Microsoft Entra ID: 3,7 Millionen gefÀlschte IDs in Angriffen
Veröffentlicht: 14.07.2026 um 00:31 Uhr, Redaktion boerse-global.de
Die neuen Conditional-Access-Regeln von Microsoft gelten ab sofort auch fĂŒr die Registrierung biometrischer Anmeldeverfahren. Ein wichtiger Schritt fĂŒr die Sicherheit deutscher Unternehmen.
Seit dem 13. Juli 2026 unterliegen auch die Einrichtungsprozesse von Windows Hello for Business und macOS Platform SSO den Conditional-Access-Richtlinien von Microsofts IdentitĂ€tsplattform Entra ID. Bislang konnten Administratoren diese kritischen RegistrierungsvorgĂ€nge nicht ĂŒber die zentralen Sicherheitsrichtlinien steuern â eine LĂŒcke, die nun geschlossen ist.
Die Ausweitung folgt auf eine weitere VerschĂ€rfung der Sicherheitsvorgaben: Bereits am 1. Juli 2026 wurde die verpflichtende Multi-Faktor-Authentifizierung (MFA) fĂŒr Azure endgĂŒltig wirksam. Die letzte mögliche Aufschubfrist war zu diesem Zeitpunkt abgelaufen.
IdentitÀtssicherheit im Wandel
Die aktuellen Neuerungen sind Teil einer umfassenden Ăberarbeitung von Microsofts IdentitĂ€tssicherheit. Im April 2026 erreichte der Entra Agent ID die allgemeine VerfĂŒgbarkeit, und seit Juni 2026 können Unternehmen auch KI-Agenten in ihre Conditional-Access-Richtlinien einbeziehen.
Microsoft macht Passkeys zum neuen Standard â doch was steckt eigentlich hinter der Technologie, die Passwörter fĂŒr immer ablösen soll? Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie Microsoft, Amazon und WhatsApp sofort sicher einrichten. Passkey-Ratgeber jetzt kostenlos herunterladen
FĂŒr europĂ€ische Organisationen kommt diese Entwicklung zur rechten Zeit. Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, und die Frist fĂŒr betroffene Einrichtungen, sich beim Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) zu registrieren, endete am 6. MĂ€rz 2026.
Die EuropĂ€ische Kommission zeigt wenig Geduld mit sĂ€umigen Mitgliedsstaaten: Sie hat Irland, Spanien, Frankreich und die Niederlande vor dem EuropĂ€ischen Gerichtshof verklagt, weil diese die NIS2-Regeln nicht fristgerecht in nationales Recht umgesetzt hatten. Die ursprĂŒngliche Frist endete bereits am 17. Oktober 2024. Die Kommission fordert nun finanzielle Sanktionen, darunter Pauschalzahlungen und tĂ€gliche Strafzahlungen.
Angreifer zielen auf IdentitÀtsinfrastruktur
Die VerschĂ€rfung der Zugriffskontrollen ist auch eine Reaktion auf zunehmend ausgefeilte Angriffsmethoden. Sicherheitsforscher von Proofpoint haben eine Technik namens OAuth-Client-ID-Spoofing identifiziert. Angreifer nutzen gefĂ€lschte Client-IDs, um Konten in Entra ID zu enumerieren â ohne dass ein erfolgreicher Anmeldevorgang in den Sicherheitslogs auftaucht. Oft bleibt das Anwendungsfeld in den Protokollen dann leer.
Zwei groĂ angelegte Kampagnen nutzen diese Methode:
- UNK_pyreq2323: Seit dem 14. Januar 2026 aktiv, mit ĂŒber 700.000 gefĂ€lschten IDs, die auf rund eine Million Nutzer abzielten.
- UNK_OutFlareAZ: Seit Dezember 2025 aktiv, setzte 3,7 Millionen gefÀlschte IDs ein, um mehr als zwei Millionen Nutzer zu attackieren.
WĂ€hrend Microsoft die HĂŒrden fĂŒr Angreifer erhöht, setzen Kriminelle verstĂ€rkt auf psychologische Tricks und Phishing, um IdentitĂ€ten zu stehlen. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen in 4 Schritten gegen moderne Cyber-Angriffe absichern. Kostenloses Anti-Phishing-Paket sichern
Besonders perfide: Angreifer nutzen auch den Umstieg auf passwortlose Authentifizierung aus. Eine als O-UNC-066 bekannte Gruppe setzt auf Vishing und Phishing-Kits, um Nutzer zur Registrierung von angreiferkontrollierten Passkeys zu bewegen. Die Gruppe betreibt seit April 2026 eine eigene Datenleak-Seite.
Ausblick: Passkeys werden Standard
Microsoft treibt den Wandel hin zur passwortlosen Authentifizierung weiter voran. Ab dem 1. September 2026 werden Passkeys zur Standard-Authentifizierungsmethode in Entra ID. Bei MFA-AnmeldevorgÀngen werden Nutzer dann aufgefordert, Passkeys zu registrieren.
Langfristig plant Microsoft die Abschaffung der eigenen SMS- und sprachbasierten Authentifizierung. Der Termin dafĂŒr steht: 1. Februar 2027. Unternehmen, die weiterhin auf telefonbasierte MFA angewiesen sind, mĂŒssen dann auf Drittanbieter ĂŒber den Microsoft Security Store zurĂŒckgreifen. Eine temporĂ€re Opt-out-Option bleibt bis zum Stichtag verfĂŒgbar.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Ănderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.
