News

Microsoft Entra ID: Bedingter Zugriff für mehr Sicherheit

Share
Autor: Renzo Eberhart

CTO, Intecso AG
30. September 2025

Wussten Sie, dass mehr als 99 Prozent aller Angriffe auf digitale Benutzeridentitäten passwortbasierte Angriffe sind? Vor diesem Hintergrund steht jedes Unternehmen vor der Aufgabe, Identitäten und Zugriffe auf geschäftskritische Anwendungen und Daten wirksam abzusichern. Schwachstellen wie wiederverwendete Passwörter oder fehlende Sicherheitskontrollen werden von Angreifern gezielt ausgenutzt. Microsoft Entra ID adressiert genau diese Cyber Risiken: In diesem Beitrag von Intecso erhalten Sie einen Überblick über die wichtigsten Sicherheitsfunktionen und Einsatzszenarien, wie Sie mit Entra ID Ihr Unternehmen effektiv vor Identitätsangriffen schützen können.

Identity and Access Management (IAM) mit Entra ID

Microsoft Entra ID ermöglicht auch kleinen und mittleren Unternehmen (KMU) ein modernes Identitäts- und Zugriffsmanagement (IAM). Durch flexible Zugriffssteuerung und Schutzmechanismen wie Multi-Faktor-Authentifizierung lassen sich Identitätsangriffe wirksam eindämmen und die IT-Resilienz nachhaltig gegenüber Cyberattacken stärken.

Was bedeuten Microsoft Entra ID und Conditional Access genau?

Microsoft Entra ID ist der cloudbasierte Dienst von Microsoft für Identitäts- und Zugriffsmanagement und war früher unter dem Namen Azure Active Directory (Azure AD) bekannt. Die Abkürzung ID steht für Identity bzw. Identität. Unternehmen können mit Entra ID Benutzer, Rechte und Authentifizierungen zentral verwalten. Zum Funktionsumfang gehören Single Sign-On, Multi-Faktor-Authentifizierung und eine rollenbasierte Steuerung des Zugriffs. Microsoft Entra ID lässt sich flexibel in bestehende IT-Umgebungen und alle wichtigen Microsoft-Dienste integrieren.

Conditional Access (auch als bedingter Zugriff bezeichnet) in Microsoft Entra ID erkennt automatisch Risiken und passt Schutzmassnahmen wie Multi-Faktor-Authentifizierung oder Zugriffsbeschränkungen an neue Bedrohungslagen und Nutzungsprofile an:

  • Verdächtige Anmeldungen werden erkannt und zusätzliche Sicherheitsprüfungen automatisch ausgelöst.
  • Anpassungen der Richtlinien können bei Bedarf direkt im Entra Admin Center auch manuell durchgeführt und an spezifische Risiko- und Compliance-Anforderungen angepasst werden.
  • Individuelle Feinabstimmungen durch Administratoren bleiben somit möglich, während flexible Sicherheitsmassnahmen grösstenteils automatisiert ablaufen.

In diesem Zusammenhang ist das Zero Trust Prinzip die übergeordnete Sicherheitsstrategie, die davon ausgeht, dass keinem Gerät, Nutzer oder Netzwerkbereich per se vertraut wird. Jede Zugriffsanfrage wird als potenziell riskant betrachtet und muss gezielt verifiziert werden. Conditional Access setzt das Zero Trust Prinzip also praktisch um.

Die Conditional Access Policy Engine von Microsoft Entra ID prüft dynamisch und kontextbasiert verschiedene Signale wie Nutzeridentität, Geräteintegrität, Standort und Anmelderisiko. Sind die definierten Bedingungen erfüllt, erfolgt die Freigabe.

Andernfalls werden gezielte Schutzmassnahmen ausgelöst. Im Unterschied zu statischen Kontrollen reagiert Conditional Access kontinuierlich auf neue Bedrohungslagen und passt die Anforderungen an veränderte Nutzungsprofile an.

Entra ID Conditional Access: Schutz vor AiTM und Token Theft

In den letzten Jahren hat sich die Multi-Faktor-Authentifizierung (MFA), zum Beispiel über eine Authentifizierungs-App beim Anmelden in Microsoft 365-Konten als Standard etabliert. Dennoch reagieren Cyberkriminelle flexibel auf diese Sicherheitsmassnahme. Immer häufiger setzen sie gezielt auf AiTM-Phishing und Token-Diebstahl, um trotz MFA an Zugangsdaten und Konten zu gelangen. Beide Methoden haben gemeinsam, dass Angreifer auf das Authentifizierungstoken zugreifen können, selbst wenn MFA aktiviert ist.

