Die Multi-Faktor-Authentifizierung (MFA) gilt nicht mehr als garantierte Schutzmaßnahme. Das haben aktuelle Sicherheitslücken und neue Angriffsmethoden gezeigt.
Auf einer Konferenz der Charity Finance Group im Juni 2026 warnten Cybersicherheitsexperten vor einem Paradigmenwechsel. Gleich drei jüngste Sicherheitsvorfälle hätten gezeigt, dass MFA umgangen werden konnte. Die Technologie sei nicht mehr die umfassende Lösung, die sie einst war.
Staatliche Hacker zielen auf Wiederherstellungsschlüssel ab
Bundesbehörden haben gezielte Kampagnen identifiziert, die darauf abzielen, Standard-Authentifizierungsschichten zu umgehen. Am 26. Juni 2026 veröffentlichten das FBI und die US-Cybersicherheitsbehörde CISA eine Warnung vor russischen Geheimdienstgruppen. Die als UNC5792 und UNC4221 bekannten Gruppen haben es auf die Backup-Wiederherstellungsschlüssel von verschlüsselten Messaging-Apps wie Signal und WhatsApp abgesehen.
Durch Social Engineering erlangen die Angreifer 64-stellige Backup-Keys. Damit können sie komplette Nachrichtenverläufe entschlüsseln – und den Schutz der aktiven MFA umgehen. Die USA haben eine Belohnung von zehn Millionen Euro für Hinweise ausgesetzt, die zur Identifizierung von Personen im Umfeld von UNC5792 führen.
Diese staatlich gesteuerten Aktivitäten überschneiden sich mit denen der Hackergruppe Ghostwriter, auch bekannt als UNC1151. Die Gruppe nutzt Echtzeit-WebSocket-Relays, um SMS- und Einmalpasswort-Authentifizierungen zu umgehen. Im Fokus stehen politische Persönlichkeiten und Regierungsportale in Belarus und der Ukraine.
Maschinenidentitäten und KI-gesteuertes Phishing
Die Sicherheitslage wird zusätzlich durch die explosionsartige Zunahme von nicht-menschlichen Identitäten erschwert. Laut Daten von CyberArk aus dem Jahr 2025 übersteigen Maschinenidentitäten menschliche Identitäten im Verhältnis von 82 zu 1. Diese API-Keys und OAuth-Tokens schaffen eine massive, oft unbeaufsichtigte Angriffsfläche in Cloud-Umgebungen. Herkömmliche MFA und Zugriffsprüfungen werden dabei regelmäßig umgangen.
Künstliche Intelligenz hat zudem die Wirksamkeit traditioneller Social-Engineering-Angriffe drastisch erhöht. Eine Umfrage von Sagiss aus dem Jahr 2026 ergab, dass 72 Prozent der Mitarbeiter KI-geschriebene Phishing-Nachrichten überzeugender finden als herkömmliche Versuche. Die Zahl der Deepfake-Betrugsversuche stieg 2024 um mehr als 1.300 Prozent, wie Daten von McKinsey und Pindrop belegen.
Diese Entwicklung macht es für Nutzer zunehmend schwieriger, die Echtheit von Kommunikation zu überprüfen. 41 Prozent der Befragten gaben zu, ihr Bauchgefühl zu ignorieren, weil Nachrichten ein Gefühl von Dringlichkeit vermittelten.
Angesichts von Millionen gehackten Konten pro Quartal in Deutschland reichen herkömmliche Passwörter als Schutz nicht mehr aus. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. unknackbar absichern. Jetzt Passkey-Ratgeber kostenlos herunterladen
Schwachstellen in KI-Agenten und Codierungsassistenten
Neue Forschungsergebnisse zeigen spezifische Schwachstellen in KI-Tools, die Unternehmen zunehmend einsetzen. Am 12. Juni 2026 enthüllte Tenet Security eine als „Agentjacking“ bekannte Sicherheitslücke. Die Angriffsmethode erzielte eine Erfolgsrate von 85 Prozent bei der Übernahme von KI-Codierungsagenten wie Claude Code und Cursor.
Dabei werden gefälschte Fehlermeldungen eingeschleust, um die Kontrolle über den Agenten zu erlangen. Standard-Sicherheitsmaßnahmen wie Firewalls und Identitätsmanagementsysteme werden so umgangen. Interne Daten zeigen eine wachsende Kluft in der KI-Sicherheitsgovernance: 88 Prozent der Organisationen haben einen bestätigten oder vermuteten Sicherheitsvorfall mit einem KI-Agenten erlebt. Doch nur 14 Prozent verfügen über einen vollständigen Sicherheitsgenehmigungsprozess für diese Tools.
Neue Standards und phishing-resistente MFA
Als Reaktion auf diese Bedrohungen werden regulatorische Rahmenbedingungen verschärft. Die Cyber-Essentials-Plus-Anforderungen für 2026 schreiben vor, dass MFA für alle Nutzer von Cloud- und internetfähigen Diensten verpflichtend ist. Bisher lag der Fokus vor allem auf Administratorkonten. Die aktualisierten Regeln enthalten zudem spezifische Passwortlängenvorgaben und schreiben Firmware-Updates für entfernte Geräte vor.
Während Hacker immer raffiniertere Methoden nutzen, um Identitäten zu stehlen, bietet die passwortlose Anmeldung eine effektive Gegenmaßnahme. Erfahren Sie in diesem Gratis-Leitfaden, wie Sie Passkeys einrichten und sich künftig ohne Passwort-Stress, aber mit maximaler Sicherheit einloggen. Kostenlosen Report zur sicheren Anmeldung sichern
CISA und andere Sicherheitsorganisationen empfehlen nun den Umstieg auf phishing-resistente MFA – etwa hardwarebasierte Sicherheitsschlüssel – in Kombination mit Zero Trust Network Access (ZTNA). Diese Strategien setzen auf kontinuierliche Identitätsüberprüfung und Vertrauenssignale von Geräten, statt auf ein einzelnes Authentifizierungsereignis zu vertrauen.
Trotz der zunehmenden Umgehungsversuche zeigt Microsoft-Daten, dass Standard-MFA immer noch 99,9 Prozent der Massenangriffe auf Konten blockiert. Die Technologie bleibt jedoch anfällig für gezielte, hochspezialisierte Angriffstechniken, die derzeit von staatlichen Akteuren und KI-gestützten Plattformen eingesetzt werden.
