Identitätsdiebstahl: Die größte Cyber-Bedrohung des Jahres 2026

Milliarden gestohlener Zugangsdaten kursieren im Darknet, während KI-gestützte Angriffe selbst komplexe Passwörter in Sekunden knacken. Sicherheitsexperten schlagen Alarm: Das traditionelle Passwort ist tot.

68 Prozent aller Passwörter sind in einem Tag geknackt

Die Zahlen sind alarmierend. Forscher von Kaspersky analysierten 231 Millionen geleakte Passwörter aus den Jahren 2023 bis Anfang 2026. Das Ergebnis: 68 Prozent dieser Codes ließen sich innerhalb eines einzigen Tages entschlüsseln. Besonders erschreckend: KI-Algorithmen knacken inzwischen mehr als 20 Prozent aller 15-stelligen Passwörter in weniger als einer Minute.

Angesichts der rasanten Zunahme von Datenlecks und KI-Angriffen ist der Schutz persönlicher Accounts wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie mit einfachen Maßnahmen Ihr Smartphone und Ihre darauf gespeicherten Daten vor Hackern und Kriminalität schützen. 5 Schutzmaßnahmen jetzt entdecken

Die Analyse zeigt zudem fatale Nutzergewohnheiten: 53 Prozent aller Anwender beenden ihre Passwörter mit Ziffern, 17 Prozent beginnen mit ihnen. „Das ist, als würde man die Haustür abschließen, aber den Schlüssel stecken lassen", kommentiert ein Sicherheitsexperte die Lage.

Comcast zahlt 117,5 Millionen – und das ist erst der Anfang

Die finanziellen Folgen werden immer gravierender. Mitte Mai 2026 einigte sich der US-Kabelriese Comcast auf einen Vergleich über 117,5 Millionen Euro. Grund: Ein Datenleck vom Oktober 2023, bei dem die Daten von rund 31,7 Millionen Xfinity-Kunden abgegriffen wurden – darunter Benutzernamen, Passwörter, Geburtsdaten und Sozialversicherungsnummern.

Betroffene können bis zum 14. August 2026 Entschädigungsansprüche geltend machen. Möglich sind bis zu 10.000 Euro für dokumentierte Schäden oder eine Pauschalzahlung von rund 50 Euro. Allein durch Schadsoftware wurden im vergangenen Jahr über eine Milliarde Zugangsdaten gestohlen, wie Sicherheitsfirma Sophos berichtet.

Der Hintergrunddienst National Public Data kämpft derweil mit den Folgen eines gigantischen Lecks: Bis zu 2,9 Milliarden Datensätze gelangten an die Öffentlichkeit. Betroffen sind rund 170 Millionen Menschen in den USA, Großbritannien und Kanada. Microsoft empfiehlt betroffenen Nutzern dringend, Kreditsperren und Betrugswarnungen einzurichten.

Angriff auf OpenAI: Hacker stehlen Entwickler-Zugänge

Doch nicht nur Endverbraucher sind im Visier. Immer häufiger greifen Angreifer die Werkzeuge und Plattformen von Softwareentwicklern an. Mitte Mai 2026 wurde bekannt, dass OpenAI Opfer einer sogenannten Supply-Chain-Attacke wurde. Über Schadsoftware auf zwei Mitarbeiter-Geräten gelangten Angreifer an interne Zugangsdaten.

Zwar betont OpenAI, dass keine Kundendaten oder Produktionssysteme kompromittiert wurden. Dennoch musste das Unternehmen die Signaturzertifikate seiner macOS-Anwendungen – darunter ChatGPT Desktop und Codex – austauschen. Nutzer müssen ihre Software bis zum 12. Juni 2026 aktualisieren.

Eine Gruppe namens TeamPCP hat sich auf die Kompromittierung von CI/CD-Pipelines spezialisiert. Zwischen März und April 2026 startete die Gruppe sieben Angriffswellen auf verschiedene Entwicklungsplattformen. Ziel: GitHub-Tokens, SSH-Schlüssel und Datenbank-Passwörter. In einigen Fällen gelangen den Angreifern sogar Live-API-Aufrufe bei Amazon Web Services.

British Airways im Visier – Linux-Patch nach sechs Jahren

Auch die Luftfahrtbranche bleibt nicht verschont. Am 15. Mai 2026 behauptete die Hackergruppe „Infrastructure Destruction Squad", bei British Airways eingedrungen zu sein. Gestohlen wurden angeblich medizinische Daten von Piloten, Crew-Bewertungen und Zugangsdaten für interne Portale. Die gestohlenen Daten sollen im Darknet für 1.000 Euro zum Verkauf stehen. Die Airline hat den Vorfall bislang nicht offiziell bestätigt.

