Zum 1. Oktober 2025 will Microsoft die Anmeldung mit zweitem Faktor, die Mehrfaktorauthentifizierung oder kurz MFA, für weitere Azure-Cloud-Dienste zwingend einführen. Die Phase 1 der MFA-Erzwingung startete im Februar dieses Jahres, sie brachte die verbesserte Sicherheit für das Azure-Portal, Microsofts Entra-Admin-Center und das Intune-Admin-Center.

In einem Support-Artikel zu Entra-ID hat Microsoft jetzt die aktualisierten Daten vorgestellt. Demnach kommen die Dienste Azure CLI, Azure PowerShell, Azure Mobile App, IaC-Tools und REST-API-Endpunkte zu denjenigen hinzu, für die Microsoft eine erzwungene MFA vorsieht. Zumindest für die Operationen Create, Delete oder Update. Read-Operationen benötigen keine MFA, erörtert Microsoft, das weicht davon ab, was für die Phase-1-Apps gilt.

Auch für „Notfallzugriffskonten“ gelte die MFA-Anforderung, weshalb die Redmonder empfehlen, für diese bereits jetzt Passkeys (FIDO2) oder zertifikatsbasierte Authentifizierung einzurichten. Beides genüge den MFA-Anforderungen. Wer nutzerbasierte Konten für Dienste verwendet, sollte diese zudem auf „Workload Identities“ migrieren, was in der Regel Anpassungen an Skripten und Automatisierungsprozessen erfordert.

Verzögerungen möglich

Microsoft bietet betroffenen Kunden an, gegebenenfalls mehr Zeit für die MFA-Vorbereitungen zu erhalten. Das gilt für Kunden mit komplexen Umgebungen oder technischen Hürden. Die Phase 1 können sie bis zum 30. September hinauszögern. Das sorgt gleichzeitig dafür, dass Phase 2 bis zum selben Zeitpunkt verschoben wird. Für Phase 2 lässt sich jedoch ein späterer Startzeitpunkt auswählen – maximal bis zum 1. Juli 2026. Die Auswahl erlaubt dabei Drei-Monats-Sprünge.

Microsofts Artikel liefert noch Handreichungen für Admins, wie sie die MFA-Anforderungen erfüllen und etwa Tests ihrer Umgebungen vornehmen können. Zudem geben die Redmonder Hinweise, etwa für Anpassungen bei OAAuth-Systemen oder den Umgang mit föderierten Identitätsprovidern.

Die ersten Azure-MFA-Umstellungen sollten in der Mitte des vergangenen Jahres anfangen. Der Hintergrund ist IT-Sicherheit: Eine der effektivsten Sicherheitsmaßnahmen ist demnach die MFA. Microsoft hat herausgefunden, dass mit der Mehrfaktorauthentifizierung mehr als 99,2 Prozent der Angriffe zur Kompromittierung von Konten verhindert werden können.

(dmk)

Google hat Best Practices für Entwicklerinnen und Entwickler vorgestellt, die die User ihrer Apps zu Passkeys migrieren möchten. Passkeys werden zunehmend beliebter, da sie sicherer sind als Passwörter – zum Beispiel vor Phishing-Angriffen schützen – und dabei eine hohe Benutzerfreundlichkeit aufweisen. Bei der Anwendung von Passkeys kann der Sign-in zu Apps und Websites mittels biometrischem Sensor – etwa per Fingerabdruck oder Gesichtserkennung –, PIN oder Muster erfolgen.

Für Android-Developer steht die Jetpack-API Credential Manager bereit, um Usern die Passkey-Anwendung zu ermöglichen, während sie gleichzeitig traditionelle Sign-in-Methoden wie Passwörter unterstützt.

Um die Nutzerinnen und Nutzer ihrer Anwendungen zum Passkey-Einsatz zu ermutigen, präsentiert Google auf dem Android Developers Blog Gelegenheiten für Developer in unterschiedlichen UX-Flows. So kann bereits bei der Account-Erstellung ein Prompt zur Erstellung eines Passkeys nützlich sein, oder beim Sign-in per OTP, Passwort oder anderen Sign-in-Methoden. Weitere gute Gelegenheiten bieten sich bei der Account-Wiederherstellung sowie beim Zurücksetzen eines Passworts – gerade in letzterem Fall seien User empfänglicher für die Einfachheit und Sicherheit von Passkeys.

