Microsoft Entra Passkeys: Das Ende der Microsoft-basierten SMS- und Sprach-Authentifizierung

Die Microsoft Entra Passkeys werden ab dem 1. September 2026 zum neuen Standard für die Benutzeranmeldung, womit eine signifikante Zäsur in der IT-Sicherheit eingeläutet wird. Microsoft hat angekündigt, die hauseigene Bereitstellung von SMS- und sprachanrufbasierten Multi-Faktor-Authentifizierungen (MFA) schrittweise einzustellen und endgültig zum 28. Januar 2027 abzuschalten. Für kleine und mittlere Unternehmen (KMU) sowie deren IT-Abteilungen bedeutet dieser Schritt, dass bestehende Authentifizierungsstrategien grundlegend überdacht und an moderne, Phishing-resistente Standards angepasst werden müssen.

In einer Zeit, in der Künstliche Intelligenz (KI) nicht nur Geschäftsprozesse optimiert, sondern auch von Cyberkriminellen für immer raffiniertere Angriffe genutzt wird, reichen traditionelle Sicherheitsmechanismen nicht mehr aus. Der folgende Artikel beleuchtet die technischen und strategischen Hintergründe dieser weitreichenden Änderung in Microsoft Entra ID, analysiert die Schwächen veralteter Methoden und bietet einen umfassenden Leitfaden für eine reibungslose Umstellung auf Passkeys.

Die Evolution der Bedrohungslandschaft im KI-Zeitalter

Die Entscheidung von Microsoft, SMS und Sprachanrufe als Standard-MFA-Methoden in Rente zu schicken, basiert auf einer nüchternen Analyse der aktuellen Cyberbedrohungen. Über Jahre hinweg galt die Multi-Faktor-Authentifizierung mittels Einmalpasswörtern (OTP), die per SMS auf ein Mobiltelefon gesendet wurden, als verlässlicher Schutz gegen kompromittierte Passwörter. Diese Zeiten sind jedoch endgültig vorbei.

Warum SMS und Sprachanrufe nicht mehr sicher sind

Telekommunikationsbasierte Authentifizierungsmethoden weisen systembedingte Schwachstellen auf, die von Angreifern zunehmend automatisiert ausgenutzt werden. Dazu gehören unter anderem:

  • SIM-Swapping: Angreifer manipulieren Mobilfunkanbieter durch Social Engineering, um die Telefonnummer eines Opfers auf eine eigene SIM-Karte zu übertragen. Dadurch landen alle SMS-Codes mit sofortiger Wirkung beim Angreifer.
  • SS7-Interception: Schwachstellen im globalen Signalling System 7 (SS7), das für das Routing von Mobilfunkverkehr zuständig ist, ermöglichen es hochspezialisierten Akteuren, SMS-Nachrichten abzufangen, bevor sie das eigentliche Endgerät erreichen.
  • Phishing und AiTM (Adversary-in-the-Middle): Bei diesen Angriffen werden Nutzer auf gefälschte Login-Seiten gelockt. Der Nutzer gibt seinen Benutzernamen, sein Passwort und den soeben erhaltenen SMS-Code ein. Der Angreifer leitet diese Daten in Echtzeit an den echten Dienst weiter und übernimmt die authentifizierte Sitzung (Session Hijacking).

Insbesondere der letzte Punkt wird durch den Einsatz von Generativer KI drastisch verschärft. Phishing-E-Mails und gefälschte Webseiten sind mittlerweile optisch und sprachlich von legitimen Anfragen kaum noch zu unterscheiden. Die Ära der Künstlichen Intelligenz erfordert daher zwingend eine Authentifizierung, die gegen menschliche Täuschung immun ist.

Die Lösung: Phishing-resistente Passkeys

Um Kunden eine sichere Skalierung von KI-Diensten und eine robuste Zero-Trust-Architektur zu ermöglichen, etabliert Microsoft Passkeys als primäre Authentifizierungserfahrung in Microsoft Entra. Doch was genau verbirgt sich hinter dieser Technologie?