Die beiden Angriffstechniken Thoken Theft und AiTM-Phising stellen auch für Unternehmen mit fortschrittlichen Authentifizierungsverfahren eine reale Gefahr dar.

Moderne Schutzmechanismen wie Conditional Access mit Microsoft Entra ID sowie ein zeitgemässes Sicherheitsmonitoring sind nötig, um das Risiko für Cyberbedrohungen wirksam einzudämmen.

Was ist Token Theft?

Ein Token ist ein digitaler Berechtigungsnachweis, der nach einer erfolgreichen Anmeldung ausgestellt wird und dem Nutzer für eine gewisse Zeit Zugriff auf bestimmte Dienste oder Daten ermöglicht. Beim Token-Diebstahl verschafft sich ein Angreifer Zugang zu diesem Token.  

Beispielsweise durch Schadsoftware auf dem Endgerät, kompromittierte Router, Proxy-Server oder durch das Auslesen aus App- und Netzwerkprotokollen. Hat ein Angreifer das Token einmal gestohlen, kann er sich unbefugt anmelden und Konten übernehmen. Die Zahl derartiger Angriffe steigt merklich, obwohl sie im Vergleich zum klassischen Passwortdiebstahl seltener sind. 

Tipps zur Erkennung und Vorbeugung von Token Theft:

  • Achten Sie auf ungewöhnliche Anmeldeaktivitäten, zum Beispiel Zugriffe aus fremden Ländern oder Geräten und nutzen Sie risikobasierte Zugriffsrichtlinien. 
  • Überwachen Sie regelmässig Audit- und Anmeldeprotokolle auf verdächtige Muster, wie Wechsel der IP-Adresse oder neu registrierte Geräte. 
  • Halten Sie Ihre Software stets aktuell und schulen Sie alle Benutzer im Umgang mit verdächtigen E-Mails und Webseiten. 
  • Richten Sie Meldewege ein, falls Nutzer verdächtige Aktivitäten oder Phishing-Versuche beobachten. So können Angriffe rasch erkannt und Gegenmassnahmen eingeleitet werden.

Was ist AiTM-Phishing?

AiTM steht für Adversary-in-the-Middle („Angreifer in der Mitte“) und bezeichnet eine spezielle Phishing-Variante. Angreifer locken Nutzer auf eine gefälschte Login-Seite, auf der die Zugangsdaten und der MFA-Code eingegeben werden. 

Diese Informationen leiten sie in Echtzeit an die echte Microsoft-Anmeldeseite weiter und übernehmen so die Anmeldung für das Opfer. Nach erfolgreicher Authentifizierung erhalten die Angreifer das Zugriffstoken und umgehen damit sowohl das Passwort als auch den Schutz durch die Multi-Faktor-Authentifizierung. Sie übernehmen das Konto, ohne den zweiten Faktor erneut eingeben zu müssen.

Der typische Ablauf eines AiTM-Angriffsszenarios in der Praxis:

  1. Der Angreifer versendet eine Phishing-E-Mail mit einem Link zu einer täuschend echt nachgemachten Anmeldeseite.
  2. Das Opfer klickt auf den Link und wird über einen vom Angreifer kontrollierten Reverse-Proxy-Server umgeleitet.
  3. Der Reverse-Proxy nimmt die eingegebenen Anmeldedaten und den MFA-Token entgegen und leitet diese in Echtzeit an die legitime Microsoft-Seite weiter.
  4. Der Angreifer erfasst dabei das Sitzungstoken oder das Authentifizierungs-Cookie.
  5. Mit diesen gestohlenen Informationen kann sich der Angreifer nun unbefugten Zugang zum Konto des Opfers verschaffen und dabei auch die Multi-Faktor-Authentifizierung umgehen.

Wie können Sie Ihr Unternehmen gegen Token Theft und AiTM-Phishing schützen? 

Um Unternehmen zuverlässig davor zu schützen, stehen in Entra ID Conditional Access mehrere leistungsstarke Methoden zur Verfügung. Im Idealfall werden die nachfolgend vorgestellten Schutzmechanismen kombiniert eingesetzt.

