Plötzlich gesperrt – Was hinter den Leaked-Credentials-Warnungen vom 19. April steckt 

Digitale Sturmwarnung: Der 19. April 2025

In vielen Unternehmen weltweit gingen bei IT-Verantwortlichen Warnlichter an: 
Konten wurden gesperrt, Nutzer*innen ausgesperrt – und das alles unter dem dramatischen Label: „Leaked Credentials erkannt“. 

Wer so eine Meldung sieht, denkt reflexartig an das Schlimmste: 

• Wurde mein Tenant kompromittiert? 
• Haben Angreifer Zugriff auf Konten erhalten? 
• Droht ein größerer Sicherheitsvorfall? 

Doch was sich zunächst wie ein Angriff anhörte, war in Wahrheit ein Fehler – ausgerechnet bei Microsoft selbst. In diesem Fall Glück!

Was genau ist passiert? 
Am vergangenen Samstag, dem 19. April, aktivierte Microsoft ein neues Sicherheitsfeature in Microsoft Entra ID (ehemals Azure AD): 
MACE Credential Revocation – ein Mechanismus, der kompromittierte Anmeldedaten automatisch erkennt und die betroffenen Konten sperrt. Doch: Durch eine fehlerhafte Implementierung im Zusammenhang mit dem Logging von Tokens kam es zu einem internen Leak von User-Refresh-Tokens – also genau den Anmeldetokens, die Microsoft eigentlich schützen wollte. 

Diese Tokens wurden von Microsoft versehentlich vollständig protokolliert, inklusive sensibler Bestandteile – was normalerweise nicht passieren darf. Als Microsoft den Fehler erkannte, wurden die betroffenen Tokens aus Sicherheitsgründen invalidiert – was wiederum zu MACE-Warnungen und Kontensperrungen führte. 

Hier die Fehlermeldungen im Microsoft Defender Portal und in der Identity Protection:

Was war unser Vorgehen?

Auch in unserer Umgebung wurden zahlreiche Nutzer*innen plötzlich als „hochriskant“ eingestuft. Doch anstatt sofort zur Beruhigung auf „Benutzer als sicher markieren“ zu klicken, haben wir uns bewusst dagegen entschieden – aus mehreren Gründen: 

1. Zu diesem Zeitpunkt gab es noch keine offizielle Information von Microsoft, dass es sich um einen internen Fehler handelte. 

2. Ein vorschnelles „Als sicher markieren“ hätte bedeutet, ein potenzielles Risiko zu ignorieren – mit unkalkulierbaren Folgen, falls der Vorfall doch ein echter Leak gewesen wäre. 

Stattdessen haben wir auf unsere vorbereitete Conditional Access Policy gesetzt, die folgendes vorsieht: 

Wenn ein Benutzer ein mitteles oder hohes Risiko-Level erreicht, wird er zur Durchführung eines Self-Service Password Resets (SSPR) gezwungen. 

Ergebnis: 
Die Nutzer:innen konnten selbst ihr Passwort zurücksetzen und wurden danach automatisch wieder als nicht riskant eingestuft. 
Keine manuelle Freigabe, kein erhöhtes Risiko – und vollständige Nachvollziehbarkeit. 

Hier ein Link zur offiziellen Microsoft Dokumentation: 
https://learn.microsoft.com/en-us/entra/id-protection/howto-identity-protection-configure-risk-policies#user-risk-policy-in-conditional-access  
 

Warum das der bessere Weg war !

In solchen Situationen ist Transparenz und Vorsicht wichtiger als Geschwindigkeit. 

• Das manuelle „Entwarnen“ ohne Klarheit kann ein Sicherheitsrisiko darstellen. 

• Automatisierte Prozesse wie SSPR über Conditional Access bieten dagegen Kontrolle, Nachvollziehbarkeit und User-Einbindung. 

Gerade im Mittelstand ist es entscheidend, skalierbare und sichere Prozesse für Identity Protection zu etablieren – und nicht im Notfall hektisch reagieren zu müssen. 

Handlungsempfehlungen für andere Admins 

1. Vermeidet voreilige manuelle Entscheidungen bei Sicherheitswarnungen ohne bestätigte Ursache. 

2. Setzt auf Conditional Access Policies auf Risiko-Level (Identity Protection) – kombiniert mit SSPR. 

3. Kommuniziert mit euren Usern: Erklärt den Vorgang, gebt klare Anleitungen für das Passwort-Reset und stellt Support bereit. 

4. Verfolgt Microsoft-Dokumentationen aktiv, z. B. über das Microsoft 365 Admin Center oder Twitter/X der offiziellen Kanäle. 

5. Dokumentiert den Vorfall – das ist wichtig für Audits, Compliance und Lessons Learned. 

Quellen & weiterführende Links 

• Microsoft Entra: What’s New 

• Microsoft: Identity Protection – Risk-based Policies 

• Entra User at High Risk – leaked credentials – Cloud und mehr 
   

Fazit: Fehler passieren. Wie man darauf reagiert, ist entscheidend.  

Auch Microsoft kann Fehler machen, zum Glück. Denn genau so könnte auch ein realer, größerer Leak aussehen – das hat uns der 19. April deutlich gezeigt. 
 
Mit einem durchdachten Security-Konzept, klaren Prozessen und dem richtigen Maß an Vorsicht lassen sich jedoch auch diese Situationen souverän meistern.  

Wir haben uns bewusst gegen blinden Aktionismus entschieden – und setzen stattdessen auf Automatisierung, Sicherheit und Verantwortung.