Cyberkriminelle haben gelernt, Authentifizierungstoken über täuschend echte Phishing-Seiten zu stehlen und dadurch auch MFA-Sicherheitsschranken zu umgehen. Phishing-resistente Anmeldemethoden wie Passkeys, YubiKeys und Windows Hello for Business schliessen diese Lücke. In diesem Beitrag gehen wir auf alle Varianten ein und zeigen auf, dass Windows Hello for Business unsere klare Empfehlung ist. Diese Methode bietet eine höhere Sicherheit bei einem gleichzeitig einfachen und angenehmen «Anmeldeerlebnis» für die Mitarbeiterschaft.
Multifaktor-Authentifizierung ist nach wie vor unverzichtbar. Gemäss Microsoft-Daten lassen sich mit MFA rund 99 Prozent aller identitätsbasierten Angriffe abwehren. Auch MFA ist keine neue Sache mehr und Cyberkriminelle haben sich längst angepasst.
Wenn Sie sich einloggen, erhalten Sie nach erfolgreicher Anmeldung ein sogenanntes Session-Token. Dieses Token berechtigt Sie für eine bestimmte Zeit, auf E-Mails, Teams und andere Dienste zuzugreifen, ohne sich erneut authentifizieren zu müssen.
Stellen Sie sich das wie ein Festivalarmband vor: Wer durch die Eingangskontrollen durch ist und das Bändchen hat, wird danach nicht mehr kontrolliert.
Genau dieses Bändchen lässt sich stehlen. Angreifer bauen täuschend echte Login-Seiten nach, zum Teil auf echten Microsoft-Domains und schleusen sich als Mittelmann zwischen den Benutzer und den echten Dienst. Der Benutzer gibt seine Zugangsdaten ein, bestätigt die MFA-Abfrage, und der Angreifer erhält im Hintergrund das gültige Token.
Dazu kommt: Phishing-Mails werden durch generative KI immer überzeugender und günstiger in der Herstellung. Was früher aufwändig war, ist heute in Minuten erledigt.
Wie wir in unserem Beitrag zu Account Takeover trotz MFA anhand echter Beispiele gezeigt haben, sind selbst gut geschützte Umgebungen nicht immun.
MFA abzuschalten ist selbstverständlich keine Option. Die Authentifizierung mit mehreren Faktoren bleibt die wichtigste Grundlage. Aber wer sich allein darauf verlässt, hat eine bekannte und zunehmend ausgenutzte Lücke. Es ist an der Zeit, einen Schritt weiterzugehen.
Der Begriff klingt technisch, beschreibt aber ein konkretes Prinzip: Die Anmeldedaten wissen selbst, wohin sie gehören.
Bei Phishing-resistenten Methoden werden die Zugangsdaten kryptografisch an ein bestimmtes Gerät und eine bestimmte Website gebunden. Sie nutzen asymmetrische Kryptografie. Dabei wird auf dem Gerät ein Schlüsselpaar erzeugt: Der private Schlüssel bleibt auf dem Gerät und verlässt es nie. Der öffentliche Schlüssel wird beim Dienst hinterlegt.
Bei der Anmeldung weist das Gerät nach, dass es im Besitz des privaten Schlüssels ist, ohne ihn je zu übertragen. Das entscheidende Detail: Selbst wenn jemand eine perfekte Kopie der Microsoft-Anmeldeseite erstellt, würde es nicht funktionieren. Denn die gefälschte Anmeldeseite hat ihren Teil des Schlüsselpaares nicht.
Der zugrundeliegende Standard heisst FIDO2, entwickelt von der FIDO Alliance. Das ist ein Zusammenschluss von Microsoft, Google, Apple und anderen Technologieunternehmen. Das Akronym FIDO steht für «Fast Identity Online», also «schnelle Identität online».
Es gibt drei etablierte Methoden für Phishing-resistente Anmeldung.
Viele Webseiten fragen heute beim Login, ob man einen Passkey einrichten möchte. Google, SwissID und Discord zum Beispiel. Ein Software-Passkey ist ein kryptografisches Schlüsselpaar, das auf dem Gerät gespeichert wird. Apple, Google und Microsoft bieten Synchronisationslösungen über ihre Ökosysteme an, damit der Passkey auch auf anderen Geräten desselben Nutzers verfügbar ist.