Risky Sign-ins und Risky Users

Diese Funktion ist Bestandteil von Microsoft Entra ID Protection im Premium Plan 2. Jede Anmeldung wird in Echtzeit auf verdächtige Merkmale geprüft. Ungewohnte Faktoren wie Standort, benutztes Gerät oder ungewöhnliche Anmeldungsmuster erhöhen das Risiko.

Wird ein Zugriff als riskant erkannt, wie etwa bei einem Adversary-in-the-Middle-Angriff, kann durch Conditional Access sofort eine erneute Authentifizierung verlangt oder der Zugriff blockiert werden. Die Benutzenden werden nur dann zusätzlich geprüft, wenn echte Risiken erkannt werden, wodurch die Auswirkungen für den Arbeitsalltag gering bleiben.

Authentication Strength und phishingresistente MFA-Methoden

Mit dieser Methode definiert Conditional Access, dass für besonders schützenswerte Zugriffe nur eine phishingresistente Multi-Faktor-Authentifizierung genutzt werden darf. Hierzu zählen zum Beispiel FIDO2-Keys, Passkeys oder Windows Hello for Business. 

Physische FIDO2-Keys bieten einen besonders starken Schutz, während Passkeys und Windows Hello auch bequem nutzbar sind. Die Auswahl der Methode richtet sich nach Bedarf und Aufwand im Unternehmen, aber alle Verfahren erschweren AiTM-Angriffe erheblich, da die Anmeldung direkt mit einem echten Gerät verknüpft ist. 

Mehr zum Thema Sicherheit und Multi Faktor Authentifizierung erfahren Sie auch in unserem Beitrag  MFA Bombing and Real Time Phishing

Require Known Device

Hiermit wird garantiert, dass Zugriff auf Microsoft 365-Anwendungen nur von registrierten oder als konform geltenden Geräten erfolgt. Registrierte Geräte sind direkt mit Entra ID verbunden, konforme Geräte werden zusätzlich zentral mit Microsoft Intune verwaltet und unterliegen strengen Sicherheitsrichtlinien und Updates. Auch geografische Standorte oder IP-Adressen können eingeschränkt werden. Diese Methode erhöht die Sicherheit, kann aber Anforderungen an die Flexibilität im Arbeitsalltag stellen.

Token Protection

Token Protection, auch Token-Bindung genannt, sorgt dafür, dass Anmeldetoken kryptografisch (verschlüsselt) an ein bestimmtes Gerät gebunden werden. Ein gestohlenes Token ist somit für Angreifer wertlos, wenn kein Zugriff auf das Gerät besteht. Über Conditional Access kann diese Sicherheit aktuell in Exchange Online und SharePoint aktiviert werden, weitere Dienste werden laufend ergänzt. Der Schutzmechanismus basiert auf einer sicheren Verbindung zwischen Token und Gerätegeheimnis und verhindert so, dass Angreifer erbeutete Tokens missbrauchen. 

Welche der vier Schutzmethoden im Vordergrund stehen soll, hängt von Ihren Unternehmensvorgaben und vorhandenen Lizenzen ab. Die Kombination aller vier Schutzmechanismen bietet den wirksamsten Schutz vor den steigenden Angriffen auf Identitäten und Zugriffsrechte.

Der Digital Defense Report von Microsoft

Der Microsoft Digital Defense Report 2024 zeigt deutlich, wie gross die Bedrohung durch Cyberangriffe mittlerweile geworden ist. Jeden Tag sehen sich Internetnutzer weltweit 600 Millionen Angriffen ausgesetzt. Dazu zählen nicht nur Ransomware und Phishing, sondern auch Token Theft und AiMT-Attacken auf digitale Identitäten. 

Besonders hervorzuheben ist dabei, dass 99 Prozent dieser Angriffe Passwörter betreffen, wie eingangs bereits erwähnt. Dabei nutzen Kriminelle gezielt schwache oder mehrfach verwendete Passwörter aus. Von den immer raffinierter werdenden Methoden der Angreifer sind Unternehmen jeder Grössenordnung betroffen. 

