Microsoft hat Windows 11 aufgebohrt und ermöglicht nun die Nutzung externer Passkey-Manager. Nutzerinnen und Nutzer haben von jetzt an die Wahl, ob sie die passwortlose Anmeldung mit dem Microsoft Passwort-Manager oder vertrauenswürdigen Drittanbieter-Programmen erledigen wollen.

Laut dem Blog-Eintrag des Windows-IT-Pro-Blogs in Microsofts Techcommunity ist die Funktion ab sofort mit den Windows-Sicherheitsupdates zum November-Patchday allgemein verfügbar. Zu Anfang unterstützt Microsoft die Passwort-Manager 1Password und Bitwarden.

Plug-in-Passkey-Manager

Passkeys sind nicht für Phishing anfällig, weniger verwundbar bei Datenlecks – und schließlich einfacher und schneller zu nutzen als Passwörter. Die Unterstützung für Plug-in-Passkey-Manager liefere daher Auswahl und Flexibilität, da Nutzer die Wahl haben, ihren bevorzugten Passkey-Manager zu nutzen. Die Authentifizierung sei einfach, da Passkeys sich mit Windows Hello erstellen und zur Anmeldung einsetzen lassen. Zudem werden die Passkeys damit überall verfügbar, da sie zwischen Windows-PC und Mobilgeräten synchronisiert werden.

In der Praxis bietet Windows Hello beim Erstellen von Passkeys nun die Möglichkeit, das Programm zum Speichern auszuwählen. Der Screenshot zeigt etwa, wie 1Password für die Speicherung eines Github-Passkeys genutzt wird. Ein weiterer Screenshot im Blog-Beitrag zeigt, wie Windows Hello den Passwort-Manager Bitwarden zum Ausliefern des Anmelde-Passkeys verwendet.

Die Passkey-Manager-Unterstützung ermöglicht Passwort-Managern mit Passkey-Support, sich direkt in Windows zu integrieren. Nutzerinnen und Nutzer können ihre Passkeys über Browser und native Apps hinweg speichern, verwalten und nutzen. Die Einrichtung der bevorzugten Zugangsdatenverwaltung haben die Entwickler als Teil des Passkey-Erstellungs-Prozesses umgesetzt. Die Authentifizierung setzt dabei auf Windows Hello mit PIN, Fingerabdruck oder Gesichtserkennung, sodass die Zugangsdaten nur vom Besitzer genutzt werden können.

Microsoft-Passwort-Manager

Wie vergangene Woche bekannt wurde, hat Microsoft den Passwort-Manager „Autofill“ in Microsofts Webbrowser Edge mit Passkey-Synchronisation versehen. Mit dem November-Sicherheitsupdate für Windows 11 landet der Passwort-Manager als natives Plug-in in Windows. Er lässt sich dadurch mit Microsoft Edge, anderen Webbrowsern oder jeder App nutzen, die Passkeys unterstützt.

Microsoft preist Vorteile an wie die durch die Passwort-Manager-PIN geschützte Synchronisation, die die Passkeys auf weiteren Windows-Geräten verfügbar macht, auf denen Nutzer mit demselben Microsoft-Konto in Edge angemeldet sind. Serverseitig sollen Azure Managed Hardware Security Modules (HSMs) die Verschlüsselungs-Keys schützen. Vertrauliche Operationen finden dort in Hardware-isolierten Umgebungen (Azure Confidential Compute) statt, und die Wiederherstellung soll sicher vor Veränderungen sein durch Azure Confidental Ledger.

(dmk)

Die Abgeordneten des Ausschusses für Arbeit und Soziales im EU-Parlament fordern, dass finale Entscheidungen über Einstellungen, Kündigungen oder Vertragsverlängerungen, Gehaltsänderungen oder Disziplinarmaßnahmen immer von einem Menschen getroffen werden. Niemand soll durch einen Algorithmus gefeuert werden, sagte der Berichterstatter Andrzej Buła von der EVP. Er bezeichnete den Berichtsvorschlag des Ausschusses als „ausgewogen“, da er sowohl Unternehmen als auch Beschäftigten zugutekomme. Arbeitgeber sollen weiterhin frei entscheiden können, welche Systeme sie nutzen. Arbeitnehmer:innen bekämen damit das Recht auf Datenschutz und Information.

