OpenAI hat am 30. April 2026 das Programm Advanced Account Security (AAS) gestartet — ein optionales Sicherheitspaket für ChatGPT-Nutzer, das auf Hardware-Authentifizierung setzt. Kern der Initiative ist eine Partnerschaft mit dem Sicherheitsschlüssel-Hersteller Yubico: Zwei co-branded YubiKey-Modelle sollen ChatGPT-Accounts gegen Phishing-Angriffe absichern, die laut OpenAI eine wachsende Bedrohung für Chatbot-Nutzer darstellen.
Hardware-Schlüssel gegen Phishing: YubiKey C NFC und Nano
OpenAI und Yubico bringen zwei gemeinsam entwickelte Hardware-Sicherheitsschlüssel auf den Markt: den YubiKey C NFC für die Tap-to-Authenticate-Nutzung auf Mobilgeräten und den YubiKey C Nano als kompaktes Dauermodell im USB-Port für den täglichen Laptop-Einsatz. Beide Schlüssel sind über das AAS-Programm erhältlich. Der Mechanismus dahinter ist bekannt, aber effektiv: Ein eindeutiger kryptografischer Identifier auf dem physischen Schlüssel erlaubt nur der Person, die ihn tatsächlich besitzt, den Login — Passwort-Phishing läuft damit ins Leere.
Yubico-CEO Jerrod Chong formulierte das Ziel in der Pressemitteilung klar: „Unser Ziel ist es, die Bedrohung durch unbefugten Zugriff auf sensible Daten in OpenAI-Konten weltweit drastisch zu reduzieren." OpenAI selbst setzt YubiKeys bereits intern zum Schutz von Mitarbeitern und Infrastruktur ein — Nutzer erhalten damit dasselbe Schutzniveau, das das Unternehmen intern als Standard betrachtet.
Zielgruppe und der Trade-off bei Hardware-Sicherheit
Das AAS-Programm richtet sich laut OpenAI besonders an politische Dissidenten, Journalisten, Forscher und gewählte Amtsträger — also Personengruppen, die mit besonders sensiblen Informationen arbeiten und ein erhöhtes Angriffsprofil haben. Praktisch steht es jedoch jedem offen, der seine ChatGPT-Sitzungen besser schützen möchte. Das ist auch für Unternehmensnutzer relevant: Wer vertrauliche Projekte, Strategiepapiere oder interne Analysen in ChatGPT verarbeitet, hat guten Grund, einem kompromittierten Account vorzubeugen.
Der Haken ist real: Wer seinen YubiKey verliert, verliert auch den Zugang. OpenAI kann den Account in diesem Fall nicht wiederherstellen — Konversationen und Daten wären dauerhaft verloren. Das ist der klassische Sicherheits-Komfort-Tradeoff, den Hardware-Authentifizierung mit sich bringt. Wer AAS aktiviert, sollte deshalb zwingend einen Backup-Schlüssel einrichten. Im AAS-Programm werden zudem schwächere Authentifizierungsmethoden wie passwortbasierter Login, E-Mail-Wiederherstellung und SMS-Codes deaktiviert — bekannte Einfallstore für SIM-Swapping und E-Mail-Interception.
Der Kontext: KI-Sicherheit wird zum Kernprodukt
OpenAIs Timing ist kein Zufall. Anthropic hatte wenige Wochen zuvor das Cybersicherheitsmodell Mythos Preview vorgestellt. Parallel dazu hat OpenAI mit Trusted Access for Cyber (TAC) ein eigenes Framework für die digitale Abwehr skaliert. Die Branche signalisiert damit, dass Account- und Datensicherheit kein Randthema mehr ist, sondern zum Kernprodukt wird — besonders wenn sensible Unternehmens- und Privatdaten in Chatbot-Sitzungen landen. Laut aktuellem Forschungsstand sind gestohlene ChatGPT-Accounts bereits ein aktives Ziel für Cyberkriminelle, die auf vertrauliche Gesprächsinhalte aus sind.
Das AAS-Programm startet als Opt-in — OpenAI zwingt niemanden. Ob sich das ändert, sobald Unternehmenskunden stärker in den Fokus rücken, bleibt offen. Für DACH-Unternehmen ist die Entwicklung aber bereits heute relevant: Wer ChatGPT in Workflows mit personenbezogenen oder geschäftskritischen Daten einsetzt, sollte die AAS-Option ernsthaft prüfen. Der EU AI Act und die DSGVO setzen klare Maßstäbe für den Schutz von Daten, die durch automatisierte Systeme fließen — ein kompromittierter ChatGPT-Account wäre ein klassischer meldepflichtiger Vorfall. Das setzt OpenAI-Konkurrenten wie Google und Microsoft unter Druck, nachzuziehen.
📰 Recherchiert auf Basis von 4 Primärquellen (techcrunch.com, yubico.com, red.anthropic.com, …)
