Google schließt vierte Sicherheitslücke des Jahres – während die britische Cybersicherheitsbehörde den Umstieg auf Passkeys empfiehlt.
Die Sicherheitslandschaft für Chromebook-Nutzer befindet sich im April 2026 im Wandel. Gleich mehrere Entwicklungen überschneiden sich: eine kritische Sicherheitslücke, neue Richtlinien aus Großbritannien und wachsende Frustration über lokale Verschlüsselungsprobleme. Google reagiert mit automatisierten Passwort-Management-Funktionen, die bereits im Frühjahr 2025 angekündigt wurden.
Angesichts der rasanten Zunahme von Sicherheitslücken und Cyberangriffen ist ein effektiver Schutz der eigenen digitalen Identität unerlässlich. Dieser kostenlose Guide zeigt Ihnen, wie Sie mit der passwortlosen Anmeldung maximale Sicherheit auf all Ihren Geräten erreichen. Sicher, bequem und passwortlos – So funktionieren Passkeys
Vierte Zero-Day-Lücke des Jahres
Anfang April 2026 bestätigte Google eine neue Sicherheitslücke, die unter der Kennung CVE-2026-5281 geführt wird. Angreifer nutzen sie bereits aktiv aus. Der Fehler steckt in der Dawn-Komponente, einer plattformübergreifenden Implementierung des WebGPU-Standards im Chromium-Projekt.
Es handelt sich um eine Use-after-Free-Schwachstelle: Angreifer können über manipulierte Webseiten Browser-Abstürze auslösen oder Schadcode ausführen. Damit ist dies bereits die vierte Zero-Day-Lücke, die Google im ersten Quartal 2026 schließen musste – nach Fixes im Februar und März.
Die US-Cybersicherheitsbehörde CISA hat den Fehler in ihren Katalog bekannter Schwachstellen aufgenommen. Weltweit nutzen rund 3,5 Milliarden Menschen Chrome oder ChromeOS. Für Chromebook-Besitzer kommen Updates zwar meist automatisch, doch Experten raten zu manuellen Checks, wenn ein Gerät längere Zeit inaktiv war.
Das aktuelle Update schließt insgesamt 21 Schwachstellen – darunter Integer-Overflows und Speicherfehler in den PDF- und WebView-Komponenten.
NCSC empfiehlt Passkeys als neuen Standard
Am 23. April 2026 veröffentlichte das britische National Cyber Security Centre (NCSC) eine aktualisierte Richtlinie: Passkeys sollen künftig die erste Wahl für Verbraucher sein. Damit bricht die Behörde mit jahrzehntelangen Empfehlungen zu komplexen Passwörtern und regelmäßigen Wechseln.
Die Begründung: Passkeys sind resistenter gegen Phishing und Credential-Diebstahl. Zudem sind sie bis zu achtmal schneller als herkömmliche Kombinationen aus Passwort und Multi-Faktor-Authentifizierung (MFA).
Auf Chromebooks hat sich die Technik rasant verbreitet. Bereits im März 2026 erreichte WebAuthn – der Standard hinter Passkeys – 100 Prozent Verfügbarkeit auf allen großen Plattformen, inklusive Android und ChromeOS. Auf Android-Geräten sind knapp 97 Prozent der Nutzer passkey-ready. Die meisten erstellten Passkeys synchronisieren sich über den Google Password Manager.
Doch Sicherheitsexperten warnen vor übertriebener Euphorie. Zwar verbessern Passkeys die Sicherheit ruhender Identitäten erheblich, doch Implementierungsprobleme wie Shadow Credentials bleiben. Ein Angreifer mit ausreichendem Zugriff könnte unbemerkt einen zusätzlichen Passkey hinzufügen und so langfristigen Zugriff behalten. Auch geteilte Umgebungen – etwa Familien, die Streaming-Dienste gemeinsam nutzen – stoßen an Grenzen: Passkeys sind für den Einzelnutzer konzipiert und lassen sich nicht einfach exportieren oder zwischen verschiedenen Ökosystemen teilen.
Das Problem mit dem alten Passwort
Während die Branche in eine passwortlose Zukunft eilt, kämpfen viele Chromebook-Nutzer weiter mit Login-Problemen – besonders nach System-Updates. Immer wieder berichten Anwender, dass ChromeOS nach einem Neustart die PIN-Anmeldung deaktiviert und stattdessen das vollständige Kontopasswort verlangt.
