Microsoft und Google treiben das Ende der Passwort-Ära voran

Der Kampf gegen KI-gestützte Phishing-Angriffe zwingt Tech-Giganten zu radikalen Sicherheitsumstellungen. Microsoft verabschiedet sich von SMS-Codes, Google setzt auf KI-Assistenten.

Die Bedrohungslage im digitalen Raum hat sich dramatisch verschärft. Täglich werden rund 3,4 Milliarden Phishing-E-Mails versendet – über 80 Prozent davon mittlerweile von Künstlicher Intelligenz generiert. Für deutsche Verbraucher und Unternehmen bedeutet das: Herkömmliche Sicherheitsmethoden wie SMS-TANs sind kaum noch zeitgemäß. Microsoft hat deshalb diese Woche angekündigt, die SMS-basierte Zwei-Faktor-Authentifizierung für Privatkonten schrittweise abzuschaffen.

Angesichts von über 4 Millionen gehackten Konten pro Quartal in Deutschland wird der Umstieg auf sicherere Anmeldeverfahren immer dringlicher. Dieser kostenlose PDF-Ratgeber erklärt Ihnen, wie Sie Passkeys einrichten und sich bei Amazon oder WhatsApp künftig ohne Passwort-Stress schützen. Passkeys einrichten und Konten absichern

Microsofts Abschied von der SMS-TAN

Der Umstieg auf sicherere Verfahren erreichte Mitte Mai 2026 einen entscheidenden Punkt. Microsoft bestätigte, dass persönliche Konten – darunter Xbox, Windows 11, Outlook und OneDrive – künftig nicht mehr auf SMS-Codes zur Verifizierung setzen. Sicherheitsforscher hatten die Methode lange als Schwachstelle identifiziert: Angreifer können Nachrichten abfangen oder Telefonnummern auf ihre eigenen Geräte umleiten (SIM-Swapping).

Als Ersatz drängt Microsoft auf Passkeys, die mit biometrischen Daten oder hardwarebasierten PINs arbeiten, sowie auf die Microsoft Authenticator-App. Apple und Google verfolgen ähnliche Strategien – die Branche einigt sich auf einen gemeinsamen Standard für digitale Identitäten.

Doch der Wechsel birgt Tücken. Technische Analysten weisen auf Kompatibilitätsprobleme in virtuellen Maschinen hin, was bestimmte Arbeitsabläufe erschweren könnte. Parallel dazu schloss Microsoft eine Sicherheitslücke im Edge-Browser: Mit Build 148.0.3967.70 vom 15. Mai verhindert der Konzern, dass gespeicherte Passwörter im Klartext in den Systemspeicher geladen werden – ein Einfallstor, das zuvor lokale Angriffe ermöglichte.

Googles KI-Offensive im Handel

Während Microsoft seine Infrastruktur sichert, treibt Google die Integration generativer KI voran. Auf der Entwicklerkonferenz Google I/O am 19. Mai 2026 verkündete der Konzern, dass seine Gemini-Anwendung 900 Millionen monatliche Nutzer erreicht hat. Zu den Neuerungen gehört ein „Universal Cart“ – ein geräteunabhängiges Einkaufswerkzeug, das im Sommer erscheinen soll. Hinzu kommt „Gemini Spark“, ein proaktiver KI-Agent für komplexe Aufgaben.

Diese Fortschritte im E-Commerce sollen die Kette von der Suche bis zum Kauf optimieren. Sie schaffen jedoch auch neue Angriffsflächen, die gegen zunehmend automatisierte Bedrohungen verteidigt werden müssen.

Die wachsende Gefahr durch KI-Phishing

Die schnelle Integration von KI in Verbrauchertools spiegelt sich bei Angreifern wider. Der Cisco Talos Report für das erste Quartal 2026 identifiziert KI-gestütztes Phishing als größte Bedrohung für Unternehmen. Phishing habe technische Exploits als primären Zugangsvektor abgelöst. Rund 35 Prozent erfolgreicher Angriffe nutzen demnach Schwachstellen in der Multi-Faktor-Authentifizierung aus.

Die Angreifer arbeiten professionell: „Phishing-as-a-Service“ (PhaaS) ermöglicht es selbst technisch weniger versierten Kriminellen, Kampagnen zu starten. Barracuda Networks berichtet, dass fast die Hälfte aller bösartigen E-Mail-Aktivitäten mit Phishing zusammenhängt. 90 Prozent der groß angelegten Kampagnen nutzen vorgefertigte PhaaS-Kits. Diese enthalten oft raffinierte Werkzeuge – etwa bösartige PDFs mit QR-Codes, die in 70 Prozent der beobachteten Schad-Dokumente vorkommen. Sie führen Nutzer auf täuschend echte Login-Seiten, die Zugangsdaten in Echtzeit abgreifen.

