Microsoft hatte Ende Januar angekündigt, ab März dieses Jahres Passkey-Profile in Entra ID für alle Tenants zu aktivieren. Nun kündigt das Unternehmen an, passend dazu auch Registrierungskampagnen um Passkeys zu erweitern.

Das meldet Microsoft im Microsoft-365-Message-Center (MC1253746, Kopie bei merill.net). Ab April 2026 sollen Microsoft-Registrierungskampagnen auch Passkeys (FIDO2) als Authentifizierungsmethode anbieten. Solche Registrierungskampagnen fordern Nutzer und Nutzerinnen bei der Anmeldung auf, etwa die Authenticator-App für eine Mehr-Faktor-Authentifizierung (MFA) einzurichten und somit unsicherere, ältere Anmeldemethoden zu ersetzen.

Damit will Microsoft den Umstieg auf diese Phishing-resistenten Zugangsdaten befördern. „Dazu berechtigte Microsoft-365-Tenants können für ihre Nutzer die Option aktivieren, bei der Anmeldung eine Erinnerung an eine Registrierung von Passkeys zu erhalten“, erklärt das Unternehmen. Die Option soll schrittweise eingeführt werden und Nutzer mit der Möglichkeit der Mehr-Faktor-Authentifizierung mit bestimmten Richtlinieneinstellungen betreffen.

Weitere Details zu den Registrierungskampagnen

Die Option soll weltweit ab Anfang April allgemein verfügbar werden und Microsoft beabsichtigt, die Verteilung bis Ende Mai 2026 abzuschließen. Verfügbar wird die Option für Microsoft-365-Tenants, die Microsofts Registrierungskampagnen nutzen und entweder als von Microsoft verwaltet oder im „Enabled“-Status konfiguriert sind. Die Erinnerungen gehen dann an Nutzer und Nutzerinnen, die sich mit MFA authentifizieren können und zur Passkey-Nutzung berechtigt sind.

Microsoft erklärt weiter, dass in den Erinnerungen die voreingestellte Authentifizierungsmethode von „Microsoft Authenticator“ zu „Passkeys (FIDO2)“ wechselt. Der Zeitraum, solche Erinnerungen zu unterdrücken, sinkt von drei Tagen auf einen Tag. Zugleich entfernen die Entwickler die Begrenzung der Anzahl an unterdrückten Aufforderungen. Die Erinnerungen sollen erscheinen, wenn User eine Mehr-Faktor-Authentifikation korrekt abgeschlossen haben. Admins, deren Tenants nicht auf „von Microsoft verwaltet“ konfiguriert sind, sondern den „Enabled“-Status innehaben, haben noch weitere Kontrolle und Einstellungsmöglichkeiten, die der Beitrag im Message-Center präzisiert. Microsoft empfiehlt IT-Verantwortlichen, bis Anfang April die eigenen Registrierungskampagnen zu überprüfen.

(dmk)

IT-Verantwortliche sollten Zugriffsmöglichkeiten auf ihre Instanzen des telnetd aus den GNU Inetutils unbedingt auf vertrauenswürdige Rechner beschränken oder sie durch verschlüsselte Methoden ersetzen. Eine neu entdeckte Schwachstelle ermöglicht Angreifern aus dem Netz ohne vorherige Authentifizierung, beliebigen Code einzuschleusen und auszuführen.

Die Sicherheitslücke hat einen Schwachstelleneintrag erhalten, der erklärt, dass ein Schreibzugriff außerhalb vorgesehener Speichergrenzen im Code zur Verarbeitung der „LINEMODE SLC“-Option (Set Local Characters) möglich ist. Die Funktion add_slc prüft schlicht nicht, ob der Puffer bereits voll ist (CVE-2026-32746, CVSS 9.8, Risiko „kritisch“). Betroffen sind die GNU Inetutils bis einschließlich Version 2.7 – es handelt sich um die derzeit aktuelle Fassung aus dem Dezember 2025, die auf den GNU-Servern zum Herunterladen bereitsteht. Laut dem Bericht der Schwachstellen-Entdecker ist zudem der aktuelle Entwicklercode im Branch HEAD mindestens bis zum Datum 11. März 2026 anfällig.