Passkeys basieren auf den WebAuthn- und FIDO2-Standards (Fast Identity Online). Im Gegensatz zu traditionellen Passwörtern oder temporären SMS-Codes existiert bei Passkeys kein „Shared Secret“ – also kein Geheimnis, das zwischen dem Nutzer und dem Server ausgetauscht wird.

Die technische Funktionsweise einfach erklärt

Bei der Registrierung eines Passkeys erzeugt das Endgerät (beispielsweise ein Smartphone, ein Laptop mit TPM-Chip oder ein Hardware-Sicherheitsschlüssel) ein kryptografisches Schlüsselpaar. Der öffentliche Schlüssel (Public Key) wird bei Microsoft Entra hinterlegt. Der private Schlüssel (Private Key) verlässt das Gerät des Nutzers niemals und ist tief in der Hardware verankert.

Wenn ein Login erfolgt, sendet Microsoft Entra eine mathematische Herausforderung (Challenge) an das Gerät. Das Gerät signiert diese Challenge mit dem privaten Schlüssel. Diese Signatur wird an Entra zurückgesendet und mit dem dort liegenden öffentlichen Schlüssel verifiziert. Der entscheidende Vorteil: Um den privaten Schlüssel auf dem Gerät zu entsperren, muss sich der Nutzer lokal authentifizieren – in der Regel über biometrische Merkmale wie Windows Hello, Apple FaceID, TouchID oder eine lokale Geräte-PIN.

Selbst wenn ein Angreifer eine täuschend echte Phishing-Seite aufbaut, kann der Passkey nicht gestohlen werden. Der Authentifizierungsprozess ist kryptografisch an die exakte Domain (z.B. login.microsoftonline.com) gebunden. Stimmt die Domain der Phishing-Seite nicht mit der legitimen Domain überein, verweigert der Browser oder das Betriebssystem die Signatur. Der Angriff läuft somit ins Leere.

Der offizielle Microsoft-Fahrplan zur Umstellung

Die Abkehr von SMS und Sprache erfolgt nicht über Nacht, sondern folgt einem fest definierten Zeitplan, der IT-Abteilungen ausreichend Vorlaufzeit gewährt. Die Meilensteine dieses Rollouts sind präzise getaktet:

1. August 2026: Vorbereitung für Drittanbieter

Ab diesem Datum wird Microsoft detaillierte Informationen, Preise und kommerzielle Bedingungen für unterstützte Telekommunikationsanbieter veröffentlichen. Dies ist relevant für Organisationen, die nach dem Stichtag zwingend weiterhin auf SMS angewiesen sind und diesen Dienst über externe Provider abbilden müssen.

1. September 2026: Beginn des Rollouts

Dies ist der Stichtag, ab dem Microsoft Entra beginnt, das Standardverhalten zu ändern. Die Umstellung betrifft alle Mandanten (Tenants) schrittweise:

  • Passkeys werden für alle Benutzer, die aktuell für SMS oder Sprache aktiviert sind, automatisch als primäre Methode freigeschaltet.
  • Die Registrierungskampagnen (Registration Campaigns) in Entra werden von Microsoft verwaltet und zielen darauf ab, Passkeys für alle berechtigten Benutzer zu pushen.
  • Nutzer erhalten während des regulären MFA-Logins Aufforderungen (Prompts), einen Passkey einzurichten. Diese Aufforderungen können von den Nutzern zunächst noch übersprungen werden.

30. Oktober 2026: Eröffnung des Microsoft Security Store

Unternehmen, die eine Migration auf Passkeys oder Microsoft Authenticator nicht rechtzeitig abschließen können oder geschäftliche Gründe für die Beibehaltung der Telefonie-basierten Methoden haben, erhalten ab Ende Oktober die Möglichkeit, aus einer Liste zertifizierter Telekommunikationsanbieter im Microsoft Security Store zu wählen.

