Mit Milliarden KI-generierter Angriffe pro Tag ziehen Microsoft, Apple und Signal die Reißleine – und ersetzen jahrzehntealte Sicherheitsstandards durch biometrische Verfahren. Parallel dazu verklagt der US-Bundesstaat Texas Meta wegen angeblicher Täuschung über die WhatsApp-Verschlüsselung. Die digitale Sicherheitslandschaft erlebt ihren tiefgreifendsten Umbruch seit fast zwei Jahrzehnten.
Microsoft beerdigt SMS-Authentifizierung
Am 21. Mai 2026 verkündete Microsoft das Ende der SMS-basierten Zwei-Faktor-Authentifizierung (2FA) für private Konten. Der Grund: SIM-Swapping und immer raffiniertere Phishing-Kampagnen machen das Verfahren angreifbar. Der Konzern setzt künftig auf biometrische Passkeys – über fünf Milliarden davon sind bereits im Microsoft-Ökosystem aktiv.
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten. Passkeys jetzt kostenlos einrichten
Der Schritt kommt nicht überraschend. Aktuelle Daten zeigen: 86 Prozent aller Phishing-Kampagnen werden mittlerweile von Künstlicher Intelligenz gesteuert. Täglich versenden die Systeme rund 3,4 Milliarden betrügerische Nachrichten.
Signal und Apple ziehen nach
Nur zwei Tage später, am 23. Mai, veröffentlichte der verschlüsselte Messenger Signal sein Update 8.12 für Android und iOS. Die Neuerung: Orange Warnhinweise und Bestätigungsschritte für unbekannte Profile. Unbekannte Kontakte dürfen erst dann Links oder Medien senden, wenn der Empfänger sie freigegeben hat.
Apple veröffentlichte bereits am 20. Mai iOS 26.5 – ein Sicherheitsupdate, das 52 Schwachstellen schließt, darunter die kritische Lücke CVE-2026-28950. Der Konzern gibt an, im vergangenen Jahr durch proaktive Maßnahmen Zahlungsbetrug in Höhe von umgerechnet rund zwei Milliarden Euro verhindert zu haben. Fast zwei Millionen App-Einreichungen lehnte Apple im selben Zeitraum ab.
Texas verklagt Meta wegen WhatsApp-Verschlüsselung
Während die Tech-Konzerne an technischen Schutzmaßnahmen arbeiten, gehen Behörden juristisch gegen Plattformbetreiber vor. Am 21. Mai reichte der texanische Generalstaatsanwalt Ken Paxton Klage gegen Meta ein. Der Vorwurf: Das Unternehmen täusche die Öffentlichkeit über die Ende-zu-Ende-Verschlüsselung von WhatsApp.
Die Klage stützt sich auf das texanische Gesetz gegen unlauteren Wettbewerb. Sie behauptet, Meta habe seit 2016 Zugriff auf private Nachrichten – und eine Aussage des Unternehmens vor dem US-Senat im Jahr 2018 sei irreführend gewesen. Texas fordert eine einstweilige Verfügung und zivilrechtliche Strafen von bis zu 10.000 Dollar pro Verstoß.
Meta weist die Vorwürfe zurück. Sicherheitsforscher der ETH Zürich und der Johns Hopkins University hätten keine Hintertüren im Verschlüsselungsprotokoll gefunden. Allerdings räumt der Konzern ein: Cloud-basierte Backups waren erst Ende 2021 Ende-zu-Ende-verschlüsselt.
Internationaler Druck auf Meta wächst
Der Druck auf Meta kommt nicht nur aus den USA. Die Zentralbank der Vereinigten Arabischen Emirate verbot am 22. Mai Finanzinstituten die Nutzung von WhatsApp für Finanzdienstleistungen. In Europa genehmigte die irische Datenschutzkommission Meta Werbung im „Updates“-Tab von WhatsApp – ein Schritt, den Datenschutzorganisationen wie NOYB scharf kritikisieren.
Gleichzeitig führt Meta „Incognito-Chats“ für seinen KI-Assistenten ein. Diese nutzen vertrauenswürdige Ausführungsumgebungen (Trusted Execution Environments), sodass selbst der Plattformbetreiber keinen Zugriff auf die temporären KI-Interaktionen hat.