Ein Update zum Stopfen des Sicherheitslecks steht demnach bislang nicht zur Verfügung. Die Entwickler planen jedoch aktuell, zum 1. April 2026 eine fehlerkorrigierte Version herauszugeben.

Gegenmaßnahmen: Zumachen

Mindestens bis dahin sollten Zugriffe auf den Telnet-Daemon aus den GNU Inetutils etwa mittels Firewall – standardmäßig auf dem Port 23/TCP – auf absolut vertrauenswürdige Maschinen beschränkt werden. Idealerweise sollten jedoch Dienste zum Zugriff genutzt werden, die ihre Daten nicht im Klartext über das Netz schicken, sondern verschlüsselt wie Secure Shell (SSH).

Bereits im Januar wurde eine Sicherheitslücke im telnetd der GNU Inetutils bekannt. Auf triviale Art und Weise konnten sich Angreifer dadurch als root-User anmelden und ebenfalls wie mit der nun bekannt gewordenen Schwachstelle komplette Server kompromittieren.

(dmk)

Wir treffen Joan Kinyua im Büro des superrr Lab in Berlin-Kreuzberg. Draußen regnet es in Strömen, drinnen macht die junge Frau aus Kenia erstmal einen Corona-Test. Sie hat sich wohl erkältet, es ist ihr erster Besuch in Deutschland. Und doch, so Joan, kommen ihr die Straßen Berlins seltsam bekannt vor.

Es sind die auffälligen gelben Busse, die Trams, die gelegentlich am Straßenrand geparkten Camper-Vans. „Ich habe immer gedacht, ich arbeite mit Bildern aus den USA“, sagt Joan. In ihrem früheren Job hat sie Daten für KI-Unternehmen aufbereitet. Tagein, tagaus sichtete sie Aufnahmen von Straßenszenen und versah sie mit Labels, damit selbstfahrende Autos auseinanderhalten können, ob sie auf eine Katze, eine Plastiktüte oder eine Baustelle zusteuern.

Diese Tätigkeit wird Daten-Annotation genannt und ist ein zentraler Bestandteil der Herstellung von KI-Anwendungen. Für das Training von Machine-Learning-Systemen versehen die Arbeiter:innen hierbei beispielsweise Bilder mit Metadaten, also mit Labels, die den Inhalt beschreiben. Kolleg:innen von Joan spielten zum Beispiel eine entscheinde Rolle dabei, ChatGPT sicherer zu machen, indem sie für das hinter dem Chatbot stehende Sprachmodell gewalttätige Inhalte klassifizierten.

Beschäftigt sind Datenarbeiter:innen in der Regel unter ausbeuterischen Bedingungen bei Outsourcing-Firmen oder digitalen Oursourcing-Plattformen. „Geisterarbeit“ nennen die Anthropoligin Mary L. Gray und der Informatiker Siddarth Suri diese und ähnliche Tätigkeiten hinter den Kulissen der digitalen Welt. Die Weltbank schätzt, dass es insgesamt zwischen 154 und 435 Millionen solcher sogenannter „Gig Workers“ geben könnte.

Heute ist Joan die Präsidentin der 2025 gegründeten Data Labelers Association. Die kenianische Organisation setzt für die Rechte von Datenarbeiter:innen ein. Für einen Workshop der Gesellschaft für Internationale Zusammenarbeit war Joan in Frankfurt am Main. Das „Solutions Lab“ soll Lösungen erarbeiten, wie die Arbeitsbedingungen in der Branche verbessert werden können.

„Lagern auch deutsche Autokonzerne Arbeit an uns aus?“

netzpolitik.org: Hi Joan, wie lief es in Frankfurt? Konntet ihr Lösungen finden, wie die Situation für ausgebeutete Arbeiter:innen hinter KI verbessert werden kann?

