Microsoft Entra ID: Passkeys werden ab September 2026 Standard
Dieser Text wurde mit künstlicher Intelligenz (KI) erstellt.Microsoft hat am 13. Juli 2026 eine strategische Änderung für sein Identity- und Access-Management-System Microsoft Entra ID angekündigt. Ab dem 1. September 2026 werden Passkeys schrittweise als Standardmethode für die Multi-Faktor-Authentifizierung (MFA) eingeführt. Ziel dieser Maßnahme ist es, die Kontosicherheit durch phishing-resistente Anmeldeverfahren zu stärken und gleichzeitig anfällige Methoden wie SMS und Sprachanrufe abzulösen.
Die Umstellung betrifft alle Organisationen, die Microsoft Entra ID in der Public Cloud nutzen. Für andere Cloud-Umgebungen werden separate Zeitpläne kommuniziert. Die offizielle Microsoft-Ankündigung ist im Microsoft 365 Message Center unter MC1426371 verfügbar.
Update 14.07.2026: Zusätzlich wurde eine kritische Schwachstelle in Microsoft Exchange Server bekannt (CVE-2026-55008, CVSS 9.6). Die Lücke ermöglicht Remote Code Execution und betrifft mehrere Exchange-Versionen. Details siehe unten.
Die Fakten im Überblick
Passkeys als Standard: Ab 1. September 2026 werden Nutzer zur Registrierung von Passkeys aufgefordert; ab 1. Februar 2027 wird dies verbindlich.
SMS/Sprache wird abgeschaltet: Native Microsoft-Dienste für SMS- und Sprachanmeldung enden am 1. Februar 2027. Drittanbieter-Integration über Microsoft Security Store bleibt möglich.
Betroffene Plattform: Microsoft Entra ID (Public Cloud).
Kritische Exchange-Schwachstelle: CVE-2026-55008 (CVSS 9.6) betrifft Exchange Server 2016 CU23, 2019 CU14/CU15 und Subscription Edition RTM. Remote Code Execution ohne Authentifizierung möglich, Nutzerinteraktion erforderlich.
Der Zeitplan für die Umstellung
Für eine reibungslose Implementierung hat Microsoft einen gestaffelten Rollout-Plan veröffentlicht. IT-Administratoren sollten die folgenden Termine beachten:
Ab 1. August 2026: API-Unterstützung wird verfügbar, um ein temporäres Opt-out für den Passkey-Rollout zu konfigurieren.
Ab 1. September 2026: Nutzern wird bei der MFA-Anmeldung die Registrierung eines Passkeys angeboten. Die Teilnahme ist in dieser Phase noch optional.
Ab 18. September 2026: Microsoft veröffentlicht Informationen zu unterstützten Drittanbieter-Telekomdienstleistern im Microsoft Security Store.
Ab 30. Oktober 2026: Administratoren können Telekommunikationsdienste von Drittanbietern im Microsoft Security Store für die SMS- und Sprachanmeldung konfigurieren.
Ab 1. Februar 2027: Die nativen SMS- und Sprachdienste von Microsoft werden abgeschaltet. Die Aufforderung zur Passkey-Registrierung wird für alle betroffenen Nutzer verbindlich und kann nicht mehr übersprungen werden.
Handlungsbedarf und Optionen für Administratoren
Unternehmen müssen ihre Authentifizierungsstrategien an diesen neuen Rahmen anpassen. Die Übergangsfrist bis Februar 2027 bietet Zeit, interne Prozesse und die Nutzerkommunikation vorzubereiten.
Organisationen, die weiterhin auf SMS- oder sprachbasierte Authentifizierung angewiesen sind, müssen auf Lösungen von Drittanbietern ausweichen, die über den Microsoft Security Store integriert werden können. Microsoft empfiehlt jedoch klar den Umstieg auf vollständig phishing-resistente Methoden.
Nutzer, die bereits sichere Verfahren wie Windows Hello for Business, FIDO2 Security Keys, zertifikatbasierte Authentifizierung oder Smart Cards einsetzen, sind von der neuen Registrierungsaufforderung laut Microsoft Learn nicht betroffen.
