Die passwortlose Zukunft birgt unerwartete Gefahren – Forscher warnen vor Angriffspunkten in der Synchronisation.
Der Wechsel zu Passkeys gilt als Meilenstein im Kampf gegen Phishing. Doch neue Forschungsergebnisse vom heutigen Montag zeigen: Die Cloud-basierten Komponenten, die Passkeys über verschiedene Geräte hinweg synchron halten, schaffen neue Angriffsflächen. Google, Apple und Amazon treiben die Entwicklung massiv voran – doch Sicherheitsexperten mahnen zur Vorsicht.
Angesichts von rund 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland ist der Wechsel zu modernen Sicherheitsverfahren wie Passkeys wichtiger denn je. Dieser kostenlose Report zeigt Ihnen Schritt für Schritt, wie Sie die neue Technologie bei Diensten wie Amazon oder WhatsApp einrichten und künftig ohne Passwort-Stress surfen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Das Problem liegt in der Komplexität der Infrastruktur. Passkeys selbst sind domänengebunden und damit resistent gegen klassische Phishing-Angriffe. Doch die Synchronisation über verschiedene Betriebssysteme und Cloud-Umgebungen hinweg bleibt eine Herausforderung – sowohl für Privatnutzer als auch für Unternehmen.
Technische Risiken in der Cloud-Synchronisation
Die heute veröffentlichte Analyse untersucht speziell das Passkey-Ökosystem im Google-Authenticator-Rahmenwerk. Die Forscher entdeckten, dass die Cloud-Synchronisationskomponenten potenzielle Schwachstellen aufweisen. Die gesamte Systemsicherheit hängt maßgeblich von der Qualität der Implementierung und den Protokollen zur Account-Wiederherstellung ab.
Der Wechsel zu Passkeys soll die Risiken traditioneller Passwörter minimieren, die häufig durch Phishing oder Brute-Force-Angriffe kompromittiert werden. Aktuelle Branchendaten zeigen: 67 Prozent der Unternehmen sehen Phishing weiterhin als dauerhafte Bedrohung. Rund 40 Prozent der Unternehmen nutzen bereits Hybrid-Umgebungen mit einer Kombination aus Passwörtern und Passkeys.
Doch mit der wachsenden Verbreitung von Passkeys passen Angreifer ihre Methoden an. Neue Malware-Varianten zielen gezielt auf die Synchronisations- und Kommunikationskanäle moderner Betriebssysteme ab. Der Schädling CloudZ etwa nutzt Schwachstellen in Windows-Funktionen aus. Noch beunruhigender: PromptSpy, die erste Android-Malware mit KI-Unterstützung, kann sensible Authentifizierungsdaten abfangen.
Rekordzahlen bei der Passkey-Nutzung
Trotz der Sicherheitsbedenken verzeichnet die Passkey-Technologie beeindruckende Zuwächse. Amazon meldete am gestrigen Sonntag: 456 Millionen Nutzer verwenden inzwischen Passkeys – ein Anstieg um 75 Prozent gegenüber dem Vorjahr. Amazon ist damit für rund 40 Prozent aller passwortlosen Authentifizierungen bei großen globalen Diensten verantwortlich. Die Technologie läuft auf dem Hauptmarktplatz, bei Audible und Amazon Web Services (AWS).
Die Nutzererfahrung spricht für sich: Logins mit Passkeys sind etwa sechsmal schneller als herkömmliche Passwortverfahren. Dieser rasante Zuwachs hat die FIDO Alliance dazu bewogen, an neuen Standards zu arbeiten – den Protokollen CXP und CXF. Sie sollen den sicheren Transfer von Passkeys zwischen verschiedenen Plattformen ermöglichen. Ziel ist es, dass ein auf einem Ökosystem erstellter Passkey nahtlos auf ein anderes übertragen werden kann – ohne Vendor-Lock-in.
Auch staatliche Stellen unterstützen den Wandel. Das britische National Cyber Security Centre (NCSC) rief heute offiziell dazu auf, von traditionellen Passwörtern auf Passkeys umzusteigen. Die Behörde betont: Weil Passkeys an spezifische Domänen gebunden sind, bieten sie deutlich besseren Schutz vor Phishing-Kampagnen.
Die digitale Bedrohungslage eskaliert
Die Dringlichkeit des Wandels wird durch steigende Verluste durch Identitätsbetrug untermauert. Laut einer Javelin-Studie beliefen sich die Schäden durch Identitätsbetrug 2025 auf 27,3 Milliarden Euro – ein deutlicher Anstieg. Die US-Handelsbehörde FTC verzeichnete allein 2024 über 1,1 Millionen Identitätsdiebstahl-Beschwerden.
