Cyberkriminalität erreicht neue Dimension: Milliarden Passkeys im Kampf gegen Betrug

Die globale Finanzbranche erlebt eine nie dagewesene Welle digitaler Betrugsmethoden – während gleichzeitig fünf Milliarden Passkeys weltweit im Einsatz sind. Der Wettlauf zwischen Sicherheitsexperten und Kriminellen ist in eine kritische Phase getreten.

Raffinierte Phishing-Wellen und Spezial-Malware

Eine groß angelegte Betrugskampagne, die Mitte Mai 2026 identifiziert wurde, missbraucht Google AppSheet und Kontowiederherstellungsmechanismen. Die betrügerischen E-Mails tragen gültige digitale Signatureen wie SPF, DKIM und DMARC – herkömmliche Filter erkennen sie kaum. Neben Kryptowährungsnutzern sind auch Opfer gefälschter Apple-iCloud-Warnungen, Amazon-Produktrückrufe und PayPal-Sicherheitsmeldungen im Visier.

Angesichts der raffinierten Phishing-Wellen über gefälschte Sicherheitsmeldungen ist der Schutz der eigenen Finanzdaten wichtiger denn je. Dieser Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Ihr Android-Smartphone effektiv vor Hackern, Viren und Datenmissbrauch absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos sichern

Besonders perfide: In einem konkreten Fall verschickten Angreifer gefälschte PayPal-Rückerstattungsbenachrichtigungen über 162,50 Euro, um Nutzer auf Dateneingabeseiten zu locken.

Die technische Raffinesse zeigt sich auch in neuer Android-Malware. Die Schädlinge „DevilNFC" und „NFCMultiPay" nutzen die Nahfeldkommunikation (NFC), um Finanzdaten abzugreifen und unbefugte Transaktionen durchzuführen. Die Verbreitung erfolgt über Phishing-Nachrichten per SMS oder WhatsApp – mit Schwerpunkt auf Europa und Lateinamerika. In Wien konnten Ermittler kürzlich einen Betreiber einer SMS-Schleuder festnehmen, die 100.000 betrügerische Nachrichten pro Stunde versenden konnte.

Auch traditionelle Unternehmen bleiben nicht verschont. Die Stadt Kiel verlor 68.000 Euro durch eine sogenannte „Business Email Compromise"-Attacke. Angreifer fingen eine Rechnung eines Dienstleisters ab und änderten die Bankverbindung. Da der Stadt Vergleichsdaten für das neue Konto fehlten, wurde die Überweisung ausgeführt, bevor der Betrug auffiel.

Massive Datenlecks und Lieferkettenrisiken

Ein Datenleck bei Instructures Lernplattform Canvas, Ende April 2026 entdeckt, betrifft rund 275 Millionen Nutzer aus 9.000 Bildungseinrichtungen – darunter renommierte Universitäten. Nach der Entdeckung wurden Anmeldeseiten Anfang Mai verunstaltet. Die Gruppe ShinyHunters versuchte, die Organisation zu erpressen. Die gestohlenen Daten umfassen Studentenausweise, Namen und E-Mail-Adressen.

Ein alarmierender Vorfall ereignete sich bereits Anfang der Woche: Ein Auftragnehmer der US-Cybersicherheitsbehörde CISA hatte administrative Zugangsdaten für drei AWS-GovCloud-Konten auf einem öffentlichen GitHub-Repository preisgegeben. Das Leck, das im November 2025 begann, enthielt Klartext-Passwörter und Tokens – der US-Kongress leitete eine Untersuchung ein.

Selbst alte Sicherheitslücken bleiben gefährlich. Forscher wiesen auf CVE-2026-46333 hin – eine neun Jahre alte Schwachstelle im Linux-Kernel, die lokalen Nutzern den Zugriff auf SSH-Schlüssel und Passwort-Hashes ermöglicht. Betroffen sind Distributionen wie Debian, Fedora und Ubuntu.

