Ein einziger gehackter Posteingang genügt, um Angreifern die Kontrolle über Bankkonten, Krypto-Wallets und Firmenzugänge zu verschaffen. Sicherheitsexperten schlagen Alarm: Das traditionelle „E-Mail plus Passwort“-Modell ist nicht mehr haltbar.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, WhatsApp und Co. einrichten. Sicher, bequem und passwortlos – jetzt Gratis-Report sichern
Der Mechanismus ist erschreckend einfach. Weil fast alle Dienste die E-Mail-Adresse als Benutzernamen und Wiederherstellungsmethode nutzen, können Angreifer nach einem erfolgreichen Hack massenhaft Passwort-Reset-Anfragen stellen. Die Bestätigungsmails landen direkt im bereits kompromittierten Postfach – ein digitaler Generalschlüssel.
Die Bedrohung wird durch die schiere Menge gestohlener Zugangsdaten verschärft. Die Datenbank „Have I Been Pwned“ verzeichnete Mitte 2024 bereits über 13 Milliarden kompromittierte Konten. Unternehmen wie ManageEngine integrieren solche Datenbanken daher in ihre Sicherheitslösungen, um Nutzer bei der Passwortwahl zu warnen, falls ihre gewählten Zugangsdaten bereits in bekannten Lecks aufgetaucht sind.
Datenlecks liefern Angreifern das nötige Material
Mehrere prominente Vorfälle der letzten Monate zeigen die Verwundbarkeit des Systems. Am 17. Mai 2026 bestätigte das singapurische Bildungsministerium, dass beim globalen Angriff auf die Lernplattform Canvas zwar keine sensiblen Daten, aber Namen und E-Mail-Adressen gestohlen wurden. Die Hackergruppe ShinyHunters hatte die Plattform am 7. Mai attackiert. Der Betreiber Instructure soll sich Berichten zufolge mit den Angreifern geeinigt haben, um die Rückgabe der Daten zu sichern.
Noch gravierender war der Vorfall bei Qantas, der am 30. Juni 2025 entdeckt wurde. Sechs Millionen Kunden waren betroffen – Namen, E-Mails und Vielfliegernummern wurden aus einer Plattform eines Drittanbieters gestohlen. Finanz- oder Passdaten blieben zwar verschont, doch die Angreifer erhielten ein riesiges Verzeichnis potenzieller Opfer für Phishing-Angriffe.
Die Geschichte lehrt: Der Adobe-Hack von 2013, bei dem 150 Millionen Nutzerkonten offengelegt wurden, zeigte bereits, wie schwache Verschlüsselungsmuster und Passwort-Wiederholungen zu langfristigen Sicherheitsproblemen führen. Die Lehre daraus war die flächendeckende Einführung der Zwei-Faktor-Authentifizierung (2FA).
Browser-Sicherheit und der Abschied vom Passwort
Die Technologiebranche reagiert. Microsoft änderte am 16. Mai 2026 seine Sicherheitspraxis im Edge-Browser. Zuvor hatte ein Forscher entdeckt, dass der Browser gespeicherte Passwörter unverschlüsselt in den Arbeitsspeicher lud. Microsoft beschrieb dies zunächst als „erwartetes Feature“, lenkte nach heftiger Kritik aber ein. Ab Version 148 werden Passwörter nicht mehr automatisch in den Speicher geladen – Teil der unternehmenseigenen „Secure Future Initiative“.
Parallel dazu setzt die Branche auf Passkeys. Am 16. Mai 2026 wurde bekannt, dass Google an einem Update für Android arbeitet, das den Import und Export von Passkeys ermöglicht. Die Technologie nutzt das Credential Exchange Protocol (CXP), das Apple bereits auf iOS 26 unterstützt. Die Interoperabilität ist entscheidend: Nutzer können ihre sicheren Zugangsdaten zwischen verschiedenen Passwort-Managern wie Bitwarden verschieben, ohne auf unsichere E-Mail-basierte Passwort-Resets zurückgreifen zu müssen.
