Microsoft-Ausfall: MFA-Dienste lahmgelegt, Admins ausgesperrt

Zahlreiche Global Administrators berichten, dass sie dauerhaft von ihren Unternehmens-Tenants ausgeschlossen wurden – ausgerechnet durch die Sicherheitsmechanismen, die sie schützen sollten.

Authentifizierungs-Portale lahmgelegt

Microsoft bestätigte eine schwerwiegende Unterbrechung unter der Kennung MO1329260. Betroffen war die Einrichtung der Multi-Faktor-Authentifizierung (MFA) sowie der Zugriff auf das My Sign-Ins-Portal. Nutzer, die sich anmelden wollten, erhielten stattdessen 504 Gateway Timeout-Fehlermeldungen.

Moderne Authentifizierungsmethoden wie Passkeys können den Stress mit fehlerhaften Logins und vergessenen Passwörtern massiv reduzieren. Ein kostenloser Report zeigt, wie Sie diese sichere Technologie bei Microsoft und anderen Diensten sofort einrichten. Passkeys als sichere Alternative jetzt entdecken

Die Ursache: Eine kürzlich vorgenommene Änderung an der Cache-Konfiguration erforderte ein Failover. Während dieser Umstellung führte ein Verkehrsspitze aus der europäischen Region zu extrem hoher CPU- und Speicherauslastung – der Authentifizierungsdienst brach zusammen.

Microsoft gelang es, das Problem durch ein Failover auf alternative Infrastruktur und anschließendes Zurücksetzen der ursprünglichen Konfiguration noch am selben Tag zu beheben. Doch der Schaden war bereits angerichtet: Die Einarbeitung neuer Mitarbeiter und die Durchsetzung von Sicherheitsrichtlinien wurden massiv behindert.

Ein zweiter Vorfall am Montag (MO1329446) verursachte zudem zeitweise Dateizugriffsprobleme in Microsoft Teams und Office fürs Web. Grund war ein fehlgeschlagener abteilungsübergreifender Kommunikationsprozess.

Das Einzelkämpfer-Problem: Nur ein Admin, null Backup

Die technischen Ausfälle trafen auf eine bereits angespannte Lage. Gleich mehrere Global Administratoren meldeten zwischen dem 31. Mai und dem 2. Juni, dass sie sich versehentlich selbst ausgesperrt hatten – nachdem sie die Microsoft Authenticator-App gelöscht oder ihr primäres MFA-Gerät verloren hatten.

Besonders dramatisch der Fall eines Administrators aus Hongkong: Er hatte weder einen FIDO-Sicherheitsschlüssel noch einen Temporary Access Pass (TAP) als Backup eingerichtet. Da er der einzige Administrator des Tenants war, versagte auch die standardmäßige Self-Service-Password-Reset-Funktion (SSPR).

Microsoft verweist betroffene Nutzer in solchen Fällen an das Data Protection Team – für ein manuelles MFA-Reset. Ein Prozess, der erfahrungsgemäß mit erheblichen Verzögerungen und schwieriger telefonischer Erreichbarkeit verbunden ist.

Der Schutz administrativer Zugänge und die Einhaltung gesetzlicher IT-Vorgaben werden angesichts neuer Verordnungen wie dem EU AI Act immer komplexer. Dieser kostenlose Umsetzungsleitfaden bietet Unternehmen den nötigen Überblick über Pflichten und Fristen der aktuellen Regulierung. EU-KI-Verordnung: Den kostenlosen Leitfaden jetzt sichern

Einige Nutzer berichteten zudem von spezifischen Fehlercodes wie 399287, während sie in Endlosschleifen von MFA-Abfragen gefangen waren. Die Botschaft ist klar: Unternehmen brauchen mehrere Global Administratoren und diverse Wiederherstellungsmethoden – sonst droht der totale Kontrollverlust über den eigenen Tenant.

Verschärfte Regeln für Entra ID ab September

Microsoft zieht die Zügel an. Ab dem 7. September 2026 wird Microsoft Entra ID (ehemals Azure AD) vorschreiben, dass Self-Service-Password-Resets ausschließlich über explizit vorregistrierte Authentifizierungsmethoden erfolgen dürfen. Ungeprüfte Kontaktdaten aus Verzeichnissen sind dann nicht mehr gültig.

Zur Vorbereitung startet Microsoft im Juli 2026 eine Registrierungskampagne. Interne Daten zeigen, dass bereits rund 86 Prozent der SSPR-Überprüfungen registrierte Methoden nutzen – die neue Politik soll die verbleibenden Sicherheitslücken schließen.

Parallel dazu kündigte Microsoft an, SMS-Anmeldecodes für persönliche Konten schrittweise abzuschaffen. Der Grund: Die Anfälligkeit für SIM-Swapping und Phishing. Stattdessen sollen Passkeys und verifizierte E-Mail-Adressen zum Einsatz kommen.

Externe Bedrohung: GlobalProtect-Lücke wird aktiv ausgenutzt

Die Betrachtung um robuste MFA kommt nicht von ungefähr. Sicherheitsforscher von Palo Alto Networks beobachten derzeit die aktive Ausnutzung von CVE-2026-0257 – einer Sicherheitslücke in GlobalProtect-VPN-Gateways, die eine Authentifizierungsumgehung ermöglicht.

Seit dem 17. Mai 2026 schmieden Angreifer gefälschte Authentifizierungs-Cookies, um unbefugte Verbindungen herzustellen. Zwei Angriffswellen Ende Mai nutzten automatisierte Scans von verschiedenen Cloud-Plattformen.

Die Schwachstelle beruht auf einem fehlenden Signaturcheck bei entschlüsselten Cookies. Die US-Cybersicherheitsbehörde CISA hat Bundesbehörden angewiesen, ihre Systeme bis zum 1. Juni zu patchen.

Sicherheitsexperten raten Unternehmen nicht nur, die verfügbaren Patches einzuspielen. Sie empfehlen, MFA-Funktionen auf eine hardwarebasierte Kontrollebene außerhalb der primären VPN-Infrastruktur zu verlagern – um solche Umgehungsrisiken von vornherein zu entschärfen.

de | wissenschaft | 69470367 |