Im Vereinigten Königreich warnte das National Cyber Security Centre (NCSC) im Mai 2026 vor neuen Kampagnen, die das Gesundheitswesen (NHS), Großbanken und Steuerbehörden imitierten. Daten von UK Finance zufolge überstiegen die Phishing-bedingten Verluste im Land 2025 die Marke von 1,2 Milliarden Pfund.

Phishing-Angriffe werden durch KI-gestützte Methoden und psychologische Tricks wie CEO-Fraud immer gefährlicher für Unternehmen. In 4 Schritten zeigt dieses kostenlose Anti-Phishing-Paket, wie Sie Ihre Mitarbeiter sensibilisieren und Hacker-Abwehr effektiv umsetzen. Anti-Phishing-Paket jetzt kostenlos herunterladen

Handel und Gesundheitswesen unter Druck

Die operativen Folgen werden zunehmend durch juristische Auseinandersetzungen sichtbar. Am 19. Mai 2026 wurde eine Sammelklage gegen Elara Caring eingereicht, einen Pflegedienst aus Dallas. Der Vorwurf: Das Unternehmen habe die Daten von über 100.000 Patienten nach einem erfolgreichen Phishing-Angriff nicht ausreichend geschützt. Solche Fälle verdeutlichen die extreme Verwundbarkeit von Branchen, die mit sensiblen persönlichen und finanziellen Daten arbeiten.

Im Geschäftskundenbereich sorgt der PureLogs-Infostealer für Aufsehen. Fortinet-Forscher entdeckten eine Kampagne, bei der schädliche Nutzlasten in rechnungsähnlichen TXZ-Archiven per E-Mail versendet wurden. Die Angriffe verstecken ihre sekundären Schadprogramme oft in harmlos wirkenden Dateien wie Bilddaten, um Standard-Antivirensoftware zu umgehen.

Die finanziellen Schäden für die Weltwirtschaft steigen. Branchenschätzungen zufolge könnten die Gesamtverluste durch Phishing 2026 rund 25 Milliarden US-Dollar erreichen. Darin enthalten sind Verluste durch „Business Email Compromise“ (BEC), die das FBI zuletzt auf fast 2,8 Milliarden US-Dollar aus über 21.000 Beschwerden in einem einzigen Jahr bezifferte.

„Agentische“ Sicherheit als Antwort

Als Reaktion auf die Automatisierung von Angriffen entsteht ein neuer Sicherheitssektor. Am 19. Mai 2026 verließ die Sicherheitsplattform Ocean mit 28 Millionen US-Dollar Finanzierung unter Führung von Lightspeed Venture Partners die Geheimphase. Gegründet von Shay Shwartz, zuvor bei Iron Dome und HPE, scannt die Plattform mit KI-Agenten Milliarden von E-Mails auf Anzeichen maschinell erzeugten Phishings. Zu den Kunden zählen bereits bekannte Verbrauchermarken wie Kayak und Headspace.

Auch auf architektonischer Ebene verändert sich die Verteidigung. Während gestohlene Zugangsdaten weiterhin ein Hauptproblem darstellen, verzeichnen Cybersicherheitsexperten einen Anstieg der Ausnutzung von Software-Sicherheitslücken um 34 Prozent. Das deutet darauf hin, dass sich der Fokus der Unternehmenssicherheit in Richtung „Zero-Day“-Identifikation und schneller Patches verschiebt. Anthropics nutzt beispielsweise sein KI-Modell „Mythos“, um Tausende bisher unbekannter Software-Fehler zu identifizieren.

Ausblick: Die Zukunft der digitalen Identität

Die zweite Jahreshälfte 2026 wird für die digitale Authentifizierung eine phase des intensiven Umbruchs. Microsofts Abschied von der SMS wird zeigen, wie schnell sich Passkeys und Authenticator-Apps bei Privatnutzern durchsetzen – besonders bei jenen, die an alten Gewohnheiten festhalten.

Die „agentische“ Ära des Internets – in der KI-Assistenten wie Googles Gemini Spark oder Microsofts Agent 365 Aufgaben für Nutzer übernehmen – bringt zudem neue Sicherheitsherausforderungen. Microsofts KI-Chef Mustafa Suleyman prognostiziert, dass KI innerhalb der nächsten 12 bis 18 Monate in vielen Büroberufen menschliches Niveau erreichen könnte. Wenn diese Agenten Finanztransaktionen und sensible Unternehmensdaten verwalten, verschwimmt die Grenze zwischen legitimen automatisierten Anfragen und KI-generierten Phishing-Versuchen zunehmend. Eine grundlegende Neudefinition von digitalem Vertrauen und Verifikation wird unausweichlich.

de | wissenschaft | 69382049 |