Laut dem aktuellen Report der Sicherheitsfirma KELA wurden im Jahr 2025 rund 2,9 Milliarden Zugangsdaten auf Kriminellen-Marktplätzen und in privaten Repositorien aufgespürt. Die Studie mit dem Titel „The State of Cybercrime 2026″ wurde Ende April veröffentlicht und zeigt: Multi-Faktor-Authentifizierung (MFA) ist zwar der wichtigste Schutzschild – aber zunehmend selbst Ziel automatisierter Angriffe.
Angesichts von Milliarden gestohlener Zugangsdaten reicht ein einfaches Passwort längst nicht mehr aus, um Ihre digitalen Konten vor Hackern zu schützen. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Accounts bei Amazon, WhatsApp und Co. endlich unknackbar machen. Passkeys kostenlos einrichten und Passwort-Stress beenden
Der Fall, der alles veränderte
Die Veröffentlichung fällt mit dem zweiten Jahrestag einer folgenreichen Anhörung im US-Senat zusammen. Am 1. Mai 2024 gestand UnitedHealth-Group-CEO Andrew Witty den Abgeordneten, dass der verheerende Angriff auf Change Healthcare durch ein Fernzugriffsportal ohne MFA möglich wurde. Die Attacke legte weite Teile des US-Gesundheitssystems lahm, betraf rund ein Drittel aller Amerikaner und kostete UnitedHealth im ersten Quartal 2024 fast 900 Millionen Dollar – plus ein Lösegeld von 22 Millionen Dollar in Bitcoin.
Senatoren bezeichneten den Vorfall damals als „Cybersecurity-101-Versagen“. Zwei Jahre später zeigt der KELA-Report: Während die MFA-Einführung rasant zugenommen hat, setzen Angreifer zunehmend auf Künstliche Intelligenz, um die Sicherheitsschicht zu umgehen.
Infostealer auf dem Vormarsch
Ein besonders alarmierender Trend: Die Zahl der Infostealer-Infektionen auf macOS-Systemen explodierte. Waren 2024 noch weniger als 1.000 dokumentierte Fälle bekannt, stieg die Zahl bis Ende 2025 auf über 70.000. Die gestohlenen Daten umfassen nicht nur Benutzernamen und Passwörter, sondern auch Session-Tokens, die Angreifern direkten Zugriff auf aktive Sitzungen ermöglichen.
Doch die Kriminellen haben ihre Methoden grundlegend verändert. KI ist vom Hilfswerkzeug zum Kernbestandteil der Angriffskette geworden. Die Forscher sprechen von „Vibe Hacking“ – der autonomen Ausführung kompletter Angriffsabläufe. Die Folge: Die Zahl der Ransomware-Opfer stieg um 45 Prozent auf 7.549 betroffene Organisationen im Jahr 2025. KELA identifizierte 147 aktive Ransomware-Gruppen, 80 davon waren Neugründungen.
Parallel dazu verzeichneten die Forscher einen Ansturm von Distributed-Denial-of-Service-Angriffen (DDoS) um 400 Prozent. Diese dienen oft als Ablenkungsmanöver für Credential-Stuffing-Operationen.
Die neue Bedrohungslage: Phishing-resistente MFA als Goldstandard
Die Antwort der Tech-Branche ließ nicht lange auf sich warten. Microsoft erreichte im Rahmen seiner Secure-Future-Initiative einen Meilenstein: Seit dem 9. Februar 2026 ist MFA für alle Nutzer des Microsoft-365-Admin-Centers Pflicht. Die schrittweise Einführung hatte bereits 2024 für Azure- und Entra-ID-Portale begonnen.
Die Wirksamkeit ist beeindruckend: Studien zeigen, dass MFA mehr als 99,2 Prozent aller Account-Kompromittierungen blockiert. Bei automatisierten Hacking-Versuchen steigt die Erfolgsrate auf 99,99 Prozent. Selbst wenn Zugangsdaten bereits gestohlen wurden, reduziert MFA das Risiko einer vollständigen Übernahme um rund 98,56 Prozent.
