Passwörter verlieren ihren Status als primäre Sicherheitsbarriere. Microsoft schaltet diese Woche für alle seine Unternehmenskunden auf passwortlose Anmeldung um – ein historischer Schritt, der durch eine alarmierende Welle von Identitätsdiebstählen getrieben wird. Kriminelle nutzen zunehmend gestohlene Zugangsdaten, um sich legal in Systeme einzuloggen.

Anzeige

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und neue Gesetze die Sicherheitsanforderungen massiv verschärfen, erklärt dieser aktuelle Experten-Report. Erfahren Sie, wie Sie Ihr Unternehmen mit einfachen Maßnahmen proaktiv schützen. IT-Sicherheit stärken und Cyberangriffe verhindern

Der größte Umstieg der Unternehmensgeschichte

Microsoft hat die finale Phase eingeläutet: Ab sofort werden Passkey-Profile automatisch für alle Mandanten im Identitätsdienst Microsoft Entra ID aktiviert. Für Millionen Unternehmensnutzer wird damit eine phishing-resistente Anmeldung verpflichtend. Der automatische Migrationsprozess läuft bis Ende Mai 2026. Diese Maßnahme ist die bislang umfangreichste Zwangsumstellung auf passwortlose Authentifizierung in der Unternehmens-IT.

Hintergrund ist eine fundamentale Veränderung der Cyber-Bedrohungslage. Laut dem aktuellen Halbjahresbericht des Schweizer Sicherheitsunternehmens Ontinue AG ist Identitätsdiebstahl erstmals zur häufigsten Angriffsmethode avanciert – noch vor der Ausnutzung von Software-Schwachstellen. Der Markt für gestohlene Zugangsdaten boomt; allein Angebote für vom Infostealer LummaC2 erbeutete Credentials sind in sechs Monaten um 72 Prozent gestiegen.

Gestohlene Identitäten: Die neue Einbruchsmethode

Warum sind Passwörter plötzlich das größere Problem? Angreifer umgehen heute aufwendig gehärtete Netzwerkperimeter, indem sie einfach gültige Log-in-Daten kaufen. Statt Malware zu schleusen, loggen sie sich mit den erworbenen Zugängen ein und agieren wie legitime Mitarbeiter. Diese Methode ist für Sicherheitsteams extrem schwer zu erkennen.

„Die Angreifer nutzen vertrauenswürdige Integrationen und gültige Sitzungstokens, um unentdeckt durch Firmensysteme zu navigieren“, so die Ontinue-Analyse. Solange Passwörter als Rückfalloption existieren, bleibe die Identität als Sicherheitsgrenze verwundbar. Microsofts Zwangsumstellung soll genau diese Lücke schließen, indem sie eine grundlegende Phishing-Resistenz schafft, die nicht von der Wachsamkeit der Nutzer abhängt.

Ein Admin-Account, 200.000 gelöschte Geräte

Die verheerenden Konsequenzen zeigte der Angriff auf den Medizintechnik-Konzern Stryker Anfang März. Über einen einzigen kompromittierten Administrator-Account löschten Angreifer rund 200.000 Firmen- und Privatgeräte in 79 Ländern remote. Der Zugang wurde durch ein ausgeklügeltes Phishing-Kit erlangt, das auch eine Zwei-Faktor-Authentifizierung (2FA) umging, indem es Sitzungstokens abfing.

Die Täter nutzten mit Microsoft Intune ausgerechnet ein Management-Tool für die Zerstörungsaktion. Der Fall Stryker beweist: Herkömmliche, anfällige 2FA reicht für privilegierte Accounts nicht mehr aus. Sicherheitsexperten sind überzeugt, dass phishing-resistente Passkeys oder Mehr-Augen-Prinzipien bei kritischen Aktionen das Ausmaß der Katastrophe stark begrenzt hätten.

Anzeige

Hacker nutzen immer raffiniertere Methoden und psychologische Tricks, um an sensible Zugangsdaten von Mitarbeitern zu gelangen. Dieser kostenlose Guide bietet eine 4-Schritte-Anleitung zur erfolgreichen Abwehr von Phishing-Attacken und CEO-Fraud. Anti-Phishing-Paket für Unternehmen kostenlos herunterladen

Regulatorischer Druck treibt globale Akzeptanz

Der Umstieg ist nicht nur technologisch, sondern auch regulatorisch getrieben. Die US-Standardisierungsbehörde NIST schreibt in ihrer aktuellen Richtlinie 800-63-4 phishing-resistente 2FA für Bundesbehörden und deren Auftragnehmer vor. Dieser Standard wirkt in die Privatwirtschaft hinein und beeinflusst Versicherungsanforderungen weltweit.

Die Akzeptanz steigt rasant: Laut aktuellen Daten von FIDO Alliance und HID Global setzen 87 Prozent der Unternehmen in den USA und Großbritannien bereits Passkeys ein oder testen sie aktiv. Bei Verbrauchern besitzen 69 Prozent mindestens einen Passkey – vor zwei Jahren waren es erst 39 Prozent. Große Plattformen wie Google und Amazon verzeichnen täglich fast eine Million neuer Registrierungen. Der Grund ist simpel: Die Erfolgsrate beim Login liegt bei Passkeys bei 93 Prozent, bei Passwörtern nur bei 63 Prozent.

Was kommt nach dem Passwort?

Bis Ende 2026 werden Passwörter wohl nur noch als Notlösung für veraltete Systeme dienen. Doch der Kampf gegen Account-Übernahmen geht weiter. Experten erwarten, dass sich Angreifer neuen Schwachstellen zuwenden werden, etwa dem Hijacking aktiver Sitzungen oder Missbrauch von Account-Wiederherstellungsverfahren.

Die nächste Frontlinie der Cybersicherheit wird daher „kontinuierliche Authentifizierung“ sein. Dabei überwachen KI-Systeme in Echtzeit das Nutzerverhalten, um Anomalien zu erkennen. So soll sichergestellt werden, dass die Person, die sich mit einem gültigen Passkey angemeldet hat, auch während der gesamten Sitzung die autorisierte Nutzerin bleibt. Das Ende des Passworts ist eingeläutet, der Wettlauf um die nächste Sicherheitsstufe hat bereits begonnen.