KI-generierte Stimmen täuschen Mitarbeiter in Echtzeit. Passwörter und SMS-Codes schützen Onlinehändler nicht mehr vor Betrug — das hat direkte Konsequenzen für Haftung und Cyberversicherung. Und viele machen es falsch. Das Risiko ist groß, wie der Fall mide-online (Wortfilter berichtete als erstes) zeigte.

Inhaltsverzeichnis

Fasse den Artikel im Bullet-Stil zusammen.

ChatGPT öffnen Perplexity öffnen

Deepfakes ersetzen klassisches Phishing

Betrüger brauchen kein schlecht formuliertes E-Mail mehr. Aktuelle KI-Modelle erzeugen täuschend echte Stimmklone aus weniger als drei Sekunden Originalmaterial — extrahiert aus YouTube-Videos, Podcasts oder Social-Media-Beiträgen. Das Ergebnis: Anrufe, die klingen wie der Chef, der Geschäftspartner oder der Steuerberater.

Besonders für Onlinehändler mit kleinen Teams ist das gefährlich. Wer ohne dedizierte IT-Sicherheitsabteilung arbeitet, hat keine zweite Kontrollinstanz, wenn ein „Vorgesetzter“ per Telefon eine dringende Zahlung fordert.

Ein dokumentiertes Beispiel: Ein Mitarbeiter eines multinationalen Unternehmens in Hongkong überwies 25 Millionen US-Dollar an Betrüger — nach einer Videokonferenz, in der CFO und Kollegen vollständig als Deepfakes agierten (South China Morning Post ).

Passwörter und SMS-Codes sind kein Schutz mehr

KI-gestützte Brute-Force-Angriffe knacken komplexe Passwörter in Sekunden. Noch effektiver ist jedoch der soziale Weg: Deepfake-Anrufe bringen Mitarbeiter dazu, SMS-Codes laut vorzulesen oder in gefälschte Eingabemasken einzutippen.

Beim SIM-Swapping übernehmen Angreifer die Mobilfunknummer des Opfers — ein inzwischen weitgehend automatisierter Prozess. Wer auf SMS-basierte Zweifaktorauthentifizierung setzt, gilt bei Versicherern laut CrowdStrike als grob fahrlässig.

FIDO2: Hardware statt Wissen

Die einzige Methode, die Deepfake-Angriffe technisch ausschließt, ist der FIDO2-Standard — auch bekannt unter dem Begriff Passkeys. Das Prinzip: Nicht ein Passwort, sondern ein physisches Gerät plus biometrische Prüfung authentifiziert den Nutzer.

Entscheidend ist das sogenannte Origin Binding. Der Hardware-Schlüssel gibt nur dann eine kryptografische Signatur frei, wenn die aufgerufene Website exakt mit der bei Registrierung hinterlegten URL übereinstimmt. Eine Phishing-Seite schlägt damit fehl — egal wie überzeugend der Deepfake-Anruf war.

Google hat nach der vollständigen Umstellung der Belegschaft auf Hardware-Keys die Zahl erfolgreicher Kontoübernahmen durch Phishing auf null gesenkt.

FIDO2 & Passkeys – Wie funktioniert sicheres Login ohne Passwort?

Status:Etabliert, von großen Plattformen wie Google, Apple und Microsoft unterstützt

Grundprinzip

FIDO2 und Passkeys ermöglichen dir ein Login ohne klassisches Passwort. Stattdessen nutzt du kryptografische Schlüsselpaare:

  • Privater Schlüssel: Bleibt sicher auf deinem Gerät (z. B. Smartphone, Hardware-Key)
  • Öffentlicher Schlüssel: Wird beim Dienst (z. B. Shop, Plattform) gespeichert

Beim Login wird kein Passwort übertragen – sondern eine kryptografische Signatur erzeugt.

So funktioniert der Login Schritt für Schritt

  1. Du öffnest die Login-Seite
  2. Der Server sendet eine einmalige Challenge
  3. Dein Gerät signiert diese Challenge mit dem privaten Schlüssel
  4. Der Server prüft die Signatur mit dem öffentlichen Schlüssel
  5. Zugriff wird gewährt

Was sind Passkeys?

Passkeys sind die nutzerfreundliche Umsetzung von FIDO2.

  • Kein Passwort merken
  • Login via Face ID, Fingerabdruck oder PIN
  • Synchronisation über Geräte (z. B. Apple iCloud, Google Konto)

Vorteile für Händler & Nutzer

  • ❌ Kein Phishing möglich (kein Passwort abgreifbar)
  • ❌ Kein Credential Stuffing
  • ✔️ Deutlich weniger Account-Übernahmen
  • ✔️ Bessere Conversion durch einfacheren Login
  • ✔️ Weniger Supportaufwand („Passwort vergessen“ entfällt)

Herausforderungen

  • Abhängigkeit von Geräten (Verlust des Geräts)
  • Kompatibilität älterer Systeme
  • Aufklärung der Nutzer notwendig

Bewertung

FIDO2 und Passkeys gelten als neuer Sicherheitsstandard im E-Commerce. Große Plattformen treiben die Verbreitung massiv voran. Händler profitieren durch mehr Sicherheit und weniger Betrug.

Fazit

Passwörter sind das größte Einfallstor für Betrug im E-Commerce. FIDO2 ersetzt sie durch kryptografische Verfahren – und macht Angriffe für Betrüger deutlich schwerer. Gerade in Zeiten von KI-gestütztem Phishing ist das ein echter Gamechanger.

Cyberversicherungen verweigern Leistung

Versicherer wie Munich Re und Allianz haben ihre Policen angepasst. Wer einen Schaden durch gestohlene Passwörter oder SMS-Codes meldet, riskiert die vollständige Leistungsverweigerung. Fehlende phishing-resistente Mehrfachauthentifizierung gilt versicherungsrechtlich als vermeidbares Risiko.

Das BSI stuft FIDO2 aktuell als den sichersten verfügbaren Authentifizierungsstandard ein und empfiehlt den Einsatz ausdrücklich.

Was Onlinehändler jetzt tun sollten

Zunächst: Alle Zugangswege auflisten, die noch Passwörter oder SMS-Codes verwenden. Besonders kritisch sind Zugang zu Marktplatz-Konten (Amazon Seller Central, eBay, Kaufland), Banking, E-Mail und ERP-Systeme.

Dann: Fallback-Methoden deaktivieren. Viele Systeme erlauben im Verlustfall noch den Rückgriff auf ein einfaches Passwort — genau hier setzen professionelle Angreifer an. Stattdessen: einen zweiten physischen Ersatzschlüssel an einem sicheren Ort aufbewahren.

Passkeys sind mittlerweile auf Smartphones und Laptops ohne zusätzliche Hardware nutzbar. Die Umstellung ist einfach und wichtig — sie ist Voraussetzung für Versicherungsschutz.

QR Code für die Wortfilter Händler Facebook-Gruppe
Komm in die Wortfilter Community auf Facebook und diskutiere mit

Melde dich zum wöchentlichen Newsletter an!