Microsoft kippt SMS-Login: Passkeys werden Pflicht

Der Konzern stellt den SMS-basierten Login für private Konten ein – und macht Passkeys zur Pflicht. Grund sind massive Sicherheitsbedenken.

Die Entscheidung fiel am 21. Mai 2026. Ausschlaggebend waren die zunehmende Anfälligkeit für Phishing-Angriffe und sogenanntes SIM-Swapping. Dabei übertragen Angreifer die Telefonnummer eines Opfers auf ihre eigene SIM-Karte – und gelangen so an Einmal-Codes für Bankgeschäfte oder sensible Konten.

Angesichts der Stilllegung der SMS-Authentifizierung suchen viele Nutzer nach Wegen, ihre Konten ohne Passwörter und Codes abzusichern. Erfahren Sie in diesem kostenlosen Ratgeber, wie Passkeys funktionieren und wie Sie diese bei großen Diensten wie Amazon oder Microsoft sofort einrichten. Passkeys sicher und bequem nutzen – Gratis-Report jetzt sichern

Microsoft steht mit diesem Schritt nicht allein. Die FIDO Alliance treibt die Entwicklung voran. Aktuelle Berichte sprechen von über fünf Milliarden weltweit aktiven Passkeys.

Apple schließt 52 Sicherheitslücken

Auch Apple verschärft den Kurs. Mit iOS 26.5 stopfte das Unternehmen am 20. Mai 2026 insgesamt 52 Sicherheitslücken – darunter die Schwachstelle CVE-2026-28950. Das Update wiegt 8,73 Gigabyte.

Die Aktualisierung ist Teil einer Strategie, die Systemintegrität angesichts neuer EU-Regularien wie dem Digital Markets Act zu wahren. Apple öffnet unter anderem NFC-Schnittstellen und verbessert Datentransfers zu Android. Gleichzeitig stellte der Konzern die Signierung älterer Versionen wie iOS 26.4.2 ein.

Rekordschäden durch KI-gesteuerte Angriffe

Die drastischen Maßnahmen haben handfeste Gründe. Experten prognostizieren für 2026 einen Gesamtschaden durch Angriffe auf Mobilgeräte von rund 442 Milliarden Euro.

Besonders alarmierend: 86 Prozent aller Phishing-Kampagnen sind bereits KI-gesteuert. Täglich gehen rund 3,4 Milliarden betrügerische Nachrichten um die Welt.

Ein neuer Trend heißt Quishing – Phishing via QR-Code. Im ersten Quartal 2026 stiegen die Fälle um 150 Prozent auf etwa 18 Millionen dokumentierte Vorfälle. Auch Banking-Trojaner legen massiv zu: 196 Prozent mehr Fälle, insgesamt 1,24 Millionen. Die Malware „Mamont“ ist für über 70 Prozent aller Angriffe auf Android-Geräte verantwortlich.

Die Angriffsmethoden werden raffinierter. Laut Analysen von Rapid7 erfolgten 38 Prozent der Attacken über technische Lücken (Exploits). Klassisches Phishing lag nur noch bei 24 Prozent. Das Zeitfenster, in dem Hacker bekannte Sicherheitslücken ausnutzen, schrumpfte auf durchschnittlich fünf Tage.

Botnetze und bösartige Apps

Die Professionalisierung der Cyberkriminalität zeigt sich auch in der Zerschlagung internationaler Netzwerke. Am 20. Mai 2026 gelang den Behörden in Ottawa die Festnahme des 23-jährigen Jacob Butler. Unter dem Pseudonym „Dort“ soll er das KimWolf-Botnetz administriert haben.

Das Netzwerk infizierte fast zwei Millionen Geräte – vor allem Android-TV-Systeme – und wurde für DDoS-Angriffe mit Kapazitäten von bis zu 30 Tbit/s vermietet. Insgesamt soll die Botnet-Familie über 300.000 Angriffe durchgeführt haben.

Im Google Play Store entdeckten Sicherheitsforscher von Human Security zudem 455 bösartige Apps. Die „Trapdoor“-Kampagne wurde über 24 Millionen Mal heruntergeladen. Die Apps generierten versteckten Werbetraffic über 183 verschiedene Server-Domains.

Besonders tückisch: Ein Banking-Trojaner tarnt sich als App der „Cockroach Janta Party“. Er verbreitet sich über WhatsApp und Telegram, fordert weitreichende Berechtigungen und fängt SMS ab. Seit März 2025 sind zudem Kampagnen mit rund 250 Apps aktiv, die Nutzer unbemerkt bei Premium-SMS-Diensten anmelden.

