Neue Sicherheitsfunktion bindet Sitzungscookies an die Hardware – gestohlene Daten werden wertlos.
Google hat eine grundlegende Sicherheitsfunktion für den Chrome-Browser auf Windows veröffentlicht. Die sogenannten Device Bound Session Credentials (DBSC) verknüpfen Authentifizierungstoken kryptografisch mit der physischen Hardware des Nutzers. Der Rollout begann am 25. Mai 2026 und läuft automatisch für alle Google-Konten.
Angesichts von Millionen gehackter Konten pro Quartal wird der herkömmliche Passwort-Schutz immer riskanter. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Google, Microsoft und Co. ohne Passwort-Stress absichern. Jetzt kostenlosen Passkey-Ratgeber herunterladen
Hardwaregebundener Schutz für Sitzungen
Das Prinzip ist ebenso einfach wie wirkungsvoll: Selbst wenn Angreifer Sitzungscookies stehlen, können sie diese auf einem anderen Gerät nicht verwenden. DBSC nutzt das Trusted Platform Module (TPM) oder die Secure Enclave des jeweiligen Rechners. Damit schließt Google eine Sicherheitslücke, durch die bislang selbst eine mehrstufige Authentifizierung (MFA) per Session-Hijacking umgangen werden konnte.
Die Funktion wird automatisch für Google Workspace, Workspace Individual und private Google-Konten aktiviert. Administratoren können den Schutz nicht deaktivieren. Innerhalb von etwa 60 Tagen soll die Neuerung bei allen Nutzern sichtbar sein. Auch die Context-Aware Access (CAA)-Funktion wurde erweitert – Unternehmen erhalten so eine feinere Sicherheitssteuerung.
Hardware-Sicherheitsschlüssel im Vergleich
Parallel zu den Software-Verbesserungen haben aktuelle Tests die Leistungsfähigkeit physischer Sicherheitsschlüssel bewertet. Der Google Titan Security Key kann bis zu 250 Passkeys speichern. Je nach Anschlusstyp kostet er zwischen 30 und 35 Euro und unterstützt FIDO2 sowie NFC. Ein integriertes Passkey-Management fehlt allerdings.
Der Yubico Security Key C NFC schneidet im Preis-Leistungs-Verhältnis gut ab. Das Einstiegsmodell speichert 100 Passkeys und bietet ebenfalls phishing-resistente NFC- und USB-C-Anbindung – eine günstigere Alternative zur teureren YubiKey-5-Serie.
Das britische National Cyber Security Centre (NCSC) hatte bereits im Frühjahr empfohlen, Unternehmen sollten von traditionellen Passwörtern auf Passkeys umstellen. Die Technologie sei nutzerfreundlich und biete deutlich besseren Schutz vor Phishing. Experten warnen jedoch: Physische Schlüssel sind kein Allheilmittel – vor allem bei Verlust der Hardware nicht.
Moderne Sicherheitslösungen wie Passkeys machen das Einloggen per Fingerabdruck oder Gesichtserkennung heute so sicher und einfach wie nie zuvor. Dieser kostenlose Leitfaden zeigt Ihnen Schritt für Schritt, wie Sie die Technologie, die Passwörter ablösen soll, sofort bei Ihren wichtigsten Diensten einrichten. Kostenlosen Report für passwortloses Anmelden sichern
KI-gestützte Angriffe nehmen zu
Die verstärkte Hardware-Sicherheit kommt nicht von ungefähr. Der Verizon Data Breach Investigations Report 2026 zeigt: Software-Schwachstellen haben gestohlene Passwörter als häufigste Einfallstore abgelöst – sie sind für 31 Prozent aller Vorfälle verantwortlich. Bei 15 Prozent der Angriffstechniken kommt generative KI zum Einsatz.
Besonders besorgniserregend: Gruppen wie ShinyHunters nutzen KI-gestützte Social-Engineering-Methoden. Sie setzen Sprachklon-Technologie und kontextbezogenes Pretexting ein, um klassische MFA durch „MFA-Ermüdung“ oder Helpdesk-Identitätsdiebstahl zu umgehen. Betroffen waren unter anderem Carnival Corporation und Charter Communications.
Die Ende Mai entdeckte ChatGPhish-Schwachstelle zeigt eine weitere Gefahr: Angreifer können KI-gesteuertes Markdown-Rendering nutzen, um Tracking-Pixel und gefälschte Sicherheitswarnungen direkt in vertrauenswürdige Benutzeroberflächen einzuschleusen.
Neue Sicherheitsrichtlinien für Unternehmen
Google Cloud hat am 30. Mai 2026 aktualisierte Authentifizierungs- und Autorisierungsrichtlinien veröffentlicht. Unternehmen sollen klare Identitätsquellen definieren und bis zu 20 redundante Administratorkonten vorhalten, um sich nicht auszusperren. Die Richtlinien empfehlen zudem die Blockierung externer Service-Account-Keys und die Einführung von Multi-Party Approval für kritische administrative Aktionen.
Auch Regierungen reagieren: Das indonesische Kommunikationsministerium kündigte an, dass ab dem 1. Juli 2026 alle neuen SIM-Karten-Registrierungen eine biometrische Gesichtserkennung erfordern. Eine Testphase hatte zuvor 1,4 Millionen Nutzer erfolgreich registriert.
In der Privatwirtschaft fließt Kapital in Sicherheitslösungen: Das Identitätsschutz-Unternehmen MokN sicherte sich am 30. Mai 2026 rund 12,9 Millionen Euro in einer Serie-A-Finanzierungsrunde. Die Firma lockt Angreifer in realistische Täuschungsumgebungen, sobald diese gestohlene Zugangsdaten verwenden – eine zusätzliche Verteidigungsebene neben hardwarebasierten Standards.