Während neue Technologien wie Passkeys die Sicherheit erhöhen, zeigen die steigenden Schadenssummen durch Identitätsdiebstahl, wie wichtig ein umfassendes Schutzkonzept für mobile Endgeräte bleibt. Erfahren Sie in diesem Gratis-Leitfaden, mit welchen fünf Sofort-Maßnahmen Sie Ihr Android-Smartphone effektiv gegen Hacker, Viren und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Android-Smartphones kostenlos sichern
Aktuelle Berichte zeigen: Mehr als 50 Prozent der Verbraucher werden monatlich mit Betrugsversuchen konfrontiert. Der F-Secure Scam Intelligence Report 2026 stellt fest: Die Zahl der Geschädigten, die tatsächlich Geld verloren haben, hat sich im Vergleich zu 2025 verdoppelt. 84 Prozent der Verbraucher befürchten, dass KI-gestützte Betrugsmethoden Online-Täuschungen nahezu unerkennbar machen.
Selbst etablierte Sicherheitsprotokolle sind nicht immun. Erst im Frühjahr gelang es einem Angreifer, beim Branchenführer DigiCert 27 EV-Code-Signing-Zertifikate zu erbeuten – durch Täuschung des Support-Personals per Chat. Der Angreifer tarnte eine Schadsoftware als Support-Dokument und kompromittierte interne Systeme. Die erbeuteten Zertifikate wurden genutzt, um den Schädling Zhong Stealer zu signieren. 60 Zertifikate mussten widerrufen werden – ein Lehrstück dafür, dass menschliches Versagen auch in Hochsicherheitsumgebungen die größte Schwachstelle bleibt.
Deutschland im Visier der Cyberkriminalität
Der BSI/ProPK Cybersicherheitsmonitor 2026, ebenfalls heute veröffentlicht, zeigt: Jeder neunte Internetnutzer wurde 2025 Opfer von Cyberkriminalität. 88 Prozent der Betroffenen erlitten einen Schaden – doch nur 14 Prozent der Bevölkerung informieren sich regelmäßig über Cybersicherheitsrisiken.
Besonders hart getroffen wurde der Finanzsektor. Das Landgericht Berlin verurteilte die Apobank kürzlich zur Zahlung von über 200.000 Euro Schadensersatz nach einem Phishing-Vorfall. Solche Urteile treiben Unternehmen zu strengeren Sicherheitsmaßnahmen. Die Schweizer Firma Bexio führte am gestrigen Sonntag für ihre 100.000 Nutzer die Zwei-Faktor-Authentifizierung (2FA) ein – nach einem Phishing-Angriff, bei dem Täter IBAN-Daten manipulierten, um Zahlungen umzuleiten.
Auch die Technologieplattformen reagieren: Apple iOS 26.5, heute veröffentlicht, verbessert den Diebstahlschutz und die Ende-zu-Ende-Verschlüsselung für Nachrichten. Microsoft bereitet derweil den Ablauf der Secure-Boot-Zertifikate von 2011 vor – für Juni 2026. Millionen Windows-Nutzer müssen ihre Systeme aktualisieren, um die Boot-Sicherheit zu erhalten.
Ausblick: Wohin steuert die Authentifizierung?
In der zweiten Jahreshälfte 2026 wird der Fokus auf der Verfeinerung der Passkey-Synchronisation liegen. Die Arbeit der FIDO Alliance an plattformübergreifenden Transferprotokollen ist entscheidend, um Passkeys zum universellen Standard zu machen.
Langfristig rückt die Post-Quanten-Kryptografie (PQC) in den Fokus. Das BSI empfiehlt Unternehmen, bis 2031 auf PQC umzustellen – um gegen die Möglichkeit gewappnet zu sein, dass Quantencomputer aktuelle Verschlüsselungsstandards wie RSA oder Diffie-Hellman brechen. Plattformen wie Signal, WhatsApp und Google Chrome haben bereits mit der Integration begonnen.
Mit Android 17, erwartet für Juni 2026, und der Apple WWDC 2026 am 8. Juni stehen die nächsten Meilensteine bevor. Experten raten Nutzern, wachsam zu bleiben – insbesondere bei Wiederherstellungsprozessen – und ihre Geräte stets mit den neuesten Sicherheitsupdates zu versorgen. Die Schwachstelle CVE-2026-25262 im Snapdragon-Chip zeigt: Auch Hardware bleibt ein Angriffsziel.
