Der Identitätsverwaltungsdienst Entra ID von Microsoft soll im März Passkey-Profile erhalten. Microsoft kündigt an, die Funktion im März automatisch scharfzuschalten.

Im Microsoft-365-Message-Center kündigt das Unternehmen diesen Schritt an (MC1221452, Kopie bei merill.net). „Beginnend im März 2026 wird Microsoft Entra ID automatisch Passkey-Profile mit einer neuen Eigenschaft passkeyType für gerätegebundene und synchronisierte Passkeys aktivieren“, erklärt Microsoft. „Tenants, die nicht mittels Opt-in zustimmen, werden automatisch unter Erhalt der bisherigen Einstellungen migriert. Von Microsoft verwaltete Registrierungskampagnen werden auf Passkeys aktualisiert.“ IT-Verantwortlichen empfiehlt Microsoft, Vorbereitungen und Konfigurationen vor dem allgemeinen Rollout vorzunehmen.

Gruppenbasierte Einstellungsvorgaben

Admins sollen gruppenbasierte Passkey-Einstellungen vornehmen und die neue passkeyType-Eigenschaft nutzen können. Letztere erlaubt IT-Verwaltern, Passkeys auf gerätegebundene Passkeys, synchronisierte Passkeys (etwa mittels Passwort-/Passkey-Manager) oder beides einzustellen.

Das neue Schema wird ab März 2026 verteilt. Wenn Tenants die Passkey-Profile nicht nutzen wollen, werden bei der Umstellung bestehende FIDO2-Passkey-Authentifizierungsmethoden in ein „Default Passkey Profile“ verschoben. Der passkeyType-Wert wird basierend auf den bisherigen Einstellungen des Tenants gesetzt. Haben Tenants synchronisierte Passkeys aktiviert, werden von Microsoft verwaltete Registrierungskampagnen auf sogenannte Target-Passkeys umgestellt.

Die Passkey-Profile werden ab Anfang März global allgemein verfügbar, die Umstellung soll Ende März abgeschlossen sein. Die Umstellung von Tenants, die nicht mittels Opt-in teilnehmen, erfolgt von Anfang April bis Ende Mai 2026.

Als Vorbereitung empfiehlt Microsoft, dass diejenigen, die eine andere Konfiguration als die Standardvorgabewerte einsetzen wollen, mittels Opt-in an der Umstellung teilnehmen, bevor die automatische Aktivierung beginnt. Dann sollen sie den standardmäßigen passkeyType des Default Passkey Profile auf die gewünschte Einstellung setzen. Außerdem sollen Admins die Registrierungskampagnen-Konfiguration prüfen, insbesondere dann, wenn sie auf „von Microsoft verwaltet“ gesetzt ist.

Anfang Januar hatte Microsoft die Zertifikate von Entra aktualisiert. Konkret hat das Unternehmen die DigiCert-Zertifikate von der G1-Root-CA zur G2-Root-CA migriert.

(dmk)

In vielen Schulen arbeiten Schüler*innen mit dem Softwarepaket Microsoft 365 Education. Doch das spielt scheinbar rechtswidrig Tracking-Cookies aus. Damit steht die Nutzung von Microsoft 365 Education – womöglich sogar aller Microsoft-365-Produkte – in der EU generell in Frage.

Die österreichische Datenschutzbehörde entschied im Fall einer Schülerin, die Microsoft 365 Education über einen Browser nutzte. Dabei installierte Microsoft ohne Wissen und Zustimmung der Schülerin fünf Tracking-Cookies auf deren Gerät. Wie ein Netzwerk-Mitschnitt belegt, wurden nachfolgend persönliche Informationen der Schülerin an Microsoft gesendet. Und das obwohl die Schülerin zuvor in den Datenschutzeinstellungen wo immer möglich die Datenübermittlung abgelehnt hatte.

Die Datenschutzbehörde hat Microsoft nun aufgefordert, das Tracking der Beschwerdeführerin innerhalb von vier Wochen einzustellen. Sollte Microsoft nicht einlenken, sind Geldstrafen möglich. Die Verbraucherschutzorganisation noyb, die die zugrundeliegende Beschwerde bei der Datenschutzbehörde eingereicht hatte, geht allerdings davon aus, dass Microsoft vor das österreichische Bundesverwaltungsgericht zieht.

Max Schrems von noyb sagt: „Unternehmen und Behörden in der EU sollten konforme Software verwenden. Microsoft hat es erneut versäumt, die gesetzlichen Vorschriften einzuhalten.“

Die Verantwortung von Microsoft

Die Cookies wurden 2023 gefunden. 2024 hat die Schülerin gemeinsam mit der NGO noyb Beschwerden darüber bei der Schule, der Schulbehörde und bei Microsoft eingereicht. Microsoft erklärte laut noyb daraufhin, dass die Schulen, die Microsoft 365 Education einsetzen, selbst für den Datenschutz zuständig seien.

