Der Tech-Riese kündigt neue Sicherheitsinitiativen an – Passkeys werden zum Standard.
Microsoft hat diese Woche weitreichende Änderungen seiner Sicherheitsstrategie vorgestellt. Anlässlich des „World Passkey Day“ am Dienstag gab der Konzern bekannt, dass die erweiterten Passkey-Funktionen für Unternehmen Ende Mai allgemein verfügbar sein werden. Gleichzeitig kündigte Microsoft die Abschaffung veralteter Wiederherstellungsmethoden an, die zunehmend zur Zielscheibe von Cyberangriffen werden.
Die Ankündigungen vom 7. und 8. Mai 2026 sind Teil einer branchenweiten Initiative von Microsoft, Apple und Google. Ziel ist es, die traditionelle Kombination aus Benutzername und Passwort durch phishing-resistente, gerätebasierte Authentifizierung zu ersetzen. Angesichts der rasanten Entwicklung Künstlicher Intelligenz, die selbst komplexe Phishing-Angriffe ermöglicht, gelten klassische Passwörter längst als unzureichend.
Anzeige
Da viele dieser neuen Sicherheitsfunktionen eine aktuelle Systemumgebung voraussetzen, ist ein reibungsloser Wechsel auf das neueste Betriebssystem für viele Nutzer jetzt entscheidend. Dieser kostenlose Gratis-Report zeigt Ihnen Schritt für Schritt, wie Sie ohne Stress und ohne Risiko auf Windows 11 umsteigen. Windows 11 Komplettpaket jetzt kostenlos anfordern
Passkeys für Unternehmen kommen
Im Zentrum der aktuellen Neuerungen steht der Ausbau der Microsoft-Entra-Passkeys unter Windows. Ab Ende Mai 2026 können Nutzer gerätegebundene Passkeys direkt auf privaten oder nicht verwalteten Windows-Geräten erstellen und nutzen. Die Authentifizierung erfolgt über Windows Hello – per Fingerabdruck, Gesichtserkennung oder gerätespezifischer PIN. Ein Passwort wird nicht mehr benötigt.
Das schließt eine kritische Sicherheitslücke in Unternehmen: die Nutzung privater Geräte für dienstliche Zwecke. Mit den neuen Passkeys können Organisationen auch dann phishing-resistente Authentifizierung durchsetzen, wenn Mitarbeiter keine firmeneigenen Geräte verwenden. Die Zugangsdaten bleiben dabei sicher im Hardware-Sicherheitsmodul des Geräts gespeichert und werden niemals übers Netzwerk übertragen.
Ebenfalls Ende Mai 2026 werden Passkeys für Microsoft Entra External ID allgemein verfügbar. Das erlaubt kundenorientierten Anwendungen denselben passwortlosen Anmeldekomfort, den Microsoft-Nutzer bereits von Xbox und Outlook kennen. Der Schritt folgt einer Entscheidung aus dem Jahr 2025, neue Microsoft-Konten standardmäßig passwortlos zu machen.
Das Ende der Sicherheitsfragen
Im Rahmen seiner „Secure Future Initiative“ schließt Microsoft nun auch Hintertüren, die Angreifer gerne nutzen. Ab Januar 2027 werden Sicherheitsfragen als Option für Passwort-Zurücksetzungen in Microsoft Entra ID offiziell entfernt. Die Branche kritisiert diese Methode seit Jahren: Antworten auf Fragen nach dem Mädchennamen der Mutter oder dem ersten Haustier sind durch Social Engineering oder öffentliche Register oft leicht zu ermitteln.
Ein Microsoft-Sicherheitsmanager begründete den Schritt knapp: Wer starke Authentifizierungsmethoden einführe, müsse auch die schwachen beseitigen. Interne Daten des Konzerns zeigen, dass Angreifer zunehmend auf automatisierte Raten und Social Engineering setzen, um diese veralteten Wiederherstellungsmechanismen zu umgehen.
Als Ersatz fördert Microsoft die „High Assurance“-Kontowiederherstellung und synchronisierte Passkeys. Diese Technologie erlaubt die sichere Synchronisierung eines Passkeys über mehrere Geräte via Cloud-Dienst. Verliert ein Nutzer sein Gerät, bleibt der Zugriff auf das Konto erhalten. Die Synchronisierungsfunktion, die 2025 weiterentwickelt wurde, gilt inzwischen als ausgereift.