Der Grund: Nach größeren Kernel-Updates benötigt das Gerät das ursprüngliche Passwort, um die verschlüsselte lokale Datenpartition zu entsperren. Diese „altes Passwort“-Anforderung ist ein seit langem bestehendes Sicherheitsmerkmal. Ändert ein Nutzer sein Google-Passwort auf einem anderen Gerät, verlangt das Chromebook das alte Passwort zur Entschlüsselung des lokalen Speichers.
Wer sich an das alte Passwort nicht erinnert, kann von seinen lokalen Dateien ausgeschlossen sein – selbst nach erfolgreicher Identitätsprüfung über andere Wiederherstellungsmethoden. Google hat zwar eine lokale Datenwiederherstellungsfunktion eingeführt, doch diese muss vor dem Problem manuell aktiviert werden. Ohne diese Vorsorge bleibt oft nur ein Powerwash – eine Werkseinstellung, die alle lokalen Daten löscht.
Automatisiertes Passwort-Management als Brücke
Als Übergangslösung zur passwortlosen Ära hat Google die automatische Passwort-Ersetzungsfunktion ausgebaut, die Mitte 2025 angekündigt wurde. Der Google Password Manager markiert nicht nur schwache oder kompromittierte Passwörter, sondern kann sie auf unterstützten Websites mit einem Klick ändern.
Das System generiert starke Alternativen und aktualisiert sie automatisch. Ziel ist es, die „Reibung der Veränderung“ zu beseitigen, die Nutzer oft dazu bringt, Sicherheitswarnungen zu ignorieren. Der Rollout erfolgte schrittweise: Beginnend mit einer Teilmenge von Websites 2025, expandierte die Funktion im Laufe des Jahres 2026. Sie arbeitet nur mit ausdrücklicher Zustimmung des Nutzers.
Da Millionen von Online-Konten jedes Quartal Ziel von Hackerangriffen werden, ist der Umstieg auf moderne Identitätsprüfungen wichtiger denn je. Erfahren Sie in diesem kostenlosen Report, warum Passkeys als die sicherste Alternative gelten und wie Sie diese bei Amazon, WhatsApp und Co. sofort einrichten. Jetzt kostenlosen Passkey-Report herunterladen
2026 als Wendepunkt für ChromeOS-Sicherheit
Das gleichzeitige Auftreten von Zero-Day-Bedrohungen, neuen Sicherheitsrichtlinien und den Härten der Geräteverschlüsselung macht 2026 zu einem Wendepunkt für ChromeOS. Die Abkehr von Passwörtern ist keine technische Möglichkeit mehr, sondern empfohlener Standard.
Doch der Übergang offenbart eine Zwei-Klassen-Sicherheitserfahrung: Neue Konten profitieren von nahtloser Passkey-Integration, während Bestandsnutzer in Wiederherstellungsschleifen gefangen sind – verursacht durch die starre lokale Datenverschlüsselung.
Experten beobachten, dass Passkeys zwar das Problem übertragbarer Geheimnisse wie Passwörter lösen, nicht aber architektonische Schwächen im Zugriffsmanagement. Die Reihenfolge der Authentifizierung – der Nutzer identifiziert sich zunächst mit seiner E-Mail-Adresse, bevor die Passkey-Abfrage startet – birgt weiterhin Risiken durch Identifier-Disclosure und gezielte Account-Enumeration.
Ausblick: Weniger Passwörter, bessere Wiederherstellung
Für die kommenden Monate erwarten Branchenkenner einen weiteren Rückgang traditioneller Passwörter auf Consumer-ChromeOS-Geräten. Je mehr Websites den WebAuthn-Standard übernehmen und Google seine lokalen Datenwiederherstellungsprotokolle verfeinert, desto seltener dürfte die „altes Passwort“-Schleife werden.
Die Integration des Credential Managers auf Android und seiner Pendants auf ChromeOS wird das Anmeldeerlebnis vereinheitlichen – der Unterschied zwischen Passwort und Passkey wird für den Endnutzer zunehmend unsichtbar.
Für Unternehmen und Bildungseinrichtungen bleibt die Herausforderung geteilter Geräte bestehen. Sie müssen sicherstellen, dass Wiederherstellungsoptionen keine neuen Schwachstellen schaffen. Der Druck auf Hardwarehersteller und Softwareentwickler wächst: Sicherheitsmaßnahmen dürfen nicht auf Kosten der Zugänglichkeit gehen. Die zweite Jahreshälfte 2026 wird zeigen, ob Google den Spagat zwischen strengen Verschlüsselungsstandards und der wachsenden Nachfrage nach einem reibungslosen, passwortlosen Erlebnis meistert.
