Rund fünf Milliarden Passkeys sind mittlerweile weltweit im Einsatz, und fast 90 Prozent aller Internetnutzer kennen die Technologie. Besonders bemerkenswert: Rund drei Viertel der Anwender haben bereits mindestens einen solchen digitalen Schlüssel aktiviert. Die Folge: Login-Zeiten sinken um bis zu 20 Prozent. Tech-Giganten wie Google, Microsoft und Apple treiben die Entwicklung nun massiv voran – mit einem gemeinsamen Standard, der die kryptografischen Schlüssel endlich zwischen allen Plattformen austauschbar macht.
Während neue Technologien wie Passkeys den Passwort-Stress reduzieren, bleibt die grundlegende Absicherung Ihres Benutzerkontos unerlässlich. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Technologie bei Diensten wie Amazon oder WhatsApp sofort einrichten und Ihre Konten effektiv vor Hackerangriffen schützen. Gratis PDF-Report: Sicher und passwortlos mit Passkeys anmelden
Der große Durchbruch: Credential Exchange Protocol
Bislang scheiterte der Siegeszug der Passkeys vor allem an einem Problem: Wer seine Zugangsdaten zwischen verschiedenen Betriebssystemen oder Passwort-Managern bewegen wollte, stand vor einer Mauer. Das soll sich jetzt ändern. Google testet derzeit das Credential Exchange Protocol (CXP) im hauseigenen Passwort-Manager für Android. Der auf den Standards der FIDO Alliance basierende Mechanismus erlaubt den Import und Export von Passkeys zwischen Googles nativen Tools und Drittanbietern wie Bitwarden.
Apple zog bereits Anfang des Jahres nach: Mit iOS 26 und macOS 26 führte der Konzern CXP ein und schuf damit die Grundlage für plattformübergreifende Nutzung. Die Botschaft ist klar: Wer seine Sicherheitsdaten behalten will, soll dies unabhängig von seiner Hardware tun können.
Die strategische Bedeutung dieser Interoperabilität zeigt sich auch beim kommenden Pixel 10. Google verfeinert die Migrations-Tools, um iPhone-Nutzern den Wechsel zu erleichtern – inklusive der Übernahme von Passwörtern und Home-Screen-Layouts direkt aus iOS. Niedrigere Hürden beim Plattformwechsel bei gleichzeitig hohem Sicherheitsniveau – das ist das Ziel.
Microsoft und Meta schärfen Sicherheitsstrategien nach
Microsoft zieht einen Schlussstrich unter die Ära der SMS-basierten Zwei-Faktor-Authentifizierung (2FA) für private Konten. Die Risiken von SIM-Swapping und ausgefeilten Phishing-Angriffen seien zu hoch, so das Unternehmen. Stattdessen sollen Windows Hello und die Microsoft Authenticator App zum neuen Standard werden. Der Zeitpunkt ist bewusst gewählt: Nach dem Ende des Supports für Windows 10 am 14. Oktober 2025 soll der Umstieg Fahrt aufnehmen.
Dringlichkeit verleiht der Sache ein aktueller Vorfall: Anfang Mai 2026 wurde eine Zero-Day-Lücke namens „MiniPlasma“ (CVE-2020-17103) bekannt, die den Windows Cloud Filter Treiber angriff. Microsoft arbeitet an aktualisierten Wiederherstellungsprotokollen für die zweite Jahreshälfte.
Parallel dazu rüstet Meta bei WhatsApp auf. Eine aktuelle Android-Beta (Version 2.26.7.8) führt einen optionalen Passwortschutz für die Konto-Registrierung auf neuen Geräten ein. Das System verlangt ein sechs- bis zwanzigstelliges Passwort mit mindestens einem Buchstaben und einer Zahl – als Ergänzung zu bestehenden 2FA-Methoden.
Noch einen Schritt weiter geht Meta mit „Private Processing“ für KI-gestützte Chats. Diese Inkognito-Chats nutzen vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments), um sicherzustellen, dass temporäre Unterhaltungen mit Meta AI selbst für das Unternehmen unzugänglich bleiben. Ein deutliches Signal in Zeiten wachsender Datenschutzbedenken.
