Microsoft schafft SMS-Codes ab: Passkeys ersetzen unsichere Verifikation

Microsoft verkündete heute die schrittweise Abschaffung von SMS-basierten Anmeldecodes – und das aus gutem Grund.

SMS-Codes: Ein Auslaufmodell

Die Entscheidung betrifft Millionen Nutzer von Outlook, OneDrive, Windows, Xbox und Microsoft 365. SMS-Verifikation gilt längst als Einfallstor für Betrüger. Besonders SIM-Swapping – das Umleiten der Handynummer auf fremde SIM-Karten – und Phishing machen die einst praktische Methode zur Gefahr.

Angesichts der aktuellen Sicherheitsrisiken bei SMS-Codes ist der Umstieg auf sicherere Anmeldeverfahren wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Passkeys bei Microsoft und anderen Diensten sofort einrichten und sich effektiv vor Datenklau schützen. Hier den kostenlosen Passkey-Report sichern

Microsoft setzt künftig auf Passkeys: Biometrische Daten, PINs oder physische Sicherheitsschlüssel ersetzen die altmodischen Codes. Auch verifizierte E-Mail-Adressen sollen als Alternative dienen. Einen konkreten Stichtag für das endgültige Aus der SMS-Codes nannte der Konzern allerdings nicht.

Drei kritische Sicherheitslücken alarmieren Behörden

Doch Microsofts Sicherheitsprobleme gehen weit über die Abschaffung von SMS hinaus. Gleich mehrere schwerwiegende Schwachstellen sind derzeit aktiv in Gefahr.

Die wohl gefährlichste: CVE-2026-41089 – eine Sicherheitslücke in Windows Netlogon. Angreifer können damit ohne Benutzerinteraktion und ohne Anmeldung die volle SYSTEM-Kontrolle über Domain-Controller erlangen. Microsoft veröffentlichte zwar bereits im Mai ein Update, doch viele Systeme sind noch ungeschützt. Cybersicherheitsbehörden schlagen deswegen Alarm.

Hinzu kommen zwei Schwachstellen in Microsoft Defender: Die eine (CVE-2026-41091, genannt „RedSun") erlaubt lokale Rechteausweitung, die andere (CVE-2026-45498, genannt „UnDefend") blockiert Signatur-Updates – und macht Rechner damit wehrlos gegen Schadsoftware. Die US-Behörde CISA setzt Bundesbehörden eine Frist bis zum 3. Juni, die Updates einzuspielen. Nötig ist die Defender-Version 1.1.26040.8 oder höher.

Lieferketten-Angriffe und KI-Phishing

Besonders perfide: Ein Angriff auf die Lieferkette von Software-Entwicklern. Am 28. Mai entdeckte Microsoft 14 bösartige npm-Pakete, die sich als Tools für OpenSearch und Elasticsearch tarnten. Ihr Ziel: Zugangsdaten für AWS, GitHub Actions und HashiCorp Vault stehlen. Die Schadsoftware nutzte die moderne Bun-Laufzeitumgebung und Installations-Hooks, um unentdeckt zu bleiben. Inzwischen sind die Pakete aus dem npm-Verzeichnis entfernt.

Immer mehr Unternehmen werden Opfer von gezielten Cyberangriffen durch neue Methoden wie KI-gestütztes Phishing. Experten erklären in diesem kostenlosen E-Book, wie Sie Sicherheitslücken proaktiv schließen und Ihr Unternehmen ohne hohe Investitionen wirksam absichern. Kostenloses Cyber-Security E-Book herunterladen

Parallel warnt das FBI vor einer Phishing-Plattform namens Kali365, die seit April aktiv ist. Anders als übliche Angriffe stiehlt sie keine Passwörter, sondern OAuth-Tokens – und umgeht damit sogar die Zwei-Faktor-Authentifizierung. Die Angreifer nutzen legitime Microsoft-Anmeldeflüsse und KI-generierte E-Mails. Betroffen sind vor allem Gesundheitswesen, Finanzsektor und Regierungsbehörden.

Klarheit für Sicherheitsforscher – Unruhe bei Azure

Nach wochenlangen Diskussionen um das Forschungsprojekt Nightmare-Eclipse stellte Microsoft klar: Der Konzern wird keine rechtlichen Schritte gegen Sicherheitsforscher einleiten. Man wolle mit der Community zusammenarbeiten und setze auf koordinierte Offenlegung von Schwachstellen.

Dennoch bleibt ein dicker Brocken ungelöst: Eine kritische Azure-Sicherheitslücke mit der maximalen Bewertung von 10,0. Entdeckt von Trend Micros Zero Day Initiative, ermöglicht sie offenbar unbefugten Remote-Zugriff über SAS-Tokens. Microsoft wurde bereits im Oktober 2023 informiert – doch bis heute ist unklar, ob ein Patch existiert. Immerhin: Bisher gibt es keine bestätigten Berichte über eine aktive Ausnutzung der Lücke.

de | wissenschaft | 69464590 |