Das Problem im Geschäftskontext: Sobald mehrere Geräte, verschiedene Betriebssysteme oder Browser ins Spiel kommen, verliert man schnell den Überblick, wo welcher Passkey gespeichert ist.
Aus eigener Erfahrung während der Webinar-Vorbereitung kann ich das bestätigen: Man findet plötzlich einen Passkey auf dem Geschäftsnotebook, den man dort gar nicht bewusst eingerichtet hat.
Software-Passkeys sind besser als Passwörter, das ist klar. Für den Unternehmenseinsatz sind sie aber noch nicht reif. Das Handling ist zu fehleranfällig, die Übersicht über vorhandene Passkeys zu schwer zu behalten, und die Kompatibilität zwischen Betriebssystemen und Browsern ist noch nicht überall zuverlässig. Im privaten Umfeld sind sie heute schon sinnvoll, im Firmenkontext würde ich noch zuwarten.
FIDO2-zertifizierte Hardware-Keys wie die YubiKey-Serie sind physische USB-Sticks, auf denen das Geheimnis im eingebetteten Chip gespeichert wird. Der private Schlüssel verlässt den Chip nie.
Bei der Anmeldung steckt man den Key ein, gibt eine dazugehörige PIN ein und berührt den Kontaktpunkt; damit ist die physische Präsenz nachgewiesen. Selbst wenn Angreifer das Passwort kennen, kommen sie ohne den physischen Key nicht rein. Hier demonstriere ich den YubiKey im Video.
Der Nachteil liegt auf der Hand: Die Keys müssen physisch beschafft, verteilt und verwaltet werden. Wer seinen Key vergisst oder verliert, kommt nicht rein.
Für privilegierte Administratoren-Accounts ist das der richtige Ansatz, wie bei uns beispielsweise im Rahmen von first secure access. Der Umstand mit dem physischen Key ist für technisch versierte Personen vertretbar, die einen solchen Account ohnehin selten und gezielt einsetzen. Für die breite Belegschaft ist das aber zu umständlich.
Windows Hello for Business funktioniert nach demselben kryptografischen Prinzip wie FIDO2. Der private Schlüssel wird im Trusted Platform Module (TPM) des Geschäftsgeräts erzeugt und verlässt dieses nie. Die Methode ist dabei eng ins Microsoft-Ökosystem integriert.
Benutzer melden sich per PIN, Fingerabdruck oder Gesichtserkennung am Gerät an. Die Anmeldung ist an das Geschäftsgerät und die Unternehmensidentität in Microsoft Entra ID gebunden. Die technischen Details finden Sie in der offiziellen Microsoft-Dokumentation zu Windows Hello for Business.
Das ist für die meisten unserer Kunden die sinnvollste Option: Keine zusätzliche Hardware, kein kompliziertes Passkey-Management, und der Login-Aufwand für Mitarbeitende sinkt spürbar. Die Einrichtung erfordert aber eine saubere Entra-ID-Umgebung und etwas Projektaufwand.
Die Einrichtung läuft über Microsoft Intune und setzt Geräte voraus, die in Microsoft Entra ID oder im lokalen Active Directory registriert sind. Es funktioniert ausschliesslich auf Unternehmensgeräten. Private Geräte sind bewusst ausgeschlossen, was die Sicherheit zusätzlich erhöht.
Je nach Gerät stehen folgende Anmeldemethoden zur Verfügung:
PIN: Immer verfügbar, als Fallback empfohlen
Fingerabdruck: Erfordert einen integrierten oder externen Fingerabdruckleser
Gesichtserkennung: Erfordert eine Infrarot-Kamera (IR-Kamera); bei Business-Notebooks in der Regel integriert, bei externen Webcams auf das Produktdatenblatt achten
Die Technologie funktioniert. Was ich aber immer wieder betone: Ein schlechter Rollout kann auch eine gute Technologie zum Problem machen. Wer Mitarbeitende nicht abholt und vorbereitet, erntet Frustration. Da ändert auch die beste technische Lösung nichts daran.
Ein häufiges Missverständnis: Viele unserer Kunden glauben, dass Windows Hello for Business eine zusätzliche Lizenz erfordert. Das stimmt nicht.
