Microsoft setzt auf Passkeys gegen MFA-Angriffe

Cyberkriminelle überlisten Sicherheitssysteme durch psychologische Tricks – Microsoft reagiert mit automatischer Passkey-Einführung.

Im digitalen Sicherheitskrieg zielen Angreifer zunehmend auf den Menschen. Sie nutzen eine psychologische Schwachstelle namens „MFA-Fatigue“, um kritische Verteidigungslinien zu umgehen. Diese als Push-Bombing bekannte Technik bleibt auch Anfang 2026 eine große Bedrohung. Sicherheitsanbieter wie Microsoft reagieren mit einer strategischen Neuausrichtung. Sie verstärken den Identitätsschutz und beschleunigen den Übergang zu widerstandsfähigeren, phishing-resistenten Authentifizierungsmethoden wie Passkeys.

Die Schwachstelle Mensch: So funktioniert MFA-Fatigue

Das Problem liegt nicht in geknackter Verschlüsselung, sondern in überforderten Nutzern. Nach dem Diebstahl eines Passworts bombardieren Angreifer das Gerät eines Opfers mit Dutzenden Multi-Faktor-Authentifizierungs (MFA)-Benachrichtigungen, etwa aus der Microsoft Authenticator App. Das Ziel: Den Nutzer so zu frustrieren, dass er eine Anfrage versehentlich oder absichtlich genehmigt – und dem Angreifer so Zugang gewährt.

Sicherheitsexperten sehen ein klares Muster. Bedrohungsakteure entwickeln sich weiter: von der Ausnutzung von Softwarefehlern hin zum Angriff auf Anmeldeverfahren. Selbst korrekt aktivierte MFA bietet keinen absoluten Schutz. Entschlossene Angreifer können sich wieder Zugang verschaffen. Dies offenbart anhaltende „Blindstellen“ in der Unternehmenssicherheit.

Identität als neues Schlachtfeld der Cybersicherheit

Die Bedrohungslandschaft wird heute von Angriffen auf die Nutzeridentität definiert, nicht mehr auf Netzwerkgrenzen. Gestohlene Anmeldedaten sind für Kriminelle extrem wertvoll. Taktiken wie MFA-Fatigue, Session-Hijacking oder Token-Diebstahl sind alltäglich geworden.

Phishing-Angriffe und psychologische Tricks wie MFA‑Fatigue sind mittlerweile ein Hauptgrund für gestohlene Zugangsdaten und unerlaubte Logins. Das kostenlose Anti‑Phishing‑Paket bietet eine praxisnahe 4‑Schritte‑Anleitung: Sie lernen, welche psychologischen Muster Angreifer nutzen, wie Sie Mitarbeitende nachhaltig sensibilisieren und welche technischen Kontrollen sofort helfen. Speziell für IT‑Leiter und Sicherheitsbeauftragte, die Push‑Bombing, CEO‑Fraud und ähnliche Taktiken stoppen wollen. Jetzt Anti-Phishing-Paket herunterladen

Da diese Angriffe oft mit gültigen Zugangsdaten erfolgen, sind sie schwer zu erkennen. Eindringlinge können sich so unerkannt in Systemen bewegen. Die Herausforderung wird durch eine allgemeine „Alert Fatigue“ in Sicherheitsteams verstärkt. Der konstante Strom von Warnmeldungen stumpft die Reaktion auf echte Gefahren ab.

Für den Endnutzer äußert sich das als Push-Bombing. Ein Mitarbeiter, überschüttet mit Authentifizierungsanfragen, genehmigt schließlich eine, einfach um die Störung zu beenden – und öffnet unbewusst die Tür zum Firmennetzwerk. Diese Methode war bei spektakulären Datenschutzverletzungen erfolgreich und bleibt eine Standardstrategie für Cyberkriminelle. Das Problem ist so allgegenwärtig, dass Microsoft laut Berichten von Ende Januar 2026 die am häufigsten gefälschte Marke in Phishing-Angriffen ist. Diese dienen als Einstieg, um das initiale Passwort für eine MFA-Fatigue-Kampagne zu stehlen.

Microsoft rüstet Hochrisiko-Nutzer auf

Als Reaktion auf die anhaltende Bedrohung verstärkt Microsoft seine Sicherheitsangebote. In einer aktuellen Ankündigung vom 27. Januar 2026 stellte das Unternehmen neue Optionen für seine Cloud Solution Provider (CSP)-Partner vor. Diese sollen den Verkauf und die Bereitstellung erweiterten Identitätsschutzes erleichtern.

