Passkeys erobern die digitale Welt: 5 Milliarden Zugänge im Einsatz

Das britische National Cyber Security Centre (NCSC) empfahl in dieser Woche Bürgern und Unternehmen den Umstieg auf Passkeys – und reiht sich damit in eine globale Bewegung ein. Der Grund: Herkömmliche Zugangsdaten sind zunehmend chancenlos gegen moderne Cyberangriffe.

Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland ist der Wechsel zu modernen Sicherheitsstandards wichtiger denn je. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Passkey-Technologie bei Diensten wie Amazon, Microsoft und WhatsApp sofort einrichten und so Hackerangriffe effektiv verhindern. Jetzt kostenlosen Passkey-Ratgeber sichern

Laut der FIDO Alliance sind weltweit bereits rund 5 Milliarden Passkeys im aktiven Einsatz. Die Zahlen sind alarmierend: Von 231 Millionen geleakten Passwort-Hashes lassen sich 60 Prozent in weniger als einer Stunde knacken. Phishing bleibt für 67 Prozent aller Unternehmen eine permanente Bedrohung. Die Lösung: domain-gebundene Passkeys, die gegen klassischen Identitätsdiebstahl immun sind.

Tech-Giganten treiben den Wandel voran

Die großen Digitalkonzerne machen Tempo. Amazon meldet für 2026 bereits 456 Millionen Nutzer, die passwortlos einloggen – ein Anstieg von 75 Prozent im Vergleich zum Vorjahr. Microsoft treibt die Entwicklung noch aggressiver voran: 99,6 Prozent der eigenen Mitarbeiter nutzen mittlerweile phishing-resistente Authentifizierung.

Der Druck kommt nicht von ungefähr. Allein im ersten Quartal 2026 registrierten Sicherheitsexperten 8,3 Milliarden Phishing-Versuche weltweit. Besonders betroffen sind kleinere Dienstleister. In der Schweiz reagierte der Softwareanbieter Bexio mit einer drastischen Maßnahme: Nach einer Phishing-Welle, bei der Hacker Konten kaperten und Bankdaten änderten, führte das Unternehmen für alle 100.000 Kunden die Zwei-Faktor-Authentifizierung (2FA) ein. Die internen Systeme von Bexio blieben zwar sicher – doch die von Kunden verwalteten Passwörter erwiesen sich als Einfallstor.

Microsoft zieht ebenfalls Konsequenzen. Ab Januar 2027 sollen Passwort-Zurücksetzungen über Sicherheitsfragen in Entra ID abgeschafft werden. Die Ära der „Mutter-Mädchenname"-Abfragen geht damit zu Ende.

Die Synchronisationsfalle: Zwischen Komfort und Sicherheit

So überzeugend die Sicherheitsvorteile von Passkeys sind – die technische Umsetzung hakt noch. Sicherheitsanalyst Andrew Agarwal weist auf ein zentrales Problem hin: Nur Drittanbieter-Manager behandeln derzeit alle Geräte als eine einzige Synchronisationseinheit.

Die großen Ökosysteme bieten unterschiedliche Lösungen:

• iCloud Keychain bleibt weitgehend auf Apple-Geräte beschränkt, eine Beta-Exportfunktion über CXF ist in Entwicklung
• Google Password Manager nutzt Ende-zu-Ende-Verschlüsselung für Android und Chrome
• Unabhängige Anbieter wie 1Password und Proton Pass bieten plattformunabhängige Synchronisation – gegen monatliche Gebühr

Eine Untersuchung der Google-Authenticator-Passkey-Architektur aus Mai 2026 offenbarte zudem Risiken der Cloud-Synchronisation. Zwar sind Passkeys resistent gegen klassisches Phishing – doch die Kompromittierung eines zentralen Anbieterkontos könnte das gesamte synchronisierte Ökosystem gefährden. Organisationen wie Keeper Security plädieren daher für Zero-Knowledge-Modelle und das Prinzip der geringsten Privilegien.

