Passwort-Ära endet: Microsoft kündigt SMS-Codes für 2FA auf

Digitale Bedrohungen eskalieren weltweit – von Phishing-Kampagnen bis zu KI-gesteuerten Angriffen. Deutsche Nutzer sind genauso betroffen wie der Rest der Welt.

Der Kampf um die Sicherheit digitaler Identitäten hat eine neue Eskalationsstufe erreicht. Gleich mehrere Vorfälle und Studien der vergangenen Tage zeichnen ein düsteres Bild: Hacker werden schneller, raffinierter – und nutzen zunehmend Künstliche Intelligenz für ihre Angriffe. Der jüngste Verizon Data Breach Investigations Report (DBIR) 2026 liefert die Zahlen: Erstmals überholt die Ausnutzung von Sicherheitslücken (31 Prozent) gestohlene Zugangsdaten (13 Prozent) als häufigste Eintrittspforte für Datenlecks.

Microsoft zieht die Reißleine bei SMS

Der Tech-Riese Microsoft hat Konsequenzen gezogen. Das Unternehmen kündigte an, SMS-Codes für die Zwei-Faktor-Authentifizierung (2FA) bei persönlichen Microsoft-Konten schrittweise abzuschaffen. Die Begründung ist deutlich: SMS gelten als eine der Hauptquellen für Betrug. Nutzer sollen künftig auf sicherere Alternativen wie Passkeys, Authenticator-Apps oder verifizierte sekundäre E-Mail-Adressen umsteigen. Passkeys, die auf gerätegebundenen kryptografischen Schlüsseln basieren, gelten als die Zukunft einer passwortlosen Authentifizierung.

Angesichts von rund 4,7 Millionen gehackten Online-Konten pro Quartal in Deutschland ist der Umstieg auf moderne Sicherungsverfahren wie Passkeys für jeden Internetnutzer ratsam. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Technologie bei Amazon, Microsoft und WhatsApp sofort einrichten und Passwort-Stress dauerhaft vermeiden. Sicher, bequem und passwortlos – Gratis-Report jetzt herunterladen

Hintergrund sind die bekannten Schwachstellen der SMS-basierten Authentifizierung: Phishing und SIM-Swapping – also das Umleiten der Handynummer auf eine fremde SIM-Karte – machen diese Methode zunehmend angreifbar.

Edge-Sicherheitslücke: Microsoft rudert zurück

Parallel dazu korrigierte Microsoft eine frühere Entscheidung zu einer Sicherheitslücke im hauseigenen Browser Edge. Seit dem 14. Mai verhindert ein Update (Build 148+), dass gespeicherte Passwörter beim Start im Klartext in den Arbeitsspeicher geladen werden. Der Sicherheitsforscher Tom Jøran Sønstebyseter Rønning hatte nachgewiesen, dass alle im integrierten Passwort-Manager von Edge gespeicherten Anmeldedaten beim Start entschlüsselt wurden und im Speicher verblieben – selbst wenn sie gar nicht genutzt wurden. Microsoft hatte dieses Verhalten zunächst als „absichtlich so gewollt" eingestuft.

Malware-Alarm: „JSceal" und „Reaper" im Visier

Die thailändische Polizei warnte am 18. Mai vor der Schadsoftware „JSceal", die es Hackern ermöglicht, Windows-Computer fernzusteuern, Geld zu überweisen und Kryptowährungen zu stehlen. Fast zehn Opfer verloren bereits umgerechnet über 250.000 Euro. Besonders perfide: Die Malware kann Einmalpasswörter (OTPs) abfangen, die über Google Messages auf das Smartphone gesendet werden – vorausgesetzt, das Mobiltelefon ist mit dem infizierten Rechner synchronisiert.

Auch macOS-Nutzer sind nicht sicher. Die Schadsoftware „Reaper" stiehlt Passwörter und Kryptowallet-Daten.

Angriffswelle auf Cloud-Identitäten

Die Hackergruppe „Storm-2949" setzte auf Social Engineering und missbrauchte die Self-Service-Funktion zur Passwortzurücksetzung (SSPR), um Cloud-Identitäten zu kompromittieren. Die Angreifer erbeuteten Daten aus Microsoft 365, Azure Key Vaults und Storage-Konten. Dabei kamen auch gezielte Zero-Day-Lücken in Windows zum Einsatz. Ein Forscher soll seit April 2026 aus persönlicher Verärgerung über Microsoft sechs Windows-Zero-Days veröffentlicht haben.

