Der Schweizer Business-Software-Anbieter Bexio hat nach einer ausgeklügelten Phishing-Kampagne die Zwei-Faktor-Authentifizierung (2FA) für alle über 100.000 Nutzer verpflichtend gemacht. Die Angreifer hatten erfolgreich einzelne Benutzerkonten gekapert und Finanzdaten manipuliert.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam vor Manipulationstaktiken wie dem IBAN-Betrug schützen kann. Kostenloses Anti-Phishing-Paket herunterladen
Die perfide Masche der Betrüger
Die Täter verschickten täuschend echte E-Mails und lockten ihre Opfer auf gefälschte Webseiten. Sobald sie die Zugangsdaten erbeutet hatten, änderten sie die IBANs auf ausgehenden Rechnungen. Statt der legitimen Bankverbindung der Unternehmen landeten die Zahlungen der Kunden direkt auf den Konten der Kriminellen.
Markus Naef, CEO von Bexio, bestätigte, dass das Unternehmen die betroffenen Kunden direkt unterstützt. Während einige Nutzer zunächst keine finanziellen Verluste meldeten, rechnen Branchenkenner mit Schäden, sobald die manipulierten Rechnungen fällig werden. Die internen Systeme und die zentrale Infrastruktur von Bexio selbst blieben nach Unternehmensangaben sicher – die Schwachstelle waren die von den Nutzern selbst verwalteten Passwörter.
Bexio hat den Vorfall beim Bundesamt für Cybersicherheit (BACS) und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) gemeldet.
Haftungsverschiebung: Gericht stärkt Opfer
Der Fall Bexio fällt in eine Zeit rechtlicher Neubewertung. Das Landgericht Berlin entschied am 22. April 2026, dass die Apobank für Phishing-Schäden von über 200.000 Euro haften muss. Das Gericht sah keine grobe Fahrlässigkeit des Opfers – der Betrug sei „perfekt inszeniert“ gewesen, mit echten Briefen, Anrufen und sogar gefälschten 2FA-Abfragen.
Das Urteil sendet ein klares Signal: Banken und Plattformbetreiber müssen verdächtige Muster erkennen, etwa abweichende IP-Adressen. Die Beweislast verschiebt sich – Dienstleister können sich nicht mehr einfach darauf berufen, dass der Nutzer selbst schuld sei.
In Österreich warnt die Polizei derzeit vor einer massiven Phishing-Welle rund um die Verlängerung von 300.000 ID-Austria-Zertifikaten. Allein in Salzburg verlor ein Opfer über 30.000 Euro.
KI-gesteuerter Betrug auf dem Vormarsch
Die Bedrohungslage verschärft sich rasant. Mit nur drei Sekunden Audio können Kriminelle mithilfe von Sprachklonen Überweisungen autorisieren. Schätzungen zufolge überstieg KI-basierter Betrug im vergangenen Jahr die Milliarden-Dollar-Marke – mit über einer Million Fällen weltweit.
Gleichzeitig macht ein neuer TCLBANKER-Trojaner die Runde, der 59 Banken, Fintechs und Kryptobörsen ins Visier nimmt. Er verbreitet sich über WhatsApp und Outlook und fängt gezielt 2FA-Codes ab. Auf Android entdeckten Sicherheitsforscher zudem 28 falsche „CallPhantom“-Apps im Play Store – mit 7,3 Millionen Downloads, bevor sie gesperrt wurden.
Auch QR-Code-Phishing, sogenanntes Quishing, legte im ersten Quartal 2026 um 146 Prozent zu. Hinzu kommen kritische Sicherheitslücken in Snapdragon-Chipsätzen, die unter der Kennung CVE-2026-25262 bekannt wurden.
Warum immer mehr Deutsche ihre Passwörter komplett abschaffen – und was dahintersteckt. Da pro Quartal Millionen Konten gehackt werden, zeigt dieser kostenlose Report, wie Sie die sichere Alternative Passkey bei Amazon, WhatsApp und Co. einrichten. Kostenlosen Passkey-Report nachlesen
Das Ende der Passwort-Ära
Eine aktuelle YouGov-Umfrage zeigt eine gefährliche Selbstüberschätzung: 74 Prozent der Deutschen halten ihre Passwörter für sicher – doch nur 25 Prozent nutzen tatsächlich 2FA, gerade einmal 32 Prozent haben Passkeys eingeführt.
Der Digitalverband eco und das Hasso-Plattner-Institut bezeichnen das klassische Passwort als die unsicherste Authentifizierungsmethode überhaupt. Microsoft hat daher bereits alle seit Jahresbeginn neu angelegten Konten standardmäßig passwortlos geschaltet. Fünf Milliarden Passkeys sind weltweit bereits im Einsatz, und bis Januar 2027 sollen traditionelle Sicherheitsfragen komplett verschwinden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Passwortmanager und 2FA per Fingerabdruck oder Authenticator-App. Dienste wie „Have I been pwned?“ oder der HPI Identity Leak Checker helfen Nutzern zu prüfen, ob ihre Daten bereits im Umlauf sind – etwa im „Collection #1″-Leak mit 773 Millionen E-Mail-Adressen.
Was der Fall Bexio für den Mittelstand bedeutet
Der Angriff auf Bexio zeigt die Verwundbarkeit kleiner und mittlerer Unternehmen. Sie sind das Rückgrat der Wirtschaft, haben aber selten die Sicherheitsressourcen großer Konzerne. Die Manipulation von IBANs ist besonders tückisch: Sie vergiftet das Vertrauensverhältnis zwischen Unternehmen und Kunden, und fällt oft erst auf, wenn die Buchhaltung Wochen später fehlende Zahlungen entdeckt.
Der Vorfall belegt auch die Grenzen freiwilliger Sicherheitsmaßnahmen. Trotz jahrelanger Aufklärung braucht es oft einen spektakulären Einbruch, bis Plattformen von „optional“ auf „verpflichtend“ umschalten. Die Gerichte machen zudem klar: Anbieter müssen technisch verhindern, nicht nur aufklären.
Selbst als sicher geltende Plattformen sind betroffen: Rund 300 Signal-Konten, darunter auch von deutschen Bundestagsabgeordneten, wurden zuletzt von Angreifern gekapert, die sich als Support-Mitarbeiter ausgaben.
Ausblick: Android 17 und die Zukunft der Sicherheit
Mit Android 17, das im Juni 2026 erscheint, sollen neue Datenschutzstandards gegen Schad-Apps wie „CallPhantom“ und „NoVoice“ eingeführt werden. Banken wie die PKO Bank Polski planen bereits Mitte Mai umfangreiche Systemwartungen, um ihre Infrastruktur zu modernisieren.
Der Fall Bexio ist ein Weckruf für die gesamte SaaS-Branche: Die Ära des einfachen Passworts ist endgültig vorbei. Für Unternehmen wird die verpflichtende 2FA und der Umstieg auf Passkeys nicht länger eine Frage der Wahl sein – sondern Voraussetzung für Versicherungsschutz und rechtliche Absicherung in einer zunehmend feindlichen digitalen Welt.
