Eine Welle hochsophistizierter E-Mail-Angriffe umgeht inzwischen selbst die Zwei-Faktor-Authentifizierung und infiziert Systeme in Rekordzeit. Weltweit schlagen Cybersicherheitsforscher Alarm, denn die Bedrohungslage eskaliert: Künstliche Intelligenz beschleunigt Attacken dramatisch, während Schwachstellen in Identitäts-Management-Systemen zur Haupteintrittspforte werden.
KI als Beschleuniger: Von der Infiltration zum Datenklau in 72 Minuten
Die Geschwindigkeit, mit der Angreifer vorgehen, hat sich vervierfacht. Das belegt ein aktueller Bericht von Palo Alto Networks‘ Unit 42 vom 17. Februar 2026. In den schnellsten dokumentierten Fällen gelangen Cyberkriminelle nun in nur 72 Minuten vom ersten Eindringen in ein System bis zum Abfluss gestohlener Daten. Im Vorjahr dauerte dieser Prozess noch deutlich länger. Die Studie identifiziert Künstliche Intelligenz (KI) als entscheidenden „Kraftmultiplikator“ für die Täter. KI helfe dabei, überzeugendere Phishing-Köder zu erstellen und komplexe Angriffssequenzen zu automatisieren.
Die Forschung unterstreicht zudem, dass Identität zum primären Angriffsvektor avanciert ist. Schwachstellen in der Identitätssicherheit spielten bei fast 90 Prozent der untersuchten Vorfälle eine wesentliche Rolle. Social Engineering bleibe mit 65 Prozent die häufigste Methode für den Erstzugang. Der Browser gilt inzwischen als Haupt-Schlachtfeld, da fast die Hälfte aller Sicherheitsvorfälle browserbasierte Aktivitäten umfasst.
Gefälschte Bankbelege schleusen gefährliche Schadsoftware ein
Am 19. Februar 2026 deckten Sicherheitsforscher eine mehrstufige Malware-Kampagne auf, die vor allem Unternehmen in Lateinamerika ins Visier nimmt. Die Angreifer versenden E-Mails mit gefälschten Bankbelegen. Ein raffinierter Dateinamen-Trick lässt ein bösartiges Skript wie ein harmloses PDF-Dokument erscheinen. Wird es geöffnet, startet eine komplexe Infektionskette.
Diese nutzt fileless Execution-Techniken und missbraucht vertraute Windows-Systemprozesse, um sich in der normalen Systemaktivität zu verstecken. Das finale Ziel ist die Installation von XWorm v5.6, einem leistungsstarken Remote-Access-Trojaner (RAT). Dieser gibt den Angreifern die vollständige Kontrolle über das kompromittierte System – zum Ausspähen von Browser-Sessions, zum Aufzeichnen von Tastenanschlägen oder zum Stehlen von Zugangsdaten für Finanz- und Cloud-Plattformen. Experten warnen, dass solche Angriffe oft der Vorläufer für verheerendere Attacken wie Ransomware sind.
Zwei-Faktor-Authentifizierung ausgehebelt: Angriff auf Microsoft 365
Parallel dazu sorgt eine neue Phishing-Kampagne für Aufsehen, die die Zwei-Faktor-Authentifizierung (MFA) umgeht. Sie nutzt eine Schwachstelle im OAuth Device Authorization-Prozess von Microsoft 365. Die am 20. Februar 2026 detailliert beschriebene Attacke zielt auf Fachkräfte in Nordamerika ab. Die E-Mails locken mit Themen wie Gehaltsboni, Sprachnachrichten oder Zahlungen und leiten das Opfer auf eine echte Microsoft-Login-Seite.
