Microsoft beendet SMS-2FA: Passkeys gegen KI-Phishing
21.06.2026 - 12:17:28 | boerse-global.de
Der Technologiekonzern setzt künftig auf passwortlose Alternativen wie Passkeys – und reagiert damit auf eine drastisch gestiegene Bedrohungslage durch KI-gestützte Cyberangriffe.
Die Ära der SMS-Codes als Sicherheitsstandard neigt sich dem Ende zu. Microsoft hat begonnen, die klassische Zwei-Faktor-Authentifizierung (2FA) per Textnachricht auslaufen zu lassen. Das Unternehmen priorisiert stattdessen moderne Verfahren wie Passkeys, die deutlich resistenter gegen Phishing und hochentwickelte Hackerangriffe sind.
Angesichts von Milliarden Phishing-Versuchen suchen viele Nutzer nach einer sichereren Methode, um ihre Online-Konten effektiv zu schützen. In diesem kostenlosen PDF-Ratgeber erfahren Sie, wie Sie Passkeys bei Diensten wie Amazon oder Microsoft einrichten und Hackerangriffen keine Chance mehr lassen. Passkeys-Ratgeber jetzt kostenlos herunterladen
Smishing auf dem Vormarsch
Der Schritt kommt nicht überraschend. Die Bedrohung durch betrügerische Nachrichten hat ein alarmierendes Niveau erreicht. Laut dem aktuellen McAfee-Bericht 2026 erhält der durchschnittliche US-Bürger inzwischen 14 betrügerische Nachrichten pro Tag. Microsoft selbst registrierte im ersten Quartal 2026 rund 8,3 Milliarden Phishing-Versuche allein per E-Mail.
Besonders besorgniserregend: Die sogenannte Smishing-Methode – Phishing via SMS – macht mittlerweile 30 Prozent aller Cyberbetrugsfälle aus. Kriminelle nutzen zunehmend künstliche Intelligenz, um täuschend echte Nachrichten zu verfassen. Das untergräbt die Zuverlässigkeit von SMS als Sicherheitsfaktor massiv.
Die Dimension des Problems zeigt ein weiterer Vorfall: Am 12. Juni 2026 entdeckten Forscher ein Datenleck mit 24 Milliarden Datensätzen – insgesamt 8,3 Terabyte. Die Sammlung enthielt Klartext-Passwörter, E-Mail-Adressen und Benutzernamen aus zahlreichen Online-Quellen.
Rekordverdächtige Sicherheitsupdates
Microsoft reagiert mit einer beispiellosen Patch-Offensive. Am 10. Juni 2026 veröffentlichte der Konzern das größte Patch Tuesday seit 23 Jahren: 200 Sicherheitslücken wurden geschlossen, darunter 33 kritische Schwachstellen und sechs Zero-Day-Exploits.
Besonders brisant: Die Schwachstelle CVE-2026-4341 – eine Code-Ausführungslücke im CLFS-Treiber – wurde bereits aktiv ausgenutzt. Ebenfalls kritisch war CVE-2026-4209, ein Sicherheitsleck im Secure Boot, das Angreifern die Installation von Bootkits ermöglicht hätte.
Bereits Anfang Juni hatte Microsoft die Sicherheitslücke SearchLeak (CVE-2026-42824) in M365 Copilot geschlossen. Diese Schwachstelle erlaubte Angreifern, durch manipulierte URLs 2FA-Codes und interne Dateien zu stehlen. Zwar gab es keine bestätigten Fälle einer aktiven Ausnutzung, Microsoft stufte das Risiko dennoch als kritisch ein.
Da allein in Deutschland jedes Quartal Millionen von Online-Konten gehackt werden, ist der Umstieg auf passwortlose Technologien für die eigene Sicherheit wichtiger denn je. Dieser Report zeigt Ihnen Schritt für Schritt, wie Sie mit der neuen Methode Passwörter komplett abschaffen und sich stattdessen stressfrei per Fingerabdruck einloggen. Kostenlosen Report zur passwortlosen Anmeldung sichern
Das passwortlose Ökosystem wächst
Während Microsoft den Umstieg auf Passkeys vorantreibt, entstehen parallel neue Werkzeuge für sichere Authentifizierung. Am 20. Juni 2026 startete das My Passkeys Network sein Hauptnetz. Die Plattform nutzt den FIDO2-Standard und biometrische Daten, um Identitäten ohne traditionelle Seed-Phrasen zu verwalten.
Erst kürzlich brachte Proton eine eigene Open-Source-2FA-App auf den Markt. Die Ende-zu-Ende-verschlüsselte Anwendung erlaubt den Import von Authentifizierungscodes von Microsoft, Google und anderen Anbietern – mit Synchronisation über mehrere Betriebssysteme und biometrischem Zugriffsschutz.
Die Dringlichkeit solcher Maßnahmen unterstreicht ein aktueller Fall: Microsoft identifizierte eine Supply-Chain-Attacke der nordkoreanischen Gruppe Sapphire Sleet (auch bekannt als BlueNoroff). Die Hacker kompromittierten über 140 npm-Pakete und stahlen mit Schadsoftware Zugangsdaten, API-Keys und Kryptowährungen von Windows-, Linux- und macOS-Systemen. Der Angriff folgte einem ähnlichen Vorfall aus dem April 2026.
