In diesem Artikel finden (Super-)Administrator:innen alle relevanten Informationen zur Zwei-Faktor-Authentifizierung (2FA).
Die Zwei-Faktor-Authentifizierung (2FA) wird ab dem 1. Mai 2026 verpflichtend für alle Mitarbeitenden von allen Schulen.
INHALTSVERZEICHNIS
Aktivierung 2FA
Die Zwei-Faktor-Authentifizierung (2FA) ist standardmässig aktiviert und für Superadministrator:innen sowie Administrator:innen verpflichtend. Für diese Rollen kann die 2FA nicht deaktiviert werden.
Für alle weiteren Rollen und Personengruppen kann die 2FA durch Superadministratoren (in Mehrschulsystemen) oder Administratoren (in Einschulsystemen) eigenständig aktiviert werden.
Die Konfiguration erfolgt über das Control Panel im Bereich «Sicherheit». Dort kann festgelegt werden, für welche Personen die 2FA aktiv sein soll.
Zusätzlich kann ein Intervall festgelegt werden, das bestimmt, wie oft die 2FA im selben Browser auf demselben Gerät erneut eingegeben werden muss. Innerhalb dieses Zeitraums bleibt die 2FA (als Cookie im Browser) gespeichert, sodass die 2FA nicht bei jedem Login erneut durchgeführt werden muss.
2FA-Methoden
Für die Zwei-Faktor-Authentifizierung (2FA) stehen den Benutzer:innen verschiedene Methoden zur Verfügung.
Zu jeder Methode gibt es einen eigenen FAQ-Artikel mit Video, welcher die Einrichtung und Verwendung erklärt.
Die Benutzer:innen können die Methoden selbständig aktivieren und frei entscheiden, welche sie nutzen möchten.
Beim Login wird automatisch diejenige Methode vorgeschlagen, die zuletzt verwendet wurde – es kann aber jederzeit auf eine andere gewechselt werden (z. B. von SMS zur Escola App).
Folgend alle Methoden im Überblick:
2FA via Escola App
Sobald die Escola App (mindestens Version 2.7.0) installiert und ein Login erfolgt ist, steht die 2FA via Escola App automatisch zur Verfügung. Die Anmeldung wird dadurch besonders einfach: Statt eines Codes reicht ein Fingertipp auf die Push-Benachrichtigung – sicher und bequem zugleich.
Die 2FA via Escola App funktioniert nur für Anmeldungen im Webportal. Bei einer Anmeldung in der App auf einem weiteren Gerät muss eine andere Methode genutzt werden.
Detaillierte Informationen zur 2FA via Escola App: 2FA: Escola App
Passkey
Passkeys sind keine klassische 2FA-Methode, sondern ein neuer Ansatz. Dabei werden Benutzername, Passwort und Zwei-Faktor-Authentifizierung in einem einzigen Verfahren kombiniert. Die Zugangsdaten bleiben sicher auf dem Gerät der Benutzer:innen gespeichert. Nach der einmaligen Einrichtung ist bei weiteren Logins keine Passworteingabe mehr nötig – das Gerät übernimmt den Login automatisch. Auf diese Weise wird die Anmeldung sowohl sicherer als auch schneller und komfortabler.
Detaillierte Informationen zum Login mit Passkeys: Login mit Passkeys
Authentifizierungsapp
Mit einer Authentifizierungsapp werden zeitbasierte Einmalcodes (TOTP) erzeugt, die beim Login eingegeben werden. Nach der einmaligen Einrichtung funktioniert das ganz ohne Internet oder SMS – einfach, sicher und zuverlässig.
Wird die 2FA aktiviert, wird automatisch die Einrichtung einer Authentifizierungsapp den Benutzer:innen vorgeschlagen. Diese kann sofort durchgeführt oder über «Später einrichten» verschoben werden.
Detaillierte Informationen zur 2FA via Authentifizierungsapp: 2FA: Authentifizierungsapp
2FA via SMS
Mit 2FA via SMS erhalten Benutzer:innen beim Login einen Einmalcode per SMS, den sie eingeben, um sich anzumelden. Dafür können sie ihre geschäftliche oder private Telefonnummer verwenden. Zusätzlich lässt sich auch eine separate Nummer nur für die 2FA hinterlegen.
Detaillierte Informationen zur 2FA via SMS: 2FA: SMS
2FA via E-Mail (als Fallback)
Wenn keine der primären 2FA-Methoden (Escola App, Authentifizierungs-App oder SMS) eingerichtet ist, erfolgt die Zwei-Faktor-Authentifizierung automatisch per E-Mail (geschäftliche oder private E-Mail) – ansonsten ist E-Mail als 2FA-Methode nicht verfügbar. So bleibt der Zugang auch ohne primäre Methode geschützt.
