Zurück zum Newsroom

M365 Security 2025: Der Wechsel zu sicheren MFA-Verfahren und strikteren Richtlinien

27. November 2025

Seit dem 30. September 2025 werden unsichere Methoden der Multi-Faktor-Authentifizierung (MFA) wie SMS und Telefonanruf im Microsoft-Entra-Umfeld schrittweise zurückgezogen und durch phishing-resistente Verfahren ersetzt.
Microsoft verankert diese Vorgaben in verbindlichen Sicherheitsstandards im Entra Admin Center und treibt Unternehmen aktiv zur Nutzung moderner Authentifizierung wie FIDO2-Keys, Windows Hello for Business und Passkeys. Die Änderungen markieren einen klaren Paradigmenwechsel in der Identitätssicherheit und erfordern umfassende technische und organisatorische Anpassungen.

Vor dem Hintergrund der aktuellen Bedrohungslage – laut Microsoft werden über 97 % aller Identitätsangriffe durch Passwort-Spray- oder Brute-Force-Methoden ausgeführt (bei Passwort-Spray werden wenige gängige Passwörter gegen viele Konten getestet, während Brute-Force klassische systematische Passwortversuche gegen einzelne Konten nutzt) und 28 % aller Sicherheitsvorfälle durch Phishing oder Social Engineering ausgelöst – wird 2025 zur Frage, wie robust die Identitäts- und Sicherheitsarchitektur eines Unternehmens unter realen Angriffen funktioniert.

Phishing-resistente MFA: Die wichtigsten Sicherheitsänderungen

Eine zentrale Antwort auf die steigende Angriffsdynamik ist die konsequente Einführung phishing-resistenter Authentifizierungsverfahren. Klassische MFA schützte lange gegen Credential Stuffing, also automatisierte Login-Versuche mit zuvor gestohlenen Zugangsdaten, und gegen Account Hijacking, bei dem Angreifer bestehende Konten vollständig übernehmen.
Moderne Angreifer umgehen SMS-Codes und Push-Bestätigungen zunehmend über Social Engineering oder MFA-Fatigue. Microsoft verankert deshalb den Wechsel zu kryptografisch gebundenen MFA-Verfahren in seinen neuen Sicherheitsstandards – Verfahren, die sich nicht per Phishing weiterleiten oder über manipulierte Eingabemasken abfangen lassen.
Ein zentrales Element ist „Token Protection“: Seit 2025 setzt Microsoft verstärkt auf gerätegebundene Anmeldetokens, die kryptografisch an das Gerät gebunden sind, das sie erstellt hat. Damit werden Session-Hijacking und Token Theft erheblich erschwert – ein wichtiger Fortschritt für hybride und mobil geprägte Arbeitsumgebungen.

Der Wechsel zu passwortlosen und hardwaregebundenen Login-Verfahren

Neben dem Schutz der Sessions selbst verschiebt Microsoft den Authentifizierungsprozess zunehmend in Richtung passwortloser, hardwaregebundener Verfahren, die die Anfälligkeit klassischer Faktoren weitgehend eliminieren. Phishing-resistente Verfahren ersetzen nicht nur unsichere Methoden, sondern verändern die Architektur der Anmeldung grundlegend:

  • FIDO2-Sicherheitsschlüssel
    Hardwarebasierte Keys, die private Schlüssel lokal verwahren und keine sensiblen Daten übertragen.
  • Windows Hello for Business
    Biometrische Anmeldung oder PIN, bei der kein Passwort über das Netzwerk geht – ideal für Unternehmensgeräte.
  • Passkeys
    WebAuthn-basierte Anmeldungen, die den Login vollständig auf das vertrauenswürdige Gerät verlagern.

Microsoft Entra nutzt hierfür „Authentication Strength“, um präzise festzulegen, welche Verfahren für bestimmte Rollen, Gruppen oder Anwendungen zulässig sind. Unternehmen können phishing-resistente MFA damit verbindlich erzwingen und schwache Legacy-Methoden gezielt ausschliessen.
Diese Verfahren sind die Grundlage. Ihre volle Wirkung entfalten sie jedoch erst, wenn sie über Conditional Access gesteuert und in eine durchgängig gehärtete Tenant-Konfiguration eingebettet werden. Erst diese Kombination schafft eine belastbare und konsistent abgesicherte Identitätsarchitektur.

Tenant Hardening in Microsoft Entra: Die zentralen Kontrollen für eine robuste Identitätssicherheit

Tenant Hardening bedeutet vor allem eines: Sicherheitsstandards konsequent durchzusetzen. Microsoft verdichtet die Richtlinienlandschaft durch striktere Baselines, durchgängige starke Authentifizierung und klar definierte Schutzmechanismen für Privileged Identities.
Basic Authentication wird von Microsoft nicht mehr unterstützt und sollte in allen verbleibenden Integrationen konsequent abgeschaltet werden. Entra setzt für sensible Berechtigungen zunehmend policygestützte Kontrollen ein.

