Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Microsoft schottet Entra ID ab: Neues CSP-Update blockiert ab 2026 alle nicht autorisierten Skripte

Microsoft kündigt ein tiefgreifendes Sicherheitsupdate für die Entra ID-Anmeldung an: Ab Oktober 2026 dürfen nur noch Skripte aus vertrauenswürdigen Microsoft-Domänen ausgeführt werden. Das soll Angriffe durch eingeschleusten Code verhindern – verlangt aber erhebliche Vorbereitung in Unternehmen.

THN/Stefan Mutschler (freier Journalist)Anwendungen und SystemeSecurity-Management
Lesezeit 3 Min.

Microsoft wird die Content Security Policy für die Entra ID-Anmeldung vollständig überarbeiten. Die neue Richtlinie betrifft alle browserbasierten Logins unter „login.microsoftonline.com“ und soll ausschließlich Skripte zulassen, die aus offiziellen Microsoft-Content-Delivery-Netzwerkquellen stammen. Das Ziel sei, so der Konzern, „nicht autorisierte oder injizierte Skripte während der Anmeldung zu blockieren“ – ein Schutzmechanismus gegen Angriffe, die Cross-Site-Scripting nutzen, um bösartigen Code in Webseiten einzuschleusen.

Die neue Regel sorgt dafür, dass künftig nur noch Skripte geladen werden dürfen, die von offiziellen Microsoft-Servern stammen. Eigene oder externe Skripte werden blockiert. Auch kleinere, direkt in der Seite eingebettete Skripte funktionieren nur noch, wenn sie von Microsoft stammen und eindeutig als vertrauenswürdig gekennzeichnet sind. Microsoft Entra External ID ist von dieser Änderung nicht betroffen. Die Umstellung soll weltweit zwischen Mitte und Ende Oktober 2026 erfolgen.

Microsoft bezeichnet die Neuerung als vorbeugende Sicherheitsmaßnahme im Rahmen der Secure Future Initiative (SFI). Unternehmen sollten ihre Anmeldeabläufe daher frühzeitig überprüfen. Der Grund: Alle Erweiterungen, Hilfsprogramme oder internen Anpassungen, die eigenen Code in den Entra ID-Login einfügen, werden künftig nicht mehr funktionieren. Organisationen, die bisher auf solche Browser-Erweiterungen oder Skriptanpassungen angewiesen waren, müssen rechtzeitig auf andere, sicherere Lösungen umsteigen.

Unternehmen müssen jetzt prüfen, ob ihre Anmeldungen betroffen sind

Um Verstöße gegen die Content Security Policy zu erkennen, können Nutzer den Anmeldeprozess durchlaufen und dabei die Entwicklerkonsole des Browsers geöffnet lassen. Im Konsolenfenster erscheinen dann Fehlermeldungen wie „Refused to load the script“, wenn ein Skript aufgrund der Vorgaben für „script-src“ oder „nonce“ blockiert wurde.

Solche Hinweise zeigen, welche Erweiterungen oder Anpassungen künftig nicht mehr funktionieren werden. Microsoft empfiehlt ausdrücklich, diese Tests frühzeitig durchzuführen.

Die Secure Future Initiative von Microsoft wurde im November 2023 gestartet und im Mai 2024 ausgeweitet – unter anderem nach deutlicher Kritik des US-amerikanischen Cyber Safety Review Board, das der Sicherheitskultur des Konzerns Nachholbedarf attestierte. Die Initiative soll sicherstellen, dass neue Produkte und Plattformen unter strengeren Sicherheitsstandards entwickelt werden und besser gegen moderne Angriffe gewappnet sind.

SFI: Verbesserte Erkennung, härtere Standards und großflächige Aufräumaktionen

Laut dem aktuellen 3. Fortschrittsbericht setzt Microsoft inzwischen über fünfzig neue Erkennungsmechanismen ein, die auf besonders kritische Angriffsmethoden abzielen. Die Einführung einer phishing-resistenten Multi-Faktor-Authentifizierung hat nach Angaben des Unternehmens eine Abdeckung von 99,6 Prozent erreicht. Zu den weiteren umgesetzten Maßnahmen gehören:

  • Durchsetzung obligatorischer Multi-Faktor-Authentifizierung für alle Dienste, einschließlich sämtlicher Azure-Dienstkonten
  • Erweiterte Wiederherstellungsfunktionen, etwa Quick Machine Recovery und Passkey-Unterstützung über Windows Hello
  • Verbesserte Speichersicherheit in UEFI-Firmware durch die Verwendung der Programmiersprache Rust
  • Migration von 95 Prozent der Entra ID-Signaturmaschinen auf Azure Confidential Compute
  • Verlagerung von 94,3 Prozent der Token-Validierung auf das standardisierte Softwareentwicklungs-Kit für Identitäten
  • Einstellung der Nutzung von Active Directory Federation Services (ADFS) in der Microsoft-Produktionsumgebung
  • Stilllegung von 560.000 ungenutzten Mandanten und 83.000 nicht mehr benötigten Anwendungen in der Entra ID-Produktionsumgebung
  • Zentrale Nachverfolgung von 98 Prozent der Produktionsinfrastruktur
  • Vollständige Bestandsaufnahme aller Netzwerkgeräte und Etablierung eines strukturierten Lebenszyklusmanagements
  • Nahezu vollständige Sperrung der Codesignierung für Produktionsidentitäten
  • Veröffentlichung von 1.096 Sicherheitslückenmeldungen sowie Ausschüttung von 17 Millionen US-Dollar an Prämien im Rahmen von Bug-Bounty-Programmen

 Zero Trust als Leitlinie

Microsoft betont, dass Unternehmen dem Zero-Trust-Prinzip folgen sollten: Erkennungs-, Reaktions- und Behebungsprozesse müssen automatisiert werden, unterstützt durch integrierte Sicherheitstools und aktuelle Bedrohungsinformationen. Entscheidend sei, in hybriden und Cloud-Umgebungen eine möglichst vollständige Echtzeit-Transparenz sicherzustellen, um Angriffe schneller einzudämmen und Systeme rascher wiederherzustellen.

Mit dem CSP-Update setzt Microsoft diesen Ansatz nun auch im Bereich der Authentifizierung konsequent durch – und zwingt Organisationen weltweit dazu, ihre gewachsenen Login-Prozesse kritisch zu überprüfen, bevor 2026 ein hartes Skriptverbot greift.

 

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.