Amazon erreicht 456 Millionen Passkey-Nutzer – Cyberangriffe auf dem Vormarsch

Eine Welle von Datenlecks und KI-gesteuerten Angriffen zwingt Unternehmen und Verbraucher zum Umdenken – weg vom Passwort, hin zu biometrischer Authentifizierung.

Angesichts der rasanten Zunahme von Datenlecks und KI-gesteuerten Angriffen ist der Schutz des eigenen Smartphones wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen in 5 einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Hackern und Viren absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Massive Datenlecks erschüttern Reise- und Finanzbranche

Am heutigen Sonntag bestätigte Booking.com einen Cyberangriff mit Datenleck in Andorra. Namen, E-Mail-Adressen, Telefonnummern und Buchungsdetails von Kunden gelangten in die Hände von Kriminellen. Zwar betont das Unternehmen, dass keine Kreditkarten- oder Kontodaten kompromittiert wurden – doch die Folgen sind bereits spürbar. Betroffene Nutzer berichten von betrügerischen WhatsApp-Nachrichten, die unter dem Vorwand angeblicher Buchungsbestätigungen nach Bankdaten fragen. Booking.com setzt derweil PINs zurück und ruft zur Vorsicht auf.

Auch deutsche Bankkunden sind betroffen. Kunden der Postbank und Deutschen Bank meldeten massive technische Störungen beim Online-Banking. Zwar funktionierte die Zwei-Faktor-Authentifizierung (2FA) für Logins noch, doch Kontostände und Transaktionshistorien waren weder im Browser noch in der App abrufbar. Die Ursache blieb zunächst unklar.

Der Bildungssektor blieb nicht verschont. Das Learning-Management-System Canvas von Instructure wurde Ende April und Anfang Mai 2026 Opfer eines unbefugten Zugriffs. Die Hackergruppe ShinyHunters bekannte sich zu der Tat, bei der Studenten-IDs, Namen und E-Mail-Adressen abflossen. Parallel dazu drang die Gruppe RansomHouse in die Quellcode-Repositorys des Sicherheitsunternehmens Trellix ein.

KI revolutioniert Phishing – 82 Prozent aller Mails sind KI-generiert

Die Methoden der Angreifer werden raffinierter. Künstliche Intelligenz spielt dabei eine Schlüsselrolle. Neue Daten von Experian zeigen: 40 Prozent der 5.000 Datenlecks, die das Unternehmen 2025 bearbeitete, waren KI-gestützt. Analysten prognostizieren, dass agentische KI – autonome Systeme, die komplexe Aufgaben ohne menschliche Aufsicht ausführen – zum Haupttreiber von Datenlecks im Jahr 2026 wird.

Bereits jetzt ist der Trend sichtbar: Mehr als 82 Prozent aller Phishing-E-Mails enthalten KI-generierte Inhalte, die herkömmliche Filter kaum noch erkennen. Eine der hartnäckigsten Kampagnen des ersten Quartals 2026 ist „Silver Fox“ . Diese Gruppe verschickte über 1.600 schädliche E-Mails, getarnt als offizielle Schreiben von Steuerbehörden. Die Nachrichten zielen auf Nutzer in Indien, Indonesien, Russland und Südafrika ab und liefern Schadsoftware wie den „ABCDoor“ -Hintertür-Trojaner und „ValleyRAT“ .

Besonders rasant verbreitet sich „Quishing“ – Phishing über QR-Codes. Die gemeldeten Fälle stiegen im ersten Quartal 2026 um 146 Prozent auf 18,7 Millionen. Angreifer platzieren gefälschte QR-Codes auf Parkscheinen, Ladesäulen oder in angeblichen Bankschreiben. Die Codes umgehen E-Mail-Sicherheitsfilter und führen Opfer zu gefälschten Login-Seiten oder lösen Malware-Downloads auf Mobilgeräten aus.

Browser-Sicherheit in der Kritik – Passwörter im Klartext

Die Sicherheit gespeicherter Passwörter steht erneut in der Kritik. Der norwegische Forscher Tom Jøran Sønstebyseter Rønning entdeckte, dass der Microsoft Edge-Browser gespeicherte Passwörter im Klartext im Systemspeicher ablegt – im Gegensatz zu anderen Chromium-basierten Browsern, die diese Daten nur bei Bedarf entschlüsseln. Besonders brisant: Eine Studie von Kaspersky zeigt, dass fast die Hälfte aller analysierten Passwörter mit moderner High-End-Hardware in unter 60 Sekunden geknackt werden kann.

Parallel wurden kritische Schwachstellen in Unternehmensinfrastrukturen entdeckt. Eine Sicherheitslücke zur Remote-Code-Ausführung (CVE-2026-0300) in Palo Altos PAN-OS wird mutmaßlich von staatlich unterstützten Akteuren ausgenutzt. Ein weiterer kritischer Fehler (CVE-2026-6973) in Ivanti EPMM veranlasste die US-Cybersicherheitsbehörde CISA zu einer Warnung.

