Fünf Milliarden Passkeys sind weltweit im Einsatz, doch der erste KI-generierte Zero-Day-Exploit gegen die Zwei-Faktor-Authentisierung (2FA) sorgt für Alarmstimmung.
Der erste KI-generierte Zero-Day-Angriff auf die 2FA
Sicherheitsanalysten der Google Threat Intelligence Group (GTIG) haben eine neue Qualität von Cyberangriffen entdeckt. Erstmals nutzte eine kriminelle Gruppe ein großes Sprachmodell (LLM), um eine bislang unbekannte Sicherheitslücke in einem Open-Source-Administrationswerkzeug zu finden und zu weaponisieren.
Der Exploit zielte speziell darauf ab, die Zwei-Faktor-Authentisierung zu umgehen. Die Schwachstelle basierte auf einem logischen Fehler in der Vertrauensarchitektur – eine Art semantischer Defekt, den KI-Systeme mittlerweile besonders effizient aufspüren können.
Angesichts immer raffinierterer Angriffe auf die digitale Identität wird der Wechsel zu modernen Sicherheitsstandards wie Passkeys für Internetnutzer unerlässlich. Was genau hinter dieser Technologie steckt und wie sie Passwörter ablöst, erfahren Sie in diesem kostenlosen Ratgeber. Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll?
Die forensische Analyse offenbarte ungewöhnliche Merkmale: eine hohe Dichte an erklärenden Kommentaren sowie einen fiktiven Schweregrad-Score, der in keinem offiziellen Verzeichnis existierte. Der Angriff konnte gestoppt werden, bevor er großflächig ausgeführt wurde. Dennoch markiert der Vorfall einen Wendepunkt.
Während herkömmliche Werkzeuge oft strukturelle Fehler wie Speicherfehler suchen, zeigen LLMs nun die Fähigkeit, komplexe Logikfehler in Authentifizierungsprozessen zu verstehen und auszunutzen. Das erhöht den Druck auf Unternehmen und Nutzer, von softwarebasierten Einmal-Passwörtern (OTP) zu phishing-resistenten Hardware-Token nach dem FIDO2-Standard zu wechseln.
Passkeys erreichen den Massenmarkt
Trotz der neuen Bedrohungslage verzeichnet die FIDO Alliance eine beispiellose Akzeptanz ihrer Sicherheitsstandards. Die Bekanntheit von Passkeys liegt in der breiten Bevölkerung bei rund 90 Prozent. Etwa drei Viertel der Internetnutzer haben bereits mindestens einen Passkey für eines ihrer Konten aktiviert.
Besonders im Finanzsektor ist die Entwicklung weit fortgeschritten: In der Fintech-Branche nutzen bereits rund 60 Prozent der berechtigten Anwender regelmäßig Passkeys für ihre täglichen Transaktionen.
Andere Branchen hinken hinterher. Die Medien- und Unterhaltungsindustrie kommt auf eine Nutzungsrate von etwa 18 Prozent. Der Grund: unterschiedliche Priorisierungen bei der Benutzerführung und variierende Kosten von Kontoübernahmen.
Die Statistik zeigt: Passkeys machen den Authentifizierungsprozess nicht nur sicherer, sondern auch schneller. Die Anmeldezeiten konnten um bis zu 20 Prozent reduziert werden, während die Erfolgsquote bei Logins signifikant stieg. Die FIDO Alliance betont: Passkeys sind im Mainstream angekommen. Der Fokus verschiebt sich nun von der bloßen Verfügbarkeit hin zur primären Nutzung.
Hardware-Sicherheit im Wandel: FIPS-Standards und neue Partnerschaften
Parallel zur steigenden Passkey-Nutzung vollzieht sich bei physischen Sicherheitsschlüsseln ein Generationswechsel. Anfang des Monats begann die offizielle Depriorisierung des älteren Sicherheitsstandards FIPS 140-2.
