Die Sicherheitsbehörden schlagen Alarm: Eine neue Generation KI-gestützter Phishing-Angriffe zielt nicht mehr nur auf Passwörter, sondern auf die Übernahme ganzer Kommunikationsströme. Der Schweizer Business-Software-Anbieter Bexio reagiert nun mit einer drastischen Maßnahme.
Zwangs-Umstellung: 100.000 Kunden müssen 2FA aktivieren
4,7 Millionen gehackte Konten pro Quartal in Deutschland – sind Sie der Nächste? Experten warnen: Wer noch Passwörter nutzt, geht ein unnötiges Risiko ein. So schützen Sie sich jetzt kostenlos. Kostenlosen Passkey-Report jetzt herunterladen
Am 10. Mai 2026 kündigte Bexio an, die Zwei-Faktor-Authentifizierung (2FA) für alle seine mehr als 100.000 Kunden verpflichtend einzuführen. Der Schritt folgt auf eine Serie von Phishing-Kampagnen, bei denen Angreifer legitime Nutzerkonten kompromittierten. Ihr Ziel: die Manipulation von IBAN-Nummern auf ausgehenden Rechnungen.
Die Täter nutzten die gekaperten Accounts, um Zahlungen auf eigene Konten umzuleiten. Bexio-CEO Markus Naef und Kommunikationschef Thommy Rüegg betonten, dass die internen Systeme des Unternehmens nicht angegriffen wurden. Der Missbrauch erfolgte ausschließlich über die Konten der Kunden selbst. Der Vorfall wurde inzwischen dem Bundesamt für Cybersicherheit (BACS) und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet.
Falsche Events und gekaperte E-Mails: Die neue Masche
Parallel zu den Vorfällen in Europa warnte der Generalstaatsanwalt von Pennsylvania, Dave Sunday, am 11. Mai 2026 vor einer neuen Welle betrügerischer Einladungen. Die Masche: Kriminelle nutzen kompromittierte E-Mail-Konten, um Fake-Veranstaltungen zu bewerben. Wer auf den Link klickt, landet auf einer gefälschten Login-Seite, die Dienste von Google, Apple oder Microsoft imitiert.
Das Ziel ist doppelter Natur: Die Täter stehlen sowohl die Zugangsdaten als auch schleusen Schadsoftware auf die Geräte der Opfer ein.
Besonders perfide: Diese Angriffe nutzen das Vertrauensverhältnis zwischen Absender und Empfänger aus. Die betrügerischen Nachrichten stammen scheinbar von bekannten Kontakten – und sind kaum noch von echten Nachrichten zu unterscheiden.
Logistik im Visier: 725 Millionen Dollar Schaden durch Cyber-Diebstahl
Auch die Logistikbranche gerät zunehmend ins Fadenkreuz. Das FBI warnte kürzlich vor einer starken Zunahme digital unterstützter Ladungsdiebstähle. Kriminelle nutzen gefälschte E-Mails und Websites, um kommerzielle Lieferungen umzuleiten. Die finanziellen Verluste allein in den USA und Kanada beliefen sich 2025 auf rund 725 Millionen Euro – ein Anstieg um 60 Prozent im Vergleich zum Vorjahr.
KI macht Phishing kaum noch erkennbar
Die zunehmende Effektivität dieser Kampagnen ist kein Zufall. Branchenanalysten von Vectra AI berichten, dass 82,6 Prozent aller Phishing-E-Mails mittlerweile KI-generierte Inhalte enthalten. Die traditionellen Erkennungsmerkmale – schlechte Grammatik, holprige Formulierungen – fallen damit weitgehend weg.
Laut Daten von Hoxhunt weisen mindestens 40 Prozent aller Phishing-Versuche deutliche Spuren von KI-Unterstützung auf. Das macht sie für automatisierte Filter und für das menschliche Auge gleichermaßen schwer erkennbar.
Neue Trojaner umgehen moderne Schutzmechanismen
Die Angreifer entwickeln ihre Werkzeuge rasant weiter. Forscher identifizierten kürzlich PromptSpy, einen Android-Trojaner, der Googles KI-Modell Gemini für Bildschirmaufnahmen nutzt. Der TCLBANKER-Trojaner hat es auf 59 verschiedene Finanz- und Kryptowährungsplattformen abgesehen – er fängt 2FA-Codes über WhatsApp und Outlook ab. Der CloudZ-Trojaner wiederum missbraucht Microsofts Phone-Link-Funktion, um Sicherheitscodes direkt von synchronisierten Geräten zu stehlen.