KI-gestützte Angriffe und der „Quishing"-Trend

Während die Sicherheitsbranche auf Passkeys setzt, rüsten Cyberkriminelle mit Künstlicher Intelligenz auf. Ein Bericht von F-Secure zeigt: Über 50 Prozent der Verbraucher werden monatlich mit Betrugsversuchen konfrontiert – in 89 Prozent der Fälle nutzen die Angreifer KI zur Optimierung ihrer Köder. 40 Prozent aller Phishing-E-Mails tragen inzwischen KI-Handschrift und sind für Laien kaum noch von echten Nachrichten zu unterscheiden.

Besonderes besorgniserregend: „Quishing" – Phishing per QR-Code. Die Angriffe stiegen im ersten Quartal 2026 um 146 Prozent auf rund 18 Millionen Fälle. Die Täter umgehen damit klassische E-Mail-Filter und locken Nutzer auf gefälschte Login-Seiten.

Ironischerweise hat Google mit seinem aktualisierten reCAPTCHA selbst zu dieser Entwicklung beigetragen. Seit Mai 2026 ersetzt das System klassische Bilderrätsel durch QR-Code-Scans – eigentlich eine Sicherheitsverbesserung. Doch die Neuerung setzt Google Play Services Version 25.41.30 voraus. Das schließt über 400.000 Nutzer Google-freier Android-Varianten wie GrapheneOS oder LineageOS aus – sie verlieren den Zugang zu zahlreichen Webdiensten.

Phishing und KI-gestützte Angriffe zielen immer häufiger auf die mobilen Endgeräte der Nutzer ab. Wie Sie Ihr Android-Smartphone in nur wenigen Minuten mit 5 einfachen Schritten gegen Hacker und Datenmissbrauch absichern, erfahren Sie in diesem kostenlosen Fach-Ratgeber. Gratis-Sicherheits-Checkliste für Smartphones jetzt anfordern

Deutschland: Wahrnehmungslücke bei Cyberrisiken

Der Cybersecurity Monitor 2026, ein gemeinsamer Bericht von BSI und ProPK, offenbart ein deutsches Dilemma: 11 Prozent der Internetnutzer wurden im vergangenen Jahr Opfer von Cyberkriminalität. 88 Prozent erlitten Schäden, 33 Prozent direkte finanzielle Verluste. Dennoch schätzt mehr als die Hälfte der Bevölkerung ihr persönliches Risiko als gering ein.

Diese Wahrnehmungslücke wird durch immer neue Betrugsmethoden ausgenutzt:

• Behörden- und Rechts-Scams: Das Maricopa County Superior Court in den USA warnte vor gefälschten E-Mails, die Zahlungen für Verkehrsverstöße per QR-Code oder Kryptowährung forderten
• Steuerbetrug: Die US-Steuerbehörde IRS meldete eine zweistufige Betrugsmasche mit gefälschten Umfragen
• Universitätsangriffe: An der University of Minnesota zielten Kampagnen auf Studenten-E-Mail-Konten zur Umleitung von Studiengebühren

Selbst die Multi-Faktor-Authentifizierung ist nicht mehr sicher: Angreifer umgehen sie zunehmend durch Man-in-the-Middle-Attacken. Sicherheitsbehörden sind sich einig: Passkeys sind der vielversprechendste langfristige Schutz.

Ausblick: Der Weg bis 2031

Der Umstieg auf Passkeys ist Teil einer größeren Strategie. In Deutschland plant die Bundesregierung für die zweite Jahreshälfte 2026 den Neustart eines PIN-Reset-Dienstes für die elektronische Patientenakte (ePA) – eine entscheidende Voraussetzung für den Start der European Digital Identity (EUDI) Wallet im Januar 2027.

Doch schon zeichnen sich neue Gefahren ab. Das BSI warnt eindringlich vor Quantencomputern, die aktuelle Verschlüsselungsstandards in wenigen Jahren obsolet machen könnten. Die Behörde empfiehlt eine vollständige Umstellung auf Post-Quantum-Kryptographie (PQC) bis 2031.

Bis dahin bleibt die Industrie gefordert, hohe Sicherheitsstandards mit Benutzerfreundlichkeit zu verbinden. Zwar blockiert MFA über 99 Prozent unautorisierter Zugriffsversuche – doch Komplexität und Kosten der Implementierung bleiben Hürden für viele Unternehmen. Der Abschied vom Passwort ist eingeläutet. Die Frage ist nicht mehr ob, sondern wie schnell er gelingt.

de | wissenschaft | 69307286 |