Best Practices: User von Passkeys überzeugen

Google empfiehlt Android-Entwicklern, ihren App-Usern die Passkey-Verwendung mittels einiger Best Practices schmackhaft zu machen. Zum Beispiel sei es wichtig, den Anwendern auf einfache Weise die folgenden Vorteile zu nennen: Sie erhalten eine verbesserte Sicherheit wie den Schutz vor Phishing, müssen kein Passwort mehr eingeben, können den gleichen Passkey über verschiedene Plattformen hinweg verwenden und erhalten eine konsistente Authentifizierungserfahrung.

Das kann beispielsweise so aussehen:

Eine weitere Empfehlung von Google ist das Bieten einer nahtlosen Nutzererfahrung mithilfe des vereinheitlichten User Interface (UI) durch den Credential Manager. Auch sollen User innerhalb der App Klarheit über ihre Authentifizierungsoptionen erhalten und weiterführende Erklärungen zu Passkeys erhalten, etwa durch entsprechende Links. Zudem ist laut Google vor der breiteren Anwendung von Passkeys zunächst ein phasenweiser Rollout an eine kleinere Gruppe von Usern sinnvoll, um Feedback einzuholen und die Nutzererfahrung zu verbessern.

In den UX Guidelines finden Entwicklerinnen und Entwickler weitere, detaillierte Hilfestellungen.

(mai)

Am 12. September wird der Data Act der EU wirksam. Es steht zu befürchten, dass viele Unternehmen darauf kaum vorbereitet sind. In Episode 142 des c’t-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und heise-Justiziar Joerg Heidrich mit Carolin Loy vom Bayerischen Landesamt für Datenschutzaufsicht über die weitreichenden Folgen der neuen Verordnung.

Der Data Act soll Datensilos aufbrechen und Nutzern Zugang zu Daten verschaffen, die bei der Verwendung vernetzter Geräte entstehen, vom Auto über die Kaffeemaschine bis zur Solaranlage. Bisher kontrollieren viele Hersteller diese Daten exklusiv. Künftig müssen sie sie auf Verlangen herausgeben, auch an Dritte. Die EU-Kommission erhofft sich davon jährlich mehr als 200 Milliarden Euro zusätzliches Wirtschaftswachstum durch neue datenbasierte Geschäftsmodelle.

Dilemma in der Praxis

Die praktische Umsetzung stellt Unternehmen vor massive Probleme. Sie müssen ab sofort Datenlizenzverträge mit Nutzern schließen und Schnittstellen zur Datenherausgabe schaffen. Die von der EU-Kommission versprochenen Mustervertragsklauseln existieren zehn Tage vor dem Stichtag nur als Entwurf. „Das schadet vor allem denjenigen, die das Gesetz anwenden müssen“, kritisiert Loy die mangelhafte Vorbereitung.

Besonders komplex stellt sich die Abgrenzung von personenbezogenen und nicht-personenbezogenen Daten dar. Bei personenbezogenen Daten greift weiterhin die DSGVO mit Vorrang. Das heißt, Unternehmen benötigen eine Rechtsgrundlage für die Herausgabe. Dies führt zu einem Dilemma: Verweigern sie die Herausgabe mangels Rechtsgrundlage, verstoßen sie möglicherweise gegen den Data Act. Geben sie Daten ohne Rechtsgrundlage heraus, verletzen sie die DSGVO.

Fehlende Aufsicht

Weitere Unsicherheit schafft die fehlende Aufsichtsstruktur. Deutschland hat noch keine zuständige Behörde für nicht-personenbezogene Daten benannt. Ein Referentenentwurf vom Jahresanfang sah die Bundesnetzagentur vor, für personenbezogene Daten sollte die Bundesbeauftragte für Datenschutz zentral zuständig sein, was die föderale Aufsichtsstruktur der Datenschutzaufsicht aushebeln würde. Nach der vorgezogenen Bundestagswahl im Februar wurde der Entwurf der damaligen Ampelkoalition obsolet, ein neuer liegt noch nicht vor.

Expertin Loy empfiehlt Unternehmen dringend, ihre Datenbestände zu analysieren und zwischen personenbezogenen und anderen Daten zu trennen. Sie müssen Informationspflichten nach dem Data Act erfüllen und Verträge vorbereiten. Im Zweifel rät sie, vom Personenbezug auszugehen und Herausgabeanfragen zunächst kritisch zu prüfen.

Während die Diskutanten die Grundidee des Data Acts – mehr Datenzugang und Wettbewerb – durchaus begrüßen, kritisieren sie die Umsetzung. Gerade der Mittelstand sei mit der Flut neuer Digitalgesetze völlig überfordert, moniert Heidrich. Die komplexe Verzahnung mit der DSGVO schaffe mehr Rechtsunsicherheit als Klarheit.

Episode 142:

Hier geht es zu allen bisherigen Folgen:

(hob)