Datenlecks: 7-Eleven und Finanzamt betroffen

Die Reihe der Datenpannen reißt nicht ab. Bei 7-Eleven entdeckte man am 8. April einen Einbruch. Die Gruppe ShinyHunters behauptet, über 600.000 Datensätze aus einer Salesforce-Umgebung gestohlen zu haben. Am 17. April wurden 9,4 Gigabyte Daten veröffentlicht, darunter Franchise-Unterlagen.

In Irland wurden 137 Mitarbeiter der Steuerbehörde Opfer eines Datenlecks nach einem Ransomware-Angriff auf den Technologiedienstleister Pitney Bowes. Verhandlungen scheiterten, Daten wurden teilweise online gestellt.

Das US-Unternehmen Excelas (Ocelot Ventures) meldete unbefugten Zugriff auf seine Systeme zwischen dem 27. November und 3. Dezember 2025. Betroffen sind Namen, Sozialversicherungsnummern und medizinische Informationen. Die Benachrichtigung der Betroffenen begann am 12. Mai.

Alte UPI-IDs: Vergessene Sicherheitslücke auf dem Smartphone

Eine aktuelle Studie zeigt: Alte, ungenutzte UPI-IDs (ein in Indien verbreitetes Bezahlsystem) können auch nach der Deinstallation der dazugehörigen App aktiv bleiben. Besonders bei recycelten Telefonnummern drohen SIM-Swap-Angriffe und unbefugte Transaktionen. Nutzer sollten Bankkonten aktiv trennen, UPI-IDs löschen und AutoPay-Mandate kündigen.

KI beschleunigt Angriffe – Abwehr hinkt hinterher

Der Verizon DBIR 2026 liefert alarmierende Details: Künstliche Intelligenz verkürzt das Zeitfenster für die Abwehr von Angriffen von Monaten auf Stunden. Mobile Social-Engineering-Angriffe sind 40 Prozent erfolgreicher als klassische E-Mail-Phishing-Versuche. Die Beteiligung Dritter an Sicherheitsvorfällen stieg um 60 Prozent – in 48 Prozent aller Vorfälle sind mittlerweile Dritte involviert.

Die traurige Bilanz: Nur 26 Prozent aller kritischen Sicherheitslücken werden vollständig geschlossen. Die durchschnittliche Zeit bis zur Behebung beträgt 43 Tage.

Verbraucher: Besorgt, aber oft ahnungslos

Eine Umfrage aus 22 Ländern (Februar bis April 2026) zeigt: Nur 71 Prozent der Befragten weltweit sind sich der Bedeutung von Datenschutz überhaupt bewusst – in einigen Regionen liegt der Wert deutlich niedriger. In Südkorea zahlen 67 Prozent der Menschen für Cybersicherheitslösungen, doch 49 Prozent misstrauen den Institutionen.

Ein Whitepaper von Visa vom 19. Mai offenbart: Nur 11 Prozent der Verbraucher verstehen, wie ihre Daten verwendet werden. 85 Prozent sorgen sich vor unbefugtem Zugriff.

F-Secure brachte am selben Tag eine neue Schutzlösung für das Zeitalter der KI-Agenten auf den Markt. Grund: 84 Prozent der Verbraucher befürchten, dass KI es unmöglich macht, echte von gefälschten Informationen zu unterscheiden.

Was bedeutet das für deutsche Nutzer?

Der Abschied von SMS-basierten Authentifizierungsverfahren steht auch hierzulande bevor. Nutzer von Microsoft-Konten sollten sich frühzeitig auf Passkeys oder Authenticator-Apps umstellen. Die zunehmende Bedrohung durch KI-gestützte Angriffe erfordert ein Umdenken: Regelmäßige Updates, kritische Prüfung unerwarteter Nachrichten und der Einsatz von Passwort-Managern sind kein Luxus mehr, sondern Grundausstattung. Und eines ist klar: Der Kampf um die digitale Identität wird nicht leiser – er wird lauter.

Da Hacker und Viren immer raffinierter werden, reicht einfaches Aufpassen auf dem Smartphone nicht mehr aus. Dieser kostenlose Ratgeber zeigt Android-Nutzern in 5 einfachen Schritten, wie sie ihr Gerät effektiv vor unbefugtem Datenzugriff schützen können. Kostenlosen Sicherheits-Ratgeber jetzt sichern

de | wissenschaft | 69375549 |