Beschäftigte sollen sich etwa algorithmische Entscheidungen erklären lassen können. Außerdem sollen sie erfahren, wie entsprechende Systeme eingesetzt werden, welche Daten diese über sie sammeln und wie die menschliche Aufsicht garantiert wird, die es für alle Entscheidungen durch algorithmische Systeme geben soll. Der Ausschuss will zudem, dass Arbeitnehmer:innen zum Umgang mit diesen Systemen geschult werden.

Verbot von Verarbeitung mancher Daten

Darüber hinaus soll die Verarbeitung von gewissen Datenkategorien verboten werden. Dazu zählen psychische und emotionale Zustände, private Kommunikation und der Aufenthaltsort außerhalb der Arbeitszeit. Daten über gewerkschaftliches Engagement und kollektive Verhandlungen sollen ebenso tabu sein.

Der Antrag wurde im Ausschuss mit 41 Stimmen angenommen, bei 6 Gegenstimmen und 4 Enthaltungen. Das EU-Parlament wird in seiner Sitzung Mitte Dezember über den Ausschussvorschlag abstimmen. Anschließend hat die EU-Kommission drei Monate Zeit zu reagieren: Sie kann das Parlament entweder über die geplanten nächsten Schritte informieren oder erklären, warum sie keine entsprechende Gesetzesinitiative einleitet.

Auf Nachfrage von netzpolitik.org erklärte Kommissionssprecher Thomas Regnier am Dienstag, dass der AI Act bereits Beschäftigte schütze. Beispielsweise sei dadurch verboten, dass Arbeitgeber Systeme zur Emotionserkennung einsetzen. Das gehört zu den verbotenen Anwendungen von KI, die bereits seit Inkrafttreten der Verordnung gelten.

AI Act reicht nicht aus

Im Oktober wurde zu dem Thema eine Studie veröffentlicht, die der Ausschuss in Auftrag gegeben hatte. Darin heißt es, dass der AI Act diese Art von Systemen als risikoreiche KI-Systeme einstuft, wenn sie am Arbeitsplatz eingesetzt werden. Das zieht Verpflichtungen in Bezug auf Transparenz, menschliche Aufsicht und Konformitätsbewertungen nach sich. Jedoch gebe es Lücken. Etwa seien Arbeitgeber nicht dazu verpflichtet, Verzerrungen in Algorithmen zu erkennen und zu mindern, die Arbeitnehmer:innen diskriminieren könnten.

Außerdem müssen laut der EU-Verordnung Betroffene zwar über automatisierte oder KI-gestützte Entscheidungen informiert werden. Es gibt jedoch keine Regelung, dass manche Entscheidungen ausschließlich von Menschen getroffen werden dürfen, so wie es die Abgeordneten fordern. Weiterhin stütze sich der AI Act in der Umsetzung auf Marktüberwachungsbehörden, nicht auf Behörden für den Schutz von Grundrechten. Auch schaffe der AI Act keine spezifischen Datenschutzrechte für den Arbeitsplatz.

Die Studie verweist zudem auf die EU-Richtlinie zur Plattformarbeit von 2024, die ähnliche Aspekte behandelt. Sie gilt jedoch nur für Plattformbeschäftigte. Die Autor:innen kommen zu dem Schluss, dass die bestehenden Regelungen einen gewissen Basisschutz bieten, aber kein kohärentes Regelwerk spezifisch für den Arbeitsplatz beinhalten.

Angreifer können Systeme mit Adobe-Anwendungen attackieren und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates stehen im Rahmen des Adobe-Patchdays zum Download bereit.

Die Sicherheitslücken finden sich in Format Plugins, InCopy, InDesign, Illustrator, Illustrator on iPad, Photoshop, Pass und Substance 3D Stager. In den meisten Fällen können Angreifer auf einem nicht näher beschriebenen Weg Speicherfehler auslösen und im Anschluss eigenen Code ausführen. Davon sind die Apps unter den Betriebssystemen Android, macOS und Windows betroffen. Bislang gibt es keine Berichte zu Attacken.

Adobes Entwickler versichern, die Schwachstellen in den folgenden Ausgaben geschlossen zu haben:

• Format Plugins 1.1.2
• InDesign ID 20.5.1, ID21.0
• Illustrator on iPad 3.0.10
• Illustrator 2025 29.8.3, 2026 30.0
• Photoshop 2025 26.9
• Substance 3D Stager 3.1.6
• InCopy 20.5.1, 21.0
• Pass Authentication Android SDK 3.8.0

Im Oktober hatte Adobe insgesamt zwölf Sicherheitsmitteilungen zu Schwachstellen in den Kreativ-Apps aus dem Hause veröffentlicht.

(des)