Microsoft kündigt Ende der SMS-Authentifizierung an

Der Technologieriese stellt 2026 auf passwortlose Verfahren um – ein Wendepunkt für die Cybersicherheit.

Die Ära der SMS-basierten Zwei-Faktor-Authentifizierung (2FA) neigt sich dem Ende zu. Microsoft hat angekündigt, die altgedienten Codes für die Authentifizierung und Passwortwiederherstellung im Laufe des Jahres 2026 auszumustern. Der Grund: SMS-Verfahren sind anfällig für Betrug und Abfangen. Stattdessen setzt der Konzern auf Passkeys – biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung sowie hardwaregestützte PINs.

Angesichts von rund 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland wird der Wechsel zu modernen Sicherheitsstandards immer dringlicher. Dieser kostenlose Report zeigt Ihnen, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp sofort einrichten und sich effektiv schützen. Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll?

Dieser Schritt ist kein Einzelfall. Er ist Teil einer branchenweiten Bewegung, die statische Passwörter und leicht abfangbare Textnachrichten endgültig hinter sich lassen will. Angesichts immer raffinierterer Phishing-Angriffe und Credential-Theft-Kampagnen gilt die Umstellung auf Passkeys als eine der wirksamsten Verteidigungslinien.

Der Niedergang der SMS und der Aufstieg biometrischer Standards

Sicherheitsforscher sehen Textnachrichten seit Langem als Schwachstelle in der Authentifizierungskette. Microsofts Umstellung auf Passkeys soll hier Abhilfe schaffen – mit einer Lösung, die resistent gegen Phishing ist. Doch der Konzern ist nicht allein: Auch andere Plattformbetreiber rüsten ihre Sicherheitsarchitekturen auf biometrische Verfahren um.

Google etwa führte Anfang des Jahres Updates für sein digitales Wallet ein, darunter geräteunabhängige Zahlungsbestätigungen per Fingerabdruck. Im Mai 2026 kamen Live-Updates und eine bessere Integration mit automatisierten Abrechnungssystemen hinzu. Vivo hat den Rollout von Android 17 für September 2026 angekündigt – mit einem speziellen Schutz gegen das Abfangen von Einmalpasswörtern (OTP). Die Neuerung: Eine dreistündige Verzögerung für bestimmte SMS-OTP-Funktionen, um sofortige Kontenübernahmen zu erschweren.

Auch Apple bereitet für 2026 ein systemweites Upgrade vor: Die Integration von Post-Quanten-Kryptografie (PQC) auf Basis des PQ3-Protokolls. Diese soll VPNs, SSH und Gerätekopplungen absichern, wobei die Secure Enclave die kryptografischen Schlüssel verwaltet. Die Botschaft ist klar: Weg von benutzerverwalteten Geheimnissen, hin zu hardwaregestützter Authentifizierung.

Schwachstellen und das Versagen traditioneller Geheimnisse

Die Dringlichkeit des Umstiegs zeigt sich in mehreren spektakulären Sicherheitsvorfällen. Zwischen November 2025 und dem 15. Mai 2026 legte ein Auftragnehmer der US-Cybersicherheitsbehörde CISA versehentlich 844 Megabyte Daten in einem öffentlichen Repository offen. Darunter: AWS-GovCloud-Schlüssel und Klartext-Passwörter in CSV-Dateien. Sicherheitsanalysten stellten fest, dass einige der offengelegten Schlüssel selbst nach Löschung des Repositories noch 48 Stunden lang gültig blieben – ein Paradebeispiel für die Risiken langfristiger statischer Geheimnisse.

Im Frühjahr 2026 traf die „Megalodon"-Attacke 5.561 GitHub-Repositories. Mit bösartigen Workflows wurden Cloud-Zugangsdaten und API-Schlüssel großer Anbieter abgegriffen. Und am 22. und 23. Mai 2026 wurden mehr als 700 Versionen von Laravel-Lang-Paketen mit einer Hintertür für Remote-Code-Ausführung (RCE) kompromittiert. Ziel der Angreifer: Cloud-Schlüssel, Browserdaten und Kubernetes-Tokens stehlen.

