Microsoft schließt Sicherheitslücke für externe Fingerabdruck-Scanner

Microsoft erweitert die biometrische Hochsicherheit von Windows 11 auf externe Fingerabdruckleser. Die als Enhanced Sign-in Security (ESS) bekannte Technologie war bisher nur für integrierte Sensoren in Laptops verfügbar. Mit dem Februar-2026-Update können nun auch Desktop-Nutzer und Unternehmen von hardwarebasierter Absicherung profitieren – ein entscheidender Schritt in Richtung einer passwortlosen Zukunft.

Hardware-Schutz für externe Geräte

Kern der Neuerung ist die Ausweitung von Enhanced Sign-in Security auf Peripheriegeräte. ESS ist keine reine Software-Lösung, sondern eine tief im System verankerte Sicherheitsarchitektur. Sie nutzt spezialisierte Hardware-Komponenten wie das Trusted Platform Module (TPM) 2.0 und Virtualization Based Security (VBS).

Diese Kombination erzeugt eine abgeschottete, virtuelle Umgebung im System. In dieser werden biometrische Daten und Authentifizierungsprozesse verarbeitet. Selbst wenn das Haupt-Betriebssystem durch Malware kompromittiert wird, bleiben die biometrischen Zugangsdaten so geschützt. Bisher war diese Integration nur bei werksseitig verbauten Sensoren möglich.

Hardwarebasierte Biometrie wie Microsofts ESS schützt Fingerabdruckdaten bereits auf Chip‑ und Firmware‑Ebene – aber Sicherheit endet nicht beim Sensor. Für IT‑Leiter und sicherheitsbewusste Desktop‑Nutzer bietet das kostenlose E‑Book „Cyber Security Awareness Trends“ praxisnahe Maßnahmen: Endpunkt‑Härtung, Firmware‑ und TPM‑Checks, Update‑Strategien sowie Phishing‑Abwehr für heterogene Geräteflotten. Konkrete Tipps helfen bei der sicheren Einführung passwortloser Anmeldung und FIDO2. Jetzt Gratis‑Cybersecurity‑Leitfaden herunterladen

Nutzer können einen unterstützten externen Fingerabdruckleser anschließen und ESS über die „Anmeldeoptionen“ in den Windows-11-Einstellungen aktivieren. Damit erweitert Microsoft die sichere Hardware-Peripherie auf genehmigte USB-Geräte.

Großer Gewinn für Desktop-PCs und Unternehmen

Das Update ist besonders für zwei Gruppen relevant: Desktop-Nutzer und Unternehmen. Besitzer von stationären PCs, die seit langem auf externe Webcams und Fingerabdruckleser setzen, erreichen nun das gleiche Sicherheitsniveau wie moderne Laptop-Nutzer. Das macht eine Premium-Sicherheitsfunktion gegen Online-Angriffe und physische Manipulation breit verfügbar.

Für Firmen sind die Auswirkungen noch weitreichender. IT-Administratoren können nun eine hochsichere, passwortlose Authentifizierung über eine heterogene Geräteflotte standardisieren – inklusive älterer Desktop-Systeme. Das erleichtert die Einführung moderner Sicherheitsframeworks wie FIDO2 und Zero Trust, ohne sofort teure Hardware-Upgrades durchführen zu müssen.

Microsoft senkt damit die Hürde für starke Authentifizierungsmethoden, die gegen Phishing und Credential-Diebstahl resistent sind. Eine strategische Entscheidung in unsicheren Zeiten.

Strategischer Schritt in die passwortlose Ära

Die Erweiterung der ESS-Unterstützung ist ein logischer und kritischer Teil von Microsofts Sicherheitsstrategie. Das Unternehmen treibt seit Jahren eine passwortlose Zukunft voran, mit Technologien wie Windows Hello, Authenticator-Apps und FIDO2-Sicherheitsschlüsseln.

Dieses Update passt perfekt zu den Prinzipien der „Secured-core PC“-Initiative und der Integration des Microsoft Pluton Sicherheitsprozessors in neue Geräte. Ziel ist ein durchgängiger Schutz „vom Chip bis in die Cloud“.

Durch hardwarebasierte biometrische Sicherheit auf mehr Maschinen härtert Microsoft das Windows-Ökosystem gegen eine sich ständig weiterentwickelnde Bedrohungslage aus. Branchenbeobachter erwarten eine positive Aufnahme in der Cybersicherheits-Community, da es eine langjährige Forderung von Unternehmenskunden und sicherheitsbewussten Anwendern adressiert.

Ausblick: Graduelle Einführung und nächste Schritte

Die ESS-Einführung für externe Sensoren befindet sich aktuell in einer Preview-Phase. Microsoft nutzt sein „Controlled Feature Rollout“-System, um die Veröffentlichung zu steuern. Die Funktion wird schrittweise in den kommenden Wochen verfügbar, während das Unternehmen Performance und Feedback prüft.

IT-Administratoren sollten die neue Funktionalität mit ihren genehmigten Peripheriegeräten testen, um Kompatibilität und reibungslose Integration in bestehende Sicherheitsrichtlinien sicherzustellen. Das aktuelle Update konzentriert sich zwar auf externe Fingerabdruckleser, es ebnet aber den Weg für potenzielle Unterstützung externer Windows-Hello-kompatibler Kameras. Das würde die Reichweite von Enhanced Sign-in Security weiter vergrößern.

PS: Gerade Desktop‑PCs mit externen Fingerabdrucklesern können zur neuen Angriffsfläche werden, wenn Rollout‑Checks fehlen. Dieses kostenlose E‑Book erklärt Schritt für Schritt, wie Sie ESS‑Rollouts sicher testen: TPM‑ und VBS‑Prüfungen, genehmigte Peripherie‑Listen, Update‑Prozesse und Maßnahmen zur Minimierung von Phishing‑Risiken durch passwortlose Authentifizierung. Ein praktischer Leitfaden für IT‑Administratoren, die eine sichere, passwortlose Infrastruktur planen. Gratis‑E‑Book: Cybersecurity‑Awareness jetzt sichern