Der Identitätsverwaltungsdienst Entra ID von Microsoft soll im März Passkey-Profile erhalten. Microsoft kündigt an, die Funktion im März automatisch scharfzuschalten.

Im Microsoft-365-Message-Center kündigt das Unternehmen diesen Schritt an (MC1221452, Kopie bei merill.net). „Beginnend im März 2026 wird Microsoft Entra ID automatisch Passkey-Profile mit einer neuen Eigenschaft passkeyType für gerätegebundene und synchronisierte Passkeys aktivieren“, erklärt Microsoft. „Tenants, die nicht mittels Opt-in zustimmen, werden automatisch unter Erhalt der bisherigen Einstellungen migriert. Von Microsoft verwaltete Registrierungskampagnen werden auf Passkeys aktualisiert.“ IT-Verantwortlichen empfiehlt Microsoft, Vorbereitungen und Konfigurationen vor dem allgemeinen Rollout vorzunehmen.

Gruppenbasierte Einstellungsvorgaben

Admins sollen gruppenbasierte Passkey-Einstellungen vornehmen und die neue passkeyType-Eigenschaft nutzen können. Letztere erlaubt IT-Verwaltern, Passkeys auf gerätegebundene Passkeys, synchronisierte Passkeys (etwa mittels Passwort-/Passkey-Manager) oder beides einzustellen.

Das neue Schema wird ab März 2026 verteilt. Wenn Tenants die Passkey-Profile nicht nutzen wollen, werden bei der Umstellung bestehende FIDO2-Passkey-Authentifizierungsmethoden in ein „Default Passkey Profile“ verschoben. Der passkeyType-Wert wird basierend auf den bisherigen Einstellungen des Tenants gesetzt. Haben Tenants synchronisierte Passkeys aktiviert, werden von Microsoft verwaltete Registrierungskampagnen auf sogenannte Target-Passkeys umgestellt.

Die Passkey-Profile werden ab Anfang März global allgemein verfügbar, die Umstellung soll Ende März abgeschlossen sein. Die Umstellung von Tenants, die nicht mittels Opt-in teilnehmen, erfolgt von Anfang April bis Ende Mai 2026.

Als Vorbereitung empfiehlt Microsoft, dass diejenigen, die eine andere Konfiguration als die Standardvorgabewerte einsetzen wollen, mittels Opt-in an der Umstellung teilnehmen, bevor die automatische Aktivierung beginnt. Dann sollen sie den standardmäßigen passkeyType des Default Passkey Profile auf die gewünschte Einstellung setzen. Außerdem sollen Admins die Registrierungskampagnen-Konfiguration prüfen, insbesondere dann, wenn sie auf „von Microsoft verwaltet“ gesetzt ist.

Anfang Januar hatte Microsoft die Zertifikate von Entra aktualisiert. Konkret hat das Unternehmen die DigiCert-Zertifikate von der G1-Root-CA zur G2-Root-CA migriert.

(dmk)

Beim Online-Musikdienst SoundCloud sind persönliche Daten von Millionen Nutzern geleakt. Mittlerweile hat das Have-I-Been-Pwned-Projekt (HIBP) den Hack in seine Datenbank aufgenommen. Über den Dienst kann man prüfen, ob etwa die eigene E-Mail-Adresse in Datenleaks auftaucht.

Geleakte Nutzerdaten

Wie aus einem aktuellen HIBP-Beitrag hervorgeht, sind 29,8 Millionen Konten von dem IT-Sicherheitsvorfall aus dem Dezember vergangenen Jahres betroffen. Dabei haben Angreifer öffentlich einsehbare Kontodaten von Nutzern im großen Stil kopiert. Bezahldaten und Passwörter sollen nicht enthalten sein. Unter die kopierten Daten fallen:

• Avatare
• E-Mail-Adresse
• Geografische Standorte
• Namen
• Nutzernamen
• Profilstatistiken

In einer Stellungnahme gibt SoundCloud an, dass die kopierten Daten rund 20 Prozent der Nutzer betreffen. Der Online-Musikdienst führt aus, dass die Angreifer an einem Dashboard für Zusatzdienste angesetzt haben. Weitere Details zum Ablauf der Attacke sind bislang nicht bekannt.

In der am 13. Januar aktualisierten Stellungnahme gibt SoundCloud an, dass die Kriminellen bereits erpresserische Mails an Mitarbeiter und Nutzer des Dienstes verschicken. Dementsprechend sollten SoundCloud-Nutzer E-Mails aktuell besonders kritisch bewerten. Schließlich können die Angreifer aus den Daten Phishing-Mails stricken, um Opfern für sie wertvolle Daten zu entlocken. Solche Nachrichten sollte man direkt löschen und auf gar keinen Fall auf Links klicken oder sogar Dateianhänge öffnen.

