Microsoft gibt Unternehmen mehr Zeit für die Abschaffung der unsicheren Basic Authentication in Exchange Online. Die ursprünglich für Anfang 2026 geplante Abschaltung wird auf Ende des Jahres verschoben. Der Konzern reagiert damit auf die Schwierigkeiten vieler Kunden, alte Systeme umzurüsten. Das langfristige Ziel bleibt jedoch unverändert: der vollständige Umstieg auf die sicherere Modern Authentication. Diese ist laut Microsoft die Grundvoraussetzung für den sicheren Einsatz von KI-Tools wie Copilot und automatisierter Workflows.
Neuer Zeitplan für ein Sicherheitsrisiko
Am 27. Januar 2026 hat Microsoft den Zeitplan für die Abschaltung der veralteten SMTP AUTH-Methode aktualisiert. Statt wie zunächst geplant im März 2026 beginnt die Umsetzung nun später. Für alle bestehenden Mandanten bleibt der aktuelle Status bis Dezember 2026 erhalten. Erst dann wird das Protokoll standardmäßig deaktiviert.
Moderne Authentifizierungsverfahren und Multi‑Factor‑Authentifizierung sind längst kein Nice‑to‑have mehr — viele Unternehmen sind für die nächste Angriffswelle allerdings nicht vorbereitet. Ein kostenloses E‑Book fasst die aktuellen Cyber‑Security‑Trends zusammen, erklärt, wie Angreifer Lücken wie Basic Authentication ausnutzen, welche Sofortmaßnahmen (MFA‑Checks, Token‑Management, Phishing‑Schutz) höchste Priorität haben und wie Sie Ihr Microsoft‑365‑Setup schnell härten können. Konkrete Handlungsschritte für IT‑Leiter und Admins inklusive Checkliste. Gratis Cyber‑Security‑Guide herunterladen
In einer wichtigen Zugeständnis können Administratoren die alte Methode bei Bedarf aber vorübergehend wieder aktivieren. Dies soll Geschäftsabläufe schützen, während die Migration abgeschlossen wird. Für alle neuen Microsoft 365-Mandanten, die nach Dezember 2026 erstellt werden, ist Basic Authentication von Beginn an nicht verfügbar. Hier ist nur noch das moderne OAuth-Verfahren erlaubt. Das endgültige, permanente Löschdatum für alle Kunden will Microsoft in der zweiten Hälfte 2027 bekanntgeben.
Diese Verzögerung ist eine Reaktion auf reale Probleme in Unternehmen. Veraltete Drucker, Scanner oder spezielle Geschäftsanwendungen unterstützen oft keine modernen Sicherheitsprotokolle. Ihre Aktualisierung oder Ersetzung braucht Zeit.
Warum Basic Authentication ein gefährliches Erbe ist
Der Druck von Microsoft, die alte Methode abzuschaffen, ist berechtigt. Basic Authentication überträgt Benutzernamen und Passwörter im Klartext oder in einfach umkehrbaren Formaten. Das macht sie anfällig für Abhörangriffe und Diebstahl.
Dienstkonten, die mit dieser Methode konfiguriert sind, sind ein bevorzugtes Ziel für Cyberkriminelle. Angreifer suchen systematisch nach solchen Schwachstellen, um mit Brute-Force-Angriffen in Firmennetze einzudringen. Die Kompromittierung eines einzigen Kontos kann zu umfangreichen Datenlecks führen.
Der größte Schwachpunkt: Basic Authentication unterstützt keine Multi-Faktor-Authentifizierung (MFA). In einer Zeit, in der MFA als Mindeststandard gilt, ist jedes Protokoll ohne diese Funktion ein inakzeptables Risiko. Es kann als Hintertür dienen und alle anderen Sicherheitsvorkehrungen aushebeln.
Modern Authentication: Das Fundament für KI-Sicherheit
Der Wechsel zu Modern Authentication, basierend auf OAuth 2.0, ist mehr als ein Update. Es ist eine grundlegende Voraussetzung für sichere KI und Automatisierung. Statt statischer Passwörter nutzt OAuth 2.0 sichere Zugriffstoken. Diese werden für eine begrenzte Zeit und spezifische Aufgaben an eine Anwendung vergeben.
Dieser Rahmen ist entscheidend für KI-Dienste wie Microsofts Copilot, die auf Daten in E-Mails, Kalendern und Dokumenten zugreifen. Administratoren können dabei präzise Berechtigungen vergeben – etwa „Kalender lesen“, aber nicht „E-Mails senden“. Dieses Prinzip der geringsten Rechte stärkt die Sicherheit erheblich.
Zudem beendet Modern Authentication die riskante Praxis, Passwörter im Quellcode oder Konfigurationsdateien zu speichern. Die Authentifizierung läuft über den Token-Flow, der zentral verwaltet und überwacht werden kann. Für eine vertrauenswürdige, KI-gestützte Arbeitsumgebung ist dies unverzichtbar.
Pragmatischer Kurs bei klarem Ziel
Die verlängerte Frist ist kein Zurückweichen in Sicherheitsfragen, sondern eine pragmatische Anpassung. Microsoft verfolgt weiterhin das Ziel, veraltete Protokolle aus seinem Ökosystem zu verbannen. Diese Initiative ist Teil einer breiteren Sicherheitsoffensive.
Parallel werden etwa ab Februar 2026 alle Anmeldungen im Admin-Center von Microsoft 365 mit MFA abgesichert. Neue Sicherheits-Baselines für die Office-Apps schützen zudem vor bösartigen Quellen. Angesichts immer raffinierterer Cyberangriffe, teils mit KI-Unterstützung, wird die Absicherung jedes Einfallstors immer dringlicher – besonders bei automatisierten Diensten.
Was Unternehmen jetzt tun müssen
Die gewonnene Zeit sollten IT-Verantwortliche nutzen. Der erste Schritt ist eine Bestandsaufnahme: Welche Geräte, Skripte und Anwendungen nutzen noch die alte SMTP AUTH-Methode?
Anschließend muss ein Migrationsplan her. Nicht-konforme Systeme müssen vor der Deadline Ende 2026 aktualisiert oder ersetzt werden. Für Drucker ohne OAuth-Unterstützung können gesicherte Relay-Dienste eine Lösung sein. Bei eigenen Anwendungen müssen Entwickler auf moderne Authentifizierungs-Bibliotheken umsteigen. Der Weg ist vorgezeichnet, die Fristen sind trotz Verlängerung verbindlich. Die Zukunft einer sicheren Cloud- und KI-Landschaft baut auf modernen Identitätsprotokollen auf. Die Ära der Basic Authentication geht zu Ende.
PS: Die verschobene Abschaltung gibt Ihnen Zeit — nutzen Sie sie, um Abwehrlücken systematisch zu schließen. Unser kostenloses Cyber‑Security‑E‑Book liefert praxisnahe Sofortmaßnahmen: MFA‑Checks, sichere Token‑Flows, Phishing‑Schutz und Mitarbeiterschulungen, die sich in Tagen umsetzen lassen — oft ganz ohne neue Systeme. Speziell für Teams, die Copilot und Automatisierung sicher einführen wollen, bietet der Leitfaden praxiserprobte Checklisten und Prioritätenpläne. Kostenloses Cyber‑Security‑E‑Book herunterladen