Auf technischer Ebene gibt es Lichtblicke: Linus Torvalds selbst patchte am 14. Mai 2026 einen sechs Jahre alten Bug im Linux-Kernel. Die Sicherheitslücke „ssh-keysign-pwn" erlaubte lokalen Nutzern ohne Administratorrechte das Auslesen von SSH-Host-Schlüsseln.

Microsofts Mai-Patchday 2026 schloss 138 Sicherheitslücken, darunter 30 als kritisch eingestufte. Besonders bemerkenswert: Microsofts KI-System MDASH identifizierte 16 kritische Windows-Fehler – darunter eine Remote-Code-Ausführung in tcpip.sys – noch bevor Angreifer sie ausnutzen konnten.

BitLocker geknackt: Zero-Day-Exploits bedrohen Windows

Doch die Abwehr bleibt ein Katz-und-Maus-Spiel. Ein Forscher mit dem Pseudonym „Nightmare-Eclipse" veröffentlichte kürzlich einen Zero-Day-Exploit namens YellowKey. Er erlaubt Angreifern mit physischem Zugriff, die BitLocker-Verschlüsselung unter Windows 11 und Server-Systemen zu umgehen – ausgerechnet über die Windows-Wiederherstellungsumgebung.

Ein zweiter Exploit, GreenPlasma, ermöglicht die Ausweitung von Berechtigungen auf die höchste Systemebene. Zudem wird eine Spoofing-Sicherheitslücke in lokalen Exchange-Servern (CVE-2026-42897) aktiv über manipulierte E-Mails ausgenutzt.

Der Siegeszug der Passkeys: Ende der Passwort-Ära?

Angesichts dieser Bedrohungslage zeichnet sich ein fundamentaler Wandel ab. Laut dem Verizon Data Breach Investigations Report 2025 waren gestohlene Zugangsdaten an 22 Prozent aller gemeldeten Sicherheitsvorfälle beteiligt. Die durchschnittlichen Kosten eines Datenlecks liegen laut IBM bei 4,67 Millionen Euro.

Herkömmliche Passwörter sind oft nicht mehr sicher genug – doch es gibt eine moderne Alternative. Erfahren Sie in diesem kostenlosen Report, wie Passkeys funktionieren und wie Sie sich bei Amazon, Microsoft und Co. künftig sicher und ganz ohne Passwort-Stress anmelden. Passkey-Ratgeber jetzt kostenlos herunterladen

Microsoft und andere Technologiegiganten forcieren daher den Umstieg auf Passkeys nach dem FIDO2-Standard. Microsoft Entra ID führt einen sogenannten „Managed Mode" ein, der Nutzer automatisch von traditionellen Authentifikatoren zu Passkeys führt. Diese Verfahren nutzen biometrische Daten oder PINs und sind resistent gegen Phishing und KI-gestützte Angriffe.

Die Herausforderung geht jedoch weit über menschliche Nutzer hinaus. Maschinen-Identitäten – Servicekonten und automatisierte Pipelines – übersteigen menschliche Identitäten inzwischen im Verhältnis 100 zu 1. Diese nicht-menschlichen Identitäten sind häufig überprivilegiert und erhalten nicht die gleiche Sicherheitsüberprüfung wie menschliche Konten.

Wende in der digitalen Sicherheit

Die rasanten Zunahme KI-gestützter Angriffe und die Häufigkeit identitätsbasierter Sicherheitsvorfälle deuten auf ein transformatives Jahr für die digitale Sicherheit hin. Da 83 Prozent der Unternehmen in einigen Regionen bereits identitätsbezogene Vorfälle melden, wird die Einführung von Zero-Trust-Architekturen und kontinuierlicher Verhaltensvalidierung zur Pflicht.

Google hat bereits angekündigt, dass Chrome-App-Entwickler bis zum 14. Juli 2026 aktualisierte Datenschutz- und Verschlüsselungsrichtlinien einhalten müssen – andernfalls droht die Entfernung aus dem Store. Ob die neuen Schutzmaßnahmen und die breite Einführung von Passkeys die Welle des globalen Identitätsdiebstahls aufhalten können, wird sich in den kommenden Monaten zeigen.

de | wissenschaft | 69346102 |