Ab sofort stellt Microsoft für private Nutzer auf passwortlose Sicherheit um – ein Schritt, der die gesamte Branche verändern dürfte.
Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland ist der Wechsel zu modernen Sicherheitsverfahren wichtiger denn je. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie Passkeys bei Diensten wie Amazon, Microsoft und WhatsApp sofort einrichten und so Ihre Konten maximal schützen. Passkey-Ratgeber jetzt kostenlos herunterladen
Ende einer Ära: Warum SMS-Codes nicht mehr sicher sind
Am 21. Mai 2026 verkündete Microsoft das Aus für SMS-Codes bei der Anmeldung und Kontowiederherstellung. Der Grund: Textnachrichten sind unverschlüsselt und anfällig für SIM-Swapping sowie Phishing-Angriffe. Stattdessen setzt der Konzern auf Passkeys – kryptografische Schlüssel, die auf dem Gerät des Nutzers gespeichert werden.
Diese Passkeys nutzen Biometrie wie Fingerabdruck oder Gesichtserkennung sowie gerätespezifische PINs. Der entscheidende Vorteil: Anders als Passwörter oder SMS-Codes sind sie an legitime Domains gebunden und lassen sich nicht durch Social Engineering stehlen.
Ältere Software und Legacy-Hardware wie die Xbox 360 bleiben vorerst ausgenommen. Der Schritt folgt auf eine Initiative aus 2025, die Passkeys zum Standard für alle neuen Konten machte, sowie ein Update im März 2026, das phishing-resistente Login-Protokolle für Windows einführte.
SMS-Blaster: 100.000 Betrugsnachrichten pro Stunde
Die Dringlichkeit der Umstellung zeigt ein aktueller Fall aus Wien. Mitte Mai nahm die Polizei einen 32-Jährigen fest, der mit einem sogenannten „SMS-Blaster“ bis zu 100.000 betrügerische Nachrichten pro Stunde versendet haben soll. Das Gerät simuliert Mobilfunkmasten und zwingt Smartphones in der Nähe zur Verbindung – an den Sicherheitsfiltern der Netzbetreiber vorbei.
Bereits 2024 wurden monatlich 19 Milliarden Spam-SMS verschickt. Die Branche sucht händeringend nach Alternativen.
Deutschland macht Tempo bei digitalen Identitäten
Nicht nur die Privatwirtschaft handelt. Am 20. Mai 2026 verabschiedete das Bundeskabinett das Digital-Identitäts-Gesetz (DIdG). Es bereitet den Weg für die EUDI-Wallet, die ab dem 2. Januar 2027 allen Bürgern zur Verfügung stehen soll. Die staatlich unterstützte Plattform soll digitale Transaktionen und Identifikationen auf hohem Sicherheitsniveau ermöglichen.
Apple baut Wallet-Ökosystem aus
Parallel dazu erweitert Apple seine digitale Brieftasche. Mit iOS 26.5, das am 20. Mai erschien, integriert der Konzern weitere Identifikationsfunktionen. Der Apple Wallet dient zunehmend als Drehscheibe für Führerscheine, Reisepässe und Fahrzeugschlüssel – etwa für den Porsche Macan EV und den Toyota RAV4 2026.
Das Update bringt zudem verbesserte Datenschutzkontrollen. Nutzer können künftig die Weitergabe ihres genauen Standorts an Mobilfunkanbieter einschränken. Eine neue Funktion lehnt Tracking-Anfragen automatisch ab.
Robinhood-Panne: Phishing aus legitimen Adressen
Trotz aller Fortschritte bleiben Plattform-Schwachstellen ein Problem. Anfang der Woche nutzten Angreifer einen Fehler im Anmeldeprozess des Finanzdienstleisters Robinhood. Durch das Einschleusen von HTML-Code in Gerätenamen konnten sie Phishing-Mails über offizielle Benachrichtigungskanäle versenden. Zwar wurden keine Systeme kompromittiert – der Vorfall zeigt jedoch, wie selbst vertrauenswürdige Kommunikationswege zur Waffe werden können.
442 Milliarden Dollar Verlust: Die Bilanz des Cyberbetrugs
Der Druck zur Umstellung wächst mit den Verlustzahlen. Laut Branchendaten erreichte der weltweite Online-Betrug 2025 rund 442 Milliarden Dollar – umgerechnet etwa 410 Milliarden Euro. In den USA forderte der Gemeinsame Wirtschaftsausschuss des Kongresses die großen Telekommunikationsanbieter AT&T, Verizon und T-Mobile zu schärferen Maßnahmen auf. Allein 2024 beliefen sich die Verluste durch Cyberbetrug auf rund 200 Milliarden Dollar.
