Der Microsoft-Authenticator-Vorfall: Digitale Abhängigkeiten erkennen und vermeiden
Die kürzlich bekannt gewordene Sicherheitslücke im Microsoft Authenticator hat ein Problem sichtbar gemacht, vor dem Unternehmen gerne die Augen verschließen: Bei der Umsetzung moderner Arbeitsplätze setzen viele Organisationen zunehmend auf eine One-Vendor-Strategie und decken mit einem Anbieter Themen ab wie Identitätsmanagement, Endgeräteverwaltung, Kollaboration, Security und Cloud-Infrastruktur. Die Vorteile liegen auf der Hand: weniger Komplexität, eng integrierte Lösungen und oft auch wirtschaftliche Vorteile. Die Schattenseite: Wer alles auf einen Anbieter setzt, macht sich gleichzeitig auch von dessen Schwachstellen abhängig. Sascha Gahner, Teamlead Solution Engineering bei EBF, beleuchtet die Vor- und Nachteile einer One-Vendor-Strategie und zeigt mögliche Lösungsansätze auf.
Was war das Problem beim Microsoft Authenticator?
Mit der Schwachstelle CVE-2026-41615 wurde eine kritische Sicherheitslücke im Microsoft Authenticator bekannt – mit einem CVSS-Score von 9,6 und damit im kritischen Bereich. Angreifern wurde es unter bestimmten Umständen möglich, Zugriffstoken für Arbeitskonten abzugreifen. Nutzer mussten lediglich eine legitim wirkende Anfrage bestätigen, um Authentifizierungsinformationen offenzulegen. Microsoft reagierte schnell und stellte Updates für die betroffenen Versionen bereit. Das eigentliche Problem geht jedoch weit über eine einzelne Schwachstelle hinaus.
Das eigentliche Risiko: Wenn alles an einem Anbieter hängt
Die Sicherheitslücke zeigt ein grundlegendes Dilemma moderner IT-Strategien. Viele Unternehmen setzen in manchen Bereichen nahezu vollständig auf einen Anbieter und können dadurch viele Vorteile nutzen. Doch genau darin liegt gleichzeitig eine große Gefahr.
Warum Unternehmen auf Konsolidierung setzen
Die hohe Verbreitung solcher Plattformstrategien kommt nicht von ungefähr. Unternehmen entscheiden sich bewusst für Konsolidierung, weil sie zahlreiche Vorteile bietet:
- Weniger Komplexität: IT-Abteilungen kämpfen seit Jahren mit einer immer größer werdenden Anzahl von Tools und Plattformen. Eine einheitliche Architektur reduziert Integrationsaufwand, Schulungsbedarf und Verwaltungsaufgaben.
- Bessere Integration: Die einzelnen Komponenten greifen nahtlos ineinander. Prozesse wie Compliance-Prüfungen, Richtliniensteuerung oder Zugriffsmanagement lassen sich zentral und ohne Medienbrüche umsetzen.
- Schnellere Umsetzung: Neue Funktionen und Sicherheitsmechanismen können häufig schneller aktiviert werden, wenn sie bereits Teil der vorhandenen Plattform sind.
- Bessere Benutzererfahrung: Mitarbeitende profitieren von konsistenten Prozessen, weniger Anwendungen und einer einfacheren Anmeldung.
- Zentrale Transparenz: Informationen laufen an einer Stelle zusammen. Sicherheitsverantwortliche erhalten einen einheitlichen Überblick über Identitäten, Geräte, Anwendungen und Risiken.
Gerade angesichts des Fachkräftemangels und wachsender regulatorischer Anforderungen sind diese Vorteile für viele Unternehmen äußerst attraktiv.
Die Schattenseite der Monokultur
Wo Effizienz entsteht, wächst häufig auch die Abhängigkeit. Denn wenn ein einzelner Hersteller zum zentralen Identitäts-, Verwaltungs-, Kommunikations- und Sicherheitsanker wird, wird es problematisch, wenn sich dieser Anker löst:
- Gravierende Auswirkungen: Je mehr Funktionen auf derselben Plattform aufbauen, desto größer wird der potenzielle Schaden bei einer Störung oder Sicherheitslücke. Fällt eine kritische Komponente aus oder wird kompromittiert, kann dies Auswirkungen auf weite Teile der gesamten IT-Landschaft haben.