In der Regel erpressen Kriminelle attackierte Unternehmen und drohen mit einem Leak der erbeuteten Daten. Ob in diesem Fall Lösegeld gezahlt wurde, ist zurzeit nicht bekannt. Das Archiv mit den SoundCloud-Nutzerdaten wurde bereits von den mutmaßlichen Angreifern von ShinyHunters über ihre Leaksite zum Download angeboten.

(des)

Die EU-Kommission hat Google eine Frist von sechs Monaten gesetzt, um etwaige technische Hürden für KI-Assistenten der Mitbewerber auf Android abzubauen. Überdies müsse Google auch zentrale Suchdaten für andere Suchmaschinenanbieter zugänglich machen. Beide Plattformen des Konzerns gelten seit 2023 unter dem Digital Markets Act (DMA) als Gatekeeper und müssen für Mitbewerber geöffnet werden.

Präzisierungsverfahren

Die EU-Aufsichtsbehörden werden prüfen, ob Google die EU-Vorgaben einhalte und konkurrierende KI-Software in Android fair behandle. Bei den am Dienstag angekündigten zwei Verfahren handelt es sich noch nicht um formelle Ermittlungsverfahren, sondern um sogenannte „Präzisierungsverfahren“. Mit diesen soll der „Regulierungsdialog der Kommission mit Google zu bestimmten Aspekten der Einhaltung zweier Verpflichtungen aus dem DMA formalisiert“ werden.

Die Kommission möchte die beiden Verfahren innerhalb von sechs Monaten abschließen. Allerdings wird die Kommission in spätestens drei Monaten Google vorläufige Beurteilungen und einen ersten Entwurf der Maßnahmen vorlegen, die Google für eine „wirksame Einhaltung des DMA ergreifen muss“. Zudem sollen auch Dritte dazu Stellung nehmen können, weshalb nicht vertrauliche Zusammenfassungen der vorläufigen Beurteilungen und die vorgesehenen Maßnahmen veröffentlicht werden.

„Wir wollen das Potenzial und die Vorteile dieses tiefgreifenden Technologiewandels maximieren, indem wir dafür sorgen, dass der Wettbewerb offen und fair ist und nicht nur wenige große Unternehmen profitieren. Mit dem heute eingeleiteten Verfahren wollen wir Google helfen, indem wir genauer erläutern, wie es seinen Verpflichtungen zur Interoperabilität und zur Weitergabe von Online-Suchdaten gemäß dem Digital Markets Act nachkommen sollte“, erklärte Teresa Ribera, Exekutiv-Vizepräsidentin für einen sauberen, fairen und wettbewerbsfähigen Wandel in einer Stellungnahme.

Kritik von Google

Gegenüber Bloomberg bezog Clare Kelly, Senior Competition Counsel bei Google, Stellung zu den Präzisierungsverfahren: Sie sagte, das US-Unternehmen sei besorgt, dass weitere Vorschriften, „die oft eher von Beschwerden der Wettbewerber als vom Interesse der Verbraucher getrieben sind, die Privatsphäre, Sicherheit und Innovation der Nutzer beeinträchtigen werden“.

Die Öffnung von Android für KI-Assistenten und die Weitergabe der zentralen Suchdaten an Dritte sind nur einige von weiteren Punkten, bei denen sich Google im Clinch mit der EU im Rahmen des DMA sieht. So wird dem Unternehmen auch vorgeworfen, seine eigenen Dienste in der Suche zu begünstigen und App-Entwickler daran zu hindern, Verbraucher zu Angeboten außerhalb seines Play Stores zu leiten. Zudem geht die EU-Kommission dem Verdacht nach, dass Google bestimmte Nachrichteninhalte in den Suchergebnissen benachteiligen könnte.

Im Rahmen des neuen Verfahrens könnte die EU später beschließen, eine formelle Untersuchung einzuleiten, wenn Google sich nicht an die Vorschriften des DMA hält. Es könnte den Weg für mögliche Geldstrafen in Höhe von bis zu 10 Prozent des weltweiten Jahresumsatzes ebnen – jedoch verhängen die Brüsseler Regulierungsbehörden selten die Höchststrafen. So die EU-Kommission verhängte im April 2025 eine Geldstrafe von 500 Millionen Euro gegen Apple wegen Verstößen gegen den Digital Markets Act (DMA). Zur Veranschaulichung: Apple machte 2024 etwa einen Jahresumsatz von 391 Milliarden US-Dollar – 10 Prozent davon wären 39 Milliarden Dollar.

Sowohl Google als auch Apple sind mit dem DMA unzufrieden: Google sagte im September 2025, der DMA richte Schaden bei europäischen Nutzern und kleinen Unternehmen an, während der DMA aus Apples Sicht abgeschafft gehört. Eine Analyse des Dachverbands der europäischen Verbraucherorganisationen, Beuc, zeigte auf, dass Verbraucher mit dem Digital Markets Act eine größere Auswahl genießen würden.

(afl)