Cyber Essentials Plus 2026: MFA jetzt für alle Nutzer Pflicht
29.06.2026 - 16:45:17 | boerse-global.de
Phishing und kompromittierte Zugangsdaten bleiben die Einfallstore Nummer eins für Cyberangriffe auf Firmen.
Sicherheitsforscher schlagen Alarm: Die meisten Unternehmen werden nicht durch ausgeklügelte Hackerangriffe kompromittiert, sondern durch simple Methoden. Angreifer nutzen gestohlene Passwörter oder erschleichen sich mit Phishing-Mails den Zugang. Sind sie erst einmal im Netzwerk, beobachten sie die Abläufe in Ruhe – bevor sie Lösegeld fordern oder Überweisungen auf betrügerische Konten umleiten.
Neue MFA-Pflicht für alle Dienste
Die britische Zertifizierung Cyber Essentials Plus hat ihre Anforderungen für 2026 massiv verschärft. Die neue Richtlinie schreibt vor: Multi-Faktor-Authentifizierung (MFA) muss für alle Nutzer auf sämtlichen Cloud- und Internetdiensten aktiviert sein. Bisher galt die Pflicht nur für Administratorkonten.
Die aktualisierten Vorgaben legen zudem fest: Passwörter müssen mindestens acht Zeichen lang sein – in Kombination mit MFA. Ohne MFA sind zwölf Zeichen Pflicht. Mehr als 50.000 Organisationen in Großbritannien setzen das Zertifikat bereits um. Die Wirksamkeit von MFA ist unbestritten: Microsoft zufolge blockiert die Technik rund 99,9 Prozent aller Kontodiebstähle.
Neue Phishing-Welle über WhatsApp und Co.
Die Angriffsmethoden werden vielfältiger. Am 25. Juni 2026 warnte das indische CERT-In vor einer großangelegten Malware-Kampagne gegen WhatsApp Web und Desktop. Angreifer nutzen kompromittierte Accounts, um schädliche VBScript-Anhänge zu verbreiten. Diese öffnen die Tür für Fernzugriff und Passwortklau.
Auf den Philippinen reagieren Banken mit neuen Sicherheitsmaßnahmen. Der Zahlungsdienstleister GCash führte am 22. Juni 2026 Push-Benachrichtigungen in der App ein – als Ersatz für SMS-OTPs. Hintergrund: Die Behörden haben die veralteten SMS-TANs bis Ende Juni 2026 verboten, da sie anfällig für Abfangen und Manipulation sind.
Die neue MFA-Pflicht für alle Nutzer betrifft ab 2026 jedes Unternehmen, das Cyber Essentials Plus anstrebt. Wer die Zertifizierung nicht rechtzeitig umsetzt, riskiert Auftragsverluste. Dieser Report liefert die konkrete Checkliste und Schritt-für-Schritt-Anleitung. Jetzt kostenlosen Report anfordern
Ein neuer „Phishing-as-a-Service"-Dienst namens Kali365 sorgt zusätzlich für Unruhe. Seit April 2026 jagt die Plattform Microsoft-365-Nutzer. Die Masche: Sie nutzt Geräte-Code-Login-Prozesse aus, um OAuth-Tokens zu stehlen – und umgeht damit selbst einige MFA-Implementierungen.
KI macht Social Engineering billiger und gefährlicher
Künstliche Intelligenz verändert die Bedrohungslage fundamental. Analysten berichten, dass KI-Tools die Kosten für personalisierte Spear-Phishing-Angriffe drastisch senken. Zudem werden Deepfake-Inhalte immer überzeugender. Die Zahl der Deepfake-Betrugsversuche stieg 2024 und 2025 rasant an. Die „Breakout-Zeit" – also die Dauer, die Angreifer nach einem Einbruch für die seitliche Bewegung im Netzwerk brauchen – ist 2026 auf unter eine Stunde gesunken.
Laut Kaspersky tarnen Betrüger Schadsoftware zunehmend als beliebte KI-Dienste. Zwischen Januar und April 2026 wurden mehr als 33.000 Angriffe registriert, bei denen Malware als ChatGPT oder Claude getarnt war. Eine Umfrage ergab: 56 Prozent der Internetnutzer sind im vergangenen Jahr auf Betrugsversuche hereingefallen.
Der teure Betrug mit der Geschäftsführer-Mail
Phishing und BEC-Angriffe kosten Unternehmen Millionen – allein Zephyr Energy verlor 700.000 Pfund. Die neue MFA-Pflicht schließt die größte Sicherheitslücke. Erfahren Sie, wie Sie Ihre Firma mit 5 konkreten Maßnahmen gegen Phishing-as-a-Service und Deepfakes wappnen. Sicherheitsleitfaden jetzt sichern
Business Email Compromise (BEC) bleibt das lukrativste Werkzeug im Arsenal der Cyberkriminellen. Anders als bei klassischem Phishing enthalten BEC-Angriffe oft keine schädlichen Links. Stattdessen setzen die Täter auf „Beziehungsintelligenz" und künstliche Dringlichkeit.
Die finanziellen Folgen sind verheerend. Das Unternehmen Zephyr Energy verlor im Frühjahr 2026 durch einen BEC-Angriff 700.000 Pfund – umgerechnet rund 815.000 Euro. Allein in Großbritannien belaufen sich die jährlichen Schäden durch BEC auf über zehn Millionen Pfund. Doch nicht nur direkte Geldverluste sind das Problem: Am 12. Juni 2026 legte ein Einbruch beim Marktforschungsdienst Klue Kundendaten von LastPass offen – Namen und E-Mail-Adressen, die nun für gezielte Identitätsdiebstähle genutzt werden können.
