Microsoft beendet SMS-Codes: Passkeys für Windows, Outlook & Co.

Der Softwarekonzern stellt die Sicherheit seiner persönlichen Konten auf den Kopf – und das aus gutem Grund.

Microsoft kündigte Ende Mai 2026 an, die SMS-basierte Zwei-Faktor-Authentifizierung (MFA) für Privatkonten schrittweise einzustellen. Stattdessen setzt der Konzern künftig auf Passkeys – biometrische Verfahren wie Gesichtserkennung oder Fingerabdruck. Der Schritt erfolgt parallel zu einer Warnung des FBI vor immer raffinierteren Phishing-Kits, die selbst klassische Sicherheitsmaßnahmen aushebeln können.

4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Experten-Ratgeber: So schützen Sie sich jetzt kostenlos

Warum SMS-Codes jetzt ausgedient haben

Am 27. Mai 2026 verkündete Microsoft offiziell das Ende der SMS-Codes für persönliche Konten – betroffen sind Dienste wie Windows, Outlook, Xbox und OneDrive. Das Unternehmen bezeichnete SMS als eine der Hauptquellen für Betrug: Die Methode sei besonders anfällig für Abhören und Missbrauch.

Die Alternative: Passkeys, die auf biometrischen Daten oder hardwarebasierten PINs beruhen. Diese kryptografischen Schlüssel sollen gängige Angriffe wie SIM-Swapping verhindern. Sicherheitsexperten weisen jedoch darauf hin, dass auch Passkeys nicht unverwundbar sind – etwa wenn der Browser des Nutzers kompromittiert ist oder das authentifizierende Gerät verloren geht. Microsoft rät daher, stets aktuelle Backup-E-Mail-Adressen zu hinterlegen.

FBI warnt vor Phishing-Kit „Kali365"

Zeitgleich mit Microsofts Sicherheitsupdate veröffentlichte das FBI am 27. Mai eine Warnung vor einer „Phishing-as-a-Service"-Plattform namens Kali365. Das Kit, das seit April 2026 über Telegram vertrieben wird, zielt gezielt auf Microsoft-365-Konten ab – darunter Outlook, Teams und OneDrive.

Die Funktionsweise ist perfide: Angreifer mieten Kali365 für rund 250 Euro pro Monat oder 2.000 Euro pro Jahr. Sie verschicken Phishing-Mails mit einem Gerätecode. Gibt das Opfer diesen Code auf einer legitimen Microsoft-Seite ein, stehlen die Angreifer die OAuth-Sitzungstoken und erhalten dauerhaften Zugriff auf das Konto. Einmal drinnen, legen Angreifer oft Postfachregeln an, um ihre Aktivitäten zu verbergen – eine Taktik, die besonders häufig gegen Finanzinstitute eingesetzt wird. Laut Bundesbehörden erreichten die Verluste durch Phishing-Betrug im Jahr 2025 fast 20 Milliarden Euro.

Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll? Ein kostenloser Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten. Kostenlosen Passkey-Report jetzt herunterladen

Wenn das Konto weg ist: Die Hürden der Wiederherstellung

Berichte betroffener Nutzer aus den letzten Maitagen zeigen, wie schwierig die Rückgewinnung eines kompromittierten Microsoft-Kontos sein kann. Haben Angreifer erst einmal die Wiederherstellungs-Telefonnummer und sekundäre E-Mail-Adressen geändert, stehen die Chancen schlecht.

Microsofts Support stützt sich weitgehend auf automatisierte Tools. Support-Mitarbeiter können weder Passwörter manuell zurücksetzen noch Sicherheitsinformationen überschreiben, die von Unbefugten geändert wurden. Nutzer wie Eleanor Reid und Sean, die am 28. Mai versuchten, ihre Konten wiederherzustellen, mussten feststellen: Hat der Hacker die Sicherheitsdaten aktualisiert, ist das Konto über die Standardwege oft nicht mehr zu retten.

Andere Betroffene wie Charlotte Roberts und Nicole Biddulph berichteten Anfang der Woche von Verzögerungen von über sieben Tagen – ohne Antwort auf mehrere Wiederherstellungsanträge. Microsoft empfiehlt, solche Anträge bis zu zweimal täglich über private Browserfenster einzureichen und möglichst detaillierte Kontoinformationen bereitzustellen.

So schützen Sie sich jetzt

Das FBI und Sicherheitsanalysten empfehlen Unternehmen und Privatpersonen, strengere Zugriffskontrollen einzuführen:

• Gerätecode-Authentifizierungsabläufe einschränken oder blockieren, wo sie nicht zwingend nötig sind
• Bedingte Zugriffsrichtlinien nutzen, um unbefugte Authentifizierungsübertragungen zu verhindern
• Phishing-resistente MFA einführen – etwa FIDO-konforme Passkeys, wie vom FBI empfohlen
• Kontoaktivitäten regelmäßig überwachen und die Liste der autorisierten Geräte prüfen

Für Nutzer, die aufgrund vergessener Anmeldedaten ausgesperrt sind, bietet Microsoft ein „Sign-in-Helper"-Tool. Das Unternehmen stellt jedoch klar: Allein die Angabe der Transaktionshistorie reicht in der Regel nicht aus, um das Eigentum nachzuweisen – fehlen die primären Sicherheitsdaten, wird es eng.

de | wissenschaft | 69440942 |