Joan Kinyua: Das leider noch nicht, aber es ist zumindest der Beginn einer Konversation. Es ging vor allem darum, wie Plattform-Arbeiter:innen durch Sozialversicherungssysteme geschützt werden können. Es ist gut, wenn politische Entscheidungsträger:innen uns zuhören. Bei dem Workshop war unter anderem die Weltbank dabei. Auf meiner Reise treffe ich auch Abgeordnete, zum Beispiel von den Grünen und Sonja Lemke von der Linkspartei.

netzpolitik.org: Was erzählst du ihnen?

Joan Kinyua: Dass sie Big Tech zur Verantwortung ziehen müssen. Sie wissen, welche Schäden Künstliche Intelligenz verursacht, aber es gibt keine Konsequenzen. Die großen Tech-Konzerne könnten für bessere Arbeitsbedingungen sorgen.

Wobei: Vielleicht zeigen wir mit dem Finger auch in die falsche Richtung. KI im medizinischen Bereich ist ebenfalls ein Treiber für Datenarbeit. In Deutschland gibt es zudem große Autohersteller, die an selbstfahrenden Autos arbeiten. Lagern sie auch Arbeit an uns aus? Wir brauchen hier mehr Transparenz.

netzpolitik.org: Für Verbraucher:innen ist es derzeit sehr schwer, überhaupt herauszufinden, unter welchen Bedingungen KI-Anwendungen produziert werden. Natürlich ist Transparenz allein nicht die Lösung, aber für andere Konsumgüter gibt es Labels, die zum Beispiel über Produktionsbedingungen aufklären. Kann das auch bei KI funktionieren?

Joan Kinyua: Das ist der wichtigste Schritt: anzuerkennen, dass KI keine Magie ist, dass Künstliche Intelligenz immer einen menschlichen Anteil hat. Lasst uns mit der Anerkennung für die Arbeiter:innen anfangen, die dafür sorgen, dass die Maschinen funktionieren. Auf dieser Grundlage können wir über Gesetze und Regulierung sprechen.

netzpolitik.org: Outsourcing-Firmen, bei denen viele Datenarbeiter:innen beschäftigt sind, erschweren Transparenz unter anderem durch Schweigeklauseln in Arbeitsverträgen, sogenannte Non-Disclosure-Agreements, kurz NDAs. Muss sich das ändern?

Joan Kinyua: Ich verstehe schon, dass Unternehmen sicherstellen müssen, dass vertrauliche Informationen nicht publik werden, zum Beispiel wenn mit Finanzdaten gearbeitet wird. Aber sie nutzen das aus. Sie verbieten ihren Arbeiter:innen, überhaupt über ihre Tätigkeit zu sprechen oder sich gewerkschaftlich zu organisieren und anderweitig für ihre Rechte einzutreten. NDAs sollten das Produkt schützen, an dem du arbeitest, nicht deine Rechte beschneiden.

„Das System arbeitet gegen uns“

netzpolitik.org: Bei der Data Labelers Association in Kenia habt ihr euch kürzlich mit ehemaligen und aktiven Datenarbeiter:innen zusammengeschlossen. Wofür streitet ihr?

Joan Kinyua: Wir wollen die Stimmen der Arbeiter:innen verstärken, Öffentlichkeit für unsere Anliegen schaffen und das Narrativ mitbestimmen. Das Wichtigste ist, dass wir wie wirkliche Arbeiter:innen mit spezifischen Fähigkeiten behandelt werden und soziale Absicherung schaffen. Gerade auch Migrant:innen, deren Aufenthaltstatus an dem Job hängt, brauchen Schutz. Es geht uns um faire Löhne, akzeptable Arbeitsstunden und Anerkennung. Es gibt eine große Wissenslücke, die wir schließen müssen.

netzpolitik.org: Die ausbeuterischen Arbeitsbedingungen von Datenarbeiter:innen hinter KI haben in den vergangenen Jahren in internationalen Medien einige Aufmerksamkeit erfahren. Merkt ihr Fortschritte?

