Microsoft, Google, Meta: Passwörter ab Juni endgültig obsolet

Nach einer Serie schwerer Hackerangriffe beschleunigen Microsoft, Google und Meta den Abschied von herkömmlichen Passwörtern. Die Unternehmen setzen zunehmend auf hardwaregebundene Sicherheitslösungen – und das FBI warnt vor neuen, ausgeklügelten Angriffsmethoden.

Microsoft schaltet SMS-Codes ab

Am 1. Juni 2026 zog Microsoft einen Schlussstrich: Persönliche Konten bei Outlook, OneDrive, Xbox und Microsoft 365 erhalten keine SMS-Login-Codes mehr. Der Grund: SIM-Swapping und Phishing machen die Methode zunehmend unsicher. Stattdessen sollen Nutzer auf Passkeys oder bestätigte E-Mail-Adressen für die Zwei-Faktor-Authentifizierung (MFA) umsteigen.

Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland ist der Umstieg auf sicherere Methoden dringender denn je. Wie Sie die passwortlose Anmeldung bei Amazon, Microsoft und WhatsApp in wenigen Minuten einrichten, erfahren Sie in diesem kostenlosen Report. Gratis-Anleitung zur Passkey-Einrichtung jetzt herunterladen

Parallel dazu rüstet Google seinen Chrome-Browser auf. Die neue Funktion Device Bound Session Credentials (DBSC) bindet Sitzungs-Cookies direkt an die Gerätehardware – etwa an einen Trusted Platform Module (TPM) oder eine Secure Enclave. Das macht Cookie-Diebstahl durch Schadsoftware wie RedLine oder Lumma praktisch wirkungslos. Für Google-Konten und Workspace-Nutzer ist die Technologie standardmäßig aktiviert.

Neue Angriffswellen fordern Sicherheitsbranche heraus

Der Vorstoß kommt nicht von ungefähr. Kriminelle finden immer neue Wege, selbst etablierte Sicherheitsmechanismen zu umgehen. Das FBI warnte bereits im Frühjahr vor Kali365, einer „Phishing-as-a-Service"-Plattform, die seit April 2026 aktiv ist. Das Tool stiehlt OAuth-Tokens über einen legitimen Microsoft-Gerätecode-Fluss – und umgeht damit MFA, ohne dass ein Passwort nötig wäre. Hunderte Kompromittierungen täglich sind die Folge, besonders auf Plattformen wie Teams und OneDrive.

Noch perfider: Hacker übernahmen prominente Instagram-Konten – darunter jene der US Space Force und des Obama-zeitlichen Weißen Hauses – indem sie einen Meta-KI-Support-Chatbot manipulierten. Die KI fügte auf Geheiß der Angreifer unbefugte E-Mail-Adressen hinzu und setzte Passwörter zurück. Meta hat den Fehler inzwischen behoben, räumt aber ein: Der Exploit wirkte vor allem bei Konten ohne aktivierte MFA.

Malware-Explosion: 624 Millionen Passwörter gestohlen

Die Dimension des Problems zeigt eine Analyse von NordStellar und NordVPN: Die Infektionen mit Datendiebstahl-Schadsoftware stiegen 2025 um 35 Prozent im Vergleich zum Vorjahr. Insgesamt erbeuteten die Schädlinge 624 Millionen Passwörter – ein Vielfaches der 34 Millionen Zugangsdaten, die im selben Zeitraum durch klassische Datenlecks abflossen.

Auch Infrastrukturanbieter geraten unter Druck. Am 31. Mai 2026 setzte der Passwort-Manager Dashlane mehrere Nutzerkonten vorübergehend still – nach einer Welle von Brute-Force-Angriffen aus Russland und Korea. Zwar blieben die internen Systeme unversehrt, doch der Vorfall zeigt: Die Versuche, sich unbefugt Zugang zu verschaffen, reißen nicht ab.

Warum immer mehr Deutsche ihre klassischen Passwörter komplett abschaffen und auf modernere Schutzmechanismen setzen, hat einen guten Grund: Es lässt Hackern keine Chance mehr. Erfahren Sie in diesem kostenlosen Ratgeber, wie die Technologie funktioniert, die Passwörter für immer ablösen soll. Kostenlosen Report zur sicheren Alternative anfordern

Das FBI griff im April 2026 zudem gegen die Hackergruppe APT28 ein. Die Einheit hatte über Jahre hinweg SOHO-Router in 23 US-Bundesstaaten kompromittiert, um DNS-Hijacking zu betreiben und Datenverkehr über ausländische Server umzuleiten.

Was Nutzer jetzt tun sollten

Die FIDO Alliance schlägt Alarm: 77 Prozent aller Hacking-Vorfälle basieren auf gestohlenen Zugangsdaten. Passkeys gelten als sicherste Alternative – sie beruhen auf keinem gemeinsam genutzten Geheimnis, das abgegriffen werden könnte.

Doch die Bedrohungslage ist vielschichtig. Das FBI und regionale Sicherheitsbehörden warnen vor neuen Risiken:

• QR-Code-Phishing: Ende Mai 2025 tauchte eine Welle von „Quishing"-Angriffen auf. Betrügerische HR-E-Mails versteckten Schad-Links hinter QR-Codes.
• Biometrische Risiken: Das Wagoner County Sheriff's Office warnt vor „Selfie-Fingerabdruck"-Betrug. KI-Software extrahiert Fingerabdruckdaten aus hochauflösenden Social-Media-Fotos.
• Infrastruktur-Prüfung: Unternehmen, die Kali365-Angriffen ausgesetzt sind, sollten den Gerätecode-Fluss über Conditional-Access-Richtlinien blockieren und Authentifizierungsübertragungen streng prüfen.

Für bereits Betroffene – wie die 800.000 Menschen, deren Daten im April 2026 bei einem Carnival-Datendiebstahl abflossen – bleibt der Rat der Experten: Kreditwarnungen aktivieren und so schnell wie möglich auf hardwarebasierte MFA umstellen.

de | wissenschaft | 69468549 |