Regulierung und souveräne Cloud-Lösungen

Die Bundesregierung reagiert: Am 21. Mai 2026 verabschiedete das Kabinett das Digital Identity Act (DIdG). Es ebnet den Weg für die EUDI-Wallet, eine digitale europäische Identitätsbrieftasche für Smartphones. Die Nutzung bleibt freiwillig, bietet aber hochsichere Authentifizierung per Biometrie oder PIN. Ein Soft-Launch der Infrastruktur ist für Januar 2027 geplant. Über 100 Organisationen – darunter Banken und Carsharing-Dienste – testen das System bereits.

Für Bürger über 70 Jahre bleiben Ausweise nach der ersten zehnjährigen Gültigkeit unbegrenzt gültig – Bürokratieabbau inklusive.

Auch technologische Partnerschaften verändern sich. Thales und Google Cloud kündigten eine strategische Allianz für eine souveräne Cloud-Plattform in Deutschland an, die bis Ende 2026 starten soll. Thales kontrolliert eine neue deutsche Gesellschaft – die Infrastruktur wird ausschließlich von deutschem Personal betrieben. Google liefert die zugrundeliegende Rechen- und KI-Technologie, Thales übernimmt Cybersicherheit und Betriebskontrolle.

Bedrohungslage: Angreifer wechseln die Taktik

Der Verizon 2026 Report zeigt einen grundlegenden Wandel: Die Ausnutzung technischer Schwachstellen (31 Prozent) hat gestohlene Zugangsdaten (13 Prozent) als Hauptursache für Sicherheitsverletzungen überholt. Gleichzeitig ist die durchschnittliche Zeit für Patches auf 43 Tage gestiegen – ein gefährliches Zeitfenster.

Microsoft reagierte: Im Mai 2026 beendete der Konzern die SMS-basierte Zwei-Faktor-Authentifizierung für private Konten und drängt Nutzer zu sichereren Methoden wie Passkeys.

Die finanziellen Schäden durch Social Engineering bleiben enorm. Der Visa Spring 2026 Report beziffert die Verluste auf knapp eine Milliarde Euro zwischen Juli und Dezember 2025. Ransomware-Aktivitäten stiegen zuletzt um 26 Prozent. Doch die Abwehr zeigt Wirkung: Binance blockierte im ersten Quartal 2026 fast 23 Millionen Phishing-Versuche und schützte Vermögenswerte von rund zwei Milliarden Euro.

Ausblick: Die Zukunft ist passwortlos

Die Branche setzt auf eine „Passkey-First"-Strategie. Organisationen, die sie umsetzen, verzeichnen bereits 32 Prozent weniger Phishing-Vorfälle. Zwar sind erst 28 Prozent der Unternehmen vollständig passwortfrei, aber rund 68 Prozent testen die Technologie. Die höchste Akzeptanz gibt es im Fintech-Sektor mit 60 Prozent, gefolgt von E-Commerce (35 Prozent) und Medien (18 Prozent).

Die technologische Entwicklung macht das klassische Passwort zunehmend überflüssig und ersetzt es durch sicherere Alternativen. In diesem kostenlosen Report erfahren Sie, wie Sie Passkeys einfach einrichten und sich so per Fingerabdruck oder Gesichtserkennung sicher und stressfrei anmelden. Sicher, bequem und passwortlos – So funktionieren Passkeys

Die Integration der EUDI-Wallet und der Ausbau FIDO-konformer Systeme deuten auf eine Zukunft hin, in der traditionelle Passwörter nur noch eine Nebenrolle spielen. Doch Sicherheitslücken wie jene in der Claude-Code-Sandbox – wo ein Umgehungsmechanismus fünf Monate lang den Abfluss von AWS- und GitHub-Tokens ermöglichte – zeigen: Auch moderne Entwicklungsumgebungen brauchen ständige Überwachung.

Mit der FIDO-Compliance-Frist am 25. Juni 2026 in Ländern wie den Philippinen und der Einführung von Passkeys für Microsofts Entra External ID Ende Mai 2026 steht die globale digitale Identitätsinfrastruktur vor dem größten Wandel seit Jahrzehnten.

de | wissenschaft | 69394665 |