Die Erfolgsquote der Betrüger steigt. Die US-Handelsbehörde FTC ermittelte, dass 2025 rund 37 Prozent der kontaktierten Personen tatsächlich Geld verloren – 2021 waren es noch 24 Prozent. Besonders gefährlich sind Websites, mobile Apps und Social-Media-Werbung: Hier liegt die Verlustwahrscheinlichkeit zwischen 64 und 72 Prozent.
KI treibt Phishing-Welle an
Künstliche Intelligenz hat die Kriminalität radikal beschleunigt. Rund 86 Prozent aller Phishing-Kampagnen werden inzwischen von KI gesteuert, die täuschend echte Identitätsdiebstähle und Social-Engineering-Attacken generiert. Im ersten Quartal 2026 schnellten die Banking-Trojaner-Fälle um 196 Prozent auf 1,24 Millionen hoch. Das sogenannte „Quishing“ – Phishing über QR-Codes – legte um 150 Prozent auf 18 Millionen Vorfälle zu.
Lieferketten-Angriff: 3.800 private Repositories gestohlen
Auch Unternehmen sind zunehmend Ziel von Lieferketten-Kompromittierungen. Ein aktueller Vorfall bei GitHub und Grafana Labs ging auf eine Manipulation der TanStack-npm-Lieferkette zurück. Eine bösartige VS-Code-Erweiterung mit über zwei Millionen Installationen stahl Zugangsdaten und exfiltrierte 3.800 private Repositories. Der „Mini Shai-Hulud“-Wurm infizierte Dutzende Pakete – ein Lehrstück über die Kettenreaktion einer einzigen Schwachstelle.
FBI zerschlägt GRU-Botnetz
Die US-Bundespolizei FBI und das Justizministerium beendeten am 7. April 2026 die „Operation Masquerade“. Sie zerschlug ein Botnetz der russischen GRU-Einheit 26165. Seit Ende 2025 waren über 18.000 Router in 120 Ländern kompromittiert worden. Die Gruppe nutzte eine Sicherheitslücke in TP-Link TL-WR841N-Routern, um über DNS-Hijacking Outlook-Zugangsdaten zu stehlen. Die US-Kommunikationsbehörde FCC verhängte daraufhin Ende März 2026 ein Importverbot für bestimmte ausländische Router – eine Ausnahme für Firmware-Updates gilt bis März 2027.
Mastercard geht gegen betrügerische Händler vor
Die Finanzbranche reagiert mit neuen Vertrauensplattformen. Mastercard startete sein „Merchant Trust Services“-Programm, das rund 80 Prozent der hochriskanten betrügerischen Händler bis zu 90 Tage vor Eskalation identifiziert. Ab Juli 2026 müssen Zahlungsdienstleister verdächtige Händleraktivitäten innerhalb von 72 Stunden untersuchen. Dieser proaktive Ansatz spiegelt den Wandel von reaktiven Passwörtern hin zu hardwaregestützter Authentifizierung wider.
Wer noch herkömmliche Passwörter nutzt, geht angesichts immer raffinierterer Hacking-Methoden ein unnötiges Risiko ein. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie sich per Fingerabdruck oder Gesichtserkennung anmelden und so stressfrei für maximale Sicherheit auf all Ihren Geräten sorgen. Kostenlosen Passkey-Report hier anfordern
Ausblick: WWDC im Juni als nächster Meilenstein
Die kommenden Monate dürften richtungsweisend für die passwortlose Zukunft sein. Apple lädt für den 8. Juni 2026 zur Worldwide Developers Conference (WWDC) – erwartet wird die Vorstellung von iOS 27. Insider spekulieren über „Apple Intelligence“, eine KI-gesteuerte Sicherheitsoffensive mit erweiterten Passkey-Funktionen und KI-gestützten Barrierefreiheits-Tools.
Google, Microsoft und Apple richten ihre Sicherheits-Roadmaps zunehmend aus. Die technische Grundlage für eine passwortlose Zukunft steht – die Herausforderung bleibt die globale Nutzerbildung und die Sicherstellung, dass digitale Identitätsgesetze wie das deutsche DIdG einen sicheren Rahmen für die nächste Generation des digitalen Handels bieten. Das Ziel: Die täglich versendeten 3,4 Milliarden Phishing-Mails sollen künftig ins Leere laufen.
