Nach einer Serie verheerender Datenlecks und steigender Cyberkriminalität forcieren Tech-Giganten den Umstieg auf passwortlose Authentifizierung. Google, Apple und Meta haben in dieser Woche neue Sicherheitsfeatures vorgestellt, die biometrische Verfahren wie Fingerabdruck und Gesichtserkennung zum Standard machen sollen. Branchenexperten sind sich einig: Herkömmliche Passwörter sind nicht mehr zeitgemäß.
Angesichts von 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland ist herkömmlicher Passwort-Schutz längst nicht mehr ausreichend. Dieser kostenlose PDF-Report zeigt Ihnen, wie Sie mit Passkeys bei Diensten wie Amazon, Microsoft und WhatsApp eine passwortlose Anmeldung für maximale Sicherheit einrichten. Sicher, bequem und passwortlos – So funktionieren Passkeys
Die Verwundbarkeit traditioneller Zugangsdaten
Die Dringlichkeit neuer Sicherheitskonzepte wurde erst Anfang dieser Woche deutlich. Am 12. Mai 2026 bestätigte die Hackergruppe ShinyHunters einen massiven Datenraub bei Instructure, dem Betreiber der Bildungsplattform Canvas. Die Angreifer erbeuteten rund 3,5 Terabyte an Daten – das entspricht 275 Millionen Datensätzen von fast 9.000 Bildungseinrichtungen. Besonders betroffen: „Free-For-Teacher“-Konten mit Namen, E-Mail-Adressen und Schülerkennungen.
Zwar einigte sich Instructure mit den Angreifern auf Vernichtung der gestohlenen Daten, doch der Vorfall zeigt ein grundlegendes Problem: das „Credential Sprawl“ – die unkontrollierte Verbreitung von Zugangsdaten. Aktuelle Studien belegen, dass 71 Prozent aller Unternehmen im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall erlitten. Im Durchschnitt waren es drei Vorfälle pro Organisation. Die Kosten für die Behebung solcher Lecks liegen im Schnitt bei 1,64 Millionen Euro.
In Deutschland bestätigt das BSI den Negativtrend. Der aktuelle Cybersicherheitsmonitor 2026 zeigt: Die Opferrate bei Cyberkriminalität stieg 2025 auf elf Prozent der Internetnutzer – 2024 waren es noch sieben Prozent. Besonders betroffen sind Online-Shopping-Betrug, unbefugter Kontozugriff und Online-Banking-Betrug. Die sogenannte „Scam Economy“, befeuert durch künstliche Intelligenz, verursachte global Schäden von rund 442 Milliarden Euro.
Plattformanbieter setzen auf biometrische Integration
Google hat am 12. Mai 2026 auf seiner jüngsten Entwicklerkonferenz eine Reihe neuer Sicherheitsfunktionen vorgestellt. „Identity Check“ verlangt künftig biometrische Authentifizierung für den Zugriff auf sensible Kontoeinstellungen – selbst wenn das Gerät bereits entsperrt ist.
Ergänzend kommt der KI-gestützte „Theft Detection Lock“ sowie verbesserte Fernsperrfunktionen. Nutzer können ihre Geräte künftig über eine spezielle Webseite ohne vorherige Konfiguration sperren. Für Finanzinstitute und Entwickler gibt es einen neuen Anti-Spoofing-Mechanismus: Android-Geräte beenden automatisch Anrufe von betrügerischen Banknummern. Das System läuft ab Android 11 und nutzt Hintergrundverifikation durch Banking-Apps. Erste Partner sind Revolut, Itaú und Nubank.
Auch Apple zog nach: Mit iOS 26.5 schloss der Konzern am 12. Mai über 50 Sicherheitslücken. Die Patches adressieren kritische Schwachstellen, die in „hybriden“ Cyberangriffen ausgenutzt werden könnten – einer Kombination aus physischem Gerätediebstahl und gezieltem Phishing. Sicherheitsexperten betonen: Die Zunahme solcher Angriffe macht hardwaregebundene Passkeys für moderne Mobilgeräte unverzichtbar.
WhatsApp und die Passkey-Revolution
Der Trend zu Passkeys erfasst auch die weltweit beliebtesten Messaging-Plattformen. Meta arbeitet intensiv an der Sicherheit von WhatsApp und schloss kürzlich zwei gravierende Sicherheitslücken. Eine betraf die fehlerhafte Verarbeitung von Rich-Response-Nachrichten, eine andere die Windows-Version der App, bei der manipulierte Dateinamen ausführbare Schadsoftware als PDFs tarnen konnten.