Dort wird der Nutzer aufgefordert, einen „sicheren Autorisierungscode“ einzugeben. Tut er das, gewährt er unbewusst einem Gerät der Angreifer Zugang zu seinem Microsoft-Konto. Dabei werden nicht die Passwörter gestohlen, sondern OAuth-Zugangstokens. Diese gewähren den Cyberkriminellen dauerhaften Zugriff auf Outlook, Teams und OneDrive. Diese Taktik markiert einen strategischen Wechsel: weg vom simplen Diebstahl von Zugangsdaten, hin zur Kompromittierung der vertrauensbasierten Identitätsprotokolle, auf denen moderne Cloud-Umgebungen basieren.
Systemisches Geschäftsrisiko: Betrug per Cyber-Angriff ist Top-Sorge
Die Verbreitung dieser fortschrittlichen Bedrohungen hat cyberbasierten Betrug zu einem der größten Sorgenkinder in Vorstandsetagen weltweit gemacht. Der „Global Cybersecurity Outlook 2026“ des World Economic Forum vom 18. Februar 2026 zeigt: Für CEOs sind Phishing und Betrug die bedrohlichsten Cyber-Risiken – gleich nach Ransomware. 73 Prozent der globalen Führungskräfte gaben an, dass 2025 jemand in ihrem beruflichen Umfeld persönlich von cyberbasiertem Betrug betroffen war.
Die Angreifer diversifizieren ihre Methoden ständig. Eine weitere, zunehmend verbreitete Taktik sind gefälschte Google- und Microsoft-Kalendereinladungen, die Zugangsdaten abgreifen. Diese am 17. Februar 2026 identifizierten Phishing-Mails imitieren echte Termineinladungen und erzeugen oft künstliche Dringlichkeit, um Mitarbeiter zum Klicken auf bösartige Links zu drängen – eine besonders effektive Methode in kalenderintensiven Unternehmensumgebungen.
Abwehrstrategien: Mehrschichtiger Schutz und geschulte Mitarbeiter
Die Trends deuten auf einen anhaltenden Shift hin zu identitätsgetriebenen Angriffen, die vertrauenswürdige Beziehungen und Arbeitsabläufe ausnutzen. Da KI die Hürde für die Erstellung überzeugender Social-Engineering-Kampagnen senkt, müssen Organisationen ihre Verteidigung anpassen.
Experten empfehlen einen mehrschichtigen Ansatz. Gegen OAuth-Phishing-Kampagnen können Administratoren in Betracht ziehen, den „Device Code Flow“ in ihren Cloud-Zugriffsrichtlinien zu deaktivieren. Entscheidend ist auch, Nutzer zu schulen: Sie sollten misstrauisch sein, wenn eine E-Mail auf eine Login-Seite führt, und regelmäßig prüfen, welche Geräte Zugriff auf ihre Konten haben. Gegen Bedrohungen wie XWorm, die legitime Systemtools missbrauchen, sind erweiterte Endpoint Detection and Response (EDR)-Fähigkeiten unerlässlich. Da E-Mail der primäre Einstiegspunkt bleibt, ist kontinuierliche Investition in Security-Awareness-Training eine der wirksamsten Verteidigungsmaßnahmen.
Wer sich gegen die neuen, KI‑gestützten Phishing- und OAuth‑Angriffe wappnen will, findet praxisnahe Antworten im kostenlosen E‑Book „Cyber Security Awareness Trends“. Der Leitfaden erklärt aktuelle Bedrohungen, effektive Schutzmaßnahmen für Unternehmen und wie Sie Mitarbeitende richtig schulen — kompakt und ohne teure IT‑Projekte. Jetzt kostenloses E‑Book „Cyber Security Awareness Trends“ herunterladen
Die Angreifer diversifizieren ihre Methoden ständig. Eine weitere, zunehmend verbreitete Taktik sind gefälschte Google- und Microsoft-Kalendereinladungen, die Zugangsdaten abgreifen. Diese am 17. Februar 2026 identifizierten Phishing-Mails imitieren echte Termineinladungen und erzeugen oft künstliche Dringlichkeit, um Mitarbeiter zum Klicken auf bösartige Links zu drängen – eine besonders effektive Methode in kalenderintensiven Unternehmensumgebungen.