Die neuen SKUs (Verkaufseinheiten) zielen speziell auf Kunden mit Microsoft 365 E3 ab. Sie sollen deren Verteidigung mit hochwertigeren Produkten wie Entra ID P2 und Defender for Endpoint P2 stärken. Die Initiative will Organisationen bessere Werkzeuge an die Hand geben, um Hochrisiko-Nutzer und kritische Konten zu schützen. Diese sind häufig das primäre Ziel ausgeklügelter Phishing- und MFA-Bombing-Kampagnen.

Diese Maßnahme folgt Warnungen der Microsoft-Sicherheitsteams von Anfang des Monats vor mehrstufigen Phishing-Kampagnen, die Sektoren wie die Energiebranche ins Visier nehmen. Diese Kampagnen missbrauchen vertrauenswürdige File-Sharing-Dienste, um Zugangsdaten abzugreifen – die Voraussetzung für jeden darauf folgenden Identitätsangriff. Durch den vereinfachten Zugang zu moderner Identitäts- und Endpunkt-Sicherheit ermöglicht Microsoft seinen Partnern, robustere Abwehrmaßnahmen gegen diese sich entwickelnden Angriffsvektoren aufzubauen.

Die strategische Wende: Phishing-resistente Authentifizierung

Die Branche erkennt die grundlegenden Grenzen push-basierter MFA und beschleunigt den Umstieg auf passwortlose Lösungen. Ein bedeutender Schritt in diese Richtung: Microsoft kündigte an, dass Entra ID ab März 2026 automatisch Passkey-Profile und die Unterstützung für synchronisierte Passkeys aktivieren wird.

Dieses Update führt Organisationen zu einem sichereren Authentifizierungsschema, das inhärent resistent gegen Phishing und Push-Bombing ist. Passkeys nutzen kryptografische Prinzipien und sind oft an ein spezifisches Gerät gebunden. Sie können nicht wie ein Passwort per Phishing gestohlen werden. Da es kein gemeinsames Geheimnis gibt, das eingegeben werden muss, kann ein Angreifer einen Nutzer nicht dazu bringen, es preiszugeben.

Zudem basiert der Authentifizierungsprozess nicht auf einer simplen „Genehmigen/Ablehnen“-Push-Benachrichtigung. Damit wird der MFA-Fatigue-Angriffsvektor neutralisiert. Das neue System bietet Administratoren detaillierte Kontrolle. Sie können festlegen, ob gerätegebundene Passkeys, synchronisierte Passkeys oder beide erlaubt sind. Dies ermöglicht eine flexiblere und sicherere Identitätsstrategie im gesamten Unternehmen.

Ausblick: Der Weg in die passwortlose Zukunft

Organisationen sollten sich auf die Änderungen in Microsoft Entra ID ab März 2026 vorbereiten. Die Plattform beginnt dann, Mandanten auf das neue Passkey-Profil-System umzustellen. IT-Administratoren sollten sich mit den neuen Passkey-Eigenschaften vertraut machen und ihre Einführungsstrategie planen.

Diese Verschiebung wird auch dazu führen, dass von Microsoft verwaltete Registrierungskampagnen stärker auf die Passkey-Einführung fokussieren als auf die traditionelle Einrichtung der Authenticator App. Während MFA-Fatigue heute eine wirksame Bedrohung bleibt, wird das Fundament für ein strukturell sichereres, passwortloses Ökosystem gelegt.

Das kommende Jahr wird entscheidend sein, da Unternehmen diesen Übergang ernsthaft beginnen. Der Erfolg hängt nicht nur von der Technologie ab, sondern auch von der Fähigkeit der Organisationen, den Wandel zu managen und ihre Nutzer für die nächste Generation sicherer Authentifizierung zu sensibilisieren.

PS: Wenn Organisationen auf Passkeys umstellen, darf die Awareness nicht fehlen. Dieses Gratis‑Material enthält Checklisten, Übungsszenarien und konkrete Maßnahmen, um MFA‑Fatigue vorzubeugen und Phishing‑Einstiege zu schließen – ideal für Einführungskampagnen und Trainings. Schnell umsetzbare Tipps für Admins und Datenschutzverantwortliche. Gratis Anti-Phishing-Guide anfordern