Selbst traditionelle Phishing-Methoden werden immer ausgefeilter. Das FBI warnte kürzlich vor Kali365, einer Phishing-as-a-Service-Plattform, die speziell Microsoft-365-Nutzer ins Visier nimmt. Das Kit nutzt OAuth-Gerätecode-Autorisierung, um die Multi-Faktor-Authentifizierung zu umgehen – und gewährt Angreifern dauerhaften Zugriff, ohne je ein Passwort zu benötigen.

Während große Konzerne auf Passkeys umstellen, müssen auch Unternehmen ihre IT-Sicherheit an die neuen KI-Gesetze und Bedrohungen anpassen. Erfahren Sie im gratis E-Book, wie Sie Sicherheitslücken schließen und gesetzliche Anforderungen ohne teure Investitionen erfüllen. IT-Sicherheit stärken ohne teure Investitionen: So schützen clevere Unternehmer ihre Firma vor Cyberangriffen

Marktanalyse: Die Bedrohungslage verändert sich

Der Verizon Data Breach Investigations Report (DBIR) 2026 zeigt einen grundlegenden Wandel: Erstmals haben Schwachstellenausnutzungen gestohlene Zugangsdaten als Hauptursache für Sicherheitsverletzungen überholt – sie sind für 31 Prozent aller Vorfälle verantwortlich. Dennoch bleibt Ransomware mit 48 Prozent aller Incidents eine dominante Bedrohung. Und „Shadow IT", insbesondere nicht autorisierte KI-Tools, ist in die Top Drei der Risiken für Unternehmen aufgestiegen.

Doch nicht nur die Technik, auch der Mensch bleibt eine Schwachstelle. Groß angelegte Phishing-Kampagnen gaben sich in den vergangenen Monaten als Marken wie Costco oder Marriott aus. Hunderte kurzlebige Domains sammelten Kreditkartendaten. Eine weitere Kampagne, die an die FIFA-Weltmeisterschaft 2026 gekoppelt ist, hat ihr Volumen nahezu verdreifacht – mit Hunderten IP-Adressen für gefälschte Ticket- und Login-Seiten.

Dass die traditionelle Authentifizierung am Ende ist, zeigt auch ein Vorfall aus dem öffentlichen Sektor: Sicherheitsexperten wiesen nach, dass eine EU-Altersverifikations-App in weniger als zwei Minuten kompromittiert werden konnte. Der Grund: Sie speicherte sensible Nutzerdaten lokal und verfügte über umgehbare biometrische Schutzmechanismen.

Ausblick: Was Entwickler und Unternehmen jetzt tun müssen

Die Abkehr von SMS-basierten Verfahren durch Microsoft und andere Anbieter zwingt Unternehmen zum Umdenken. Wer seine Benutzeridentitäten über Web- und Mobile-Anwendungen verwaltet, muss sich auf passkey-fähige Architekturen einstellen.

Die Integration von Post-Quanten-Standards bei Apple und die OTP-Schutzfunktionen in Android 17 deuten darauf hin: Die nächste Generation der Sicherheit wird direkt in Hardware und Betriebssysteme eingebaut. Für Entwickler bedeutet das eine Abkehr von der Pflege von Passwortdatenbanken – hin zur Unterstützung standardisierter Protokolle wie WebAuthn.

Der Trend zum sogenannten „Quishing" – Angreifer nutzen QR-Codes, um Nutzer auf gefälschte Portale zu locken – unterstreicht die Notwendigkeit von Authentifizierungsmethoden, die ohne visuelle Hinweise oder manuelle Eingaben auskommen. Passkeys machen traditionelle Phishing-Links und gestohlene Zugangsdaten obsolet. Sie schaffen ein widerstandsfähigeres Ökosystem, das die inhärente Sicherheit moderner Hardware nutzt.

de | wissenschaft | 69407959 |