Microsoft macht Multi-Faktor-Authentifizierung zur Pflicht

Microsoft verschärft die Sicherheitsregeln: Ab sofort müssen alle Azure-Nutzer eine Multi-Faktor-Authentifizierung (MFA) verwenden. Die Maßnahme soll Cyberangriffe auf Basis gestohlener Passwörter stoppen – ein Problem, das auch deutsche Unternehmen betrifft.

Diese Woche tritt die kritische Phase von Microsofts Sicherheitsoffensive in Kraft. Ab Oktober 2025 benötigen alle Nutzer eine MFA für sämtliche Verwaltungsoperationen in der Azure-Cloud. Das betrifft nicht nur administrative Portale, sondern auch Kommandozeilen-Tools, APIs und andere Entwicklungsschnittstellen.

Laut Microsoft-Studien blockiert MFA über 99,2 Prozent aller Angriffe auf Benutzerkonten. Die Verschärfung zeigt: Passwörter allein können kritische digitale Infrastrukturen nicht mehr schützen.

Das Ende der reinen Passwort-Ära

Jahrelang warnten Experten vor schwachen und wiederverwendeten Passwörtern – dem Haupteinfallstor für Datendiebstahl. Mit immer raffinierteren Phishing- und Credential-Stuffing-Angriffen wird die Abhängigkeit von einem einzigen Authentifizierungsmerkmal unhaltbar.

Microsofts schrittweise Durchsetzung antwortet direkt auf diese Bedrohung. Phase eins endete im März 2025 mit der MFA-Pflicht für das Azure-Portal. Jetzt werden auch mächtige Backend-Tools wie Azure PowerShell und Azure CLI abgesichert. Selbst automatisierte Skripte und Entwickler-Workflows müssen diese Sicherheitsebene durchlaufen.

Phishing-resistente Authentifizierung auf dem Vormarsch

Nicht alle MFA-Methoden sind gleich sicher. Die US-Cybersicherheitsbehörde CISA empfiehlt „phishing-resistente“ Verfahren, da SMS-Nachrichten anfällig für SIM-Swapping-Angriffe sind.

Die Branche setzt daher auf stärkere Alternativen:

• Authenticator-Apps: Mobile Anwendungen mit zeitlich begrenzten Einmalkodes
• Hardware-Token: Physische Geräte mit Codes oder kryptographischen Schlüsseln
• Biometrie: Fingerabdruck- oder Gesichtserkennung
• Passkeys: Neuer Standard mit kryptographischen Schlüsselpaaren, die Phishing unmöglich machen

Passkeys gewinnen besonders an Bedeutung. Ein Bericht der FIDO Alliance von 2025 zeigt: 87 Prozent der befragten Unternehmen in den USA und Großbritannien haben Passkey-Lösungen bereits eingeführt oder planen dies aktiv.

Anzeige: Apropos MFA und Authenticator-Apps: Ihr Smartphone ist oft der zweite Faktor – und damit ein Top-Ziel für Angreifer. Der kostenlose Ratgeber zeigt die 5 wichtigsten Schutzmaßnahmen für Android, damit WhatsApp, Banking, PayPal und vor allem Ihre Authenticator-App bestmöglich abgesichert sind. Mit einfachen Schritt-für-Schritt-Anleitungen, ganz ohne Zusatzkosten. Jetzt das kostenlose Android‑Sicherheitspaket anfordern

Navigation durch den Wandel

Microsofts MFA-Pflicht reiht sich in einen größeren Trend ein. Auch deutsche Behörden und EU-Regularien fordern verstärkt starke Authentifizierungskontrollen. Das US-amerikanische National Institute of Standards and Technology (NIST) hat seine Richtlinien überarbeitet: Weg von komplexen Passwort-Regeln, hin zu längeren Passphrasen kombiniert mit robuster MFA.

Für Organisationen ist jetzt Vorbereitung gefragt. Administratoren sollten alle Konten und Automatisierungsskripte auf Kompatibilität mit modernen Authentifizierungsmethoden prüfen. Obwohl Microsoft bei komplexen Umgebungen Übergangsfristen gewährt, steht fest: Die Zeit der optionalen MFA ist vorbei.

Blick in die Zukunft

Die flächendeckende MFA-Durchsetzung durch Tech-Giganten wie Microsoft markiert einen Wendepunkt. Sie etabliert einen neuen Sicherheitsstandard mit Auswirkungen auf das gesamte Technologie-Ökosystem.

Doch die Bedrohungen entwickeln sich weiter. Cyberkriminelle nutzen bereits „MFA-Fatigue“ – sie bombardieren Nutzer mit Authentifizierungsanfragen in der Hoffnung auf versehentliche Freigabe. Das unterstreicht: Benutzerschulung und die sichersten verfügbaren Methoden bleiben unverzichtbar.

Die Botschaft der Cybersicherheits-Community ist eindeutig: Ein einzelnes Passwort kann digitale Infrastrukturen nicht mehr verteidigen. Multi-Faktor-Authentifizierung wird zur Lebensversicherung unseres digitalen Alltags.