Microsoft stellt SMS-Codes ab: Passkeys mit Biometrie ab sofort

Ende Mai 2026 gab Microsoft bekannt, dass die herkömmliche Methode des Identitätsnachweises per SMS schrittweise eingestellt wird. Auch die Passwort-Wiederherstellung per Textnachricht fällt weg. Als Hauptgrund nennt der Konzern die Anfälligkeit der SMS-basierten Verfahren. Sie hätten sich zunehmend als zentrale Angriffsfläche für Betrugsaktivitäten erwiesen.

Künftig setzt Microsoft auf sogenannte Passkeys. Diese basieren auf biometrischen Merkmalen wie Fingerabdruck oder Gesichtsscan sowie auf lokalen Sicherheitsmerkmalen. Der Vorteil: Sie bieten einen deutlich höheren Schutz gegen automatisierte Phishing-Angriffe als herkömmliche SMS-Codes.

Angesichts von Millionen gehackter Konten pro Quartal wird der Schutz der eigenen Identität immer wichtiger. Dieser kostenlose Ratgeber erklärt Ihnen, wie Sie die neue Passkey-Technologie bei Diensten wie Amazon oder WhatsApp sofort einrichten und so Hacker chancenlos machen. Passkey-Ratgeber jetzt kostenlos herunterladen

Warum SMS-Codes ein Sicherheitsrisiko sind

Die Entscheidung markiert den Endpunkt einer Entwicklung, in der Kriminelle immer effizientere Wege gefunden haben, Einmal-Passwörter (OTP) abzufangen. Microsoft betont, dass die SMS-Methode mittlerweile als Hauptquelle für Betrugsversuche gilt.

Angreifer nutzen zunehmend Techniken wie SIM-Swapping oder fangen Nachrichten über gefälschte Mobilfunkzellen ab. So gelangen sie an die Codes und damit an fremde Konten.

Passkeys sind dagegen gerätespezifisch. Sie lassen sich jedoch zwischen verschiedenen Systemen synchronisieren – etwa innerhalb der Ökosysteme von Apple und Microsoft. Für den Fall eines Geräteverlusts sieht das Sicherheitskonzept weiterhin Backup-Codes vor. Diese dienen als physische oder digital hinterlegte Notfallschlüssel.

Weltweiter Trend gegen SMS-Authentifizierung

Die Abkehr von der SMS-Authentifizierung ist kein isolierter Schritt von Microsoft. International wächst der Druck auf Finanzinstitute und Technologieanbieter, unsichere Verfahren zu beenden.

Die philippinische Zentralbank (BSP) hat bereits angeordnet, dass SMS- und E-Mail-basierte Einmal-Passwörter für sensible Banktransaktionen bis zum 30. Juni 2026 abgeschafft werden müssen. Banken, die diese Frist versäumen, sollen künftig für Betrugsschäden haftbar gemacht werden. Als sicherere Alternativen schreibt die Behörde biometrische Verfahren und gerätegebundene Authentifizierungen vor.

Hintergrund dieser harten Regulierung ist die Zunahme von „Phishing-as-a-Service“ (PhaaS). Plattformen wie „Kali365“ oder „YY Lai Yu“ stellen Kriminellen fertige Werkzeuge zur Verfügung, um Microsoft-365-Umgebungen und andere Cloud-Dienste anzugreifen. Diese Dienste nutzen oft Live-Abfangpanels, mit denen sie die Multi-Faktor-Authentifizierung in Echtzeit umgehen können.

Angreifer missbrauchen Microsoft-Adressen

Der Schritt von Microsoft erfolgt zeitgleich mit einer Verschärfung der Sicherheitslage im Bereich der Identitätsverwaltung. Jüngste Berichte zeigen, dass Cyberkriminelle gezielt Schwachstellen in Systemen wie Microsoft Entra ID ausnutzen – dem ehemaligen Azure AD.

Dabei gelang es Angreifern in der Vergangenheit, offizielle Versandadressen wie „noreply@microsoft.com“ für den Versand von Phishing-Mails zu missbrauchen. Durch Manipulation von Organisationsnamen in Testumgebungen konnten betrügerische Nachrichten erstellt werden, die gängige Sicherheitsfilter wie SPF, DKIM und DMARC passierten. Viele Sicherheitssysteme stuften sie daher als vertrauenswürdig ein.

Auch staatliche Stellen reagieren auf die beschleunigte Bedrohungslage. In Indien hat die Behörde CERT-In die Pflicht zur Installation kritischer Sicherheitspatches verschärft. Unternehmen müssen dort Sicherheitslücken seit Ende Mai 2026 innerhalb von nur zwölf Stunden schließen.

