Microsoft schafft SMS-Bestätigung für Privatkonten ab

Der Software-Riese ersetzt die veraltete Authentifizierung durch Passkeys und biometrische Verfahren – ein Schritt, der Millionen Nutzer betrifft.

Microsoft zieht einen Schlussstrich unter die SMS-Verifikation. Seit Ende Mai 2026 ist die textbasierte Zwei-Faktor-Authentifizierung für persönliche Konten Geschichte. Betroffen sind zentrale Dienste wie Windows 11, Xbox, Outlook und OneDrive. Der Konzern reagiert damit auf die zunehmende Bedrohung durch SIM-Swapping und raffinierte Phishing-Angriffe, bei denen Kriminelle Telefonnummern auf eigene Geräte umleiten oder Codes über gefälschte Websites abfangen.

Da Passwörter und SMS-Codes zunehmend durch moderne Verfahren ersetzt werden, bietet dieser kostenlose Report eine praktische Anleitung für den sicheren Umstieg. Erfahren Sie, wie Sie die neue Technologie bei Diensten wie Microsoft oder Amazon einrichten und künftig ohne Passwort-Stress surfen. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Der Aufstieg der Passkeys

Die Zukunft der Sicherheit liegt auf dem Gerät selbst. Microsoft setzt künftig auf Passkeys, die entweder per biometrischem Scan (Fingerabdruck oder Gesichtserkennung) oder einer PIN freigeschaltet werden. Auch die Microsoft Authenticator-App bleibt als Alternative erhalten. Für Geschäfts- und Schulkonten gilt die Änderung vorerst nicht – doch Sicherheitsexperten raten allen Nutzern, wo immer möglich auf SMS zu verzichten.

Der Zeitpunkt ist kein Zufall: Branchenbeobachter verzeichnen eine nie dagewesene Welle KI-gestützter Cyberkriminalität. Rund 86 Prozent aller Phishing-Kampagnen werden inzwischen von künstlicher Intelligenz angetrieben. Täglich werden schätzungsweise 3,4 Milliarden Phishing-E-Mails verschickt – eine Zahl, die selbst erfahrene Sicherheitsfachleute erschaudern lässt.

Neben Passkeys empfehlen Experten auch zeitbasierte Einmalpasswörter (TOTP) und Hardware-Sicherheitsschlüssel als aktuellen Goldstandard für den Unternehmenseinsatz. Diese Methoden senken das Risiko erfolgreicher Kontodiebstähle im Vergleich zu SMS drastisch.

Kritische Lücke im Microsoft Authenticator

Ausgerechnet das Tool, das die Sicherheit erhöhen soll, geriet selbst ins Visier von Angreifern. Anfang der Woche entdeckten Forscher eine schwerwiegende Schwachstelle in der Microsoft Authenticator-App. Die als CVE-2026-41615 gelistete Sicherheitslücke erreicht einen CVSS-Score von 9,6 – die zweithöchste Bedrohungsstufe überhaupt. Angreifer könnten damit Zugriffstoken stehlen und die Mehrfaktor-Authentifizierung (MFA) komplett umgehen.

Microsoft reagierte umgehend und veröffentlichte am 20. Mai 2026 Notfall-Updates. Android-Nutzer benötigen mindestens Version 6.2605.2973, iOS-Anwender müssen auf Version 6.8.47 aktualisieren. Die Dringlichkeit ist enorm: Schätzungsweise 75 Millionen Organisationen könnten betroffen sein, wenn ihre Mitarbeiter die Patches nicht einspielen.

Der Vorfall zeigt das unerbittliche Katz-und-Maus-Spiel zwischen Sicherheitsentwicklern und Cyberkriminellen. Selbst Werkzeuge, die dem Schutz dienen, werden zunehmend zum Angriffsziel. Die Bedrohungslage verschärft sich zusätzlich durch einen explosionsartigen Anstieg von Banking-Malware – allein im ersten Quartal 2026 stiegen die Fälle um knapp 200 Prozent auf 1,24 Millionen gemeldete Vorfälle. Hinzu kommt die erste Android-Schadsoftware mit integriertem KI-Modell, die von Forschern auf den Namen PromptSpy getauft wurde.

Schwachstellen-Ausnutzung überholt Passwortdiebstahl

Die Sicherheitslandschaft verändert sich grundlegend. Der aktuelle Verizon Data Breach Investigations Report offenbart einen historischen Wendepunkt: Die Ausnutzung von Software-Schwachstellen hat den Diebstahl von Zugangsdaten als häufigste Einbruchsquelle abgelöst. 31 Prozent aller Datenlecks beginnen nun mit ungepatchten Sicherheitslücken – ein deutlicher Anstieg von 20 Prozent im Vorjahr.