Die Cloud-Trust-Implementierung ist in folgenden Lizenzen bereits enthalten:
Microsoft Business Premium
Microsoft 365 E3
Es fallen keine zusätzlichen Lizenzkosten an. Was Sie brauchen:
Unternehmensgeräte mit TPM-Chip (bei Geräten ab ca. 2016 Standard)
Microsoft Entra ID oder lokales Active Directory mit Entra-Synchronisation
Microsoft Intune für die Policy-Konfiguration (bei Business Premium enthalten)
Für biometrische Methoden zusätzlich: Fingerabdruckleser bzw. IR-Kamera. Beides ist bei aktuellen Business-Notebooks in der Regel integriert.
Der Rollout für die gesamte Belegschaft auf einmal ist selten eine gute Idee. Unsere Empfehlung:
Zuerst testen technisch versierte Personen die Implementierung. Sie finden Legacy-Anwendungen oder Szenarien, die noch nicht mit Windows Hello funktionieren.
Nach erfolgreicher Validierung wird die Gruppe auf weitere Abteilungen ausgeweitet.
Mit klarer Kommunikation: Was ändert sich? Was wird einfacher? Was müssen Mitarbeitende tun?
Zusätzlich immer einplanen:
Break-Glass-Accounts: Notfallkonten mit konventioneller Anmeldung, streng gesichert und protokolliert, für den Fall eines technischen Problems
Legacy-Apps prüfen: Ältere Anwendungen mit eigenem Login-System sind teilweise nicht kompatibel. Das identifiziert man am besten in der Pilotphase
Change Management: Mitarbeitende mitnehmen. Wer versteht, warum die Änderung kommt und dass der Alltag dadurch einfacher wird, macht bereitwilliger mit
Wie wir Conditional Access und MFA-Richtlinien technisch konfigurieren, zeigen wir in unserem Beitrag zu Microsoft Defender XDR und Entra ID Protection.
Phishing-resistente Authentifizierung ist der logische nächste Schritt, und Windows Hello for Business ist für die meisten Schweizer KMU im Microsoft-Umfeld die pragmatischste Umsetzung: keine zusätzlichen Lizenzkosten, keine neue Hardware für die Belegschaft. Das Beste: Es erschafft ein «Login-Erlebnis», das Mitarbeitende tatsächlich bevorzugen werden. Der Projektaufwand für die Einrichtung ist überschaubar, wenn man strukturiert vorgeht.
Haben Sie Fragen zur Einführung von Windows Hello for Business in Ihrer Umgebung? Wir begleiten Sie vom Pilot bis zum vollständigen Rollout. Nehmen Sie Kontakt mit uns auf.
Weil die Zugangsdaten an eine spezifische Domain gebunden sind. Selbst auf einer perfekt nachgebauten Phishing-Seite funktioniert die Anmeldung nicht, denn der Key akzeptiert nur Anfragen von der registrierten Domain. Es gibt kein Token, das gestohlen werden kann, weil die Anmeldung gar nicht erst erfolgreich ist.
Ja, es wird eine Infrarot-Kamera (IR-Kamera) benötigt. Bei aktuellen Business-Notebooks ist diese in der Regel integriert, erkennbar an mehreren Linsen neben der Webcam. Für externe Webcams beim Kauf explizit auf IR-Unterstützung achten. Der Preisunterschied zu einer normalen Webcam ist vorhanden, aber gering.
Ja, sofern die Software die Authentifizierungsprotokolle OpenID Connect oder SAML unterstützt und an Microsoft Entra ID angebunden ist. Die Windows-Hello-Anmeldung wird dann transparent an die hinterlegte Anwendung weitergegeben. Ältere Applikationen mit proprietärem Login-System sind separat zu prüfen.
Da der private Schlüssel das Gerät nie verlässt und zusätzlich per Biometrie oder PIN gesichert ist, sind die Unternehmensdaten ohne physischen Zugang zum Gerät und die entsprechenden Merkmale des Benutzers nicht erreichbar. Das Gerät kann zudem über Microsoft Intune remote gesperrt oder zurückgesetzt werden.
In den meisten Fällen nicht. Die Cloud-Trust-Implementierung ist in Microsoft Business Premium und Microsoft 365 E3 enthalten. Lediglich für Hardware-YubiKeys entstehen einmalige Anschaffungskosten. Diese empfehlen wir ausschliesslich für privilegierte Admin-Accounts.