Da Kriminelle immer öfter bösartige Apps und Banking-Trojaner nutzen, um Android-Smartphones auszuspionieren, ist ein proaktiver Schutz unverzichtbar. Dieser kostenlose Sicherheits-Ratgeber zeigt Ihnen 5 einfache Maßnahmen, mit denen Sie WhatsApp, PayPal und Online-Banking in wenigen Minuten wirksam absichern. 5 Schutzmaßnahmen für Ihr Smartphone jetzt kostenlos herunterladen

Bundeskabinett beschließt Digital-Identitäts-Gesetz

Die Politik reagiert. Am 20. Mai 2026 verabschiedete das Bundeskabinett das Digital-Identitäts-Gesetz (DIdG). Es bildet die rechtliche Grundlage für die EUDI-Wallet, deren Soft-Launch für den 2. Januar 2027 geplant ist. Ziel: eine sichere digitale Identität für alle Bürger.

In den USA sieht sich Meta rechtlichen Konsequenzen gegenüber. Der Bundesstaat Texas reichte am 21. Mai 2026 Klage ein. Der Vorwurf: Meta habe Nutzer über den Umfang der Ende-zu-Ende-Verschlüsselung bei WhatsApp getäuscht. Pro Verstoß drohen Strafzahlungen von bis zu 10.000 US-Dollar.

Hersteller rüsten auf

Google implementiert in Android 17 eine KI-basierte Betrugsanruferkennung. Sie beendet Gespräche automatisch, wenn diese Merkmale von Bank-Imitationen aufweisen. Zudem gibt es einen Chrome-APK-Scanner für bösartige Downloads.

Samsung rollte im Mai 2026 Sicherheitsupdates für die Galaxy S22-Serie aus. Sie beheben 36 Schwachstellen, zwei davon gelten als kritisch.

Trotz aller Fortschritte bleibt die Bedrohung durch veraltete Infrastrukturen bestehen. Eine Studie des Athene-Zentrums deckte auf: Selbst in deutschen Bundesministerien existieren teils kritische Sicherheitslücken, die über zehn Jahre alt sind.

Das Ende einer Ära

Der Rückzug von Microsoft aus der SMS-Authentifizierung markiert das Ende einer Ära. Die SIM-Karte, ursprünglich für reine Telekommunikation entwickelt, stößt als Sicherheitsanker in einer Welt aus KI-Phishing und professionellen Botnetzen an ihre Grenzen.

Der Wechsel zu Passkeys und hardwarenahen Verschlüsselungsverfahren ist keine Option mehr – sondern eine Notwendigkeit.

Die juristische Einordnung von Cyberkriminalität bleibt komplex. Wie Rechtsexperten der Ruhr-Universität Bochum erläutern, wird das bloße Kopieren von Daten oft nicht als Diebstahl gewertet. Daten sind keine körperlichen Gegenstände. Dennoch greifen Strafbestände wie Computerbetrug.

Für Betroffene von Datenlecks bleibt die Situation belastend. Beim Angriff auf den Dienstleister Unimed Mitte April 2026 wurden zehntausende Patientendaten von Unikliniken entwendet. Bei Online-Banking-Betrug haften Banken jedoch weitgehend im Rahmen der EU-Zahlungsdiensterichtlinie – sofern keine grobe Fahrlässigkeit vorliegt.

Ausblick: Was kommt als Nächstes?

Die kommenden Monate stehen im Zeichen weiterer Konsolidierung. Auf der Entwicklerkonferenz WWDC am 8. Juni 2026 wird Apple voraussichtlich iOS 27 mit weiteren KI-gestützten Schutzmechanismen vorstellen. Gleichzeitig diversifiziert sich der Hardware-Markt – etwa durch das iPhone Ultra mit Faltdisplay, das für Herbst 2026 erwartet wird.

Für Verbraucher bedeutet das vor allem eines: Umstellung der Gewohnheiten. Klassische Antiviren-Apps verlieren auf modernen Smartphones an Bedeutung. Die Betriebssysteme selbst bieten robuste Schutzmechanismen wie Google Play Protect oder App-Isolation.

Der Fokus verschiebt sich von der Software-Installation hin zum Identitätsmanagement. Mit der flächendeckenden Einführung der EUDI-Wallet ab 2027 und der verpflichtenden Nutzung von Passkeys durch große Plattformbetreiber wird die SMS als Sicherheitsfaktor endgültig verschwinden.

de | wissenschaft | 69403955 |