- Eingeschränkte Handlungsfähigkeit: Unternehmen können bei Problemen häufig nur auf Patches, Produktentscheidungen und Reaktionszeiten des Herstellers warten.
- Weniger Innovationsfreiheit: Unternehmen orientieren sich häufig an den Roadmaps ihres jeweiligen Herstellers. Dadurch besteht die Gefahr, neue Möglichkeiten zu übersehen, die andere Anbieter eröffnen.
- Strategische Abhängigkeit: Ein Wechsel zu einem anderen Anbieter wird mit zunehmender Plattformtiefe immer aufwendiger. Ändern sich Lizenzmodelle und -pakete, können Unternehmen häufig nichts gegen steigende Preise tun.
Der schleichende Kontrollverlust
Diese Abhängigkeit hat nicht nur technische und wirtschaftliche Folgen. Sie kann auch beeinflussen, wie Unternehmen ihre IT-Strategie weiterentwickeln. Je stärker eine zentrale Plattform den Alltag prägt, desto größer wird die Gefahr, dass künftige Entscheidungen vor allem entlang der Möglichkeiten und Prioritäten dieses Herstellers getroffen werden – nicht gemäß der Unternehmensziele. Dann folgt nicht mehr die Technologie der Strategie, sondern die Strategie der Technologie.
Gerade vor diesem Hintergrund lohnt es sich, neue Plattform- und Lizenzangebote nicht ausschließlich unter Effizienz- und Kostengesichtspunkten zu betrachten, sondern auch ihre langfristigen Auswirkungen auf die unternehmerische Handlungsfreiheit zu bewerten. Zwar versprechen neue Lizenzmodelle und die Bündelung verschiedener Systeme in zentralen Plattformen häufig mehr Produktivität, Sicherheit und Governance. Diese Angebote sollten aber sorgfältig bewertet werden – nicht nur nach dem unmittelbaren Mehrwert, sondern auch im Hinblick auf die langfristige Auswirkung auf die eigene Flexibilität. Äußere Faktoren wie Renewal-Termine oder kurzfristiger Kostendruck sollten keine alleinige Grundlage für weitreichende Entscheidungen sein.
Wie Unternehmen damit umgehen können
Die Frage ist also nicht, ob Microsoft oder andere Hersteller gute Lösungen anbieten. Die entscheidende Frage lautet vielmehr: Wie viel Risiko entsteht, wenn alle Prozesse von derselben Plattform abhängen? Und wie sollten Unternehmen damit umgehen? 3 Ansätze stellen wir Ihnen im Folgenden vor.
1. Sicherheitsrelevante Funktionen gezielt entkoppeln
Es empfiehlt sich, kritische Sicherheitsfunktionen bewusst zu diversifizieren.
- Ein gutes Beispiel hierfür ist das Identity & Access Management: Werden Authentifizierung und Zugriffskontrolle vollständig über dieselbe Plattform abgebildet, entsteht ein einzelner kritischer Angriffspunkt: Ist die Plattform kompromittiert oder nicht verfügbar, verliert das Unternehmen gleichzeitig die Kontrolle über den Zugang zu allen abhängigen Systemen. Spezialisierte, separierte IAM-Lösungen – etwa mit phishing-resistenter, passwortloser Authentifizierung – können hier als unabhängige Sicherheitsebene die Resilienz deutlich erhöhen.
- Ein weiteres Beispiel ist das Dokumentenmanagement: Werden geschäftskritische Dateien ausschließlich über die integrierte Cloud-Ablage einer zentralen Plattform verwaltet, kann ein Ausfall dieser Plattform den Zugriff auf wichtige Unterlagen komplett blockieren – genau dann, wenn sie am dringendsten benötigt werden. Eine ergänzende, plattformunabhängige Lösung für den sicheren Dateiaustausch und die Dokumentenablage stellt sicher, dass Mitarbeitende auch in solchen Situationen handlungsfähig bleiben.