Windows 11 bekommt automatische Geräteisolation

Microsoft nutzt den aktuellen Zeitraum zudem für eine fundamentale Überarbeitung der Sicherheitsarchitektur von Windows 11. Ende Mai 2026 startete die Vorschauversion einer automatischen Geräteisolation („Automatic Device Isolation“) im Programm „Defender for Endpoint“.

Diese Funktion erkennt hochriskante Schadaktivitäten und trennt infizierte Rechner sofort vom Firmennetzwerk. Ziel ist es, die laterale Bewegung von Angreifern zu unterbinden – also das Ausbreiten von Schadsoftware innerhalb eines Netzwerks. Rund 85 Prozent aller Cyberangriffe nutzen das Remote Desktop Protocol (RDP) für solche Bewegungen.

Gleichzeitig warnten Sicherheitsexperten vor neuen Angriffsmethoden wie der dateilosen Malware „RemotePE“, die von der Lazarus-Gruppe eingesetzt wird. Auch iranische Gruppierungen wie „Nimbus Manticore“ waren zuletzt aktiv und griffen verstärkt Unternehmen in der Luftfahrt- und Softwarebranche an.

Kritischer Wartungszyklus für Secure Boot

Windows-Nutzern steht ein kritischer Wartungszyklus bevor. Am 24. Juni 2026 laufen die Secure-Boot-Zertifikate aus dem Jahr 2011 endgültig ab. Microsoft rollt derzeit Updates aus, um diese durch Zertifikate aus dem Jahr 2023 zu ersetzen.

Ohne diese Aktualisierung verliert die Secure-Boot-Funktion ihre Wirksamkeit. Systeme werden dann anfällig für Manipulationen beim Startvorgang. Während die meisten Systeme das Update automatisch über Windows Update beziehen, kann bei älteren Geräten ein manueller Eingriff in das UEFI-BIOS erforderlich sein.

Performance-Schub für Windows 11

Neben den Sicherheitsaspekten treibt Microsoft auch die Leistungsfähigkeit von Windows 11 voran. Mit dem optionalen Vorschau-Update KB5089573 startete die Performance-Initiative „K2“. Sie zielt darauf ab, Latenzen im gesamten Betriebssystem zu reduzieren.

Erste Tests zeigen deutliche Verbesserungen: System-Menüs sollen bis zu 70 Prozent schneller reagieren, Anwendungsstarts um rund 40 Prozent. Besonders im Bereich der Grafikverarbeitung gibt es Neuerungen. Die Funktion „Advanced Shader Delivery“ (ASD) befindet sich in der öffentlichen Vorschau und soll Ladezeiten in modernen Anwendungen drastisch senken.

Als Beispiel wurden Optimierungen bei „Forza Horizon 6“ genannt: Die Ladezeit sank von 48 Sekunden auf 2 Sekunden. In „The Outer Worlds 2“ verringerten sich die Wartezeiten bei Verwendung aktueller Grafikkarten von drei Minuten auf neun Sekunden. Der Task-Manager wurde zudem erweitert, um die Auslastung der Neural Processing Units (NPU) anzuzeigen.

Wer die neuen Performance-Vorteile von Windows 11 nutzen will, aber vor technischen Hürden zurückschreckt, findet hier professionelle Hilfe. Der kostenlose „Erste Hilfe“-Report zeigt Ihnen, wie Sie typische Probleme selbst lösen und Ihr System ohne teuren IT-Techniker optimieren. Kostenlosen Windows 11 PDF-Report sichern

Ausblick auf die Post-Quantum-Ära

Die aktuelle Umstellung der Zertifikate und Authentifizierungsmethoden ist nur ein Zwischenschritt in einer langfristigen Sicherheitsstrategie. Microsoft hat bereits den nächsten Zertifikatswechsel für das Jahr 2038 terminiert. Ab dem Jahr 2030 plant der Konzern zudem den Übergang zur Post-Quantum-Kryptografie, um Systeme gegen künftige Angriffe durch Quantencomputer zu wappnen.

Bis dahin bleibt der Fokus auf der Eliminierung bekannter Schwachstellen und der Automatisierung der Abwehr. Für Unternehmen und Privatanwender bedeutet dies: Die Sicherheit wird künftig weniger auf dem Verhalten des Nutzers basieren und stärker auf integrierten, KI-gestützten Schutzmechanismen und biometrischen Hardware-Schlüsseln.

de | wissenschaft | 69428734 |