Microsoft, Entra

Microsoft Entra ID: Passkeys ab sofort Standard-Authentifizierung

Veröffentlicht: 14.07.2026 um 02:29 Uhr, Redaktion boerse-global.de

Microsoft stellt Entra ID auf Passkeys um, während eine Vishing-Kampagne die neue Technik für Angriffe nutzt.

Microsofts Passkey-Offensive: Sicherheit trifft auf neue Vishing-Gefahr
Digitales Vorhängeschloss-Symbol für Cybersicherheit mit leuchtenden Linien vor dunklem, futuristischem Hintergrund vernetzter Knoten. Illustration mit AI erstellt übermittelt durch boerse-global.de

Der Tech-Riese setzt ab sofort auf passwortlose Authentifizierung – doch Sicherheitsforscher warnen vor ausgeklügelten Betrugsmaschen.

Microsoft hat seine Identitätsplattform Entra ID grundlegend umgestellt. Seit dem 13. Juli 2026 sind Passkeys die Standard-Authentifizierungsmethode. Das Unternehmen kündigte zudem ein neues Modell für SMS- und sprachbasierte Anmeldungen an. Ziel ist es, die Sicherheit in Unternehmensumgebungen deutlich zu erhöhen.

Der Branchentrend zur Passwortlosigkeit gewinnt rasant an Fahrt. Aktuelle Marktdaten von Onespan zeigen: Weltweit sind bereits rund fünf Milliarden Passkeys im Einsatz. Doch der Weg dorthin ist steinig. Analysten von Infisign verweisen auf Nutzergewohnheiten, technische Komplexität und fehlende Wiederherstellungsoptionen als größte Hürden.

Vishing-Kampagne nutzt Passkey-Einrichtung aus

Ausgerechnet zeitgleich mit Microsofts Umstellung haben Sicherheitsforscher eine raffinierte Betrugskampagne aufgedeckt. Die als O-UNC-066 bekannte Gruppe (auch von Palo Alto Networks als CL-CRI-1147 geführt) setzt auf Voice-Phishing – sogenanntes Vishing – um Unternehmenskonten zu kompromittieren.

Die Täter kontaktieren ihre Opfer per Telefon und geben vor, eine Sicherheitsregistrierung durchzuführen. Ein täuschend echtes Phishing-Kit imitiert dabei den legitimen Microsoft-Entra-ID-Anmeldeprozess. Laut Berichten von Okta und anderen Sicherheitsfirmen vom 13. Juli 2026 fangen die Angreifer auf diese Weise Anmeldedaten und MFA-Tokens ab – und registrieren anschließend ihren eigenen Passkey auf dem Konto des Opfers.

Betroffen sind zahlreiche Branchen: Technologie, Gesundheitswesen, Automobilindustrie, Bauwesen, Luftfahrt und die Lebensmittelbranche. Die Angreifer nutzen dabei täuschend echte Domains wie assignpasskey[.]com, deploypasskey[.]com und setpasskey[.]com – oft mit Subdomains, die die Namen der angegriffenen Unternehmen nachahmen.

Anzeige

Wer die neuen Vishing-Angriffe auf Passkey-Umstellungen fürchtet, findet in diesem Report die wichtigsten Schutzmaßnahmen – von der Phishing-Simulation bis zum Wiederherstellungsplan. Jetzt kostenlosen Sicherheits-Report anfordern

Hardware-Schlüssel für höchste Sicherheitsstufen

Als Reaktion auf die wachsenden Bedrohungen setzen einige Organisationen auf physische Sicherheitsschlüssel. OpenAI gab am 13. Juli 2026 bekannt, dass Teilnehmer des „Trusted Access for Cyber-Programms" ab dem 1. September 2026 zwingend hardwarebasierte Passkeys nutzen müssen.

Dafür kooperiert OpenAI mit Yubico und stellt den Programmteilnehmern YubiKeys zur Verfügung. Wer bis September nicht umsteigt, verliert den Zugang zu den fortschrittlichen KI-Cybermodellen. Yubico betont, dass seine Hardware-Schlüssel bis zu 100 Passkeys speichern können und bereits von der Mehrheit der führenden Technologie-, Finanz- und KI-Unternehmen eingesetzt werden.

Weitere Sicherheitslücken im Juli 2026

Die erste Julihälfte 2026 war von mehreren schwerwiegenden Sicherheitsvorfällen geprägt:

Anzeige

Ihre Mitarbeiter sind das schwächste Glied? Die aktuelle Vishing-Kampagne nutzt täuschend echte Phishing-Kits, die selbst erfahrene IT-Profis täuschen. Dieser Report liefert eine konkrete Mitarbeiter-Phishing-Simulation und einen 10-Minuten-Wiederherstellungsplan für den Ernstfall. Mitarbeiter-Phishing-Simulation jetzt sichern

  • Accenture-Datenleck: Anfang des Monats erbeuteten Angreifer 35 Gigabyte Quellcode des Beratungsriesen.
  • Device-Code-Phishing: Eine einjährige Kampagne des Akteurs saroula01 endete am 2. Juli 2026. Das Framework black-queen umging MFA-Schutz über legitime Device-Code-Flows. 218 Opfer in zwölf Ländern wurden registriert, 94 Prozent davon Unternehmen.
  • Kritische Schwachstellen: Sicherheitsupdates adressierten unter anderem CVE-2026-48282 in Adobe ColdFusion und CVE-2026-50656 („RoguePlanet") in Microsoft Defender. Zudem wurde eine Lücke in Langflow (CVE-2026-55255) für Credential-Harvesting missbraucht.
  • OAuth-Spoofing: Proofpoint deckte eine Kampagne auf, die seit Ende 2025 OAuth-Client-IDs in Microsoft Entra ID fälscht. Über zwei Millionen Nutzer wurden mit Millionen zufälliger Identifikationscodes erreicht.

Experten empfehlen Unternehmen, auf risikobasierte Richtlinien zu setzen, die Mitarbeiterschulungen zu intensivieren und Passkey-Wiederherstellungsprozesse über eine zentrale Identitätsebene abzusichern.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69762705 |