Cyberkriminalität 2026: Warum Passwörter nicht mehr sicher sind

Während 74 Prozent der Deutschen noch auf ihre Passwörter vertrauen, nutzen nur 32 Prozent moderne Sicherheitsverfahren wie Passkeys. Kriminelle setzen längst auf KI-gestützte Betrugsmethoden.

Eine aktuelle Studie des Digitalverbands eco zeigt eine gefährliche Kluft zwischen gefühlter und tatsächlicher Sicherheit. Befragt wurden 2.134 Teilnehmer. Das Ergebnis: Die Mehrheit hält ihre Passwörter für sicher – doch Experten wie eco-Vorstand Norbert Pohlmann bezeichnen reine Passwortverfahren als die unsicherste Authentifizierungsmethode überhaupt.

4,7 Millionen gehackte Konten pro Quartal allein in Deutschland zeigen, dass herkömmliche Passwörter kein ausreichender Schutz mehr sind. Dieser kostenlose Ratgeber erklärt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich hackersicher machen. Passkey-Report kostenlos herunterladen

Die Zahlen sprechen eine deutliche Sprache: Nur jeder vierte Deutsche nutzt Zwei-Faktor-Authentifizierung. Immerhin 41 Prozent der Generation Z (18 bis 29 Jahre) setzen bereits auf passwortloses Einloggen. Doch das reicht nicht, um mit der rasanten Entwicklung der Cyberkriminalität Schritt zu halten.

Neue Richtlinien: Schluss mit häufigem Passwortwechsel

Die Verbraucherzentrale Rheinland-Pfalz und das Landeskriminalamt haben ihre Sicherheitsempfehlungen grundlegend überarbeitet. Der häufige Wechsel von Passwörtern gilt nicht mehr als primäre Schutzmaßnahme. Stattdessen raten die Behörden zu einzigartigen, komplexen Passwörtern mit mindestens zehn Zeichen für jeden Account – verwaltet durch einen Passwortmanager.

Für höhere Sicherheitsstufen empfehlen Experten sogenannte Passkeys. Diese Technologie ersetzt Passwörter vollständig durch kryptografische Schlüssel, die auf dem Gerät gespeichert werden. Ein Diebstahl dieser Daten ist praktisch ausgeschlossen.

KI-Betrug erreicht neue Dimensionen

Die amerikanische Handelsbehörde FTC verzeichnete über eine Million Fälle von Betrug mit Sprachklonen und KI – der Schaden übersteigt umgerechnet 3,2 Milliarden Euro. Bereits drei Sekunden Audioaufnahme reichen Kriminellen, um täuschend echte Stimmen von Familienmitgliedern oder Geschäftspartnern zu imitieren.

Besonders perfide: Der Banking-Trojaner TCLBANKER hat 59 Banken und Fintechs ins Visier genommen. Die Schadsoftware fängt Zwei-Faktor-Codes ab und macht damit die vermeintlich sichere zweite Ebene wertlos. Ein weiterer Schädling namens Keenadu wurde in der Firmware neuer Geräte entdeckt – rund 13.000 Infektionen, schwerpunktmäßig in Deutschland, Japan und Brasilien.

Selbst offizielle App-Stores sind betroffen. 28 betrügerische Anwendungen wie CallPhantom wurden im Google Play Store identifiziert – mit 7,3 Millionen Downloads, bevor sie gesperrt wurden.

FBI warnt vor raffinierter Telefonmasche

Das FBI hat eine Warnung zu einer neuen Betrugswelle herausgegeben: Call-ID-Spoofing. Täter geben sich als Bankmitarbeiter aus und nutzen persönliche Transaktionsdaten aus früheren Datenlecks, um Vertrauen zu erschleichen. Sie drängen ihre Opfer, Geld auf „Sicherheitskonten" zu überweisen oder Fernwartungssoftware zu installieren.

Die indische Zentralbank RBI reagiert mit den bisher schärfsten Maßnahmen: Seit dem 1. April 2026 gilt ein vollständiges Verbot von SMS-TANs. Der Grund: Die Betrugsfälle explodierten von 260.000 (2021) auf 2,8 Millionen (2025). Neue Regelungen sehen eine einstündige Bedenkzeit für Überweisungen über umgerechnet etwa 110 Euro vor sowie einen digitalen „Kill Switch" zum sofortigen Einfrieren von Konten.

Schweizer Softwareanbieter zieht Konsequenzen

Der Schweizer Mittelstands-Softwareanbieter Bexio macht Zwei-Faktor-Authentifizierung nach einer Phishing-Welle zur Pflicht. Die internen Systeme blieben zwar unversehrt, doch Angreifer hatten mit gefälschten E-Mails und Webseiten Zugang zu Kundenkonten erlangt und in einigen Fällen IBAN-Daten auf Rechnungen manipuliert. CEO Markus Naef betont: „Sicherheit hat für uns höchste Priorität."

Da Kriminelle immer raffiniertere Methoden wie CEO-Fraud und manipulierte Rechnungen nutzen, müssen Unternehmen ihre Abwehrstrategien dringend anpassen. Das kostenlose Anti-Phishing-Paket zeigt Ihnen in vier Schritten, wie Sie psychologische Manipulationstaktiken entlarven und Ihre Firma effektiv schützen. Anti-Phishing-Paket für Unternehmen gratis anfordern

Die neue Masche: Mikro-Diebstähle

Die VR Genobank Donauwald und mehrere Bankenverbände warnen vor einer Zunahme unerlaubter Kleinbetragsabbuchungen. Diese „Mikro-Diebstähle" bleiben oft wochenlang unbemerkt. Ein Fall aus Köln zeigt die Problematik: Ein Verbraucher verlor 300 Euro durch eine betrügerische Park-App. Weil die Transaktion per TAN autorisiert wurde, verweigern Banken häufig die Erstattung.

Noch dramatischer: In Zwickau verlor eine 77-Jährige 50.750 Euro durch ein KI-generiertes Video, in dem ein Prominenter eine falsche Investmentplattform bewarb. Zwischen Januar und Mai überwies die Frau Geld ins Ausland, bevor der Betrug aufflog.

Ausblick: Der Kampf gegen automatisierte Bedrohungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Hasso-Plattner-Institut empfehlen weiterhin die aktive Überwachung des digitalen Fußabdrucks. Dienste wie der HPI Identity Leak Checker helfen zu prüfen, ob Zugangsdaten in Datensammlungen wie „Collection #1" aufgetaucht sind – einem historischen Datenleck mit über 773 Millionen E-Mail-Adressen.

Die Bundesregierung treibt unterdessen ein Cybersicherheitsprogramm für den Gesundheitssektor voran, das Staatssekretär Tino Sorge am 8. Mai ankündigte. Passkeys und physische Sicherheitsschlüssel werden sich als Standard etablieren müssen. Solange Nutzer auf einfache Passwörter und SMS-Codes setzen, bleiben die finanziellen Risiken der Digitalisierung eine enorme Herausforderung.

de | wissenschaft | 69302312 |