28. Januar 2027: Das endgültige Aus für Microsoft-Telefonie

An diesem Tag wird die von Microsoft selbst bereitgestellte SMS- und Sprach-Authentifizierung vollständig deaktiviert. Ab diesem Moment gelten folgende Bedingungen:

  • Passkeys sind die uneingeschränkt empfohlene und präferierte Standardmethode.
  • SMS und Sprachanrufe funktionieren nur noch, wenn IT-Administratoren zuvor einen kundenverwalteten Telekommunikationsanbieter (Customer-Configured Telecom Provider) konfiguriert und aktiviert haben.
  • Wird keine Aktion unternommen und das Unternehmen verlässt sich weiterhin auf die alten Microsoft-Dienste, kommt es unweigerlich zu Anmeldeausfällen und massiven Betriebsunterbrechungen für die betroffenen Nutzer.

Auswirkungen auf Organisationen und IT-Abteilungen

Die Ankündigung betrifft alle Microsoft Entra ID-Mandanten, in denen Nutzer für SMS- oder Sprachauthentifizierung aktiviert sind. Das bedeutet, dass nahezu jedes Unternehmen, das Microsoft 365 nutzt und in der Vergangenheit rudimentäre MFA-Richtlinien eingerichtet hat, potenziell betroffen ist.

Die Auswirkungen eines Ignorierens dieser Fristen sind gravierend. Wenn Mitarbeiter ab Ende Januar 2027 keine SMS-Codes mehr erhalten und keine alternative MFA-Methode (wie die Microsoft Authenticator App oder FIDO2-Schlüssel) hinterlegt haben, werden sie sich nicht mehr in ihre Unternehmensanwendungen einloggen können. Dies betrifft den Zugang zu E-Mails, Teams-Chats, SharePoint-Dokumenten und allen an Entra angebundenen Drittanbieter-Applikationen. Der resultierende Support-Aufwand für den Helpdesk wäre immens.

Zudem hat diese Umstellung keine zusätzlichen Lizenzkosten zur Folge. Phishing-resistente Passkeys sind in allen Microsoft Entra-Plänen enthalten, wodurch das Sicherheitsniveau ohne direkte Software-Aufpreise signifikant gehoben wird.

Strategische Handlungsempfehlungen für die Migration

Um Unterbrechungen zu vermeiden und die Sicherheit im Unternehmen zu erhöhen, müssen IT-Verantwortliche sofortige Maßnahmen ergreifen. Ein strukturierter Projektplan ist unerlässlich.

Phase 1: Bestandsaufnahme und Auditing

Zunächst muss analysiert werden, wie groß die Abhängigkeit von SMS und Sprachanrufen im Unternehmen tatsächlich ist. Über das Microsoft Entra Admin Center (im Bereich Authentifizierungsmethoden und Anmeldeprotokolle) lassen sich detaillierte Berichte generieren. Es muss geklärt werden, wie viele und genau welche Nutzer derzeit ausschließlich Telefonie-basierte Methoden für MFA nutzen.

Phase 2: Vorbereitung der Passkey-Strategie

Die Einführung von Passkeys erfordert nicht nur technische Einstellungen, sondern auch ein durchdachtes Konzept für die Endgeräte. Es muss definiert werden, ob Passkeys an physische FIDO2-Schlüssel (z.B. YubiKeys) gebunden werden oder ob die Nutzung von Smartphone-basierten Passkeys (via Microsoft Authenticator) und Windows Hello for Business zulässig ist. Richtlinien für den Umgang mit verlorenen Geräten müssen ebenfalls vorab im IT-Handbuch fixiert werden.

Phase 3: Kommunikation und Change Management

Die Nutzer müssen frühzeitig über die anstehenden Veränderungen informiert werden. Eine transparente Kommunikation über das „Warum“ fördert die Akzeptanz. Wenn die von Microsoft gesteuerten Registrierungskampagnen ab September 2026 starten, sollten die Mitarbeiter bereits wissen, was ein Passkey ist, wie man ihn einrichtet und dass dies eine legitime, vom Arbeitgeber initiierte Sicherheitsmaßnahme darstellt.

