Passkey-Pflicht ab September: Microsoft rüstet gegen KI-Phishing auf
Veröffentlicht: 16.07.2026 um 23:31 Uhr, Redaktion boerse-global.de
Hacker überschwemmen Unternehmen mit KI-gestützten Phishing-Kampagnen – ausgerechnet während Microsofts Sicherheits-Offensive.
Sicherheitsforscher und das FBI schlagen Alarm: Eine neue Generation von Cyberkriminellen hat Microsoft 365 im Visier. Die Angreifer kombinieren Voice-Phishing, künstliche Intelligenz und industrialisierte Phishing-Plattformen, um selbst moderne Sicherheitsvorkehrungen auszuhebeln. Der Zeitpunkt ist kein Zufall – Microsoft treibt die verpflichtende Umstellung auf passwortlose Authentifizierung voran.
Pink-Erpresserbande kapert Passkey-Anmeldung
Seit April 2026 ist eine kriminelle Gruppe namens Pink aktiv. Sie gibt sich als offizieller Microsoft-Support aus und täuscht die Einrichtung von Passkeys vor. Das berichtet der Sicherheitsdienstleister Okta.
Die Masche ist raffiniert: Die Täter nutzen ein panelgesteuertes Phishing-Kit, das in Echtzeit täuschend echte Anmeldeseiten nachbaut – inklusive firmenspezifischer Logos und Branding. Dafür haben sie eigens die Domains assignpasskey.com und deploypasskey.com registriert. Die Kampagne erstreckt sich über mehrere Branchen, das Ziel ist schlichtweg finanzieller Gewinn.
Phishing als Dienstleistung: Plattformen im Überblick
Das FBI warnt vor einer ganzen Reihe von Phishing-as-a-Service (PhaaS)-Plattformen, die speziell auf Microsoft-365-Konten abzielen. Die bekannteste heißt Kali365. Sie missbraucht den OAuth-2.0-Geräteautorisierungsfluss von Microsoft – und umgeht damit sogar die Zwei-Faktor-Authentifizierung (MFA). Die Plattform senkt die Einstiegshürde für Kriminelle drastisch: KI-generierte Köder, automatisierte Kampagnen-Tools und Echtzeit-Dashboards inklusive.
Angreifer nutzen immer häufiger psychologische Tricks, um Mitarbeiter trotz technischer Hürden zur Preisgabe von Zugangsdaten zu bewegen. Wie Sie Ihr Unternehmen in 4 Schritten gegen diese manipulativen Phishing-Methoden absichern, zeigt dieses kostenlose Anti-Phishing-Paket. Anti-Phishing-Leitfaden für Unternehmen jetzt gratis herunterladen
Eine weitere Plattform namens Kratos ist seit Januar 2026 aktiv – ihre Steuerungssoftware existiert seit September 2025. Kratos zielt auf Nutzer in den USA und Europa ab, vor allem mit gefälschten Dokumenten und Rechnungen. Über 1.600 Sandbox-Sitzungen wurden bereits registriert. Die Opfer landen auf verschleierten Anmeldeseiten, haben drei Versuche zur Passworteingabe – und werden dann weitergeleitet. Besonders betroffen: kleine Unternehmen, Anwaltskanzleien und öffentliche Einrichtungen.
Die Sicherheitsforscher von ReliaQuest entdeckten zudem die Kits Jalisco und OmegaLord. Jalisco generiert in Echtzeit OAuth-Codes und umgeht so das standardmäßige 15-Minuten-Zeitfenster. OmegaLord stiehlt Telefonnummern, um MFA-Sitzungen zu kapern. Die Entwicklung fällt mit einem Anstieg der Phishing-Aktivitäten um 1.380 Prozent zwischen Ende 2025 und Anfang 2026 zusammen.
Microsoft zieht die Reißleine: Passkeys werden Pflicht
Die Bedrohungslage hat Microsoft zum Handeln gezwungen. Ab dem 1. September 2026 wird der Passkey zur Standard-Authentifizierungsmethode in Microsoft Entra ID. Hintergrund: KI-gestützte Phishing-Kampagnen erreichen Klickraten von bis zu 54 Prozent.
Noch einen Schritt weiter geht Microsoft mit der Abschaffung von SMS- und Sprach-Authentifizierung. Diese Methoden werden zum 1. Februar 2027 eingestellt. Nutzer, die noch darauf angewiesen sind, müssen während einer Übergangsfrist auf Passkeys umsteigen. Eine Opt-out-Möglichkeit gibt es nicht.
Microsoft macht Passkeys zur Pflicht, um die Sicherheit von Online-Konten massiv zu erhöhen und Passwort-Stress zu beenden. Erfahren Sie in diesem kostenlosen Report, wie Sie die Technologie hinter Passkeys verstehen und sofort bei wichtigen Diensten einrichten. Kostenlosen Ratgeber zur passwortlosen Anmeldung sichern
Ab dem 30. Oktober 2026 sollen Drittanbieter-Lösungen für Telekommunikation über den Microsoft Security Store verfügbar sein.
KI revolutioniert die Kostenstruktur der Cyberkriminalität
Die Integration generativer KI in Phishing-Operationen hat die Wirtschaftlichkeit der Cyberkriminalität fundamental verändert. Branchenanalysten beziffern die Kostenensenkung pro Kampagne auf rund 95 Prozent – und das über alle Kanäle hinweg: E-Mail, Telefon, SMS und sogar Deepfake-Videos.
Auch die Geschwindigkeit hat sich drastisch erhöht. Während 2025 noch 72 Minuten als Rekord für den Datendiebstahl galten, sind die Angreifer heute oft noch schneller. Die finanziellen Folgen sind enorm: KI-gesteuerte Angriffe verursachen durchschnittliche Schäden von 4,88 Millionen Euro.
Sicherheitsexperten empfehlen Unternehmen daher dringend die Einführung von FIDO2- und WebAuthn-Standards sowie den Einsatz verhaltensbasierter KI-Erkennungssysteme. Denn eines ist klar: Die Angreifer haben ihre Hausaufgaben gemacht – jetzt müssen die Verteidiger nachziehen.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
