Passkeys ab September: Microsoft und Google schreiben Authentifizierung um
Veröffentlicht: 16.07.2026 um 10:55 Uhr, Redaktion boerse-global.de
Die Tech-Giganten setzen auf passwortlose Authentifizierung – mit weitreichenden Folgen für Unternehmen.
Microsoft und Google treiben die Ablösung traditioneller Passwörter in der Arbeitswelt massiv voran. Beide Konzerne kündigten diese Woche neue Maßnahmen an, um Passkeys und FIDO2-Sicherheitsschlüssel zum Standard für Unternehmenskunden zu machen. Der Schritt ist eine Reaktion auf alarmierende Sicherheitsdaten: Laut aktuellen Untersuchungen sind kompromittierte Zugangsdaten an 39 Prozent aller Sicherheitsvorfälle beteiligt.
Microsoft setzt auf verbindliche Fristen
Für Nutzer von Microsoft Entra ID wird der Passkey ab dem 1. September 2026 zur Standard-Authentifizierungsmethode. Das Unternehmen macht ernst: Ein Opt-out ist nicht vorgesehen. Die Anmeldung erfolgt künftig über biometrische Verfahren oder gerätegebundene PINs – klassische Passwörter gehören der Vergangenheit an.
Noch weitreichender ist der Zeitplan für die Abschaltung alter Verfahren: Die native SMS- und Sprachauthentifizierung wird zum 1. Februar 2027 eingestellt. Administrator:innen erhalten ab dem 30. Oktober 2026 die Möglichkeit, Drittanbieter für diese Dienste zu konfigurieren. Der Schritt ist Teil einer umfassenden Zero-Trust-Strategie, die auf kryptografische Verfahren setzt.
Google erweitert Hardware-Unterstützung für Windows
Parallel dazu hat Google seine Sicherheitsangebote für Workspace-Nutzer ausgebaut. Seit dem 13. Juli 2026 unterstützt der Google Credential Provider for Windows (GCPW) FIDO2-Sicherheitsschlüssel für Windows-Anmeldungen. Mitarbeiter können nun physische Schlüssel wie YubiKeys als zweiten Faktor nutzen.
Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll? Ein kostenloser Report zeigt, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Die Neuerung ermöglicht zudem die Verwendung von Passkeys, die auf Bluetooth-fähigen Mobilgeräten in der Nähe gespeichert sind. Administrator:innen erhalten über die Zwei-Schritt-Verifizierung von Google Workspace erweiterte Kontrollmöglichkeiten.
Neue Bedrohungen durch hochentwickelte Phishing-Angriffe
Doch der Umstieg birgt auch Risiken. Seit April 2026 verfolgen Sicherheitsforscher eine als O-UNC-066 bekannte Gruppe, die Microsoft-365-Kunden ins Visier nimmt. Die Angreifer geben sich als IT-Support aus und locken ihre Opfer auf gefälschte Anmeldeseiten. Gelingt die Täuschung, registrieren die Hacker eigene Passkeys – und schaffen sich so eine dauerhafte Hintertür ins Unternehmensnetzwerk.
Betroffen sind Branchen wie das Gesundheitswesen, die Technologiebranche, die Automobilindustrie, die Luftfahrt, das Baugewerbe und die Lebensmittelindustrie.
Allein in Deutschland werden pro Quartal rund 4,7 Millionen Online-Konten gehackt – wer noch auf herkömmliche Passwörter vertraut, geht ein hohes Risiko ein. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie die sichere Alternative nutzen und Hackern keine Chance mehr lassen. So schützen Sie sich jetzt kostenlos vor Datenklau
Technische Hürden in Deutschland
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in einer 169-seitigen Analyse von Windows Hello for Business auf technische Schwachstellen hingewiesen. Ohne die Aktivierung von Enhanced Sign-in Security (ESS) könne das Trusted Platform Module (TPM) biometrische Vorlagen nicht ausreichend vor lokalen Administrator:innen schützen. Das Problem: Nur eine begrenzte Zahl von Sensoren unterstützt derzeit die notwendigen ESS-Funktionen.
Institutionen ziehen nach
Auch Hochschulen setzen auf die neue Technologie. Das Imperial College London kündigte an, alle Nutzer bis Ende Juli 2026 auf Passkeys umzustellen.
Die technische Grundlage des Wandels: Statt gemeinsamer Geheimnisse kommt Public-Key-Kryptografie zum Einsatz. Der private Schlüssel verbleibt sicher auf dem Gerät des Nutzers, während nur der öffentliche Schlüssel mit dem Dienstanbieter geteilt wird. Sicherheitsexperten betonen, dass diese Architektur Passkeys von Natur aus resistent gegen Remote-Phishing macht – der kryptografische Handshake ist an die spezifische, legitime Domain des Dienstes gebunden.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