Führende Hersteller wie Yubico bereiten sich auf den Übergang zum neuen FIPS 140-3-Standard vor. Dieser stellt strengere Anforderungen an die physische Manipulationssicherheit und das kryptografische Modulmanagement. Für Behörden und regulierte Industrien bedeutet das: Bei Neuanschaffungen von USB-C-Sicherheitsschlüsseln muss ab sofort auf die neue Zertifizierungsstufe geachtet werden.
Gleichzeitig erweitern Technologiekonzerne ihre Sicherheitsangebote durch strategische Bündnisse. OpenAI gab eine Kooperation mit Hardware-Partnern bekannt, um Journalisten und Aktivisten vergünstigte Bundles von USB-C-Sicherheitsschlüsseln anzubieten. Das Programm für erweiterten Kontoschutz integriert physische Token direkt in die Sicherheitsarchitektur von KI-Plattformen.
Technische Analyse: Warum Hardware überlegen ist
Die Überlegenheit von FIDO2-Hardware gegenüber softwarebasierten Methoden wird durch die jüngsten KI-gestützten Angriffe erneut unterstrichen. Während softwarebasierte 2FA-Methoden wie SMS-Codes oder App-Benachrichtigungen anfällig für Real-Time-Phishing oder Logik-Bypässe sind, erzwingen physische Sicherheitsschlüssel eine kryptografische Bindung zwischen Gerät und Dienst.
Da in Deutschland jede Minute zahlreiche Online-Konten gehackt werden, ist der Schutz durch moderne Verfahren wie Fingerabdruck oder Gesichtserkennung wichtiger denn je. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, WhatsApp und Microsoft sicher einrichten. Nie wieder Passwörter merken: Diese neue Methode macht das Einloggen kinderleicht
Ein KI-Modell mag Logikfehler in der Server-Software finden – die physikalische Anwesenheit des Schlüssels oder die biometrische Verifikation am Token kann es nicht simulieren.
Die aktuelle Forschung der FIDO Alliance deutet darauf hin, dass die Kombination aus biometrischer Entsperrung und hardwaregebundenen Anmeldedaten die effektivste Verteidigung gegen moderne Identitätsdiebstähle darstellt.
Die Wiederherstellung eines Kontos bei Verlust des physischen Schlüssels bleibt jedoch eine Herausforderung. Rund 89 Prozent der Unternehmen sind zuversichtlich, den Zugang für Mitarbeiter wiederherstellen zu können. Private Endnutzer schrecken oft noch vor den Hürden einer rein hardwarebasierten Sicherung zurück. Neue Design-Richtlinien empfehlen daher eine hybride Nutzung von synchronisierten Passkeys in der Cloud und gerätegebundenen Hardware-Schlüsseln als Backup.
Ausblick: Die Ära der KI-Agenten
Die FIDO Alliance bereitet bereits Erweiterungen des Standards vor, die über die menschliche Authentifizierung hinausgehen. Mit dem Aufkommen von KI-Agenten, die autonom Transaktionen und Interaktionen im Namen von Nutzern durchführen, wird eine neue Form des Vertrauensmanagements benötigt.
Künftige FIDO-Spezifikationen sollen Standards für die „Agentic AI“-Interaktion definieren. Ziel ist es, dass automatisierte Systeme sich gegenüber Webdiensten ebenso sicher ausweisen können wie menschliche Nutzer.
Die Entwicklung der letzten Monate zeigt deutlich: Die Abhängigkeit von geteilten Geheimnissen wie Passwörtern sinkt rapide. Die Bedeutung von kryptografischer Hardware wächst. Mit fünf Milliarden Passkeys und der gleichzeitigen Industrialisierung von KI-Angriffen steht die IT-Sicherheit vor einer Phase, in der phishing-resistente Hardware kein Luxusgut mehr ist – sondern Grundvoraussetzung für die Teilnahme am digitalen Leben.