Doch die Unternehmen hinken hinterher. Nur 26 Prozent der kritischen Schwachstellen, die von der US-Cybersicherheitsbehörde CISA gemeldet wurden, waren im gesamten Jahr 2025 vollständig gepatcht. Die durchschnittliche Zeit bis zur Installation eines Sicherheitsupdates stieg auf 43 Tage – ein gefährliches Zeitfenster, das Angreifer zunehmend mit KI-Unterstützung nutzen, um Schwachstellen schneller zu identifizieren.

Die Komplexität moderner digitaler Ökosysteme zeigte sich auch am 20. Mai 2026 bei Meta. Zahlreiche Nutzer berichteten, dass sie nicht mehr per Webbrowser oder Desktop-App auf WhatsApp zugreifen konnten. Ein Authentifizierungsfehler in Metas Infrastruktur führte zu einer Endlosschleife auf den Facebook-Loginseiten – besonders betroffen waren Anwender, die Passkeys nutzten. Der Vorfall verdeutlicht die technischen Hürden bei der Integration komplexer Kontostrukturen über mehrere Plattformen hinweg.

Verteidigung auf mehreren Fronten

Angesichts der massiv steigenden Fälle von Banking-Malware und Phishing ist der Schutz des Smartphones wichtiger denn je. Ein kostenloser PDF-Ratgeber zeigt Ihnen fünf einfache Maßnahmen, mit denen Sie Ihr Gerät in wenigen Minuten gegen Hacker absichern. 5 Sicherheits-Maßnahmen für Ihr Smartphone entdecken

Während Microsoft auf Biometrie setzt, experimentieren andere Branchen mit maßgeschneiderten Lösungen. Mitte Mai 2026 führte die HDFC Bank ein „Double-OTP"-System speziell für Senioren ein. Dabei müssen Überweisungen sowohl vom Kontoinhaber als auch von einer vertrauten Vertrauensperson freigegeben werden – ein Schutznetz gegen digitalen Betrug und sogenannte „Digital-Arrest"-Maschen.

Auch Kommunikationsplattformen ziehen nach. Der Messenger Signal führte am 20. Mai 2026 mehrere neue Schutzmaßnahmen ein: deutliche Warnhinweise bei unbestätigten Profilnamen und zusätzliche Bestätigungsschritte für Nachrichtenanfragen unbekannter Absender. Signal betonte, dass die technische Sicherheit unverändert sei – doch die Maßnahmen zeigen, dass gezielte Reibung in der Benutzeroberfläche ein wirksames Mittel gegen Social Engineering sein kann.

Die rechtlichen Rahmenbedingungen entwickeln sich ebenfalls weiter. In den USA traten 2025 mehrere neue Datenschutzgesetze auf Bundesstaatsebene in Kraft, darunter strenge Regelungen in Maryland, die bestimmte Formen KI-gesteuerter Zielgruppenansprache verbieten. Die US-Handelsbehörde FTC startete zudem am 19. Mai 2026 ein Portal, über das Nutzer Plattformen melden können, die nicht einvernehmliche intime Bilder nicht innerhalb von 48 Stunden entfernen – wie es neue Gesetze vorschreiben.

Ausblick: Das Ende der SMS-Ära

Die Abkehr von der SMS-Verifikation wird sich im Laufe des Jahres 2026 weiter beschleunigen. Passkeys gelten als phishing-resistente Authentifizierung, doch die jüngsten Meta-Probleme zeigen: Der Umstieg erfordert stabile Backend-Infrastrukturen. Für Unternehmen rückt das Exposure Management in den Fokus – eine Strategie, die priorisiertes Patchen auf Basis aktuell ausgenutzter Schwachstellen empfiehlt.

Die Explosion KI-gesteuerter Angriffe – belegt durch einen Anstieg von 442 Prozent bei Vishing (Sprachanruf-Phishing) in der zweiten Jahreshälfte 2024 – wird weitere Unternehmen zwingen, Microsofts Weg zu biometrischen Sicherheitsmodellen zu folgen. Experten erwarten, dass mit der zunehmenden Verbreitung von Passkeys und Hardware-Authentifizierung die Einstiegshürde für einfaches Phishing steigt – Angreifer werden sich dann verstärkt auf Zero-Day-Schwachstellen in der Authentifizierungssoftware selbst konzentrieren.

de | wissenschaft | 69382384 |