Hacker setzen zunehmend auf raffinierte Methoden, um selbst mehrstufige Authentifizierung zu umgehen. Das FBI warnt vor einem neuen Phishing-Kit namens Kali365.
Die Bedrohungslage für Unternehmen und Behörden hat sich dramatisch verschärft. Sicherheitsforscher und Bundesbehörden melden einen deutlichen Anstieg gezielter Angriffe auf Microsoft-365-Umgebungen. Im Zentrum steht ein neues „Phishing-as-a-Service“-Tool, das selbst erfahrene IT-Sicherheitsexperten vor Herausforderungen stellt.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulation und technische Angriffe schützen kann. Anti-Phishing-Paket für Unternehmen jetzt gratis herunterladen
Das Kali365-Phishing-Kit im Detail
Das FBI hat eine offizielle Warnung zu einem Phishing-Kit namens Kali365 herausgegeben, das seit April 2026 aktiv ist. Die Besonderheit: Es stiehlt OAuth-Tokens, indem es den sogenannten Device-Code-Flow von Microsoft missbraucht. Dieses Verfahren ist eigentlich für Geräte mit eingeschränkter Eingabemöglichkeit gedacht – etwa Smart-TVs oder Drucker.
Die Angreifer täuschen ihre Opfer: Sie geben einen Code auf einer legitimen Microsoft-Anmeldeseite ein und umgehen so sowohl Passwortabfragen als auch die mehrstufige Authentifizierung (MFA). Das Kit wird über Telegram vertrieben und senkt die Einstiegshürde für Cyberkriminelle drastisch.
„Kali365 enthält KI-generierte Köder, Kampagnenvorlagen und ein Echtzeit-Dashboard zur Angriffssteuerung“, heißt es in den Behördenberichten. Einmal eingedrungen, haben die Täter Zugriff auf sensible Anwendungen wie Outlook, Teams und OneDrive.
Stealth-Taktiken und KI-getarnte Malware
Parallel zur FBI-Warnung veröffentlichte der Sicherheitsanbieter Barracuda Networks Ende Mai einen alarmierenden Bericht. Die Forscher stellten im April einen Anstieg bösartiger Microsoft-365-Anmeldungen aus vermeintlich risikoarmen Ländern wie den USA und Großbritannien um 25 Prozent fest.
Die Taktik der Hacker: Sie nutzen VPNs und rotierende IP-Adressen, um sich wie legitime Nutzer zu verhalten. „Die Angreifer tarnen sich zunehmend als normale Geschäftsanwender“, erklären die Sicherheitsexperten.
Besonders perfide: In einer Kampagne wurde ein gefälschtes Installationsprogramm für Claude AI eingesetzt, um mehrstufige Schadsoftware zu verbreiten. Die Angreifer verwenden dateilose Malware, die direkt im Arbeitsspeicher ausgeführt wird und herkömmliche Sicherheitslösungen umgeht.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen, um sich proaktiv abzusichern. Gratis-E-Book zu Cyber Security Trends sichern
Schwachstellen in der Cloud-Infrastruktur
Die Bedrohung geht jedoch über reine Phishing-Angriffe hinaus. Am 27. Mai wurde eine Sicherheitslücke in der Veeam Backup & Replication-Software gemeldet. Die als CVE-2026-32996 identifizierte Schwachstelle ermöglicht eine lokale Rechteausweitung. Ein Update für Version 13 wurde bereits veröffentlicht.
Das Sicherheitsunternehmen Acronis warnt zudem vor schwachen Identitätseinstellungen und überprivilegierten Konten in Microsoft 365. Diese werden zunehmend zum Einfallstor für Managed Service Provider und deren Kunden. Bereits im März 2026 hatten Forscher festgestellt, dass fast 20 Milliarden Dateien in verschiedenen Cloud-Buckets ungeschützt zugänglich waren.
Milliarden-Investitionen in die Abwehr
Die Industrie reagiert mit massiven Gegenmaßnahmen. Am 28. Mai kündigte IBM eine Investition von fünf Milliarden Euro in eine KI-Initiative namens Project Lightwell an. Tausende Ingenieure sollen damit Open-Source-Software mithilfe modernster KI-Modelle absichern. Mehrere große Finanzinstitute haben sich bereits als erste Anwender verpflichtet.
Die US-Handelsbehörde FTC warnte zudem vor einer separaten massiven Phishing-Kampagne mit gefälschten digitalen Einladungen von Diensten wie Evite. Seit Ende 2025 wurden rund 80 Phishing-Domains registriert, die gezielt Gesundheitswesen, Behörden und Banken angreifen.
Was Unternehmen jetzt tun müssen
Die Behörden empfehlen dringend, verdächtige Aktivitäten zu melden. Experten betonen die Bedeutung regelmäßiger Software-Updates, phishing-resistenter MFA-Verfahren und einer proaktiven Sicherheitsstrategie. Konkret rät das FBI, den Device-Code-Flow einzuschränken, Conditional-Access-Richtlinien zu implementieren und die Übertragung von Authentifizierungssitzungen – etwa per QR-Code – zu blockieren.
Die Angriffswelle zeigt: Herkömmliche Sicherheitsmaßnahmen reichen nicht mehr aus. Unternehmen müssen ihre Verteidigungsstrategien grundlegend überdenken.