Darüber hinaus testen die Entwickler eine neue optionale Passwort- und Passkey-Funktion für WhatsApp. Basierend auf aktuellen Beta-Versionen für Android würde das System einen alphanumerischen Code (6 bis 20 Zeichen) oder biometrische Verifikation verlangen – bei der Registrierung auf einem neuen Gerät oder nach einer bestimmten Inaktivitätsphase. Die Funktion soll die bestehende Zwei-Faktor-Authentifizierung ergänzen und Nutzer vor dem Abfangen SMS-basierter Verifikationscodes schützen.
Der Schritt kommt nicht von ungefähr. Spezialisierte Schadsoftware wie der TCLBanker-Trojaner verbreitet sich über WhatsApp Web und Outlook. Die Malware zielt auf rund 59 verschiedene Finanzplattformen ab, nutzt UI-Automation für Keylogging und platziert bösartige Overlays. Mit Passkeys werden solche automatisierten Angriffe nahezu unmöglich – es gibt schlicht kein statisches Passwort mehr, das die Schadsoftware abgreifen könnte.
Regionale Reaktionen und regulatorischer Druck
Die technologische Entwicklung wird von wachsendem Druck durch Verbraucherschutzorganisationen begleitet. Die österreichische Arbeiterkammer (AK) meldete am 12. Mai: Fast jeder fünfte Österreicher hatte bereits Probleme mit Online-Überweisungen. Rund 1,4 Millionen Menschen sind betroffen, drei Viertel der Opfer verloren bis zu 600 Euro.
Die AK fordert strengere Regeln für Finanzinstitute: eine verpflichtende Erstattungspolitik für Phishing-Opfer und strengere Überwachung verdächtiger Transaktionen. Die Argumentation: Technologische Lösungen wie Passkeys sind essenziell, doch Banken müssen mehr Verantwortung für die Sicherheit ihrer digitalen Ökosysteme übernehmen.
Aktuelle Störungen zeigen zudem die Fragilität traditioneller Banken-IT. Am 12. Mai fiel bei der Sparkasse Trier die gesamte Infrastruktur aus – stundenlang waren weder Bargeldabhebungen, Kartenzahlungen noch Online-Banking möglich. Die Bank bestätigte einen technischen Defekt, keinen Cyberangriff. Dennoch zeigt der Vorfall: Sichere, redundante Systeme sind überlebenswichtig, je digitaler Bankdienstleistungen werden.
Ausblick: Wohin steuert die Authentifizierung?
Der Übergang zur passwortlosen Welt wird sich in der zweiten Jahreshälfte 2026 deutlich beschleunigen. Experten von 1Password und Sophos warnen: Mit zunehmender Verbreitung von „Shadow AI“ und automatisierten Agenten wächst das Risiko von Credential-Diebstahl rasant. Ihre Empfehlung: Unternehmen sollten zentralisierte Credential-Management-Systeme einführen, die menschliche und maschinelle Identitäten gleich streng behandeln.
Google plant für Android 17 noch in diesem Jahr die Integration von „Live Threat Detection“. Die Funktion nutzt geräteinterne KI, um in Echtzeit Muster zu erkennen, die auf Banking-Trojaner und Phishing-Versuche hindeuten.
Für einzelne Nutzer bleibt die Botschaft der Cybersicherheitsbehörden klar: Weg von Passwort-Wiederverwendung, Zwei-Faktor-Authentifizierung aktivieren, wo Passkeys noch nicht verfügbar sind, und biometrische Sicherheitsschlüssel nutzen.
Da herkömmliche Passwörter allein nicht mehr als phishing-resistent gelten, ist der Umstieg auf biometrische Verfahren für jeden Smartphone-Nutzer ratsam. Dieser kostenlose PDF-Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie Ihr Smartphone effektiv vor Hackern und Datenmissbrauch absichern. Kostenlosen Sicherheits-Ratgeber jetzt herunterladen
Das US-amerikanische NIST stellte bereits in seinen Bewertungen 2025 fest: Passwörter allein gelten nicht mehr als phishing-resistent. Mit der erfolgreichen Einführung von Passkey-Standards durch die großen Tech-Konzerne bewegt sich die Branche auf einen Standard zu, bei dem der „menschliche Faktor“ – das Wählen und Merken von Passwörtern – durch sichere, verschlüsselte Hardware-Handshakes ersetzt wird.