Kritische Schwachstelle in Microsoft Exchange Server (CVE-2026-55008)
Parallel zur Passkey-Umstellung wurde am 14. Juli 2026 eine kritische Sicherheitslücke in Microsoft Exchange Server bekannt. Die Schwachstelle CVE-2026-55008 erhielt einen CVSS-Score von 9.6 und ermöglicht Remote Code Execution über das Netzwerk.
Technische Details
Die Schwachstelle betrifft folgende Exchange-Versionen:
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 14
Microsoft Exchange Server 2019 Cumulative Update 15
Microsoft Exchange Server Subscription Edition RTM
Ein Angreifer kann die Lücke ohne vorherige Authentifizierung ausnutzen (PR:N), benötigt jedoch Nutzerinteraktion (UI:R). Der Angriffsvektor ist netzwerkbasiert (AV:N) mit niedriger Angriffskomplexität (AC:L). Bei erfolgreicher Ausnutzung sind hohe Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit möglich (C:H/I:H/A:H). Der Scope ist „Changed“ (S:C), was bedeutet, dass die Auswirkungen über die verwundbare Komponente hinausgehen können.
Bewertung und Handlungsempfehlung
Zum Zeitpunkt der Veröffentlichung ist der Patch-Status unbekannt. Es liegen keine Informationen über aktive Ausnutzung oder Aufnahme in die CISA KEV-Liste vor. Organisationen mit Exchange-Servern in den betroffenen Versionen sollten das Microsoft Security Response Center Advisory unter https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55008 kontinuierlich überwachen und verfügbare Sicherheitsupdates priorisiert einspielen.
Die Kombination aus hohem CVSS-Score, netzwerkbasiertem Angriffsvektor und der Möglichkeit zur Remote Code Execution macht CVE-2026-55008 zu einer kritischen Bedrohung für Exchange-Infrastrukturen. Bis zur Verfügbarkeit eines Patches sollten Administratoren kompensatorische Maßnahmen wie Netzwerksegmentierung, verstärktes Monitoring und Zugriffsbeschränkungen auf Exchange-Dienste prüfen.
Relevanz für DACH-Organisationen
Für NIS-2-pflichtige Unternehmen und KRITIS-Betreiber in Deutschland ist die Umstellung besonders relevant: Die Nutzung phishing-resistenter Authentifizierungsverfahren entspricht den Anforderungen an technische Sicherheitsmaßnahmen gemäß § 30 BSIG. Das BSI empfiehlt FIDO2-basierte Verfahren und Passkeys explizit als starke Authentifizierungsmethoden. Organisationen, die Microsoft Entra ID als zentralen Identitätsdienst einsetzen, sollten die Umstellung zudem in ihre DSGVO-konforme Change-Dokumentation aufnehmen und prüfen, ob die Änderung der Authentifizierungsinfrastruktur interne Risikobewertungen nach ISO 27001 erfordert.
Die Exchange-Schwachstelle CVE-2026-55008 verstärkt die Dringlichkeit eines ganzheitlichen Microsoft-Sicherheitsmanagements. Organisationen mit Exchange-Servern müssen diese Schwachstelle in ihre Risikobewertung nach ISO 27001 Anhang A 8.8 (Schwachstellenmanagement) aufnehmen und dokumentieren.
Einordnung aus EASM- und VRM-Sicht
Die Umstellung der Authentifizierungsmethoden bei einem zentralen Identitätsanbieter wie Microsoft hat direkte Auswirkungen auf die externe Angriffsfläche und das Lieferantenrisikomanagement.
