Windows, Hello

Windows Hello: BSI warnt vor Sicherheitslücken bei biometrischer Anmeldung

Veröffentlicht: 17.07.2026 um 02:07 Uhr, Redaktion boerse-global.de

BSI-Analyse zeigt: Microsofts biometrische Anmeldung schützt nur mit aktiviertem Enhanced Sign-in Security Modus zuverlässig.

BSI-Studie: Windows Hello nur mit ESS-Modus sicher
Ein digitaler Fingerabdruckscan auf einem leuchtenden biometrischen Lesegerät, umgeben von Datenströmen, symbolisiert Cybersicherheit. Illustration mit AI erstellt übermittelt durch boerse-global.de

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Windows Hello for Business (WHfB) unter die Lupe genommen. Die 169-seitige Analyse zeigt: Die biometrische Anmeldung von Microsoft schützt sensible Daten nur unter bestimmten Bedingungen – und die sind selten erfüllt.

TPM schützt nur mit Spezialmodus

Die zentrale Erkenntnis der Untersuchung vom 15. Juli: Das Trusted Platform Module (TPM) sichert biometrische Vorlagen nur dann effektiv, wenn die Enhanced Sign-in Security (ESS) aktiv ist. Fehlt dieser Modus, können lokale Administratoren die biometrischen Templates entschlüsseln.

Die ESS-Funktion verlagert kritische Prozesse in die Virtualization-Based Security (VBS). Problem: Dafür braucht es kompatible Hardware. Aktuell unterstützen nur wenige Sensoren die Technologie vollständig. Die BSI-Experten nutzten Reverse Engineering, um Dokumentationslücken zu schließen.

Biometrie ist kein Sicherheitsplus

Die Analyse räumt mit einem verbreiteten Irrglauben auf: Biometrische Merkmale erhöhen die kryptografische Sicherheit nicht. „Biometrie liefert keine zusätzliche Entropie für das System“, so die Experten. In bestimmten Szenarien sei eine PIN mit aktivem TPM-Brute-Force-Schutz sogar sicherer als der Fingerabdruck.

Die Behörde empfiehlt Unternehmen: Pro Gerät idealerweise nur einen Benutzer registrieren. Administratoren sollten den ESS-Modus erzwingen, wenn die Hardware mitspielt. Flankierend sind ein TPM mit Brute-Force-Schutz und vollständige Festplattenverschlüsselung Pflicht.

Anzeige

Während die Sicherheit biometrischer Merkmale oft überschätzt wird, bietet die neue Passkey-Technologie einen deutlich robusteren Schutz gegen modernen Datenklau. Wie Sie Passkeys bei Diensten wie Microsoft oder WhatsApp sicher einrichten, erfahren Sie in diesem kostenlosen Report. Was hinter Passkeys steckt – jetzt gratis nachlesen

Microsoft forciert Passkeys

Die BSI-Studie erscheint in einer Phase des Umbruchs. Microsoft will Passkeys ab dem 1. September 2026 zum Standard für die Entra-ID-Authentifizierung machen. Die klassische MFA per SMS oder Sprache soll bis zum 1. Februar 2027 komplett verschwinden.

Doch neue Technik bringt neue Gefahren: Seit April beobachten Sicherheitsexperten verstärkt Vishing-Angriffe. Täter geben sich als IT-Support aus und locken Opfer auf Phishing-Seiten. Ihr Ziel: eigene Passkeys in fremden Konten registrieren.

Anzeige

Angesichts von Millionen gehackter Konten pro Quartal wird der Umstieg auf passwortlose Anmeldungen immer dringlicher, um das Risiko für Nutzer zu minimieren. Mit dieser neuen Methode melden Sie sich sicher per Fingerabdruck oder Gesichtserkennung an und vermeiden unnötigen Passwort-Stress. Nie wieder Passwörter merken: Kostenlosen Ratgeber sichern

Weitere Analysen angekündigt

Der aktuelle Bericht ist Teil einer Serie. Das BSI kündigte weitere Untersuchungen an – unter anderem zu Protected Process Light (PPL) und Control Flow Guard (CFG).

Dass regelmäßige Prüfungen nötig sind, zeigt der Juli-Patchday: Microsoft schloss 622 Sicherheitslücken. Darunter zwei aktiv ausgenutzte Schwachstellen in AD FS und SharePoint, die Angreifern Administratorrechte verschafften.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wirtschaft | 69783401 |