KI-gesteuerte Phishing-Angriffe als Treiber
Die Dringlichkeit der Ankündigungen erklärt sich aus der sich verschlechternden Bedrohungslage. Aktuelle Sicherheitsberichte von Microsoft zeigen einen dramatischen Anstieg passwortbasierter Angriffe. Erfasste das System 2015 noch etwa 115 Angriffe pro Sekunde, sind es 2026 über 4.000 Angriffe pro Sekunde – ein Anstieg von mehr als 3.300 Prozent.
Die generative KI hat die Effektivität traditioneller Social-Engineering-Angriffe fundamental verändert. Microsoft-Forscher beobachteten, dass KI-gesteuerte Phishing-Kampagnen Klickraten von bis zu 54 Prozent erreichen. Die Angriffe erstellen hochgradig personalisierte und kontextrelevante Nachrichten im großen Maßstab – für menschliche Nutzer wird es zunehmend schwieriger, legitime von betrügerischen Anmeldeaufforderungen zu unterscheiden.
Passkeys begegnen dieser Gefahr mit Public-Key-Kryptografie. Ein privater Schlüssel bleibt auf dem Gerät des Nutzers, ein öffentlicher Schlüssel wird beim Dienst registriert. Da der private Schlüssel das Gerät nie verlässt und nur durch lokale Biometrie freigeschaltet wird, kann er weder durch Phishing noch über gefälschte Websites gestohlen werden. Die FIDO Alliance schätzt, dass weltweit bereits rund fünf Milliarden Passkeys im Einsatz sind.
Microsoft geht mit gutem Beispiel voran
Der Konzern hat die Umstellung im eigenen Haus bereits weitgehend abgeschlossen. Microsoft gab bekannt, dass 99,6 Prozent der weltweiten Belegschaft und Geräteflotte auf phishing-resistente Authentifizierung umgestellt sind. Die interne Umstellung hat den Anmeldeprozess spürbar vereinfacht – Mitarbeiter müssen keine mehrfachen Codes oder sekundären Abfragen mehr verwalten.
Die Umstellung bringt auch handfeste betriebliche Vorteile. Microsofts Analyse der Anmeldedaten zeigt, dass Passkey-Nutzer in rund 98 Prozent der Fälle erfolgreich sind. Nutzer traditioneller Passwörter schaffen das nur in etwa 32 Prozent – sie scheitern häufig an vergessenen Zeichen, Tippfehlern oder abgelaufenen Zugangsdaten. Für große Unternehmen bedeutet das eine deutliche Entlastung der Helpdesks, die sich um Passwort-Zurücksetzungen kümmern müssen.
Anzeige
Da mobile Endgeräte oft das schwächste Glied in der Sicherheitskette sind, ist ein gezielter Schutz für Ihr Smartphone unerlässlich. Ein kostenloser PDF-Ratgeber zeigt Ihnen die 5 einfachsten Maßnahmen, mit denen Sie Ihr Android-Smartphone in wenigen Minuten gegen Hacker absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Microsofts Vorstoß ist Teil einer koordinierten Aktion mit anderen Mitgliedern der FIDO Alliance, darunter Amazon, Apple und Google. Gemeinsam haben die Unternehmen ein plattformübergreifendes Framework entwickelt, das es erlaubt, einen auf dem iPhone erstellten Passkey für die Anmeldung bei einem Microsoft-Dienst auf einem Windows-PC zu verwenden.
Ausblick: Der Weg zur Passwortfreiheit
Für den Rest des Jahres 2026 und darüber hinaus erwarten Branchenexperten eine weitere Verfeinerung der Wiederherstellungsmechanismen. Während Passkeys viele Sicherheitslücken von Passwörtern schließen, bleibt der Verlust des Geräts die größte Hürde für die Verbraucherakzeptanz. Microsofts Entwicklung synchronisierter Passkey-Profile und cloudbasierter Wiederherstellungsmechanismen zielt darauf ab, das Sicherheitsnetz zu schaffen, das Nutzer brauchen, um ihre Passwörter endgültig zu löschen.
Die Abschaffung der Sicherheitsfragen im Januar 2027 markiert das definitive Ende einer der ältesten Sicherheitsfunktionen des Internets. Je tiefer Microsoft und seine Partner die Passkey-Technologie in Betriebssysteme und Webbrowser integrieren, desto näher rückt die technische Realisierung einer „passwortfreien Welt“, die vor über einem Jahrzehnt erstmals skizziert wurde. Für IT-Administratoren und Sicherheitsexperten wird sich die Frage im kommenden Jahr nicht mehr stellen, ob sie Passkeys einführen sollen – sondern wie schnell sie die alte Infrastruktur abschalten können, bevor die nächste Welle KI-gesteuerter Angriffe kommt.