External Attack Surface Management (EASM): Microsoft Entra ID ist ein extern erreichbarer Dienst, dessen Anmeldeportale Teil der digitalen Infrastruktur eines Unternehmens sind. Eine EASM-Plattform wie LocateRisk identifiziert diese und andere exponierte Authentifizierungs-Endpunkte (z.B. für VPNs oder Cloud-Dienste). Das Wissen, welche Systeme von Entra ID abhängig sind, ist die Grundlage, um die Auswirkungen dieser Richtlinienänderung auf die eigene Sicherheitslage zu bewerten. Gleichzeitig müssen extern erreichbare Exchange-Server identifiziert und auf Betroffenheit durch CVE-2026-55008 geprüft werden.
Vendor Risk Management (VRM): Microsoft ist für die meisten Unternehmen ein kritischer Lieferant. Eine verbindliche Änderung der Sicherheitsrichtlinien ist ein relevantes Ereignis im Cyber Supply Chain Risk Management. Ein kontinuierliches Monitoring im Rahmen von VRM hilft dabei, solche Änderungen bei strategischen Partnern zu erfassen und die eigene Compliance mit Standards wie NIS-2 oder ISO 27001 sicherzustellen, die ein aktives Management von Lieferantenrisiken fordern. Die Exchange-Schwachstelle unterstreicht die Notwendigkeit, auch Patch-Management-Prozesse bei kritischen Microsoft-Produkten im VRM-Kontext zu überwachen.
So unterstützt Sie LocateRisk
Die LocateRisk-Plattform bietet Ihnen die notwendige Transparenz über Ihre externe Angriffsfläche und die Sicherheitslage Ihrer Lieferanten. Identifizieren Sie alle externen Systeme, die auf Microsoft Entra ID zur Authentifizierung angewiesen sind, und bewerten Sie die Sicherheits-Performance Ihrer kritischen Technologiepartner. Erkennen Sie exponierte Exchange-Server und andere Microsoft-Dienste in Ihrer Infrastruktur, um Schwachstellen wie CVE-2026-55008 schnell zu lokalisieren und zu priorisieren.
Unsere Lösung „Made in Germany“ wird in zertifizierten deutschen Rechenzentren gehostet — konzipiert nach DSGVO-Anforderungen und mit reduzierten Risiken durch US-Cloud-Act-Exposition.
Alle Organisationen und Nutzer, die Microsoft Entra ID in der Public Cloud verwenden. Eine Ausnahme bilden Nutzer, die bereits eine andere phishing-resistente Authentifizierungsmethode wie Windows Hello for Business, FIDO2 Security Keys oder Smart Cards einsetzen — diese erhalten laut Microsoft Learn keine neue Registrierungsaufforderung.
Ja, die Nutzung bleibt möglich, aber nicht mehr über den nativen Dienst von Microsoft. Unternehmen müssen dafür einen unterstützten Drittanbieter für Telekommunikationsdienste über den Microsoft Security Store integrieren. Die Konfiguration ist ab dem 30. Oktober 2026 möglich; Informationen zu verfügbaren Anbietern veröffentlicht Microsoft ab dem 18. September 2026.
Zwischen dem 1. September 2026 und dem 1. Februar 2027 können Nutzer die Aufforderung überspringen. Nach diesem Stichtag wird der Registrierungsdialog verbindlich. Eine Anmeldung ohne Interaktion mit der Aufforderung ist für betroffene Nutzer dann nicht mehr möglich.
Prüfen Sie, ob Sie eine der betroffenen Versionen einsetzen: Exchange Server 2016 CU23, Exchange Server 2019 CU14 oder CU15, oder Exchange Server Subscription Edition RTM. Überwachen Sie das Microsoft Security Response Center für Patch-Informationen und setzen Sie verfügbare Updates umgehend ein.
Fragen Sie jetzt Ihre persönliche Live-Demo an
Erkennen und reduzieren Sie Ihre Cyberrisiken durch einen vergleichbaren und verständlichen Überblick Ihrer IT-Sicherheit. Lassen Sie sich von unseren Experten beraten und finden Sie heraus, wie LocateRisk Ihnen bei der Lösung Ihrer Cyberrisiken helfen kann.
Mehr erfahren, Demo buchen oder einfach mal kurz austauschen? Wir freuen uns!
We use cookies to optimize our website and our service.
Functional
Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistics
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.