Die neue Bedrohungslage: Vom SMS-Blaster zur Quanten-Gefahr
Die Dringlichkeit der Maßnahmen zeigt sich in der rasanten Entwicklung der Cyberkriminalität. Bei einer Razzia in Wien wurden im Mai 2026 sogenannte „SMS-Blaster“ sichergestellt – Hardware, die 100.000 betrügerische Nachrichten pro Stunde versenden kann.
Die Bedrohung durch Banking-Trojaner stieg im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen erfasste Fälle. Für mehr als 70 Prozent der Android-Angriffe ist die Schadsoftware „Mamont“ verantwortlich.
Millionen Deutsche nutzen täglich Online-Banking per Smartphone – ohne diesen Schutz ist das gefährlich. Experten warnen: Wer diese 5 Maßnahmen nicht kennt, riskiert Datenverlust und finanzielle Schäden. Kostenlosen Sicherheits-Ratgeber für Android sichern
Auch Quishing – Phishing über manipulierte QR-Codes – legte um 150 Prozent zu. Allein im ersten Quartal wurden 18 Millionen Fälle registriert.
Der Verizon Data Breach Investigations Report 2026 bestätigt einen historischen Wendepunkt: Erstmals seit 19 Jahren hat die Ausnutzung von Software-Sicherheitslücken den Diebstahl von Zugangsdaten als häufigste Einbruchsmethode überholt – mit 31 Prozent aller Vorfälle.
Staatliche Angriffe und WM-Phishing
Auch staatlich gesteuerte Angriffe bleiben auf hohem Niveau. Die belarussische Gruppe Ghostwriter (UAC-0057) zielt mit einer Phishing-Kampagne auf ukrainische Regierungsbehörden ab – getarnt als Nachrichten der Lernplattform Prometheus.
Parallel dazu wurde eine massive Phishing-Operation entdeckt, die auf die FIFA-Weltmeisterschaft 2026 abzielt. Über 200 IP-Adressen und hunderte betrügerische Domains sind beteiligt, viele davon hinter der Infrastruktur von Cloudflare versteckt.
Sicherheitslücke Mensch: Deutsche überschätzen sich
Trotz der technischen Bedrohung klafft eine Lücke zwischen Wahrnehmung und Realität. Eine YouGov-Umfrage im Auftrag des eco-Verbands zeigt: 74 Prozent der Deutschen halten ihre Passwörter für sicher. Doch nur 32 Prozent nutzen Passkeys, lediglich 25 Prozent verwenden die Zwei-Faktor-Authentifizierung.
Die Umfrage offenbart einen Generationenkonflikt in der Sicherheitskultur. Während 41 Prozent der 18- bis 29-Jährigen auf passwortlose Verfahren setzen, liegt die Quote bei älteren Altersgruppen deutlich niedriger. Nur 24 Prozent der Bevölkerung nutzen überhaupt einen Passwort-Manager.
Schatten-KI als neues Unternehmensrisiko
Ein weiteres Problem: „Shadow AI“. Der Verizon DBIR 2026 zeigt, dass 67 Prozent der Beschäftigten nicht überwachte KI-Konten für berufliche Aufgaben nutzen – oft unter Umgehung der Unternehmenssicherheit. Gleichzeitig ist mobiles Phishing mit einer Erfolgsquote von 40 Prozent deutlich gefährlicher als klassische E-Mail-Angriffe.
Ausblick: Quantenresistenz und digitale Identität
Die Branche rüstet sich für die Zukunft. Das US-amerikanische National Institute of Standards and Technology (NIST) veröffentlichte im Mai 2026 neue Richtlinien für den Umstieg auf quantenresistente Systeme. Apple integriert bereits das PQ3-Protokoll in seine Nachrichtenarchitektur.
Deutschland verabschiedete am 21. Mai das Digital Identity Act (DIdG) – die Grundlage für die European Digital Identity Wallet (EUDI). Sie soll am 2. Januar 2027 starten und eine staatlich abgesicherte Alternative zu privaten Plattform-Logins bieten.
Google testet derzeit Funktionen von Android 17 Beta, darunter „Live Threat Detection“ und KI-basierte Betrugserkennung bei Anrufen. Apple wird voraussichtlich auf der WWDC im Juni 2026 eigene KI-Sicherheitstools vorstellen.
Die Kombination aus aggressiven Klagen, regulatorischen Verboten unsicherer Plattformen und der Umstellung auf biometrische sowie quantenresistente Standards ist der bislang umfassendste Versuch, die globale mobile Wirtschaft zu sichern. Ob er gelingt, wird sich in den kommenden Monaten zeigen.