2. Best-of-Breed
Nur weil Komponenten eines Herstellers hervorragend miteinander verzahnt sind, bedeutet das nicht automatisch, dass jede einzelne Lösung auch die beste für ihren jeweiligen Anwendungsbereich ist. Gerade in Bereichen wie Endpoint Security, Threat Defense oder Authentifizierung gibt es spezialisierte Lösungen, die deutliche Vorteile gegenüber den Lösungen der großen Technologiekonzerne haben – zwei Beispiele:
- Selbst moderne MFA-Verfahren sind anfällig, wenn Benutzer dazu gebracht werden, falsche Anfragen zu bestätigen oder Token preiszugeben. Moderne, phishing-sichere Verfahren wie AUTHN by IDEE kommen hingegen vollständig ohne abfangbare Zugangsdaten aus und setzen auf kryptographische Verfahren, die fest an Geräte gebunden sind.
- Das Unternehmen Lookout, besonders bekannt für ihre Modern Threat Defense-Lösung, sorgt mit einem neuen Produkt für einen umfassenden Überblick über die Nutzung von KI-Anwendungen auf Mobilgeräten und macht Shadow AI sichtbar und kontrollierbar.
Mit spezialisierten Lösungen wie diesen können Unternehmen nicht nur ihre Abhängigkeit reduzieren, sondern auch ihr Sicherheitsniveau erhöhen.
3. Exit-Strategien und Alternativen mitdenken
Unternehmen sollten bereits bei der Einführung neuer Plattformen bewerten, wie sich einzelne Komponenten im Bedarfsfall ersetzen oder ergänzen lassen. Wer Alternativen kennt, offene Schnittstellen nutzt und kritische Funktionen nicht vollständig an einen Hersteller bindet, erhöht seine Handlungsfähigkeit und reduziert langfristige Risiken.
Konkret bedeutet das: Für jede zentrale Funktion, bei der proprietäre Abhängigkeiten durch offene Standards oder parallele Lösungen abgefedert werden können – ob Gerätemanagement, Dokumentenablage oder Zugriffskontrolle – sollte von Anfang an mindestens eine realistische Alternative bekannt und ein möglicher Wechsel vorbereitet sein. Nicht als aktiver Parallelbetrieb, sondern als gedankliche und dokumentierte Vorbereitung.
So sollten beispielsweise beim Gerätemanagement alle Gerätekonfigurationen und Richtlinien plattformneutral dokumentiert sein, um einem Wechsel des MDM-Systems deutlich schneller und kostengünstiger durchführen zu können. Denn wer heute weiß, wie ein Wechsel aussehen würde, behält auch morgen die Kontrolle über seine Entscheidungen.
Sicherheit braucht Vielfalt
Die Sicherheitslücke im Microsoft Authenticator ist kein Beweis dafür, dass Microsoft unsichere Produkte entwickelt. Sie ist vielmehr eine Erinnerung daran, dass kein Hersteller unfehlbar ist. Die eigentliche Lehre daraus lautet daher nicht, dass Unternehmen auf Plattformen wie Microsoft verzichten sollten. Vielmehr sollten sie darauf achten, kritische Abhängigkeiten bewusst zu begrenzen und ihre Handlungsfähigkeit zu bewahren.
Konsolidierung schafft Effizienz. Diversifizierung schafft Resilienz. Die Herausforderung besteht darin, beides intelligent miteinander zu verbinden. Wer die Vorteile moderner Plattformen nutzt, ohne sich vollständig von ihnen abhängig zu machen, schafft die Grundlage für eine widerstandsfähige und zukunftssichere IT.
Und genau dabei unterstützen wir unsere Kunden: Mit unabhängiger Beratung, einem starken Partnernetzwerk und dem Blick auf die Lösung, die fachlich und strategisch am besten zum Unternehmen passt – nicht nur zum Hersteller.
