Microsoft, Entra

Microsoft Entra ID: 3,7 Millionen gefÀlschte IDs in Angriffen

Veröffentlicht: 14.07.2026 um 00:31 Uhr, Redaktion boerse-global.de

Microsoft schließt SicherheitslĂŒcke bei biometrischer Anmeldung. Neue Conditional-Access-Regeln fĂŒr Windows Hello und macOS SSO ab sofort aktiv.

Microsoft Entra ID: Neue Conditional-Access-Regeln fĂŒr Windows Hello
Stilisiertes digitales VorhĂ€ngeschloss ĂŒber leuchtendem Datennetz, symbolisiert Sicherheit und digitale IdentitĂ€t. Illustration mit AI erstellt ĂŒbermittelt durch boerse-global.de

Die neuen Conditional-Access-Regeln von Microsoft gelten ab sofort auch fĂŒr die Registrierung biometrischer Anmeldeverfahren. Ein wichtiger Schritt fĂŒr die Sicherheit deutscher Unternehmen.

Seit dem 13. Juli 2026 unterliegen auch die Einrichtungsprozesse von Windows Hello for Business und macOS Platform SSO den Conditional-Access-Richtlinien von Microsofts IdentitĂ€tsplattform Entra ID. Bislang konnten Administratoren diese kritischen RegistrierungsvorgĂ€nge nicht ĂŒber die zentralen Sicherheitsrichtlinien steuern – eine LĂŒcke, die nun geschlossen ist.

Die Ausweitung folgt auf eine weitere VerschĂ€rfung der Sicherheitsvorgaben: Bereits am 1. Juli 2026 wurde die verpflichtende Multi-Faktor-Authentifizierung (MFA) fĂŒr Azure endgĂŒltig wirksam. Die letzte mögliche Aufschubfrist war zu diesem Zeitpunkt abgelaufen.

IdentitÀtssicherheit im Wandel

Die aktuellen Neuerungen sind Teil einer umfassenden Überarbeitung von Microsofts IdentitĂ€tssicherheit. Im April 2026 erreichte der Entra Agent ID die allgemeine VerfĂŒgbarkeit, und seit Juni 2026 können Unternehmen auch KI-Agenten in ihre Conditional-Access-Richtlinien einbeziehen.

Anzeige

Microsoft macht Passkeys zum neuen Standard – doch was steckt eigentlich hinter der Technologie, die Passwörter fĂŒr immer ablösen soll? Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie Microsoft, Amazon und WhatsApp sofort sicher einrichten. Passkey-Ratgeber jetzt kostenlos herunterladen

FĂŒr europĂ€ische Organisationen kommt diese Entwicklung zur rechten Zeit. Das NIS2-Umsetzungsgesetz ist seit dem 6. Dezember 2025 in Kraft, und die Frist fĂŒr betroffene Einrichtungen, sich beim Bundesamt fĂŒr Sicherheit in der Informationstechnik (BSI) zu registrieren, endete am 6. MĂ€rz 2026.

Die EuropĂ€ische Kommission zeigt wenig Geduld mit sĂ€umigen Mitgliedsstaaten: Sie hat Irland, Spanien, Frankreich und die Niederlande vor dem EuropĂ€ischen Gerichtshof verklagt, weil diese die NIS2-Regeln nicht fristgerecht in nationales Recht umgesetzt hatten. Die ursprĂŒngliche Frist endete bereits am 17. Oktober 2024. Die Kommission fordert nun finanzielle Sanktionen, darunter Pauschalzahlungen und tĂ€gliche Strafzahlungen.

Angreifer zielen auf IdentitÀtsinfrastruktur

Die VerschĂ€rfung der Zugriffskontrollen ist auch eine Reaktion auf zunehmend ausgefeilte Angriffsmethoden. Sicherheitsforscher von Proofpoint haben eine Technik namens OAuth-Client-ID-Spoofing identifiziert. Angreifer nutzen gefĂ€lschte Client-IDs, um Konten in Entra ID zu enumerieren – ohne dass ein erfolgreicher Anmeldevorgang in den Sicherheitslogs auftaucht. Oft bleibt das Anwendungsfeld in den Protokollen dann leer.

Zwei groß angelegte Kampagnen nutzen diese Methode:

  • UNK_pyreq2323: Seit dem 14. Januar 2026 aktiv, mit ĂŒber 700.000 gefĂ€lschten IDs, die auf rund eine Million Nutzer abzielten.
  • UNK_OutFlareAZ: Seit Dezember 2025 aktiv, setzte 3,7 Millionen gefĂ€lschte IDs ein, um mehr als zwei Millionen Nutzer zu attackieren.
Anzeige

WĂ€hrend Microsoft die HĂŒrden fĂŒr Angreifer erhöht, setzen Kriminelle verstĂ€rkt auf psychologische Tricks und Phishing, um IdentitĂ€ten zu stehlen. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen in 4 Schritten gegen moderne Cyber-Angriffe absichern. Kostenloses Anti-Phishing-Paket sichern

Besonders perfide: Angreifer nutzen auch den Umstieg auf passwortlose Authentifizierung aus. Eine als O-UNC-066 bekannte Gruppe setzt auf Vishing und Phishing-Kits, um Nutzer zur Registrierung von angreiferkontrollierten Passkeys zu bewegen. Die Gruppe betreibt seit April 2026 eine eigene Datenleak-Seite.

Ausblick: Passkeys werden Standard

Microsoft treibt den Wandel hin zur passwortlosen Authentifizierung weiter voran. Ab dem 1. September 2026 werden Passkeys zur Standard-Authentifizierungsmethode in Entra ID. Bei MFA-AnmeldevorgÀngen werden Nutzer dann aufgefordert, Passkeys zu registrieren.

Langfristig plant Microsoft die Abschaffung der eigenen SMS- und sprachbasierten Authentifizierung. Der Termin dafĂŒr steht: 1. Februar 2027. Unternehmen, die weiterhin auf telefonbasierte MFA angewiesen sind, mĂŒssen dann auf Drittanbieter ĂŒber den Microsoft Security Store zurĂŒckgreifen. Eine temporĂ€re Opt-out-Option bleibt bis zum Stichtag verfĂŒgbar.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und MĂ€rkten ohne GewĂ€hr; Änderungen jederzeit möglich. BörsengeschĂ€fte können zu hohen Verlusten fĂŒhren. Unsere BeitrĂ€ge werden ganz oder teilweise automatisiert mit UnterstĂŒtzung von AI erstellt und geprĂŒft.

de | wissenschaft | 69762353 |