Passwörter: 60 Prozent in weniger als einer Stunde geknackt
Eine am 10. Mai 2026 veröffentlichte Kaspersky-Studie zeigt die wachsende Schwäche alter Verschlüsselungsstandards. Von rund 231 Millionen analysierten MD5-Passwort-Hashes konnten 60 Prozent in weniger als einer Stunde mit einer High-End-Nvidia-RTX-5090-GPU geknackt werden. Fast die Hälfte dieser Hashes war in weniger als einer Minute kompromittiert.
Quishing: Der QR-Code als Einfallstor
Was steckt hinter Passkeys – der Technologie, die Passwörter für immer ablösen soll? Ein kostenloser Report zeigt, wie Sie die sichere Alternative bei Amazon, WhatsApp und Co. sofort einrichten und Hackern keine Chance mehr lassen. Gratis-Report: Passwortlos anmelden mit Passkeys
Neben klassischem E-Mail-Phishing erlebt „Quishing“ – Phishing über QR-Codes – einen dramatischen Aufschwung. Die Marktdaten zeigen einen Anstieg um 146 Prozent im ersten Quartal 2026, mit über 18 Millionen registrierten Vorfällen. Die Angriffe erfolgen oft im öffentlichen Raum oder über physische Post, was die Sicherheitsebenen von Desktop-E-Mail-Clients umgeht.
Auch betrugsbezogene Stellenanzeigen nehmen zu. Am 10. Mai 2026 warnte die Polizei in Brantford vor einer Masche, bei der Opfern Jobs angeboten werden, um sie dann zur Überweisung von Geld für angebliche Startkosten zu drängen. iPhone-Nutzer werden zudem mit gefälschten iCloud-Speicherwarnungen konfrontiert, die zum Klick auf einen „Upgrade“-Button verleiten – mit dem Ziel, Kreditkarteninformationen und Apple-ID-Zugangsdaten zu stehlen.
Der Ausweg: Passkeys als Zukunft der Authentifizierung
Angesichts der wachsenden Verwundbarkeit traditioneller Passwörter und SMS-basierter 2FA beschleunigt die Branche die Einführung von Passkeys. Amazon meldete am 10. Mai 2026, dass mehr als 456 Millionen Kunden die Technologie nutzen – ein Anstieg von 75 Prozent im Vergleich zum Vorjahr. Nutzer, die sich mit Passkeys anmelden, sind etwa sechsmal schneller als mit herkömmlichen Passwörtern. Amazon verantwortet damit knapp 40 Prozent aller passwortlosen Authentifizierungen unter den großen Digitaldiensten.
Doch der Übergang bringt eigene technische Herausforderungen mit sich. Forschungsergebnisse vom 11. Mai 2026 deuten darauf hin, dass die cloudbasierten Komponenten der Google-Authenticator-Passkey-Architektur neue Angriffspunkte schaffen könnten, wenn die Wiederherstellungsprozesse nicht streng gesichert sind. Derzeit arbeiten rund 40 Prozent der Unternehmen in hybriden Umgebungen, die sowohl Passwörter als auch Passkeys nutzen. 67 Prozent der IT-Experten sehen Phishing weiterhin als dauerhafte und sich entwickelnde Bedrohung.
Gerichte stärken Verbraucherrechte
Auch die Rechtsprechung verändert sich. Das Landgericht Berlin II entschied am 22. April 2026, dass die Apobank einem Kunden mehr als 200.000 Euro Schadenersatz zahlen muss – der Schaden entstand durch einen Phishing-Vorfall. Andere Landgerichte stellten jedoch klar, dass das Klicken auf einen Link in einer Textnachricht nicht automatisch grobe Fahrlässigkeit darstellt. Die Rechtslage für künftige Betrugsfälle bleibt damit komplex.
Ausblick: Android 17 und Post-Quanten-Kryptographie
Der Kampf gegen digitalen Betrug tritt Mitte 2026 in eine neue, automatisierte Phase. Das für Juni 2026 erwartete Android 17 soll neue Schutzmechanismen einführen, die speziell gegen die neueste Generation von Banking-Trojanern und KI-gesteuerter Screen-Recording-Malware entwickelt wurden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Unternehmen zudem, spätestens bis 2031 auf Post-Quanten-Kryptographie (PQC) oder hybride Verschlüsselungsmethoden umzustellen. Grund ist das „Harvest now, decrypt later“-Risiko: Angreifer sammeln heute verschlüsselte Daten in der Hoffnung, sie mit zukünftigen Quantencomputern zu knacken. Dienste wie Signal, WhatsApp und 1Password haben bereits erste PQC-Schichten implementiert – doch die breite Masse der Unternehmen ist noch weit von diesem Standard entfernt.