Auch die US-Sicherheitsbehörden FBI und NSA schritten ein. Sie neutralisierten eine langjährige Bedrohung durch die russische GRU-Einheit APT28 (auch bekannt als Fancy Bear). Seit 2024 hatte die Gruppe tausende Router in 23 US-Bundesstaaten kompromittiert, um DNS-Hijacking-Angriffe durchzuführen. Viele der betroffenen Geräte, darunter mehrere Modelle von TP-Link, hatten das Ende ihrer Lebensdauer erreicht. Das FBI setzte per Gerichtsbeschluss tausende Geräte ferngesteuert zurück und empfahl Nutzern, ihre Hardware umgehend zu aktualisieren und Remote-Management-Funktionen zu deaktivieren.

Der Siegeszug der Passkeys – Amazon meldet 456 Millionen Nutzer

Die Branche reagiert mit einem massiven Umstieg auf passwortlose Authentifizierung. Pünktlich zum World Passkey Day am 10. Mai 2026 verkündete Amazon einen Meilenstein: 456 Millionen Passkey-Nutzer – ein Anstieg von 75 Prozent gegenüber dem Vorjahr. Passkey-Logins seien sechsmal schneller als herkömmliche Methoden, so der Konzern.

Die globalen Zahlen untermauern den Trend: Passkey-Authentifizierung macht mittlerweile 40 Prozent aller passwortlosen Logins weltweit aus. Der Passwort-Manager Bitwarden verzeichnete einen Anstieg der täglichen Passkey-Erstellung um 550 Prozent.

Da herkömmliche Passwörter immer häufiger geknackt werden, setzen Experten verstärkt auf die passwortlose Anmeldung. Erfahren Sie in diesem kostenlosen Report, wie Sie Passkeys bei Diensten wie Amazon oder WhatsApp einrichten und Ihre Konten endlich hackersicher machen. Passkey-Guide kostenlos herunterladen

Auch Microsoft baut sein Passkey-Ökosystem aus. Das Unternehmen führt biometrische Gesichtserkennung für die Kontowiederherstellung in Entra ID ein. Microsoft blockiert schätzungsweise 7.000 passwortbasierte Angriffe pro Sekunde und meldet für Passkey-Logins eine Zuverlässigkeit von 98 Prozent – verglichen mit nur 32 Prozent bei traditionellen Passwörtern. Bis Ende Mai 2026 will Microsoft die Unterstützung für gerätegebundene Passkeys in der Windows-Umgebung ausweiten.

Die FIDO Alliance arbeitet derweil an neuen Standards für KI-Agenten, um sicherzustellen, dass die nächste Generation automatisierter Systeme sicher mit digitalen Identitäten interagieren kann. Auch in Schwellenländern setzt sich der Trend durch: Die Zentralbank von Paraguay führt im Mai 2026 interoperable QR-Codes ein, um digitale Zahlungen im Fintech-Sektor zu standardisieren und abzusichern.

Regulierungsdruck steigt – Millionenstrafen für Datenmissbrauch

Die wirtschaftlichen Folgen von Identitätsbetrug sind enorm. In den USA meldete das FBI für 2024 Betrugsverluste in Höhe von 16,6 Milliarden US-Dollar (rund 15,3 Milliarden Euro). Die kanadischen Behörden verzeichneten Verluste von über 638 Millionen kanadischen Dollar. Besonders betroffen: Seniorinnen und Senioren, die rund 40 Prozent der Betrugsverluste in Kanada ausmachen.

Ein wachsendes Problem sind „Recovery Scams“ , bei denen Betrüger sich als Behörden oder Anwälte ausgeben und bereits geschädigte Personen erneut attackieren. In einem aktuellen Fall wurde ein 81-jähriges Opfer, das bereits über eine Million US-Dollar durch einen Romance-Scam verloren hatte, erneut von Angreifern mit KI-generierten Bildern eines angeblichen rechtlichen Rückforderungsprozesses ins Visier genommen.

Auch die Regulierungsbehörden erhöhen den Druck. General Motors (GM) einigte sich mit dem US-Bundesstaat Kalifornien auf eine Zahlung von 12,75 Millionen US-Dollar (rund 11,7 Millionen Euro). Der Vorwurf: GM habe Fahrerdaten aus seinem „Smart Driver“-Programm ohne Einwilligung an Dritte verkauft. Im Rahmen der Vereinbarung ist es GM für fünf Jahre untersagt, solche Daten zu verkaufen. Bereits gesammelte Daten müssen innerhalb von 180 Tagen gelöscht werden.

Ausblick: Wettrüsten zwischen KI-Angriffen und dezentraler Identität

Die zweite Jahreshälfte 2026 wird von einem technologischen Wettrüsten geprägt sein. Während die Einführung von Passkeys einen robusten Schutz gegen Credential-Harvesting bietet, deuten Banking-Trojaner wie TCLBANKER – der aktuell 59 verschiedene Finanzinstitute und Fintechs ins Visier nimmt – darauf hin, dass Angreifer bereits umschwenken und direkt Sitzungstoken und 2FA-Codes stehlen.

Die Softwareentwickler reagieren: Google hat angedeutet, dass zukünftige Android-Versionen eine „Sicherheitsverzögerung“ für SMS-basierte Einmalpasswörter (OTP) enthalten könnten, um den sofortigen Diebstahl durch Remote-Access-Trojaner zu verhindern. Der Erfolg dieser Schutzmaßnahmen wird maßgeblich davon abhängen, wie schnell Unternehmen und Privatnutzer veraltete Passwortsysteme zugunsten hardwaregebundener, biometrischer Authentifizierung aufgeben.

de | wissenschaft | 69302136 |