Microsoft setzt auf Passkeys: Ende der Passwörter rückt näher

Die globale Bedrohungslage verschärft sich: Bis Ende 2026 könnten Verluste durch mobile Cyberkriminalität 442 Milliarden Euro erreichen. Microsoft reagiert nun mit einem entscheidenden Schritt.

Der Technologieriese führt Ende Mai 2026 Passkey-Unterstützung für externe Identitäten in seiner Entra-External-ID-Plattform ein. Damit reagiert das Unternehmen auf eine dramatische Entwicklung: Allein im ersten Quartal 2026 stiegen sogenannte Quishing-Angriffe – Phishing über QR-Codes – um 150 Prozent auf 18 Millionen erfasste Fälle.

Passkeys nutzen biometrische Daten, PINs oder geräteinterne Sicherheitsmechanismen und gelten als hochwirksam gegen Phishing. Herkömmliche Passwörter bleiben die größte Schwachstelle in Unternehmen – ein Problem, das Microsoft nun entschlossen angeht.

Da Microsoft und Google Passkeys bereits als neuen Standard etablieren, ist der Wechsel weg vom unsicheren Passwort für den privaten und beruflichen Schutz wichtiger denn je. Dieser kostenlose Report zeigt Ihnen Schritt für Schritt, wie Sie die neue Technologie bei Amazon, WhatsApp und Co. in wenigen Minuten einrichten. Passkey-Ratgeber jetzt kostenlos herunterladen

KI-gestützte Identitätssicherung

Microsoft hat bereits interne Erfolge vorzuweisen: 99,6 Prozent der eigenen Mitarbeiter sind durch phishing-resistente Authentifizierung geschützt. Die neuen Funktionen für externe Partner und Kunden bauen darauf auf.

Seit Ende April ermöglicht Microsoft Single Sign-On (SSO) für native Anwendungen in Web-Views. Am 8. April startete „Agent ID“ – ein spezieller Identitätsschutz für KI-Assistenten. Nur einen Monat später, am 8. Mai, folgte der Prompt-Injection-Schutz im KI-Gateway.

Ein weiterer Meilenstein: Sicherheitsfragen werden ab Januar 2027 abgeschafft. Sie galten lange als Standard für die Kontowiederherstellung, sind aber zunehmend leicht zu umgehen. Auch der Microsoft-Edge-Upgrade auf Version 148 vom 16. Mai stellt sicher, dass Passwörter nicht mehr unverschlüsselt im Arbeitsspeicher liegen.

Google und WhatsApp ziehen nach

Der Branchentrend ist eindeutig. Seit dem 16. Mai können Google-Workspace-Administratoren die Option „Passwörter überspringen“ aktivieren. Nutzer loggen sich dann ausschließlich über Passkeys ein – das alte Passwort bleibt nur noch als Kompatibilitätsreserve.

Google testet zudem den Import und Export von Passkeys im Google Password Manager für Android. Ziel ist die Interoperabilität nach FIDO-Standards – Nutzer sollen ihre kryptografischen Schlüssel zwischen verschiedenen Diensten frei bewegen können.

WhatsApp befindet sich in der Betaphase für eine optionale Passwortfunktion (Version 2.26.7.8 für Android). Ein Code mit 6 bis 20 Zeichen, mindestens einem Buchstaben und einer Zahl, soll Konten bei der Anmeldung auf neuen Geräten schützen.

Explosion der Finanzbedrohungen

Die Dringlichkeit wird durch aktuelle Zahlen untermauert. Banking-Trojaner-Angriffe stiegen im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen Fälle weltweit. Ein gewöhnliches achtstelliges Passwort lässt sich mit modernen Tools in etwa 17 Sekunden knacken.

Die finanziellen Folgen sind gravierend. Comcast zahlte 108 Millionen Euro nach einem Datenleck mit 31,7 Millionen betroffenen Kunden. Fidelity einigte sich auf 2,3 Millionen Euro nach einem Sicherheitsvorfall im August 2024.

Mitte Mai traf eine Phishing-Welle europäische Finanzinstitute – darunter DKB, Deutsche Bank und Volksbanken. Die Angreifer versendeten täuschend echte E-Mails mit dem Betreff, dass Identitätsanträge ausliefen.

KI als neue Bedrohungsdimension

Das Bundeskriminalamt registrierte 2024 rund 6.600 Fälle von KI-gestützter Stimmklonung bei sogenannten Schockanrufen. KI-generierte Phishing-Mails sind kaum noch von legitimer Unternehmenskommunikation zu unterscheiden.

Die Gegenmaßnahmen laufen auf Hochtouren. Android 17 wird einen „Diebstahlerkennungssperre“ und verifizierte Finanzanrufe einführen. Einmalpasswörter sollen drei Stunden lang verborgen bleiben, um Abfangen zu verhindern. Samsung veröffentlichte am 15. Mai ein Sicherheitsupdate für die Galaxy-S26-Reihe.

Angesichts der rasant steigenden Angriffe durch Banking-Trojaner und KI-generiertes Phishing reicht ein einfacher Basisschutz für mobile Geräte oft nicht mehr aus. Sichern Sie Ihr Android-Smartphone mit fünf praxiserprobten Maßnahmen effektiv gegen Hacker, Viren und Datenmissbrauch ab. Gratis-Sicherheitspaket für Android anfordern

Der Weg in die post-quantische Ära

Bis 2030 könnten klassische Verschlüsselungsmethoden wie SHA-256 und RSA verboten werden – die Standards für Post-Quantum-Kryptografie wurden bereits im August 2024 finalisiert. Zertifikatsstellen verkürzen die Lebensdauer von TLS-Zertifikaten drastisch: von knapp 400 Tagen auf nur noch 47 Tage bis 2029.

Am 8. September 2026 endet der support für Android 5.0 und iOS 13 – Unternehmen müssen ihre Migration beschleunigen. Die Einführung von Passkeys in Microsoft Entra External ID Ende Mai ist ein erster Schritt in einer notwendigen Entwicklung.

Sicherheitsexperten empfehlen einen mehrschichtigen Ansatz: Echtzeit-Transaktionsüberwachung, mobile Kontrollen und Schulungen der Mitarbeiter zur Erkennung KI-generierter Angriffe bleiben unverzichtbar. Die kommenden Monate werden zeigen, ob die Branche den Spagat zwischen Benutzerfreundlichkeit und robuster Sicherheit meistert.

de | wissenschaft | 69358199 |