Microsoft, Google und HIPAA erzwingen Multi-Faktor-Authentifizierung ab 2025
Microsoft, Google und US-Gesundheitsbehörden führen ab 2025 verpflichtende Zwei-Faktor-Authentifizierung ein. Die Maßnahme soll über 99 Prozent aller Identitätsangriffe verhindern und betrifft Cloud-Dienste sowie Gesundheitsdaten.
Das Passwort allein hat ausgedient. Ab 2025 wird Multi-Faktor-Authentifizierung (MFA) für Millionen Nutzer zur Pflicht – und zwar nicht mehr als freiwillige Empfehlung, sondern als harte Vorgabe von Tech-Giganten und Regulierungsbehörden. Microsoft, Google und das US-Gesundheitsministerium ziehen die Zügel an und markieren damit einen Wendepunkt in der digitalen Sicherheit.
Die Zahlen sprechen für sich: Über 99 % aller identitätsbasierten Angriffe lassen sich durch MFA verhindern, wie Microsoft berichtet. Angesichts der zunehmenden Raffinesse von Cyberkriminellen, die systematisch kompromittierte Zugangsdaten ausnutzen, wird der zweite Faktor vom Nice-to-have zum Must-have.
Microsoft macht Azure-Zugriff zur Zweifaktor-Zone
Microsoft hat die Einführung in zwei Phasen aufgeteilt. Seit Oktober 2024 ist MFA bereits für bestimmte Aktionen im Azure-Portal und anderen Admin-Centern Pflicht. Ab 1. Oktober 2025 wird es ernst für Entwickler und Systemadministratoren: Dann greift die Pflicht auch für Azure PowerShell, CLI und Infrastructure-as-Code-Tools.
Wer technische Prozesse automatisiert hat, muss jetzt handeln. Die Umstellung betrifft alle Cloud-Dienste des Konzerns – ohne zweiten Faktor kein Zugriff mehr.
Apropos mobile Sicherheit – viele Android-Nutzer übersehen grundlegende Schutzmaßnahmen gegen SIM‑Swap und Phishing. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schritte, erklärt Passkeys und FIDO2 und liefert leicht verständliche Schritt-für-Schritt-Anleitungen für WhatsApp, Banking-Apps und mehr. Jetzt kostenloses Android‑Sicherheitspaket herunterladen
Google Cloud zieht nach: Weltweite MFA-Pflicht in Etappen
Google Cloud folgt mit einem gestaffelten Rollout. Nach einer Informationsphase seit November 2024 wird MFA Anfang 2025 für alle Nutzer obligatorisch, die sich mit Passwort anmelden. Bis Jahresende 2025 erfasst die Pflicht dann auch Nutzer mit föderierter Authentifizierung über externe Identitätsanbieter.
Die Begründung: Datendiebstähle, bei denen gestohlene Zugangsdaten der Hauptangriffsvektor waren, häuften sich zuletzt dramatisch. Google zieht die Konsequenz und macht Schluss mit ungeschützten Konten.
HIPAA-Revolution: Gesundheitsdaten nur noch mit MFA
Die wohl weitreichendste Änderung kommt aus dem US-Gesundheitssektor. Das Gesundheitsministerium (HHS) hat eine umfassende Aktualisierung der HIPAA Security Rule vorgeschlagen, deren endgültige Verabschiedung für Ende 2025 oder Anfang 2026 erwartet wird.
Was ändert sich konkret? MFA war bisher eine “adressierbare” Maßnahme – Organisationen hatten Spielraum. Künftig wird MFA zwingend vorgeschrieben für jeden Zugriff auf elektronische geschützte Gesundheitsinformationen (ePHI), egal ob Remote oder intern. Die neue Regel definiert präzise, was als MFA gilt, und schließt moderne Methoden wie Verhaltensbiometrie ein.
Hintergrund sind alarmierende Cyberangriffe auf Gesundheitseinrichtungen, die teils zur Störung der Patientenversorgung führten. Die Verschärfung betrifft nicht nur US-Kliniken, sondern alle Software- und Dienstanbieter weltweit, die mit US-Gesundheitsdaten arbeiten.
SMS-Codes sind Geschichte: Der Trend geht zu Phishing-Resistenz
Während die MFA-Pflicht voranschreitet, entwickelt sich auch die Technologie weiter. Einfache SMS-Codes gelten längst als unsicher – SIM-Swapping-Angriffe machen sie angreifbar. Phishing-resistente Methoden rücken in den Fokus:
- FIDO2-Sicherheitsschlüssel wie YubiKeys basieren auf Public-Key-Kryptographie
- Passkeys kombinieren hohe Sicherheit mit einfacher Handhabung durch Biometrie
- Adaptive Authentifizierung passt Sicherheitsanforderungen dynamisch an Risikofaktoren wie Standort oder Gerät an
Die US-Behörde für Cybersicherheit (CISA) empfiehlt bereits diese fortgeschrittenen Methoden. Sie machen es Angreifern nahezu unmöglich, Anmeldedaten abzufangen.
Was Unternehmen jetzt tun müssen
Die Umstellung ist kein technisches Detail – sie ist ein Paradigmenwechsel. Jahrelang appellierten Sicherheitsexperten an Nutzer, komplexe Passwörter zu wählen. Diese Strategie ist gescheitert. Nun verlagert sich die Verantwortung zu Plattformanbietern und Organisationen.
IT-Abteilungen stehen vor konkreten Aufgaben:
- Technische Implementierung moderner MFA-Lösungen
- Mitarbeiterschulung gegen “MFA-Fatigue”-Angriffe, bei denen Angreifer Nutzer mit Push-Benachrichtigungen bombardieren
- Compliance-Prüfung für DSGVO, NIS2, HIPAA und künftige Vorschriften
Wer jetzt phishing-resistente und benutzerfreundliche Lösungen einführt, erhöht nicht nur die Sicherheit drastisch – er ist auch für kommende Regulierungen gerüstet.
Ausblick: Die passwortlose Zukunft naht
MFA ist nur ein Zwischenschritt. Technologien wie Passkeys, bereits von Apple, Google und Microsoft unterstützt, zielen darauf ab, Passwörter komplett zu ersetzen. Sie kombinieren Public-Key-Kryptographie mit biometrischen Merkmalen wie Fingerabdruck oder Gesichtserkennung.
In den nächsten 12 bis 24 Monaten dürften weitere Branchen folgen: Finanzsektor, Regierungsdienste und kritische Infrastrukturen werden MFA zur Pflicht machen. Für Verbraucher wird der zweite Faktor bald so selbstverständlich sein wie das Passwort selbst.
Der Trend ist unumkehrbar: Die digitale Identität wird künftig durch mehrere Schlüssel geschützt. Das macht das Internet für alle ein Stück sicherer – ob sie wollen oder nicht.
PS: SMS‑Codes reichen heute oft nicht mehr aus — wer seine Konten wirklich schützen will, braucht praxisnahe, phishing‑resistente Maßnahmen. Der kostenlose Guide zeigt fünf sofort umsetzbare Schritte für Android-Nutzer, die ohne teure Zusatz-Apps WhatsApp, Online‑Banking und Co. sicherer machen. So sichern Sie Ihr Android jetzt gratis