In der zugrundeliegenden Beschwerde schreibt noyb, dass es problematisch sei, wie die Verantwortung für die Datenverarbeitung in den Microsoft-Verträgen geregelt sei: „Für die betroffenen Personen führt dies zu Situationen, in denen der vermeintliche ‚Auftragsverarbeiter‘ (hier: Microsoft) nicht auf die Ausübung der Rechte aus der DSGVO reagiert, während der vermeintliche ‚Verantwortliche‘ (hier: die Schule) nicht in der Lage ist, solchen Anfragen nachzukommen.“

2025 hatte die Datenschutzbehörde sich schon einmal mit dem Fall beschäftigt und festgestellt, dass Schule, Schulbehörde und Microsoft die Schülerin über die Datenerhebung hätten informieren und umfassend auf eine Anfrage der Schülerin nach den erhobenen Daten antworten müssen.

Microsoft-Cookies auch bei Erwachsenen problematisch

Der aktuelle Beschluss beschäftigt sich nun konkret mit den Tracking-Cookies, die Microsoft auf dem Gerät der Schülerin installierte. Solche Cookies schneiden das Nutzungsverhalten mit, identifizieren Nutzende eindeutig und werden oft zum Ausspielen von Werbung genutzt.

Laut noyb hat Microsoft gegenüber der österreichischen Datenschutzbehörde versucht, die EU-Tochtergesellschaft in Irland für zuständig zu erklären. Dort werden EU-Datenschutzbestimmungen kaum durchgesetzt. Doch die Datenschutzbehörde stellte fest, dass die relevanten Entscheidungen in den USA getroffen werden.

Weil das unautorisierte Tracking nicht nur bei Minderjährigen illegal ist, geht noyb davon aus, dass die Nutzung von Microsoft 365 auch bei erwachsenen EU-Usern juristische Probleme aufwirft. Tracking erscheine auch in Microsoft 365, also der gewöhnlichen Office Suite, wahrscheinlich, wenn dies selbst bei Minderjährigen in Microsoft 365 Education stattfinde. Die deutschen Datenschutzbehörden hatten bereits 2022 festgestellt, dass Microsoft 365 nicht DSGVO-konform betrieben werden kann.

Beim Online-Musikdienst SoundCloud sind persönliche Daten von Millionen Nutzern geleakt. Mittlerweile hat das Have-I-Been-Pwned-Projekt (HIBP) den Hack in seine Datenbank aufgenommen. Über den Dienst kann man prüfen, ob etwa die eigene E-Mail-Adresse in Datenleaks auftaucht.

Geleakte Nutzerdaten

Wie aus einem aktuellen HIBP-Beitrag hervorgeht, sind 29,8 Millionen Konten von dem IT-Sicherheitsvorfall aus dem Dezember vergangenen Jahres betroffen. Dabei haben Angreifer öffentlich einsehbare Kontodaten von Nutzern im großen Stil kopiert. Bezahldaten und Passwörter sollen nicht enthalten sein. Unter die kopierten Daten fallen:

• Avatare
• E-Mail-Adresse
• Geografische Standorte
• Namen
• Nutzernamen
• Profilstatistiken

In einer Stellungnahme gibt SoundCloud an, dass die kopierten Daten rund 20 Prozent der Nutzer betreffen. Der Online-Musikdienst führt aus, dass die Angreifer an einem Dashboard für Zusatzdienste angesetzt haben. Weitere Details zum Ablauf der Attacke sind bislang nicht bekannt.

In der am 13. Januar aktualisierten Stellungnahme gibt SoundCloud an, dass die Kriminellen bereits erpresserische Mails an Mitarbeiter und Nutzer des Dienstes verschicken. Dementsprechend sollten SoundCloud-Nutzer E-Mails aktuell besonders kritisch bewerten. Schließlich können die Angreifer aus den Daten Phishing-Mails stricken, um Opfern für sie wertvolle Daten zu entlocken. Solche Nachrichten sollte man direkt löschen und auf gar keinen Fall auf Links klicken oder sogar Dateianhänge öffnen.

In der Regel erpressen Kriminelle attackierte Unternehmen und drohen mit einem Leak der erbeuteten Daten. Ob in diesem Fall Lösegeld gezahlt wurde, ist zurzeit nicht bekannt. Das Archiv mit den SoundCloud-Nutzerdaten wurde bereits von den mutmaßlichen Angreifern von ShinyHunters über ihre Leaksite zum Download angeboten.

(des)