Cybercrime-Schäden treiben Reformen an
Der Umstieg auf Passkeys ist auch eine Reaktion auf die explodierenden Kosten mobiler Cyberkriminalität. Die globalen Schäden durch Smartphone-Angriffe erreichten in diesem Jahr 442 Milliarden Euro. Allein im ersten Quartal 2026 wurden 1,24 Millionen Fälle von Banking-Trojanern registriert. Besonders rasant wächst die Bedrohung durch „Quishing“ – Phishing über manipulierte QR-Codes – mit 18 Millionen Fällen.
Am 18. Mai 2026 entdeckten Sicherheitsforscher zudem eine neue macOS-Malware namens „Reaper“. Die Variante wurde entwickelt, um aktuelle Sicherheitsupdates zu umgehen und Passwörter sowie Kryptowährungs-Wallets zu stehlen.
Wie anfällig traditionelle Systeme sind, zeigte eine Studie von 1,3 Milliarden kompromittierten Zugangsdaten: „123456“ bleibt mit 210 Millionen Nutzungen das häufigste Passwort. Im öffentlichen Sektor traf es 137 Mitarbeiter der irischen Steuerbehörde – ein Datenleck bei einem Drittanbieter (Pitney Bowes) legte Namen und Kontaktdaten offen. Und in der Hotellerie hinterließ das japanische Check-in-System Tabiq über eine Million sensible Dokumente – darunter Reisepässe und Führerscheine – auf einem ungesicherten Cloud-Speicher.
Angesichts der Milliarden-Schäden durch Smartphone-Angriffe ist ein aktuelles System die wichtigste Verteidigungslinie für Ihre mobilen Daten. Dieser kostenlose Ratgeber erklärt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät durch richtige Updates und Sicherheitseinstellungen vor Hackern und Malware schützen. Kostenlosen Android-Sicherheits-Report jetzt herunterladen
Technische Sicherheit: FIPS 140-3 wird zum neuen Standard
Der entscheidende Vorteil von Passkeys: Der private kryptografische Schlüssel verlässt niemals das Gerät des Nutzers. Phishing-Angriffe, die bei traditionellen Passwörtern gang und gäbe sind, laufen damit ins Leere. Im Fintech-Sektor liegt die Passkey-Nutzung bereits bei rund 60 Prozent – deutlich höher als in den Medien- und Unterhaltungsbranchen mit etwa 18 Prozent. Ein klares Gefälle, das die unterschiedlichen Risikobewertungen widerspiegelt.
Die Sicherheitsrahmenwerke entwickeln sich parallel weiter. Die Branche verabschiedet sich vom FIPS 140-2-Standard und setzt auf FIPS 140-3 als neue Benchmark für kryptografische Module. Ein Schritt, der vor allem für Regierungs- und Industrieanwendungen relevant ist.
Dass die Bedrohung real ist, zeigt ein aktueller Fund der Google Threat Intelligence Group: Der erste bekannte KI-generierte Zero-Day-Exploit, der gegen 2FA in einem Open-Source-Administrationstool eingesetzt wurde. Der Angriff konnte zwar abgewehrt werden – doch er unterstreicht, dass Authentifizierungsmethoden ohne abfangbare Codes oder menschenverwaltete Geheimnisse dringend notwendig sind.
Ausblick: Das Ende des Passworts ist eingeläutet
Der Trend ist unumkehrbar. Google hat bereits angekündigt, die Passwortpflicht für viele Dienste schrittweise abzuschaffen. Unterstützt wird dies durch günstigere Hardware-Sicherheitsschlüssel. Organisationen wie OpenAI subventionieren diese Schlüssel bereits für besonders gefährdete Nutzer – Journalisten und Aktivisten etwa –, um sicherzustellen, dass höchster Schutz nicht am Preis scheitert.
In den kommenden Monaten werden die erweiterten Sicherheitsfunktionen von WhatsApp sowie Googles CXP-basierte Import-Tools für Android offiziell verfügbar sein. Altsysteme werden zwar in einigen Bereichen überleben – doch die Kombination aus plattformübergreifender Unterstützung, regulatorischen Vorgaben und den steigenden Kosten von Passwort-Verstößen macht den Passkey zum neuen globalen Standard für digitale Identität. Unternehmen sollten ihre Authentifizierungsprozesse jetzt überprüfen und sich auf eine Welt vorbereiten, in der das traditionelle Passwort nicht mehr die erste Verteidigungslinie ist.