Doch die US-Sicherheitsbehörde CISA warnt: Nicht jede MFA ist gleich sicher. Phishing-resistente Verfahren wie FIDO2-Sicherheitsschlüssel, Passkeys und PKI-Smartcards gelten als der einzig wahre „Goldstandard“. Herkömmliche Methoden wie SMS-Codes oder einfache Push-Benachrichtigungen sind zunehmend anfällig für „Adversary-in-the-Middle“-Angriffe (AiTM) und „Push-Bombing“ – bei dem Nutzer mit Authentifizierungsanfragen bombardiert werden, bis sie versehentlich eine bestätigen.
Das Paradoxon der Sicherheit
Trotz aller Fortschritte bleibt ein Problem: MFA ist zwar universell empfohlen, aber längst nicht universell implementiert. Analysen aus den Jahren 2024 und 2025 zeigen, dass 55 Prozent der kleinen Unternehmen die Vorteile von MFA nicht vollständig kennen. Bei privaten Nutzern liegt die weltweite Akzeptanz bei mageren 30 Prozent.
Während die Industrie auf passwortlose Verfahren umstellt, werden in Deutschland pro Quartal immer noch 4,7 Millionen Konten gehackt. Erfahren Sie in diesem kostenlosen Ratgeber, wie Sie die neue Technologie nutzen, die Passwörter für immer ablösen soll und Hackern keine Chance mehr lässt. Sicher und passwortlos: Den Gratis-Report zu Passkeys jetzt anfordern
Der Hauptgrund: die Unbequemlichkeit. Rund jeder dritte Verbraucher lehnt MFA ab, weil der Prozess als umständlich oder langsam empfunden wird. Die Industrie reagiert mit einem rasanten Umstieg auf passwortlose Authentifizierung. Passkeys, die biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung nutzen, sollen wiederverwendbare Passwörter komplett ersetzen. Sie sind von Natur aus phishing-resistent, da sie an ein bestimmtes Gerät gebunden sind und nicht von gefälschten Login-Seiten abgefangen werden können. Fast neun von zehn IT-Experten sehen passwortlose MFA inzwischen als höchste erreichbare Sicherheitsstufe.
Strengere Regulierung und neue Haftungsrisiken
Der rechtliche Rahmen wird enger. Die New Yorker Finanzaufsicht NYDFS und der PCI-DSS-Standard für Zahlungskarten haben ihre MFA-Anforderungen verschärft. Unternehmen, die ihren Kunden keine MFA anbieten oder sie für Mitarbeiter nicht vorschreiben, müssen nun mit Haftung rechnen – unter Berufung auf Klauseln zu „unlauteren Handlungen oder Praktiken“, wie die US-Verbraucherschutzbehörde CFPB in aktuellen Rundschreiben betont.
Ausblick: 2026 wird das Jahr der bedingten Zugriffe
Cybersicherheitsexperten erwarten, dass „Conditional Access“ – also bedingte Zugriffssteuerung – in diesem Jahr zum Standard für Unternehmensnetzwerke wird. Diese Systeme nutzen KI, um Anmeldesignale wie IP-Geolokalisierung, Geräte-Reputation und Tageszeit zu analysieren und die Authentifizierungsanforderungen in Echtzeit anzupassen. Wirkt ein Login-Versuch verdächtig, wird automatisch von einer einfachen biometrischen Prüfung auf eine hardwaregestützte Schlüsselanforderung hochgeschaltet.
Der KELA-Report schließt mit einer Warnung: Die Bewaffnung der Software-Lieferkette durch OAuth-Kompromittierungen und Open-Source-Würmer werde die nächste große Welle des Credential-Diebstahls einläuten. Der Fokus für den Rest des Jahres 2026 werde daher auf der Sicherung von „Workload-Identities“ liegen – den automatisierten Skripten und Service-Konten, die Cloud-Umgebungen steuern.
Während die „Cybersecurity 101″ des Jahres 2024 noch darauf abzielte, MFA überhaupt erst einzuschalten, lautet die Priorität für 2026: MFA muss unphishable sein. Denn je stärker die Angreifer KI nutzen, desto entscheidender wird die Fähigkeit von Unternehmen, nahtlose, hardwaregestützte Authentifizierung zu liefern. Nur so können sie der nächsten Generation automatisierter Angriffe standhalten.
