Microsoft zwingt Unternehmen zu passwortfreier Sicherheit

Die Ära der klassischen Zwei-Faktor-Authentifizierung (2FA) ist vorbei. Ab Februar erzwingt Microsoft den Umstieg auf kryptografische Passkeys – ein Wendepunkt für die Cybersicherheit.

Der Countdown läuft: Microsofts Deadline setzt Branche unter Druck

Am 9. Februar 2026 tritt eine neue Sicherheitsregel in Kraft, die Tausende Unternehmen betrifft. Microsoft schaltet dann den Zugang zum Microsoft 365 Admin Center nur noch mit phishing-resistenten Anmeldeverfahren frei. SMS-Codes oder App-basierte Einmalpasswörter gelten damit offiziell als veraltet. Für Administratoren bedeutet das: Sie müssen innerhalb weniger Wochen auf FIDO2-basierte Passkeys oder Hardware-Schlüssel umstellen. Wer die Frist verpasst, riskiert den Zugriff auf seine Verwaltungskonten – und damit den Betriebsablauf.

Passend zum Thema Identity‑First-Sicherheit: Viele IT‑Abteilungen unterschätzen, wie schnell MFA‑Fatigue und zielgerichtete Phishing‑Angriffe kritische Admin‑Zugänge gefährden. Ein kostenloses E‑Book für IT‑Leiter und CISOs erklärt praxisnah, welche Prioritäten jetzt gesetzt werden müssen – von der Einführung passkey‑basierter Anmeldung über Hardware‑Key-Strategien bis zu organisatorischen Schutzmaßnahmen in Microsoft‑365‑Umgebungen. Inklusive Checklisten und Sofortmaßnahmen zur Risikominimierung. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Diese Deadline ist kein isolierter Schritt. Sie markiert den Höhepunkt einer branchenweiten Revolution hin zu „Identity-First Compliance“. In dieser Strategie wird die digitale Identität zur neuen Sicherheitsgrenze. Nicht mehr der Netzwerkperimeter, sondern der Nutzer selbst steht im Fokus. Das Ziel: Den menschlichen Faktor aus dem Authentifizierungsprozess entfernen, denn der ist oft das schwächste Glied.

Warum SMS-Codes und Push-Benachrichtigungen ausgedient haben

Hergebrachte 2FA-Methoden haben gravierende Schwachstellen. SMS-Codes können abgefangen werden. Push-Benachrichtigungen sind anfällig für „MFA-Fatigue“-Angriffe, bei denen Angreifer solange Login-Anfragen schicken, bis ein übermüdeter Mitarbeiter versehentlich zustimmt. Besonders tückisch sind „Adversary-in-the-Middle“-Phishing-Attacken, bei denen Hacker Einmalpasswörter in Echtzeit abgreifen.

Passkeys bieten hier mathematisch verifizierbaren Schutz. Sie funktionieren nach dem Prinzip eines digitalen Schlüsselpaars: Ein privater Schlüssel bleibt sicher auf dem Gerät des Nutzers, ein öffentlicher liegt beim Dienst. Bei der Anmeldung beweist das Gerät seinen Besitz des privaten Schlüssels – ohne dass dieser jemals das Gerät verlässt. Diese kryptografische Grundlage macht Angriffe, die auf das Abfangen von Codes setzen, wirkungslos.

Zwei Wege zum Ziel: Synced vs. Device-Bound Passkeys

Nicht jeder Passkey ist gleich. Experten unterscheiden zwei Kategorien, die Compliance-Verantwortliche kennen müssen:

• Synced Passkeys synchronisieren sich über die Cloud – etwa über die iCloud Keychain oder Google Password Manager. Sie sind wiederherstellbar und bieten eine gute Balance aus Sicherheit und Komfort für normale Mitarbeiter.
• Device-Bound Passkeys sind fest an ein Hardware-Gerät gebunden und nicht exportierbar. Für hochregulierte Branchen wie Finanzen, Gesundheitswesen oder Behörden werden sie zum „Gold-Standard“. Sie erfüllen strenge Compliance-Anforderungen an Nicht-Exportierbarkeit.

Die Wahl hängt vom Sicherheitsbedarf ab. Während synced Passkeys die Benutzerfreundlichkeit erhöhen, bieten device-bound Keys das höchste Maß an Kontrolle.

Regulierungen treiben den Wandel voran

Der Umstieg wird nicht nur von Tech-Giganten wie Microsoft forciert, sondern auch von offizieller Seite unterstützt. Das US-amerikanische National Institute of Standards and Technology (NIST) hat in seinen aktualisierten Digital Identity Guidelines (SP 800-63-4) Passkeys ausdrücklich als konforme Authentifizierungsmethode anerkannt.

Diese regulatorische Rückendeckung gibt der Bewegung Rückenwind. Gleichzeitig treibt die FIDO Alliance die Interoperabilität voran. Zertifizierungen für neue Passkey-Server und Clients sorgen dafür, dass die Technologie herstellerübergreifend funktioniert. Das beseitigt ein früheres Haupthindernis: die Angst vor Vendor-Lock-in.

Ausblick: Vom Login zur kontinuierlichen Authentifizierung

Für Unternehmen bringt die Umstellung Vorteile jenseits der reinen Sicherheit. Studien zeigen, dass Anmeldungen mit Passkeys deutlich schneller sind als der umständliche Workflow aus Passwort und 2FA. Das steigert die Produktivität und reduziert Frust bei den Nutzern.

Langfristig wird 2026 als das Jahr in die Geschichte eingehen, in dem das „Sterben des Passworts“ im Unternehmensumfeld zur Realität wurde. Der nächste logische Schritt sind kontinuierliche Authentifizierungssysteme. Dabei wird die Identität des Nutzers nicht nur einmal beim Login, sondern während der gesamten Sitzung passiv überprüft.

Die Botschaft an IT-Leiter und CISOs ist eindeutig: Die Schonfrist für veraltete 2FA-Methoden ist abgelaufen. Die Zukunft der Authentifizierung ist kryptografisch – und sie beginnt jetzt.

PS: Wenn Sie jetzt rasch technische und organisatorische Maßnahmen implementieren müssen, bietet dieses Gratis‑E‑Book eine kompakte Roadmap: Prioritäten für Admin‑Konten, Checklisten zur Einführung von Passkeys, Empfehlungen für Hardware‑Keys und Hinweise zur Schulung von Admin‑Teams. Ideal für IT‑Leiter, die Microsoft‑365‑Zugriffe nachhaltig absichern wollen – ohne große Budgets. Gratis Cyber‑Security‑Guide anfordern