Passkeys ab September: Microsoft ersetzt Passwörter durch Hardware-Authentifizierung
Veröffentlicht: 18.07.2026 um 21:13 Uhr, Redaktion boerse-global.de
Eine Untersuchung des Organized Crime and Corruption Reporting Project (OCCRP) vom 17. Juli hat alarmierende Verbindungen zwischen einem spanischen Passwort-Manager und russischen Sicherheitsbehörden aufgedeckt. Der Dienst Passwork, der von europäischen öffentlichen Auftraggebern genutzt wird, teilt offenbar organisatorische Ursprünge und synchronisierte Software-Update-Pfade mit einem russischen Pendant, das von Moskauer Sicherheitsbehörden zertifiziert wurde.
Passwork selbst bestreitet eine aktuelle Verbindung zu dem russischen Unternehmen. Dennoch fordern Experten europäische Behörden auf, bestehende Verträge zu prüfen und Software-Update-Mechanismen zu auditieren. Die Gefahr von Lieferketten-Angriffen sei real.
KI bekommt Zugriff auf Passwörter
Während klassische Passwortverwaltung unter Beschuss gerät, gehen Unternehmen neue Wege. Anthropic gab heute eine Partnerschaft mit 1Password bekannt: Der KI-Assistent Claude soll künftig auf gespeicherte Anmeldedaten zugreifen können – etwa um Reisen zu buchen oder online einzukaufen. Entscheidend: Das System gibt keine Klartext-Passwörter an die KI weiter.
Jede Aktion erfordert eine biometrische Freigabe, die Berechtigung erlischt sofort nach Abschluss der Aufgabe. Branchenkenner warnen jedoch vor den Risiken des sogenannten „agentic Commerce", bei dem KI-Agenten eigenständig Transaktionen durchführen. Indirekte Prompt-Injection-Angriffe könnten Anmeldedaten offenlegen, wenn keine robuste Betrugsprävention und Multi-Faktor-Authentifizierung (MFA) vorhanden sind.
Angesichts der zunehmenden Vernetzung und neuer KI-Schnittstellen wird der Schutz Ihrer digitalen Konten wichtiger denn je. Wie Sie Ihre Anmeldungen bei Amazon, Microsoft oder WhatsApp ohne Sicherheitsrisiken modernisieren, erklärt dieser kostenlose Ratgeber. Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll?
Kameras und Behörden: Datenleck in Milliardenhöhe
Besonders brisant: Rund zehn Millionen Nutzer von TP-Link Kasa Smart-Kameras waren von schwerwiegenden Sicherheitslücken betroffen. Die Schwachstellen CVE-2026-13230 und CVE-2026-9770, die seit 2020 existierten, ermöglichten die Preisgabe von GPS-Koordinaten. Zudem waren fest codierte RSA-Schlüssel auf allen Geräten identisch. Erst mit Firmware-Version 2.4.1 wurden die Lücken geschlossen.
Noch gravierender fiel ein Vorfall bei der US-Behörde CISA aus. Ein Mitarbeiter des Auftragnehmers Nightwing lud interne Zugangsdaten, Klartext-Passwörter und AWS GovCloud-Schlüssel auf ein öffentliches GitHub-Repository hoch – inklusive Administratorrechte für interne Systeme. Zuvor hatte der Auftragnehmer manuell die standardmäßigen Sicherheitsmaßnahmen deaktiviert.
Die Konsequenz: CISA verschärft die Sicherheitsanforderungen für Auftragnehmer. Regelmäßige Passwort-Scans und Hardware-Sicherheitsschlüssel werden jetzt Pflicht.
Phishing auf neuem Niveau
Das FBI warnt vor einer neuen Bedrohung: Der Phishing-as-a-Service-Dienst Kali365 zielt auf Microsoft-365-Nutzer ab. Die Methode nutzt Gerätecode-Login-Sequenzen, um MFA zu umgehen, und verschafft sich über OAuth-Tokens dauerhaften Zugriff auf Konten.
Allein zwischen Januar und März 2026 wurden bei einer Kampagne namens UNK_pyreq2323 über 700.000 gefälschte OAuth-Client-IDs eingesetzt – sie traf mehr als eine Million Konten in 4.000 Unternehmen. Eine weitere Welle Ende 2025, UNK_OutFlareAZ, richtete sich gegen zwei Millionen Nutzer mit 3,7 Millionen gefälschten IDs. Die Täter können gestohlene Passwörter validieren, ohne klassische Anmeldeprotokolle zu generieren – für Sicherheitsteams wird die Erkennung extrem erschwert.
Phishing-Methoden werden immer raffinierter und machen selbst vor der Multi-Faktor-Authentifizierung nicht halt. Erfahren Sie in diesem kostenlosen Report, wie Sie durch passwortlose Anmeldung den Hackern keine Angriffsfläche mehr bieten. Sicher, bequem und passwortlos – So funktionieren Passkeys
Der Abschied vom Passwort
Die anhaltenden Risiken beschleunigen den Umstieg auf passwortlose Verfahren. Microsoft Entra ID kündigte an, ab dem 1. September 2026 Passkeys zur Standard-Authentifizierungsmethode zu machen. Statt Passwörtern kommen dann hardwaregestützte Anmeldedaten zum Einsatz, die bewusste menschliche Zustimmung erfordern.
Der LastPass-Vorfall von 2022 bleibt dabei das abschreckende Beispiel: Obwohl die Verschlüsselung für viele der 30 Millionen gestohlenen Tresore hielt, wurden Nutzer mit schwachen Master-Passwörtern geknackt. Die Folge: geschätzte 150 Millionen Euro an Kryptowährungs-Diebstählen. Aktuelle Empfehlungen für den Schutz digitaler Vermögenswerte setzen daher auf Hardware-Wallets und physische Backups von Wiederherstellungsphrasen – als Schutz auch vor der Insolvenz des Anbieters.
Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.
