Kali365: FBI warnt vor Phishing-Plattform, die MFA aushebelt
29.06.2026 - 17:38:02 | boerse-global.de
Angesichts einer Flut von KI-gesteuerten Angriffen und raffinierten Identitätsdiebstählen müssen Unternehmen ihre Sicherheitsstrategie grundlegend überdenken.
Die Kali365-Gefahr: Wenn MFA zur Falle wird
Das FBI hat Ende Juni 2026 eine dringende Warnung an alle Microsoft 365-Nutzer herausgegeben. Im Visier der Ermittler: Kali365, eine Phishing-as-a-Service-Plattform, die seit April 2026 aktiv ist. Das Tückische daran? Der Dienst umgeht gezielt die Zwei-Faktor-Authentifizierung (MFA).
Der Angriffsmechanismus ist perfide: Die Opfer erhalten eine Phishing-Mail mit der Aufforderung, einen bestimmten Code auf einer legitimen Microsoft-Seite einzugeben. Wer darauf hereinfällt, gibt damit unwissentlich seine OAuth-Tokens preis. Die Angreifer erhalten so vollen Zugriff auf Outlook, Teams und OneDrive – ohne dass die Sicherheitsabfragen anschlagen.
Sicherheitsexperten raten daher zu einer strikten Einschränkung des Gerätecode-Flows. Mitarbeiter sollten Codes ausschließlich für selbst initiierte Anmeldeversuche eingeben.
KI als Brandbeschleuniger für Social Engineering
Die Bedrohungslage wird durch den massiven Einsatz generativer KI weiter verschärft. Aktuelle Branchendaten zeigen: Spear Phishing ist inzwischen für 66 Prozent aller Sicherheitsverletzungen verantwortlich. Die Erfolgsquote KI-generierter Köder liegt bei alarmierenden 54 Prozent.
Angesichts der rasanten Zunahme von KI-generiertem Spear Phishing müssen Unternehmen ihre Abwehrmechanismen dringend modernisieren. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen effektiv gegen aktuelle Angriffsmethoden und psychologische Manipulationen schützen. Anti-Phishing-Leitfaden für Unternehmen jetzt gratis sichern
Die wirtschaftlichen Folgen sind gewaltig. Allein durch Business Email Compromise (BEC) entstanden 2025 Schäden von über drei Milliarden Euro. Doch besonders die Deepfake-Technologie entwickelt sich zum Albtraum der Sicherheitsverantwortlichen. Ein spektakulärer Fall erschütterte die Branche: Eine Deepfake-Videokonferenz kostete die Firma Arup umgerechnet rund 23 Millionen Euro. Die Zahl der Deepfake-Angriffe stieg 2024 um 1.300 Prozent – ein Beleg dafür, wie schnell Kriminelle synthetische Medien in ihre Operationen integrieren.
Vom Perimeter zur Identität: Der neue Sicherheitsansatz
Die E-Mail-Sicherheit durchläuft einen fundamentalen Wandel. Statt auf reine Grenzverteidigung setzen Unternehmen zunehmend auf Integrated Cloud Email Security (ICES). Diese Lösungen fokussieren sich auf Anomalieerkennung und die Verhinderung von Account-Übernahmen.
Ein zentraler Punkt dabei ist die Erklärbarkeit von Sicherheitsentscheidungen. Laut Marktforschung sehen 40 Prozent der Organisationen die mangelnde Transparenz KI-gestützter Entscheidungen als Haupthindernis für die Einführung neuer Tools. Neue Plattformen wie CypherShield adressieren dieses Problem mit sogenannter „entscheidungssicherer" KI, die nachvollziehbare Ergebnisse liefert.
Der technologische Wandel durch KI bringt nicht nur neue Bedrohungen, sondern auch komplexe rechtliche Pflichten wie den EU AI Act mit sich. Dieser kostenlose Umsetzungsleitfaden verschafft Ihnen den notwendigen Überblick über Fristen, Risikoklassen und Dokumentationspflichten für einen sicheren Einsatz von KI-Systemen. Kostenloses E-Book zum EU AI Act herunterladen
Neue Regeln für eine neue Bedrohungslage
Auch die Regulierungsbehörden reagieren. Am heutigen Montag traten in Singapur die Nutzeridentifikationsbestimmungen des Online Safety Act in Kraft. Sie erlauben den Behörden, von Online-Diensten Identitätsinformationen zu verlangen. In China treten am 1. Juli 2026 neue technische Anforderungen für identitätsbasierte Kryptografiesysteme in Kraft.
Großbritannien verschärft mit dem Cyber Essentials Plus 2026 die Anforderungen: Für alle Cloud-Dienste ist nun MFA Pflicht, und Konten ohne Zwei-Faktor-Authentifizierung benötigen mindestens 12-stellige Passwörter. Diese Entwicklungen spiegeln den Trend zu Zero-Trust-Modellen wider, die laut Analysten pro Sicherheitsvorfall durchschnittlich 1,6 Millionen Euro einsparen können.
Der Markt für Secure Access Service Edge (SASE) soll 2026 auf über 17 Milliarden Euro wachsen. Angesichts der Prognose, dass die globalen Cybercrime-Kosten bis 2028 auf 12,7 Billionen Euro steigen könnten, setzen Experten auf kontinuierliche Überwachung und automatisierte Reaktionssysteme. Die durchschnittliche Breakout-Zeit – also das Zeitfenster, das Angreifer für ihre Operationen haben – liegt derzeit bei unter einer Stunde.
