Duo Security beendet SMS- und Sprachanmeldung

Ein bedeutender Anbieter stellt die als unsicher geltenden Zwei-Faktor-Methoden ein und zwingt Millionen Nutzer zum Wechsel auf sicherere Alternativen. Der Schritt markiert einen Wendepunkt in der Cybersicherheit und folgt einem breiten Branchenkonsens.

Die Abschaffung betrifft die Authentifizierung per SMS und Sprachanruf. Für viele Nutzer endete der Support bereits. Organisationen wie die University of Cincinnati setzten den 21. Januar 2026 als Stichtag. Duo Security, eine Tochter von Cisco, treibt damit den Abschied von Technologien voran, die als anfällig für moderne Cyberangriffe gelten. Millionen Nutzer, die den Dienst für den Zugang zu Unternehmensnetzwerken nutzen, sind betroffen.

Warum SMS und Sprache zum Sicherheitsrisiko wurden

Die Entscheidung ist eine direkte Antwort auf immer raffiniertere Cyberbedrohungen. Experten sehen in diesen Methoden längst das schwächste Glied in der Sicherheitskette. Die Schwachstellen liegen im öffentlichen Telefonnetz (PSTN), das nicht für moderne Sicherheitsanforderungen konzipiert wurde.

Angreifer nutzen Techniken wie SIM-Swapping. Dabei überreden sie Mobilfunkanbieter, die Handynummer des Opfers auf eine eigene SIM-Karte umzuleiten. So können sie die SMS-Codes abfangen. Da Textnachrichten zudem unverschlüsselt sind, lassen sie sich auch über Schwachstellen im globalen SS7-Protokoll abhören. Phishing-Kampagnen tricksen Nutzer zudem aus, Codes in Echtzeit preiszugeben.

Passend zum Thema Cybersicherheit: Viele Unternehmen sind auf solche Angriffe nicht vorbereitet – Experten sprechen von hohen Risiken für Mitarbeiterkonten und Firmendaten. Ein kostenloser Leitfaden zeigt praxisnahe Maßnahmen, wie Sie Ihre Zugänge sofort härten, Mitarbeiter für Phishing sensibilisieren und auf phishing-resistente Methoden umstellen (z. B. Sicherheitsschlüssel, WebAuthn). Ideal für IT-Verantwortliche und Admins, die kurzfristig Schutz verbessern wollen. Jetzt kostenlosen Cyber-Security-Leitfaden sichern

Der Wechsel zu phishing-resistenten Methoden

Als Alternative lenkt Duo die Nutzer zu sichereren Verfahren. Primär wird Duo Push empfohlen. Diese verschlüsselte Benachrichtigung in der Duo Mobile App erfordert nur einen Bestätigungsklick. Sie ist schneller als das Eintippen eines Codes und zeigt Kontextinformationen zur Anmeldung an – was Betrugsversuche leichter erkennbar macht.

Darüber hinaus setzt das Unternehmen auf echte phishing-resistente Optionen, die mit Zero-Trust-Modellen kompatibel sind:
* WebAuthn und FIDO2-Sicherheitsschlüssel: Physische Hardware wie YubiKeys bieten das höchste Sicherheitsniveau. Der Nutzer muss den Schlüssel berühren, was einen Remote-Angriff praktisch unmöglich macht.
* Plattform-Authentifikatoren: Dazu gehören biometrische Verfahren wie Apples Touch ID und Face ID oder Windows Hello. Sie binden die Anmeldung an das physische Gerät.
* Verified Push: Eine erweiterte Push-Methode, bei der der Nutzer einen Code vom Login-Bildschirm in die App eintippen muss. Dies verhindert die versehentliche Bestätigung betrügerischer Anfragen.

Diese modernen Methoden nutzen kryptografische Verifikation und bieten einen deutlichen Sicherheitsvorteil.

Eine Branche im Wandel

Der Abschied von veralteter Zwei-Faktor-Authentifizierung ist kein Einzelfall. Regulatorische Vorgaben fordern zunehmend stärkere Methoden zum Schutz sensibler Daten. Technologieführer wie Microsoft raten seit langem von SMS und Sprache ab.

Für Organisationen bedeutet der Wechsel erheblichen Aufwand. Sie mussten monatelang Mitarbeiter und Nutzer informieren, anleiten und für die Risiken der alten Methoden sensibilisieren. Die Einrichtung mehrerer Authentifizierungsmethoden wird empfohlen, um Account-Sperrungen zu vermeiden.

Die Zukunft ist passwordlos

Das Ende der telefonbasierten Authentifizierung ebnet den Weg für eine noch sicherere Zukunft: die passwortlose Anmeldung. Die Technologien, die SMS ersetzen – Biometrie und Sicherheitsschlüssel – sind die Grundsteine für eine Welt ohne traditionelle Passwörter.

Die Ära der telefonischen Verifikation ist beendet. Das Zeitalter der kryptografischen, phishing-resistenten Identitätsprüfung hat begonnen. Für IT-Administratoren und Nutzer bleibt die Aufgabe, den vollständigen Wechsel zu den modernen Methoden umzusetzen, die Duo und andere Sicherheitsexperten nun vorantreiben.

PS: Sie möchten praktische Checklisten und sofort umsetzbare Schritte, um Phishing-Angriffe zu verhindern und SMS-basierte Logins abzuschaffen? Dieser Gratis-Leitfaden fasst bewährte Maßnahmen zusammen – von Schulungsmaßnahmen für Mitarbeiter bis zur Einführung von WebAuthn und Sicherheitsschlüsseln – und hilft Ihnen, Schutzmaßnahmen ohne große Zusatzkosten umzusetzen. Gratis-Leitfaden zur Phishing-Abwehr herunterladen