  • vollständige Abschaltung aller Basic-Auth-Protokolle
  • risikobasierte Zugriffskontrollen über Entra ID Protection
  • streng verwaltete Break-Glass-Konten für Notfälle
  • rollenbezogene Absicherung mit Privileged Identity Management (PIM)

Dafür benötigen Unternehmen einen klaren Policy-Stack: durchgängiges MFA-Enforcement, granular gesteuerte Conditional-Access-Richtlinien, devicegebundene Administrator:innenzugriffe und die konsequente Umsetzung aller Microsoft-Baselines und Managed Policies.

Admin-Richtlinien, Authentifizierungsstärke & Policy Enforcement

Unternehmen unterschätzen oft die inhaltliche Tiefe der Anforderungen. Der Identity Secure Score in Microsoft Entra zeigt als Prozentwert an, wie weit Ihre Umgebung Microsofts empfohlenen Best Practices folgt. Ein Wert von über 70 % ist zwar ein guter Indikator, aber kein Garant dafür, dass Ihre Identitätsarchitektur gegenüber phishing-resistenter MFA (PR-MFA) vollumfänglich abgesichert ist.
Entscheidend sind statt eines reinen Score-Wertes die Verdichtung der Richtlinien, die Eliminierung von Ausnahmen und die konsequente Umsetzung von Admin-Richtlinien, Authentication Strength-Policies und Policy-Enforcement.

Wichtige Aspekte:

  • Administrator:innen müssen ausschliesslich über vertrauenswürdige Geräte arbeiten.
  • Sitzungssteuerungen sollten risikobehaftete Aktionen begrenzen.
  • Compliance-Signale aus Endpoint-Security müssen in Conditional Access einfliessen.
  • Authentication Strength Policies müssen PR-MFA-Verfahren erzwingen – nicht nur empfehlen.

Tenant Hardening entsteht erst durch die Kombination aus technischen Kontrollen, konsistenter Policy-Anwendung und klarer administrativer Governance.

Strategische Handlungsempfehlungen

Aus den Branchenanforderungen leiten sich klare technische Prioritäten ab: Unternehmen müssen ihre Identitätsarchitektur rechtzeitig an die neuen Standards anpassen, um regulatorische Vorgaben und Sicherheitsanforderungen zu erfüllen.

Folgende Schritte sind essenziell:

  • Analyse aktiver Authentifizierungsmethoden und Identifikation unsicherer Varianten
  • Einrichtung von FIDO2-Support, Hello for Business und Passkeys
  • Durchsetzung PR-MFA über Conditional Access mit granularen Policies
  • Deaktivierung von SMS- und Voice-basierten MFA-Methoden
  • Schulung der Nutzer:innen zur Nutzung neuer Verfahren
  • Monitoring über Microsoft Secure Score und Audit Logs

Die Praxis zeigt, dass viele Organisationen Basic Auth deaktivieren, aber Authentication-Strength-Policies nicht konsequent anwenden. Die Risikooberfläche bleibt bestehen, obwohl der Score steigt.

Sicherheitsbetrieb im Fokus

Die Umstellung auf phishing-resistente MFA, der Einsatz passwortloser Verfahren und die strikte Absicherung des Tenants verändern die Sicherheitsstrategie vieler Unternehmen. Identitäten werden zum zentralen Kontrollpunkt, Conditional Access zur Governance-Ebene und der Tenant zur klar definierten Sicherheitsgrenze.
Unternehmen, die frühzeitig handeln, erhöhen ihre Resilienz gegen Phishing signifikant und schaffen eine stabile Grundlage für Zero-Trust-Modelle in Microsoft 365.

Jeder Zugriff ist ein potenzieller Angriffsvektor.
Machen Sie Ihre Anmeldewege phishing-resistent.

Legacy-MFA schafft Angriffsflächen, die heute nicht mehr tragbar sind. Wir unterstützen bei der Umstellung auf moderne Authentifizierungsverfahren – von der technischen Implementierung bis zur erfolgreichen Einführung bei den Nutzer:innen. Stärken Sie Ihre Sicherheitsarchitektur mit PR-MFA, einer konsistent abgesicherten Tenant-Konfiguration und klaren Zero-Trust-Kontrollmechanismen.

Kontakt aufnehmen

Mehr Beiträge aus der Kategorie

Implementierung von NIS2: Lückenanalyse und priorisierte Massnahmen bis zum Jahresende
Security Services

Implementierung von NIS2: Lückenanalyse und priorisierte Massnahmen bis zum Jahresende

Mehr erfahren
Kubernetes Security: Best Practices für den Schutz von Container-Umgebungen
Security Services

Kubernetes Security: Best Practices für den Schutz von Container-Umgebungen

Mehr erfahren
Insider-Bedrohungen: Die neue Sicherheitsgrenze im Cloud Workplace
Security Services

Insider-Bedrohungen: Die neue Sicherheitsgrenze im Cloud Workplace

Mehr erfahren
Ransomware: Strategien zur Prävention und Incident Response
Security Services

Ransomware: Strategien zur Prävention und Incident Response

Mehr erfahren
Vulnerability Management: IT-Schwachstellen erkennen und beheben
Security Services

Vulnerability Management: IT-Schwachstellen erkennen und beheben

Mehr erfahren
Cyberangriffe auf APIs: Wie sichere Schnittstellen Ihre Architektur schützen
Security Services

Cyberangriffe auf APIs: Wie sichere Schnittstellen Ihre Architektur schützen

Mehr erfahren

Finden Sie Ihre Lösung

To top