Diese Entwicklung macht klar, dass herkömmliche Zugangslösungen keinen ausreichenden Schutz mehr bieten, um sensible Unternehmensdaten zu sichern. Weiterführende Informationen dazu, finden Sie in unserem Beitrag  Cyber Security für KMU

Massgeschneiderte Sicherheit für Schweizer KMU

Mit Microsoft Entra ID und Conditional Access steuern und schützen Sie den Zugriff auf Ihre Unternehmensdaten flexibel und automatisch sowie angepasst an Benutzer, Gerät und Situation. Dabei sichern Sie nicht nur einzelne Zugriffsrechte, sondern Sie können auch hybride sowie cloudbasierte IT-Umgebungen umfassend überwachen und kontrollieren

So werden Angriffe auf Identitäten und vertrauliche Informationen effektiv abgewehrt und die IT-Sicherheit Ihres Unternehmens bleibt dauerhaft auf hohem Niveau. Wir von der Intecso AG unterstützen Ihr Schweizer KMU mit modernen Schutzkonzepten, persönlicher Beratung und umfassender Expertise dabei, Cyberangriffe frühzeitig zu erkennen und regulatorische Anforderungen sicher zu erfüllen. 

Wenn Sie noch Fragen zu Microsoft Entra ID haben oder mehr über unsere Services erfahren möchten, kontaktieren Sie uns gerne:

Kontakt

Das könnte dir auch gefallen:

Service Desk

Wir sind gerne für Sie da. Vereinbaren Sie jetzt ein Online-Meeting mit uns oder fordern Sie noch heute Ihren Rückruf an.

Online Meeting
Rückruf anfragen
Social Media
X-twitter-square Ri-instagram-fill Linkedin-in

Kontakt

  • Intecso AG
    Industriestrasse 47
    CH-8152 Glattbrugg

    Montag bis Freitag
    08:00 - 12:00 Uhr
    13:00 - 17:00 Uhr
  • info@intecso.ch
  • +41 43 500 18 18

Services

Unternehmen

Admin

Support

Kontakt

Intecso AG
Industriestrasse 47
CH-8152 Glattbrugg
info@intecso.ch

Montag – Freitag
8:00 – 12:00 Uhr
13:00 – 17:00 Uhr

  • +41 43 500 18 18
  • info@intecso.ch

Kontakt

Interessieren Sie sich für unsere Dienstleistungen?

Wir informieren Sie gerne ausführlich. Füllen Sie das Kontaktformular aus, und wir werden uns mit Ihnen in Verbindung setzen.

Kontakt

Montag – Freitag
8:00 – 12:00 Uhr
13:00 – 17:00 Uhr

  • +41 43 500 18 18
  • info@intecso.ch

Online-Meeting anfragen

Wünschen Sie ein Online Meeting?

Bitte wählen Sie Ihren gewünschten Termin für das Online Meeting. Der Termin wird erst nach unserer Bestätigung verbindlich.

Rückruf Service

Haben Sie noch Fragen?

Nutzen Sie unseren Rückruf Service, wir werden uns so schnell wie möglich bei Ihnen melden.

Support Zeiten

Montag – Freitag
8:00 – 12:00 Uhr
13:00 – 17:00 Uhr
  • +41 43 500 18 17
  • support@intecso.ch

Support

Benötigen Sie Support?

Bitte beschreiben Sie Ihr Anliegen. Es wird automatisch ein Ticket erstellt und unser Service Desk wird sich so schnell wie möglich bei Ihnen melden.

Intecso TeamViewer Download

TeamViewer
Zu unserem Service Desk-Portal
Service Desk
TeamViewer
Service Desk

Jetzt bewerben

Sie finden nicht das richtige Stellenangebot? Schicken Sie uns trotzdem Ihre Bewerbung.
Click or drag files to this area to upload. You can upload up to 3 files.

Anfrage

Wir freuen uns auf Ihre Anfrage, um Ihnen ein individuelles Angebot zukommen zu lassen.

Kontakt

Intecso AG
Industriestrasse 47
CH-8152 Glattbrugg
info@intecso.ch

Montag – Freitag
8:00 – 12:00 Uhr
13:00 – 17:00 Uhr

  • +41 43 500 18 18
  • info@intecso.ch

Kontakt

Interessieren Sie sich für unsere Dienstleistungen?

Wir informieren Sie gerne ausführlich. Füllen Sie das Kontaktformular aus, und wir werden uns mit Ihnen in Verbindung setzen.