Allerdings gilt: Hat ein Angreifer Zugriff auf das E-Mail-Konto, kann er damit sowohl das Passwort zurücksetzen als auch die 2FA ausführen. Escola empfiehlt deshalb dringend, eine der primären 2FA-Methoden einzurichten.
Kosten 2FA
Die 2FA ist bei allen Methoden – ausser SMS – komplett kostenlos.
Für SMS entstehen Escola die üblichen Gebühren. Damit Schulen diese Methode trotzdem unkompliziert nutzen können, stellt Escola ein Grundkontingent an kostenlosen SMS für die 2FA zur Verfügung (2× die Anzahl Schüler:innen pro Jahr). In den meisten Fällen reicht das bereits aus.
Sollte mehr benötigt werden, werden die zusätzlich verwendeten SMS automatisch zu einem Preis von 0.04 CHF pro SMS (inkl. 50 % Rabatt) der Schule verrechnet.
Es müssen keine SMS-Pakete für die 2FA gekauft werden. Die Abrechnung wird automatisch jährlich stattfinden. Im Messenger unter «SMS-Statistiken und Packages» kann ab dem Fr, 3. Oktober der aktuelle Verbrauch eingesehen werden.
Ausblick
Ab dem 1. Mai 2026 ändern sich einige Punkte, um die Anmeldung noch sicherer zu machen:
- 2FA wird für alle Mitarbeitenden verpflichtend.
- Benutzer:innen, die keine Methode eingerichtet haben (Escola App, Passkey, Authentifizierungs-App, SMS oder E-Mail), können sich ab diesem Zeitpunkt nicht mehr einloggen.
- Benutzer:innen, die nur die E-Mail-Methode nutzen, werden beim Login automatisch aufgefordert, zusätzlich eine andere Methode einzurichten.
- Optional kann die Schule einstellen, dass SMS nur noch als zusätzliche (sekundäre) Methode zur Verfügung steht – wie E-Mail.
2FA in Kombination mit Microsoft Single Sign-on (SSO)
Der SSO mit Microsoft funktioniert unabhängig vom Login mit Escola. Eine zusätzliche 2FA in Escola ist dabei nicht erforderlich, da die 2FA direkt durch Microsoft erfolgt. Deshalb wird allen Schulen ausdrücklich empfohlen, die 2FA in Microsoft zu aktivieren. Für die Einrichtung gibt Escola zwei Empfehlungen:
2FA-Intervall
Wir empfehlen, den 2FA-Intervall auf mehrere Tage oder Wochen zu setzen (Standard in Escola: 30 Tage).
Sehr kurze Intervalle (z. B. alle 2 Stunden) bieten kaum zusätzlichen Schutz, da die 2FA ohnehin bei jedem neuen Gerät oder Browser abgefragt wird. Das Risiko reduziert sich damit nur im seltenen Fall, dass jemand Zugriff auf ein bereits eingeloggtes Gerät erhält. Demgegenüber stehen deutliche Nachteile: Benutzer:innen müssen sich ständig neu verifizieren, was die Nutzung unnötig erschwert und die Akzeptanz senkt. Zudem zeigen Erfahrungen, dass überstrenge Vorgaben zu unsicheren Workarounds führen können. Längere Intervalle bleiben daher der beste Kompromiss.
2FA im Schulnetzwerk
In Microsoft kann festgelegt werden, dass die Zwei-Faktor-Authentifizierung (2FA) nur abgefragt wird, wenn ein Zugriff von ausserhalb des Schulnetzwerks erfolgt. Diese Einstellung wirkt zwar komfortabel, erhöht jedoch das Sicherheitsrisiko. Die Gefahr geht nicht nur von externen Angreifern aus. Ein Risiko besteht auch innerhalb der Schule – etwa dann, wenn Schüler:innen an Login-Daten von Lehrpersonen gelangen, zum Beispiel durch einen unvorsichtigen Umgang mit den Zugangsdaten. In einem solchen Fall wäre ein Login im Schulnetzwerk ebenfalls möglich.
War dieser Artikel hilfreich?
Das ist großartig!
Vielen Dank für das Feedback
Leider konnten wir nicht helfen
Vielen Dank für das Feedback
Feedback gesendet
Wir wissen Ihre Bemühungen zu schätzen und werden versuchen, den Artikel zu korrigieren