Phase 4: Umgang mit Ausnahmen (Der Telecom Provider)

In vielen Unternehmen gibt es Szenarien, in denen Smartphones auf der Produktionsfläche verboten sind oder externe Partner angebunden werden müssen, die keine moderne Hardware besitzen. Wenn SMS als Fallback-Lösung zwingend erforderlich bleibt, muss die IT-Abteilung evaluieren, welcher Drittanbieter-Telekommunikationsdienstleister aus dem Microsoft Security Store angebunden wird. Microsoft empfiehlt dringend, diese Einrichtung mindestens vier Wochen vor dem Stichtag im Januar 2027 abzuschließen, um ausreichend Zeit für Tests zu haben.

Phase 5: Nutzung von Opt-Out-Möglichkeiten

Microsoft bietet eine temporäre Opt-out-Funktion für den Zeitraum zwischen September 2026 und Januar 2027 an. Diese Funktion ermöglicht es Unternehmen, die automatische Aktivierung von Passkeys und Registrierungskampagnen hinauszuzögern, falls mehr Zeit für die interne Migration oder die Anbindung von Telekommunikationsanbietern benötigt wird. Nach dem 28. Januar 2027 entfällt diese Möglichkeit jedoch unwiderruflich.

Compliance, NIS2 und Datenschutz

Neben den rein funktionalen Aspekten spielt die Abkehr von SMS auch bei der Einhaltung von Compliance-Vorgaben eine zentrale Rolle. Aktuelle Regularien wie die europäische NIS2-Richtlinie fordern von essenziellen und wichtigen Einrichtungen die Implementierung von Cybersicherheitsmaßnahmen nach dem neuesten Stand der Technik. Dazu gehört explizit eine starke, gegen gängige Angriffsmuster resistente Authentifizierung.

Ein Festhalten an SMS-basierten Codes, obwohl Phishing-resistente Alternativen kostenfrei zur Verfügung stehen, kann im Falle eines Cyberangriffs und eines resultierenden Datenabflusses (Data Breach) als grobe Fahrlässigkeit ausgelegt werden. Dies hätte erhebliche Konsequenzen im Rahmen der Datenschutz-Grundverordnung (DSGVO). Der Wechsel zu Passkeys ist somit nicht nur ein IT-Projekt, sondern ein elementarer Bestandteil des unternehmerischen Risikomanagements und der rechtlichen Absicherung.

Fazit: Die unausweichliche Zukunft der Identitätssicherung

Das Ende der Microsoft-eigenen SMS- und Sprachauthentifizierung markiert einen überfälligen Schritt in Richtung einer Zero-Trust-Sicherheitsarchitektur. Die Ära der Passwörter und abfangbaren Codes neigt sich dem Ende zu. Für Unternehmen bietet dieser von Microsoft vorgegebene Zeitplan eine exzellente Gelegenheit, Altlasten in der IT-Sicherheit abzubauen, Support-Kosten für vergessene Passwörter zu senken und die Widerstandsfähigkeit gegen moderne Cyberangriffe drastisch zu erhöhen. Wer jetzt handelt, analysiert und migriert, sichert nicht nur den reibungslosen Betrieb ab Januar 2027, sondern investiert nachhaltig in den Schutz seiner sensibelsten Unternehmensdaten.


DIGITALBÜRO LIMBURG – Effizienz, zukunftsfähige Prozesse, Geschäftserfolg. – denn We make IT easy & smart. 🚀

Sichern Sie den reibungslosen Übergang zur Phishing-resistenten Authentifizierung und lassen Sie sich bei der Passkey-Migration kompetent unterstützen, bevor alte MFA-Methoden ausfallen.

Weiterführende Quellen & Links

Beitrag teilen:

Ähnliche Artikel