Sicherheits-Update: SMS-Passwort-Reset und MFA-Pflicht 06.04.2026
Der Schutz sensibler Kinder- und Teilnehmerdaten ist keine Option, sondern eine Verantwortung. Mit zwei neuen Sicherheitsfeatures macht Bookacamp es einfacher, Portale effektiv abzusichern — ohne die Benutzerfreundlichkeit zu opfern: der SMS-Passwort-Reset für Kunden- und Teamer-Portale und die verpflichtende Multi-Faktor-Authentifizierung (MFA) für Backoffice-Zugänge.
SMS-Passwort-Reset: sicher zurück ins Portal
Das klassische „Passwort vergessen"-Feature ist bekanntermaßen eine der häufigsten Angriffsflächen im Web: Wer das E-Mail-Postfach einer Person kompromittiert hat, kann über einen Passwort-Reset-Link auf alle verknüpften Dienste zugreifen. Bookacamp bietet deshalb bewusst keinen klassischen Reset-Link per E-Mail an.
Neu ist jetzt eine alternative, sichere Methode: Wenn ein Kunden- oder Teamer-Portal-Nutzer sein Passwort nicht mehr kennt, kann ein Einmalcode per SMS oder Sprachanruf an die hinterlegte Telefonnummer angefordert werden. Der Ablauf ist einfach:
- Auf der Login-Seite „Passwort vergessen" anklicken
- Die Login-E-Mail-Adresse eingeben
- Einmalcode per SMS oder Sprachanruf erhalten
- Code eingeben, neues Passwort setzen — fertig
Das Feature kann in den Kontoeinstellungen unter Sicherheit aktiviert werden. Jede erfolgreiche Zustellung wird transparent protokolliert und ist im Backoffice einsehbar. Die Kosten werden monatlich über die Bookacamp-Abrechnung verbucht.
Zum Schutz vor Missbrauch gilt eine automatische Begrenzung der Anfragen pro Zeitabschnitt. Jeder Reset-Vorgang wird außerdem als Notiz beim jeweiligen Kundenprofil bzw. Teamer-Profil hinterlegt, sodass der Vorgang lückenlos nachvollziehbar ist.
MFA-Pflicht: kein Zugang ohne zweiten Faktor
Die freiwillige MFA für Backoffice-Benutzer gibt es in Bookacamp bereits seit 2023. Viele Accounts nutzen sie — aber nicht alle. Wer wirklich sichergehen will, dass kein Backoffice-Zugang ohne MFA betrieben wird, konnte das bisher nicht technisch erzwingen.
Das ändert sich jetzt: In den Kontoeinstellungen unter Sicherheit → MFA-Pflicht kann die obligatorische MFA für alle Backoffice-Benutzer aktiviert werden. Sobald die Einstellung aktiv ist, gilt:
- Benutzer ohne eingerichtete MFA werden nach dem Login direkt auf eine Einrichtungsseite weitergeleitet
- Diese Seite kann nicht umgangen werden — kein anderer Bereich des Backoffice ist zugänglich, bevor MFA konfiguriert wurde
- Sobald MFA erfolgreich eingerichtet ist, wird der normale Arbeitsbereich freigegeben
Darüber hinaus können in den Einstellungen bereits heute Schalter für eine künftige MFA-Pflicht im Kunden- und Teamer-Portal gesetzt werden. Diese Einstellungen bereiten das System auf die Portal-MFA vor, die in einer kommenden Version ausgerollt wird.
Warum das wichtig ist
Jungend- und Freizeitveranstalter verarbeiten besonders schützenswerte Daten: Gesundheitsdaten, Familienstrukturen, Bankverbindungen, Aufenthaltsorte von Minderjährigen. Ein kompromittierter Backoffice-Zugang ist kein theoretisches Risiko — er hat für andere Unternehmen bereits zu erheblichen Schäden geführt.
MFA reduziert das Risiko drastisch: Selbst wenn ein Angreifer Benutzername und Passwort kennt, kommt er ohne den zeitlich begrenzten zweiten Faktor nicht weiter. Die Pflicht-MFA stellt sicher, dass diese Schutzschicht nicht einzelnen Mitarbeitenden überlassen bleibt, sondern für alle gilt.
Autor: Mathias Methner