Google Workspace-Administratoren können ihren Nutzern inzwischen erlauben, die Passworteingabe komplett zu überspringen. Biometrie oder PIN per Passkey ersetzen das schwächste Glied in der Identitätskette. Microsoft folgt diesem Weg und kündigte die Einführung von Passkeys für externe Identitäten ab Ende Mai 2026 an. Bis Januar 2027 sollen Sicherheitsfragen komplett abgeschafft werden.
Zero-Day-Lücken gefährden die Infrastruktur
Die Risiken beschränken sich nicht auf die Nutzerebene. Beim Pwn2Own-Hacking-Event in Berlin am 15. Mai 2026 demonstrierten Forscher eine kritische Kette von drei Zero-Day-Lücken in Microsoft Exchange. Der Exploit ermöglichte Remote-Code-Ausführung auf SYSTEM-Ebene – die Belohnung: 200.000 Dollar. Nur einen Tag zuvor waren drei Windows-11-Zero-Day-Lücken entdeckt worden.
Solche Infrastruktur-Schwachstellen zeigen: Selbst ein starkes Passwort nützt wenig, wenn die zugrundeliegende Plattform angreifbar ist. Besonders besorgniserregend ist die Zunahme mobiler Bedrohungen. Marktforschungsberichte aus dem Frühjahr 2026 verzeichnen einen Anstieg von Android-Banking-Trojanern um 56 Prozent im Jahresvergleich. Die Schadsoftware TrickMo.C, Anfang 2026 entdeckt, versteckt ihre Anweisungen auf der TON-Blockchain und kann das Smartphone des Opfers als Proxy für weitere Angriffe nutzen.
Die Cloud Security Alliance warnt: 99 Prozent aller Cloud-Sicherheitsvorfälle in einem 18-Monats-Zeitraum standen im Zusammenhang mit unsicheren Identitäten.
Angesichts steigender Cyber-Risiken und komplexer Trojaner ist ein Basisschutz für mobile Geräte unerlässlich. Ein kostenloser PDF-Ratgeber zeigt Ihnen 5 einfache Schritte, mit denen Sie Ihr Android-Smartphone sofort effektiv gegen Hacker und Datenmissbrauch absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Neue Strategien für die Identitätssicherheit
Die Integration von Sicherheitstraining mit Echtzeit-Erkennung gewinnt an Bedeutung. Am 6. April 2026 kündigte Dashlane eine Partnerschaft an, die risikobasiertes Verhalten im Browser mit direktem Training verknüpft. Die internen Daten des Unternehmens zeigen: Ein Drittel aller Unternehmens-Logins verwendet außerhalb von Single-Sign-On-Systemen (SSO) immer noch schwache Passwörter. Die neuen Tools nutzen gerätebasierte Phishing-Modelle, die Dutzende von Website-Indikatoren überwachen und Nutzer genau in dem Moment schulen, in dem sie am verwundbarsten sind.
Ausblick: Das Ende der E-Mail als Benutzername
Die Rolle der E-Mail-Adresse als Benutzername wird schwinden. Passkeys und Biometrie werden zum Standard für Verbraucher und Unternehmen. Google hat für 2026 „Verified Financial Calls“ und dynamische Signalüberwachung in kommenden Android-Versionen angekündigt, um der steigenden Flut von „Quishing“-Angriffen (QR-Code-Phishing) und Banking-Betrug zu begegnen.
Während Microsoft Entra und andere Identitätsanbieter bis 2027 veraltete Authentifizierungsmethoden wie Sicherheitsfragen abschaffen, rückt ein neues Problem in den Fokus: die Sicherung der „Agent IDs“ von KI-Assistenten. Der Schutz dieser automatisierten Identitäten sowie die Implementierung fortschrittlicher Netzwerk-Egress-Kontrollen und strengerer Plugin-Überprüfungen auf Entwicklerplattformen werden die nächste Phase der Identitätssicherheit prägen. Das Ziel: Die Trennung des primären Kommunikationskanals von der primären Authentifizierungsmethode – damit ein einziger gehackter Posteingang nicht mehr zur totalen digitalen Übernahme führt.
