Duo Security: Veraltete Apps verlieren ab sofort Zugriff

Cisco-Tochter Duo Security erzwingt mit einem Zertifikatswechsel weltweit Software-Updates. Wer seine App nicht aktualisiert, kann sich ab Montag nicht mehr einloggen – ein Weckruf für die IT-Sicherheit.

In einem drastischen Schritt zur Absicherung seiner Infrastruktur stellt Cisco seine Tochter Duo Security auf neue Sicherheitszertifikate um. Ab heute, dem 2. Februar 2026, beginnen veraltete Softwareversionen, den Dienst zu verweigern. Der Grund: Ein Bündel wichtiger digitaler Zertifikate, die für verschlüsselte Verbindungen nötig sind, läuft ab. Unternehmen und Nutzer, die ihre Duo-Apps nicht aktualisieren, riskieren den kompletten Ausfall der Zwei-Faktor-Authentifizierung (2FA).

Heute markiert ein „weiches“ Startdatum, um Störungen zu managen. Der endgültige, unumkehrbare Cut-off ist der 31. März 2026. Danach kann keine Software mehr auf die Dienste von Duo zugreifen, die noch die alten Zertifikate verwendet. Die Maßnahme betrifft das gesamte Produktportfolio – von der Duo Mobile App bis zu Server-Integrationen.

Passend zum Thema Smartphone-Sicherheit: Viele Android-Geräte können wegen veralteter Betriebssysteme keine aktuellen Updates mehr installieren – und damit funktionieren 2FA-Apps wie Duo nicht zuverlässig. Das kostenlose Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Android-Nutzer (automatische Updates, Prüfungen der App-Quelle, Rechteverwaltung, Backup- und Play‑Services‑Checks) und liefert praktische Anleitungen sowohl für Privatanwender als auch IT‑Verantwortliche. Jetzt Gratis-Sicherheitspaket für Android sichern

Das technische Herzstück: Ablaufende digitale Pässe

Im Kern der Zwangs-Updates steht die Ausmusterung eines alten DigiCert-Stammzertifikats. Diese Zertifikate wirken wie digitale Pässe. Sie bestätigen, dass die App wirklich mit den echten Duo-Servern spricht und nicht mit einem betrügerischen Zwischenserver. Dieses „Certificate Pinning“ ist ein zentraler Schutz gegen sogenannte Man-in-the-Middle-Angriffe.

Webbrowser wie Chrome und Firefox werden die alten Zertifikate ab dem 15. April 2026 komplett ablehnen. Duo zwingt seine Kunden deshalb vorab zum Upgrade auf Versionen mit einem neuen, breiter aufgestellten Zertifikate-Bündel. So sollen künftig massive Update-Wellen vermieden werden. Betroffen sind alle Editionen – kostenlos, kostenpflichtig und für Behörden.

Wer ist betroffen und was droht konkret?

Die Reichweite der Änderung ist enorm. Für Endnutzer geht es vor allem um die Duo Mobile App. Alle Versionen unter 4.85.0 müssen aktualisiert werden, sonst funktionieren weder Push-Benachrichtigungen noch andere Verifizierungen über die App. Die Meldungen kommen schlicht nicht mehr an.

Besonders heikel ist die Lage für Nutzer alter Smartphones. Die neueste Duo Mobile App benötigt mindestens Android 11 oder iOS 16. Geräte mit älteren Betriebssystemen – wie Android 10 oder iOS 15 und früher – können das notwendige Update nicht aus den offiziellen App-Stores laden. Sie drohen, ausgesperrt zu werden.

Für IT-Administratoren bedeutet dies eine aufwändige Inventur. Sie müssen veraltete Installationen des Duo Authentication Proxy oder individuell angepasste API-Clients identifizieren und aktualisieren, um den Betrieb ihrer Organisationen aufrechtzuerhalten.

So vermeiden Sie den Zugangsverlust

Die meisten Nutzer moderner Smartphones haben automatische Updates aktiviert. Dennoch sollte man manuell prüfen, ob die Duo Mobile App mindestens Version 4.85.0 erreicht hat.

Für Nutzer nicht mehr unterstützter Betriebssysteme gibt es Notlösungen, die jedoch weniger komfortabel oder sicher sind:
* Passcode-Authentifizierung: Man kann weiterhin Einmal-Codes aus der (alten) Duo Mobile App verwenden.
* Manuelle Installation: Duo bietet spezielle, nicht offiziell unterstützte Versionen für Android 8 bis 10 zum manuellen Download an.
* Rückfall auf Telefon/SMS: Organisationen können für betroffene Nutzer die weniger sicheren Methoden Telefonanruf oder SMS-Passcode freischalten.

IT-Abteilungen sollten das Duo Admin Panel nutzen, um Geräte mit veralteter Software zu finden und gezielte Update-Anweisungen zu kommunizieren.

Der Trend: Das Ende der „Einmal-Installation'“

Die Zwangs-Updates sind Teil eines branchenweiten Trends. Der Support für veraltete Systeme wird zugunsten höherer Sicherheitsstandards konsequent eingestellt. Der traditionelle „Duo Prompt“ wurde bereits 2024 ausgemustert. Der nächste Schritt steht bereits fest: Die Unterstützung für Duo Mobile auf Android 11 und iOS 16 endet Mitte April 2026. Danach werden mindestens Android 12 und iOS 17 vorausgesetzt.

Die Botschaft an Unternehmen ist klar: Eine sichere IT-Umgebung erfordert nicht nur die Einführung von Tools wie Multi-Faktor-Authentifizierung. Sie verlangt kontinuierliche Pflege – vom Server bis zum Smartphone des Mitarbeiters. Die Ära der „Einmal-Installation“ in der Cybersicherheit ist endgültig vorbei.

PS: Wenn Ihre Organisation Duo als 2FA-Lösung nutzt, sind gerade Anwender älterer Smartphones besonders gefährdet. Unser Gratis-Ratgeber zeigt Schritt für Schritt, wie Sie Push-, Passcode- und SMS‑Fallbacks absichern, manuelle Installationen sauber durchführen und kurzfristige Maßnahmen implementieren, damit Mitarbeiter nicht ausgesperrt werden. Praktische Checklisten helfen IT‑Teams beim Auffinden und der sicheren Anleitung betroffener Geräte. Gratis-Android-Schutzpaket jetzt anfordern