Cyberkriminelle knacken routinemäßig Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) gilt nicht mehr als sicher. Aktuelle Berichte zeigen, dass Cyberkriminelle diese Barriere mit KI-gestützten Angriffen routinemäßig überwinden. Experten warnen vor einer neuen Bedrohungswelle, die auf technische Umgehung und psychologische Manipulation setzt.

SMS-Codes werden zur Sicherheitsfalle

Der alarmierendste Trend sind sogenannte „Adversary-in-the-Middle“-Angriffe (AiTM). Dabei schalten sich Kriminelle digital zwischen Nutzer und Dienst. Das Opfer landet auf einer perfekten Phishing-Seite und gibt dort Login-Daten sowie den Einmalcode (OTP) ein. Die Angreifer-Software leitet diese Daten sofort an den echten Dienst weiter.

Das Ergebnis: Die Kriminellen stehlen das „Session-Cookie“ und haben dauerhaften Zugriff – ohne Passwort oder weiteren Code. Laut dem Microsoft Digital Defense Report stiegen diese Angriffe im Jahresvergleich um über 140 Prozent. Herkömmliche 2FA-Methoden per SMS oder App sind gegen diese Echtzeit-Proxys wirkungslos.

Aktuelle Berichte zeigen, dass AiTM‑ und „Phishing‑as‑a‑Service“-Angriffe Unternehmen massiv gefährden – Microsoft meldet einen Anstieg von über 140 %. Das kostenlose Anti‑Phishing‑Paket erklärt in 4 praxisnahen Schritten, wie Sie Mitarbeitende sensibilisieren, CEO‑Fraud erkennen und technische Schutzschichten einführen. Ideal für IT‑Verantwortliche und Entscheider, die sofort handeln wollen. Anti‑Phishing‑Paket jetzt herunterladen

Deepfakes täuschen Menschen systematisch

Die zweite Front öffnet sich durch psychologische Manipulation. Generative KI erstellt heute fehlerfreie, kontextbezogene Phishing-Texte in jeder Sprache. Noch bedrohlicher ist der Einsatz von Deepfake-Technologie.

Sicherheitsanalysten warnen vor Videoanrufen oder Sprachnachrichten, in denen die Stimme oder das Gesicht von Vorgesetzten täuschend echt gefälscht ist. Unter dem Druck einer vermeintlichen Führungskraft geben Mitarbeiter dann Passwörter frei oder leiten Zahlungen an. Die Qualität dieser Fälschungen ist so hoch, dass sie ohne Hilfsmittel kaum zu erkennen sind.

Phishing wird zum Service aus der Cloud

Cyberkriminalität hat sich industrialisiert. „Phishing-as-a-Service“ (PhaaS) entwickelt sich zum Standard. Bis Ende 2026 könnten über 90 Prozent aller Angriffe mit hochentwickelten Baukästen gefahren werden, die KI-Funktionen integrieren.

Diese „Phishing-Kits 2.0“ sind intelligent: Sie erkennen Sicherheits-Scans und zeigen dann harmlose Inhalte an. Erst beim Klick eines echten Menschen laden sie die betrügerische Seite. Zudem hosten Angreifer ihre Seiten zunehmend auf vertrauenswürdigen Cloud-Diensten wie Microsoft Azure. Da diese Domains in Firmennetzwerken als sicher gelten, passieren die Links ungehindert die Firewalls.

FIDO2 und Passkeys als einzige Rettung?

Die Branche fordert einen raschen Umstieg auf phishing-resistente Verfahren. Technologien wie FIDO2 und Passkeys gelten als wirksame Antwort. Sie basieren auf kryptografischen Schlüsseln, die nur mit der echten Domain funktionieren – eine Hürde für jede Phishing-Seite.

Doch der Wandel vollzieht sich schleppend. Viele Unternehmen setzen aus Kostengründen oder aus Angst vor komplexer Bedienung weiter auf unsichere SMS-Codes. Das bietet Angreifern auch 2026 noch große Angriffsflächen.

Droht 2026 der erste autonome KI-Angriff?

Für das laufende Jahr erwarten Analysten eine Zunahme vollautomatisierter Attacken. Autonome KI-Agenten könnten eigenständig Schwachstellen finden und ausnutzen – ohne direkten menschlichen Eingriff.

Michael Freeman von Armis deutet an, dass wir bis Mitte des Jahres den ersten großen Vorfall sehen könnten, der primär von einem solchen autonomen System verursacht wird. Die Zukunft gehört daher nicht dem einfachen Login, sondern einer kontinuierlichen Verhaltensüberprüfung („Zero Trust“). Die Ära des blinden Vertrauens in ein grünes Schloss oder eine SMS-TAN ist vorbei.

PS: Wollen Sie Angriffe nicht nur erkennen, sondern dauerhaft verhindern? Das Anti‑Phishing‑Paket liefert Checklisten für Awareness‑Programme, technische Härtung und Vorlagen für Incident Response – plus Praxistipps im Umgang mit Deepfakes und gefälschten Führungskräften. Stärken Sie Ihre Abwehr gegen autonome KI‑Angriffe noch heute. Jetzt Anti‑Phishing‑Guide anfordern