Microsoft verlängert Frist für veraltete E-Mail-Authentifizierung

Microsoft gibt IT-Verantwortlichen mehr Zeit für die Abschaffung der unsicheren Basic Authentication in Exchange Online. Der Konzern reagiert damit auf Kundenfeedback zu komplexen Migrationsprojekten.

Neuer Zeitplan bis Ende 2027

Die ursprünglich geplante, schnellere Abschaltung wird durch einen gestaffelten Plan ersetzt. Bis Dezember 2026 bleibt die bisherige Funktionalität zunächst unverändert erhalten. Ein erster entscheidender Schritt folgt dann zum Jahreswechsel 2026/27: Die einfache Authentifizierung wird für alle bestehenden Microsoft 365-Mandanten standardmäßig abgeschaltet.

Viele Firmen unterschätzen die Gefahr, die von veralteter Basic Authentication ausgeht — Zugangsdaten sind anfällig für Phishing und Brute‑Force‑Angriffe. Nutzen Sie die jetzt gewonnene Frist, um Ihre Systeme wirklich abzusichern: Der kostenlose Cyber‑Security‑Report erklärt, welche kurzfristigen Maßnahmen IT‑Teams ergreifen können, wie OAuth‑Umstellungen geplant werden und welche Schutzmaßnahmen sofort greifen. Ideal für IT‑Verantwortliche und Entscheider. Jetzt kostenlosen Cyber-Security-Guide anfordern

Doch es gibt eine wichtige Ausnahme: Administratoren können die Methode bei Bedarf manuell wieder aktivieren. Diese Notfalloption soll Geschäftskontinuität sicherstellen. Für alle neuen Mandanten, die nach Dezember 2026 erstellt werden, ist Basic Authentication dagegen von vornherein nicht verfügbar. Das endgültige, vollständige Ende für alle Kunden kündigt Microsoft für die zweite Hälfte 2027 an.

Warum die Verlängerung nötig wurde

Hinter der Entscheidung stehen praktische Hürden in Unternehmen weltweit. Viele Betriebe nutzen veraltete Geräte und Anwendungen, die moderne Protokolle wie OAuth 2.0 nicht unterstützen. Dazu gehören etwa Multifunktionsdrucker, Überwachungssysteme oder hausintern entwickelte Skripte für E-Mail-Benachrichtigungen.

Diese Systeme sind oft tief in Geschäftsprozesse integriert und können nicht einfach aktualisiert werden. Die Migration erfordert Hardware-Ersatz, Software-Anpassungen oder komplexe Workarounds. Die verlängerte Frist soll Planungssicherheit für diese aufwändigen Projekte schaffen.

Sicherheitsrisiko bleibt akut

Trotz der verlängerten Übergangsfrist warnen Experten vor den Gefahren der alten Methode. Bei der Basic Authentication werden Benutzername und Passwort in leicht abfangbarer Form übertragen. Das Protokoll unterstützt weder moderne Verschlüsselungsstandards noch Multi-Faktor-Authentifizierung (MFA).

Moderne Alternativen wie OAuth 2.0 nutzen dagegen zeitlich begrenzte Sicherheitstokens. Diese reduzieren die Angriffsfläche erheblich und schützen Zugangsdaten besser vor Phishing- oder Brute-Force-Angriffen. Die Abschaltung ist Teil einer branchenweiten Initiative für mehr Cybersicherheit.

Was Unternehmen jetzt tun sollten

Die Botschaft von Redmond ist klar: Das Ende der Basic Authentication ist nur eine Frage der Zeit. IT-Verantwortliche sollten die gewonnene Zeit nutzen, um ihre Migration zu beschleunigen. Der erste Schritt ist eine Bestandsaufnahme: Welche Anwendungen und Geräte nutzen noch das veraltete Protokoll?

Microsoft bietet im Exchange Admin Center entsprechende Analyse-Tools an. Anschließend gilt es, einen Migrationsplan zu entwickeln. Mögliche Maßnahmen reichen von Firmware-Updates über die Neukonfiguration von Anwendungen bis hin zu Secure-Relay-Lösungen für nicht aktualisierbare Geräte. Wer jetzt handelt, vermeidet Betriebsunterbrechungen, wenn die neuen Fristen wirksam werden.

PS: Sie brauchen kurzfristige Schutzmaßnahmen, bis Sie vollständig auf OAuth umgestellt haben? Der kostenfreie Cyber‑Security‑Report liefert eine 4‑Schritte‑Praxis‑Anleitung, konkrete Checklisten für IT‑Teams und leicht umsetzbare Maßnahmen, mit denen Sie Ihre Exchange‑Umgebung und Mitarbeitende besser gegen Phishing und Kontoübernahmen schützen. Ideal für IT‑Verantwortliche, die Störungen vermeiden wollen. Jetzt kostenlosen Cyber-Security-Report sichern