Joan Kinyua: Ich kann das nur für Kenia beantworten: Als wir vor einigen Jahren mit unserem Engagement begonnen haben, waren wir sehr hoffnungsvoll. Damals wusste einfach kaum jemand, was Daten-Annotation überhaupt ist. Unsere Mission war es, für Aufmerksamkeit zu sorgen.

Doch vor einiger Zeit hielt der kenianische Präsident eine Rede, in der er Outsourcing-Firmen praktisch Immunität versprochen hat. Er hat ein Gesetz auf den Weg gebracht, das Klagen gegen sie praktisch unmöglich macht. Es wurde ohne große Debatte verabschiedet, unser Widerspruch wurde nicht gehört. Deshalb bin ich heute leider ziemlich hoffnungslos.

netzpolitik.org: Präsident William Ruto hat angekündigt, dass er eine Million Jobs im Outsourcing-Sektor schaffen will.

Joan Kinyua: Wir sind nicht gegen Arbeitsplätze, sondern gegen die Natur dieser Arbeit. Was haben wir von Jobs, wenn die diese irreparable Schäden bei uns anrichten? Das System, das uns schützen sollte, arbeitet gegen uns.

netzpolitik.org: Haben die Outsourcing-Firmen ihr Verhalten geändert?

Joan Kinyua: Es gibt kleine Erfolge. Ein Anbieter, Cloud-Factory, hat beispielsweise die Dauer seiner Arbeitsverträge von einem auf drei Monate erhöht. Außerdem zahlen sie jetzt 1,80 US-Dollar pro Stunde statt 1,50 US-Dollar. Ein anderer Anbieter jedoch hat Kenia sehr plötzlich verlassen. Auch mein Account auf der Plattform ScaleAI wurde einfach gelöscht. Das ist natürlich ein Problem: Die Firmen können einfach in ein anderes Land weiterziehen.

netzpolitik.org: Welche Rolle spielen Gewerkschaften bei eurem Kampf?

Joan Kinyua: In Kenia sind die Gewerkschaften ein Haufen alter Leute, die nicht mal eine E-Mail schreiben können. Wie sollen die uns bei KI helfen? Gar nicht. Wir haben da wirklich sehr schlechte Erfahrungen gemacht. Wir glauben auch, dass die Gewerkschaften teilweise mit Big Tech unter eine Decke stecken. Auch deshalb organisieren wir uns jetzt anders.

„Humor unter Datenarbeiter:innen hilft“

netzpolitik.org: Woher nimmst du die Energie für deine Arbeit?

Joan Kinyua: Ich war schon immer eine Person, die lautstark ist und sich für Gerechtigkeit einsetzt. Jedes Mal, wenn mir jemand zuhört und meine Geschichte ernst nimmt, gibt mir das Kraft. Auch der schwarze Humor unter uns Datenarbeiter:innen hilft mir, die Dinge zu verarbeiten.

netzpolitik.org: Was wünscht du dir für die Zukunft?

Joan Kinyua: Ich wünsche mir, dass Outsourcing-Firmen und -Plattformen für menschenwürdige Arbeitsbedingungen sorgen, damit Arbeiter:innen ganz normale Achtstundentage haben und ihre Mieten zahlen können. Ich wünsche mir, dass wir nicht länger in der aktuellen Situation festhängen, sondern Dinge verändern können. Und ich wünsche mir, dass meine Kinder gute Schulen besuchen können, sozial abgesichert sind und gute medizinische Behandlung haben, wenn sie sie brauchen.

netzpolitik.org: Was können unsere Leser:innen tun, um eure Arbeit zu unterstützen?

Joan Kinyua: Wir haben eine neue Website und freuen uns, wenn Menschen unsere Arbeit teilen. Man kann uns auch mit Spenden unterstützen. Wir suchen zudem immer nach Partnern, mit denen wir zusammenarbeiten können.

netzpolitik.org: Vielen Dank für das Gespräch und weiter viel Erfolg!