Microsoft 365: Ab 9. Februar kein Admin-Zugang mehr ohne Zwei-Faktor-Authentifizierung

Microsoft schließt ein entscheidendes Sicherheitsloch für Millionen Unternehmen weltweit: Ab kommender Woche müssen sich alle Administratoren der Microsoft-365-Zentrale mit einer zweiten Identitätsprüfung anmelden. Wer bis zum 9. Februar keine Zwei-Faktor-Authentifizierung (MFA) aktiviert hat, bleibt vor der Tür stehen. Diese finale Durchsetzungsphase einer seit 2025 laufenden Initiative soll die verheerendsten Cyberangriffe stoppen – solche, die mit gestohlenen Admin-Passwörtern beginnen.

Die Maßnahme trifft die sensibelsten Konten im digitalen Betrieb eines Unternehmens. Über Portale wie admin.microsoft.com steuern IT-Administratoren Nutzer, E-Mails, Dateizugriffe und Sicherheitseinstellungen. Wird genau dieses Konto geknackt, haben Angreifer freie Bahn. Microsofts eigene Daten zeigen: MFA blockiert über 99 % der gängigen Account-Übernahmen. In einer Zeit, in der Phishing-Angriffe und Identitätsdiebstahl zunehmen, ist diese Hürde kein Nice-to-have mehr, sondern eine Notwendigkeit.

Das Ende des einfachen Passworts für Admins

Die neue Regel beendet die Ära des reinen Passwort-Schutzes für administrative Rollen in Microsoft 365. Sie zielt direkt auf die größte Schwachstelle ab: gestohlene oder schwache Zugangsdaten. Gerade globale Administratoren in Microsoft Entra ID (früher Azure AD) sind ein begehrtes Ziel für Hacker, die sich Zugang zum Firmennetzwerk verschaffen wollen.

Phishing-Angriffe und gezielte CEO‑Fraud gehören zu den häufigsten Angriffspunkten, über die Admin‑Konten kompromittiert werden. Ein kostenloses Anti‑Phishing‑Paket erklärt in vier praxisnahen Schritten, wie Sie E‑Mails und gefälschte Anfragen erkennen, Mitarbeitende wirksam schulen und CEO‑Fraud stoppen, bevor Zugangsdaten abgegriffen werden. Konkrete Vorlagen und Checklisten helfen IT‑Teams sofort weiter. Anti‑Phishing‑Paket jetzt gratis anfordern

Microsoft warnt vor erheblichen Betriebsstörungen für Unternehmen, die die Frist verpassen – besonders für ältere Mandanten ohne mandantenweite MFA. Ein gesperrter Global-Admin könnte kritische IT-Funktionen lahmlegen. Zur Umstellung bietet der Konzern umfangreiche Anleitungen und Einrichtungs-Assistenten. Die zweite Verifikation kann per Microsoft Authenticator App, SMS-Code oder physischem Sicherheitstoken erfolgen.

Strategischer Schritt zum Zero-Trust-Modell

Die Pflicht-MFA ist ein Grundpfeiler von Microsofts Strategie für ein Zero-Trust-Sicherheitsmodell in der Cloud. Dieses Prinzip „Never trust, always verify“ behandelt jede Zugriffsanfrage als potenziell gefährlich. Für Admin-Konten, die die zentrale Schaltstelle darstellen, ist die strikte Identitätsprüfung daher logisch.

Die Maßnahme reiht sich ein in ähnliche Verschärfungen für das Azure-Portal und Entra-ID-Nutzer. Microsoft schafft so ein einheitlich sicheres Admin-Erlebnis. Das Ziel ist klar: den Kern der Cloud-Operationen von Kunden zu schützen. Denn ein einziges geknacktes Admin-Passwort ohne MFA kann Angreifern Tür und Tor öffnen.

Countdown zur Frist: Das müssen Admins jetzt tun

Die Zeit drängt. Microsoft appelliert an IT-Administratoren, umgehend zu handeln, um Dienstunterbrechungen zu vermeiden. Die Hauptverantwortung liegt bei den globalen Admins. Sie müssen sicherstellen, dass MFA für alle Nutzer der Admin-Center aktiviert ist. Unternehmen, die bereits Security Defaults oder individuelle Conditional Access-Richtlinien nutzen, erfüllen die Anforderung automatisch.

Alle anderen müssen alle Admin-Konten überprüfen und für jedes mindestens eine zweite Verifikationsmethode einrichten. Einzelne Nutzer können ihre Methoden im MFA-Einrichtungsportal prüfen. Bei korrekter Konfiguration verläuft der Wechsel reibungslos und ohne Ausfallzeiten. Für Sicherheitsexperten ist dieser Schritt eine überfällige Evolution: Das Passwort allein ist im Kampf gegen moderne Cyberbedrohungen längst nicht mehr genug.

Branchenweites Signal: MFA wird zum neuen Standard

Microsofts Durchgriff ist ein deutliches Signal für einen branchenweiten Abschied von der passwortzentrierten Sicherheit. Angesichts immer raffinierterer Angriffe, etwa mit KI-generierten Phishing-Mails, ist die Ein-Faktor-Authentifizierung ein unhaltbares Risiko geworden. Der Konsens unter Cybersicherheitsexperten wächst: Starke Identitätsprüfung ist für privilegierte Zugänge nicht verhandelbar.

Diese Politik wird die Einführung stärkerer Authentifizierungsmethoden in der Unternehmenswelt beschleunigen. Zwar gilt die Pflicht zunächst nur für Admin-Konten, doch sie setzt einen Präzedenzfall. Künftig könnte MFA für alle Nutzer weiterer Cloud-Plattformen zur Pflicht werden. Die Botschaft an die Wirtschaft ist klar: Die Zeit, in der MFA ein optionales Extra war, ist vorbei. Sie ist jetzt ein Grundpfeiler verantwortungsvollen Cloud-Managements.

Was kommt nach dem 9. Februar?

Sicherheitsanalysten erwarten, dass Microsoft die Kontrollen in seinem Ökosystem weiter verschärfen wird. Zukünftige Maßnahmen könnten andere Admin-Oberflächen erfassen, etwa für die Power Platform. Das übergeordnete Ziel ist eine „secure-by-default“-Umgebung, die die Angriffsfläche für Kriminelle minimiert.

Für Unternehmen bedeutet das: kontinuierliche Anpassung. Die erfolgreiche MFA-Einführung ist ein entscheidender Schutzschild, muss aber Teil einer umfassenden Sicherheitsstrategie bleiben. Dazu gehören regelmäßige Überwachung, Mitarbeiterschulungen und moderne Threat-Detection-Tools, um sich gegen eine sich ständig wandelnde Bedrohungslage zu wappnen.

PS: Ergänzend zur verpflichtenden MFA sollten Unternehmen auch die Phishing-Abwehr stärken. Das gratis Anti‑Phishing‑Paket liefert fertige Schulungs‑Vorlagen, Checklisten zur Erkennung gefälschter Mails und praxisnahe Maßnahmen zur Prävention von CEO‑Fraud – sofort einsetzbar für IT‑Teams und Entscheider. Stärken Sie die menschliche Firewall Ihres Unternehmens jetzt. Gratis Anti‑Phishing‑Leitfaden herunterladen