bei Cloud-Diensten und internetfähigen Systemen. Die aktualisierten Vorgaben, die auf dem Standard Danzell v3.3 basieren und seit dem 27. April 2026 in Kraft sind, erweitern den Prüfumfang erheblich.
Cloud, Remote-Geräte und Firmware im Visier
Die Neuerungen bringen Cloud-Dienste, Remote-Endgeräte und Firmware-Updates explizit in den Geltungsbereich der Zertifizierung. Jeder internetfähige Dienst muss künftig per MFA geschützt sein – unabhängig von der Rolle des Nutzers.
Auch die Passwortregeln wurden angepasst: Bei aktivierter MFA genügt eine Mindestlänge von acht Zeichen. Verzichten Unternehmen auf die zweite Sicherheitsstufe, sind zwölf Zeichen Pflicht. Abgeschafft haben die Prüfer dagegen den früher üblichen Zwang zum regelmäßigen Passwortwechsel. Sicherheitspatches für bekannte Schwachstellen müssen innerhalb von 14 Tagen eingespielt werden.
Jeder dritte Betrieb fällt durch
Mehr als 50.000 Organisationen in Großbritannien halten inzwischen die Basis-Zertifizierung Cyber Essentials. Der Sprung zur Plus-Stufe bleibt jedoch eine Hürde: 32 Prozent der Prüfungen scheitern beim ersten Versuch. Hauptgründe sind ungepatchte Sicherheitslücken, veraltete Betriebssysteme und Lücken bei der MFA-Abdeckung von Cloud-Diensten.
Angesichts immer strengerer Compliance-Vorgaben und steigender Cyberrisiken müssen Unternehmen ihre Abwehrstrategien proaktiv anpassen. Dieses Gratis-E-Book enthüllt, wie Sie bestehende Sicherheitslücken schließen und neue gesetzliche Anforderungen ohne hohe Investitionen erfüllen. IT-Sicherheit stärken und Unternehmen langfristig schützen
Der Prüfprozess, den das National Cyber Security Centre (NCSC) und die Zertifizierungsstelle IASME durchführen, umfasst authentifizierte Scans und Malware-Simulationen. Getestet werden Firewalls, Zugriffskontrollen und Virenschutz. Gut vorbereitete Unternehmen durchlaufen das Verfahren in zwei bis sechs Wochen. Bei größeren oder unzureichend vorbereiteten Betrieben kann es bis zu acht Wochen dauern. Das Zertifikat gilt zwölf Monate – Voraussetzung ist eine bestandene Basis-Zertifizierung innerhalb der 90 Tage vor der Plus-Prüfung.
90 Millionen Pfund für kleine Firmen
Die britische Regierung treibt parallel die nationale Cyber-Agenda voran. Minister Lloyd kündigte kürzlich die Einführung eines Cyber Security and Resilience Bill an. Das Gesetz soll risikobasierte Vorschriften für kritische Infrastrukturen schaffen. Zusätzlich stellt die Regierung 90 Millionen Pfund bereit, um speziell kleine und mittlere Unternehmen (KMU) bei der Cyber-Absicherung zu unterstützen.
Ein Cyber Resilience Pledge soll zudem die Verantwortung auf Vorstandsebene verankern und Frühwarnsysteme fördern. Ein umfassender National Cyber Action Plan ist für den Sommer 2026 angekündigt. Der Handlungsdruck ist enorm: Interne Erhebungen zeigen, dass fast die Hälfte aller britischen Unternehmen im vergangenen Jahr einen Cyber-Vorfall erlitt. Phishing war mit 84 Prozent die mit Abstand häufigste Einfallstür.
Da Phishing für 84 Prozent der Vorfälle verantwortlich ist, reicht ein einfacher Passwortschutz heute nicht mehr aus, um sensible Unternehmensdaten zu sichern. Erfahren Sie in diesem kostenlosen Report, wie die neue Passkey-Technologie das Einloggen sicherer macht und Hackern keine Chance mehr lässt. Kostenlosen Passkey-Ratgeber jetzt anfordern
Neue Angriffswelle auf MFA
Ausgerechnet die nun zur Pflicht werdende MFA gerät zunehmend ins Visier von Angreifern. Sicherheitsforscher entdeckten kürzlich die Phishing-as-a-Service-Plattform Bluekit. Sie nutzt eine „Browser-in-the-Middle"-Technik, um Microsoft-Anmeldedaten und Sitzungstoken zu stehlen. Die Methode umgeht selbst SMS-basierte und App-gestützte MFA, indem sie dem Opfer eine echte Anmeldeseite vorspielt und die eingegebenen Daten in Echtzeit abgreift.
Da Identitätsangriffe Branchendatuen zufolge für 80 Prozent aller Sicherheitsverletzungen verantwortlich sind, setzt das NCSC zunehmend auf Passkeys. Diese kryptografischen Schlüssel sind an ein bestimmtes Gerät gebunden und werden per Biometrie freigegeben. Der Cyber Essentials Standard schreibt sie noch nicht vor – doch sie gelten bereits heute als mindestens so sicher wie das stärkste Passwort in Kombination mit einer zweiten Sicherheitsstufe.
