Google führt eine neue Sicherheitstechnologie ein, die gestohlene Sitzungscookies unbrauchbar macht – und das zu einem brisanten Zeitpunkt.
Der Internetkonzern hat seine Device Bound Session Credentials (DBSC) für Chrome auf Windows freigegeben. Die Technologie bindet Sitzungscookies kryptografisch an die Hardware des jeweiligen Geräts. Selbst wenn Angreifer einen Cookie stehlen, lässt er sich auf einem anderen Rechner nicht verwenden. Die Funktion wird für Google-Workspace-Kunden und private Konten automatisch aktiviert. Der vollständige Rollout soll innerhalb von 60 Tagen abgeschlossen sein.
Angesichts der Millionen gehackten Online-Konten pro Quartal wird der Schutz der eigenen digitalen Identität immer wichtiger. Dieser kostenlose Report zeigt, wie Sie mit der modernen Passkey-Technologie bei Amazon, WhatsApp und Co. maximale Sicherheit ohne Passwort-Stress erreichen. Passkey-Ratgeber jetzt gratis herunterladen
Der Zeitpunkt ist kein Zufall: Erst kürzlich wurden Datenleaks mit Millionen betroffener Nutzer bekannt. Parallel steigt die Zahl professioneller Phishing-Kampagnen rasant.
Datenleaks erschüttern Millionen Nutzer
Die Hackergruppe ShinyHunters hat Ende Mai Datensätze von zwei Großkonerzen im Darknet veröffentlicht. Rund elf Millionen Datensätze gelangten an die Öffentlichkeit.
Besonders betroffen: Die Carnival Corporation, Mutterkonzern der Kreuzfahrtreederei Holland America. Fast sechs Millionen Reisende sind betroffen. Gestohlen wurden Namen, Geburtsdaten, E-Mail-Adressen sowie Pass- und Führerscheinnummern. Der Einbruch ereignete sich bereits im April. Branchenkenner vermuten, dass die Täter über einen Phishing-Angriff auf einen Drittanbieter ins Netzwerk gelangten.
Parallel dazu wurden bei Charter Communications‘ Spectrum-Dienst 4,9 Millionen Konten kompromittiert. Betroffenen in den USA wird eine zweijährige Kreditüberwachung angeboten.
FBI warnt vor WM-Betrugswelle
Die Sicherheitsbehörden schlagen Alarm: Das FBI veröffentlichte am 27. Mai eine Warnung vor tausenden betrügerischen FIFA-WM-Webseiten. Die Seiten nutzen Typosquatting – also absichtliche Tippfehler in Domainnamen – um ahnungslose Fans auf falsche Ticketshops zu locken. Die WM läuft vom 11. Juni bis 19. Juli 2026.
Noch perfider: Seit April ist auf Telegram die Plattform Kali365 aktiv – ein „Phishing-as-a-Service“-Angebot. Es zielt auf Microsoft-365-Konten ab und umgeht Multi-Faktor-Authentifizierung (MFA), indem es OAuth-2.0-Gerätecode-Flows missbraucht. Angreifer erhalten so Zugriff auf Outlook, Teams und OneDrive.
Security-Experten raten zum digitalen Frühjahrsputz
Die Bedrohungslage verschärft sich rasant. Sicherheitsanalysten von Mandiant beobachten, dass die Geschwindigkeit von Cyberangriffen dramatisch zugenommen hat: Die Zeit, die spezialisierte Kriminellenteams benötigen, um kompromittierte Daten weiterzureichen, sank von acht Stunden im Jahr 2022 auf nur noch 22 Sekunden im Jahr 2025.
DBSC ist dabei kein Ersatz für bestehende Schutzmaßnahmen, sondern eine Ergänzung. Multi-Faktor-Authentifizierung und Passkeys bleiben zentral. Die Experten von Malwarebytes und Yubico empfehlen Nutzern eine digitale Grundreinigung:
- Ungenutzte Konten und App-Berechtigungen löschen
- Auf Passwort-Manager und Passkeys umsteigen
- Social-Media-Privatsphäre-Einstellungen prüfen, sensible Daten entfernen
- Geräte aktualisieren und bekannte Sicherheitslücken schließen
Da herkömmliche Passwörter oft die größte Schwachstelle bei Cyberangriffen sind, setzen immer mehr Nutzer auf sicherere Alternativen. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihre Konten effektiv vor Hackern schützen und nie wieder ein Passwort vergessen müssen. Kostenlosen Sicherheits-Report anfordern
Das britische National Cyber Security Centre (NCSC) betont: Passkeys, die auf Public-Key-Kryptografie basieren, sind von Natur aus resistenter gegen Phishing, weil sie an physische Geräte gebunden sind.
Währenddessen bereiten sich Finanzaufsichtsbehörden auf die nächste Bedrohungswelle vor. Die italienische Notenbank hat Diskussionen über die Cybersicherheitsrisiken fortschrittlicher KI-Modelle angestoßen – ein Zeichen, dass der Kampf um digitale Identitäten noch lange nicht gewonnen ist.
