Passkeys verdrängen SMS-Codes als Sicherheitsstandard

Die Ära der SMS-Codes für die Zwei-Faktor-Authentifizierung (2FA) ist vorbei. Neue Richtlinien und KI-gestützte Angriffe zwingen die Tech-Branche zum Umstieg auf phishing-resistente Passkeys.

Auslöser sind die kürzlich verschärften Metadaten-Regeln der FIDO-Allianz und ein alarmierender Sicherheitsausblick für 2026. Experten warnen vor KI-gestützten Voicebots, die Stimmen täuschend echt imitieren können. Gegen diese neue Angriffswelle bieten herkömmliche SMS-Codes keinen Schutz mehr.

Die formale Abkehr von veralteten Methoden ist in vollem Gange. Die finalen NIST SP 800-63-4 Digital Identity Guidelines degradieren SMS-Codes für hohe Schutzbedarfe. Die FIDO-Allianz verschärfte daraufhin ihre Regeln, um die Vertrauenswürdigkeit von Authentifikatoren neu zu bewerten.

Branchenbeobachter sprechen vom finalen “Sargnagel” für Einmal-Codes. Die neuen Standards fordern kryptografische Sicherheit, die ein abgetippter Code niemals leisten kann. Die Botschaft ist klar: Nur Systeme, die sicherstellen, dass der Nutzer auf der legitimen Seite ist, gelten noch als sicher.

Viele Sicherheitsrichtlinien warnen inzwischen vor KI-gestützten Voicebots, die per Telefon SMS- und App-Codes abgreifen. Wer weiterhin auf SMS als zweiten Faktor setzt, bleibt verwundbar; dieses kostenlose Anti-Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Phishing- und Voice-Angriffe erkennen, Mitarbeiter schulen und technische Abwehrmaßnahmen implementieren. Praktische Checklisten und CEO‑Fraud‑Beispiele helfen sofort beim Schließen kritischer Lücken. Anti-Phishing-Paket jetzt gratis herunterladen

Microsoft zeigt der Branche den Weg

Die neuen Richtlinien sind keine Theorie. Seit dem 1. Oktober 2025 setzt Microsoft eine verpflichtende Multi-Faktor-Authentifizierung (MFA) für alle Azure-Ressourcen durch. Wer auf Azure-Dienste zugreifen will, kommt an einer starken Authentifizierung nicht mehr vorbei.

Diese Maßnahme für Millionen Unternehmenskonten gilt als Blaupause. Experten erwarten ähnliche Zwänge für private Nutzerkonten bei großen Plattformen im Jahr 2026. Die Folge war eine massive Migrationswelle von App-Codes hin zu FIDO2-Sicherheitsschlüsseln und Windows Hello for Business.

800 Millionen Nutzer setzen auf Passkeys

Die Antwort der Industrie ist der Passkey. Die Adoptionsraten explodieren:
* Google meldete über 800 Millionen Konten, die aktiv Passkeys nutzen.
* Amazon zog nach und berichtete von 175 Millionen Nutzern im ersten Jahr.

Die Technologie hat den Massenmarkt erreicht. Aktuell arbeitet die FIDO-Allianz an der Interoperabilität, um das “Lock-in”-Problem zwischen verschiedenen Ökosystemen wie Apple und Android zu lösen. Für Nutzer wird das Smartphone zum digitalen Generalschlüssel – mehr Sicherheit bedeutet hier auch mehr Komfort.

KI-Voicebots machen SMS-Codes angreifbar

Warum der plötzliche Handlungsdruck? Ein aktueller Bericht von Radware warnt vor KI-gesteuerten Voicebots als größter Bedrohung für 2026. Angreifer klonen Stimmen von Familienmitgliedern oder Vorgesetzten in Echtzeit und überzeugen Opfer am Telefon, ihren 2FA-Code preiszugeben.

Gegen diese Social-Engineering-Angriffe ist eine SMS machtlos. Ein Passkey hingegen lässt sich nicht “verraten”, da der Authentifizierungsprozess kryptografisch an die spezifische Webseite gebunden ist und im Hintergrund abläuft.

Was bedeutet das für Nutzer?

Der alte Leitsatz “Jede 2FA ist besser als keine” wird revidiert. Die neue Devise lautet: “Nur phishing-resistente 2FA ist echte Sicherheit.” Der Vergleich mit der flächendeckenden Einführung von HTTPS drängt sich auf.

Für Verbraucher ist der Übergang oft nahtlos in die Betriebssysteme integriert. Wer noch SMS-Codes für kritische Konten wie E-Mail, Banking oder Krypto nutzt, sollte jetzt in den Sicherheitseinstellungen nach “Passkey” oder “Sicherheitsschlüssel” suchen. Die Ära des Passworts und der einfachen Codes ist beendet.

PS: Wenn Sie jetzt auf phishing-resistente Authentifizierung umstellen wollen, bietet das kostenlose Anti-Phishing‑Paket eine kompakte Roadmap mit sofort umsetzbaren Schutzmaßnahmen, Checklisten zur Prüfung bestehender SMS‑Workflows und Empfehlungen für sichere Alternativen wie Passkeys und Sicherheitsschlüssel. Ideal für IT-Verantwortliche und Privatanwender, die ihre Konten nachhaltig absichern möchten. Gratis Anti-Phishing-Paket anfordern