Hacker umgehen Zwei-Faktor-Authentifizierung – KI entwickelt erstmals eigenen Exploit gegen 2FA.
Die Sicherheitslage für Unternehmen, die auf Microsoft 365 setzen, hat sich dramatisch verschärft. Gleich mehrere neue Bedrohungen wurden in dieser Woche bekannt: Eine spezialisierte Phishing-Plattform namens Kali365 umgeht die Zwei-Faktor-Authentifizierung (MFA), während Künstliche Intelligenz erstmals einen eigenen Zero-Day-Exploit gegen 2FA-Systeme entwickelt hat. Hinzu kommen Berichte über Admins, die sich selbst aus ihren Systemen aussperren.
Phishing-Angriffe werden immer raffinierter und nutzen gezielt psychologische Schwachstellen aus, um selbst moderne Sicherheitsmechanismen zu umgehen. Mit diesem kostenlosen Ratgeber erfahren Sie in vier Schritten, wie Sie Ihr Unternehmen effektiv gegen aktuelle Hacker-Methoden und CEO-Fraud absichern. Anti-Phishing-Paket jetzt kostenlos herunterladen
Kali365: Phishing als Abo-Modell
Bereits am 21. Mai 2026 warnten die US-Bundesbehörden vor einer neuen Bedrohung: Kali365, eine Phishing-as-a-Service-Plattform, die seit April aktiv ist. Das Modell ist simpel – und effektiv. Für 250 Euro (30 Tage) bis 2.000 Euro (Jahresabo) können Kriminelle auf eine Infrastruktur zugreifen, die MFA-Schutzmechanismen systematisch aushebelt.
Die Methode ist raffiniert: Kali365 nutzt den OAuth Device Code Flow, ein legitimes Microsoft-Feature für Geräte ohne vollständige Tastatureingabe. Die Opfer erhalten eine Phishing-Mail mit einem Link zu einer echten Microsoft-Seite. Geben sie dort einen Code ein, erhalten die Angreifer ein OAuth-Token – und damit vollen Zugriff auf Outlook, Teams und OneDrive.
Laut Erkenntnissen von FBI, Arctic Wolf und Proofpoint wurden bereits hunderte Organisationen in Nordamerika und Europa attackiert. Sicherheitsexperten empfehlen, den Device Code Flow via Conditional Access komplett zu blockieren.
KI schreibt eigenen Exploit – und findet Lücken, die Scanner übersehen
Am 25. Mai 2026 veröffentlichte die Google Threat Intelligence Group eine Nachricht, die Sicherheitsverantwortliche weltweit aufschrecken ließ: Erstmals wurde ein Zero-Day-Exploit gegen 2FA von Künstliche Intelligenz entwickelt. Die KI identifizierte einen semantischen Logikfehler in einem Server-Management-Tool – eine Schwachstelle, die herkömmliche Sicherheitsscanner übersehen hatten.
Der AI-generierte Angriff zielte auf Massenausbeutung von Einmalpasswörtern (OTP). Google konnte größeren Schaden zwar verhindern, doch der Vorfall zeigt: Staatlich geförderte Akteure nutzen zunehmend KI, um Schwachstellen in Authentifizierungsprotokollen aufzuspüren. Die Geschwindigkeit, mit der neue Lücken gefunden und ausgenutzt werden können, dürfte die Branche zu schnelleren, automatisierten Abwehrmechanismen zwingen.
Storm-2949: Vier Minuten reichen für den Totalausfall
Parallel dazu berichtete Microsoft Threat Intelligence über die Aktivitäten der Gruppe Storm-2949. Deren Vorgehen ist ebenso einfach wie gefährlich: Mittels Social Engineering und „MFA-Prompt-Spam“ werden Nutzer manipuliert, Zugriffe zu bestätigen. Ist der Fuß in der Tür, nutzen die Angreifer Azure Role-Based Access Control (RBAC) aus.
In dokumentierten Fällen gelang es den Hackern, innerhalb von nur vier Minuten Datenbank-Strings und Identitätsgeheimnisse aus dem Azure Key Vault zu stehlen – indem sie die Rolle „Besitzer“ übernahmen. Anschließend installierten sie Hintertüren über VM-Erweiterungen und deaktivierten Sicherheitssoftware wie Microsoft Defender.
Die Admin-Falle: Wenn die Authentifizierung zur Endlosschleife wird
Doch nicht nur externe Angreifer bereiten IT-Profis Kopfzerbrechen. Am 25. und 26. Mai 2026 mehrten sich Berichte von „Global Admins“, die sich selbst aus ihren Microsoft-365-Umgebungen ausgesperrt hatten. Ein wiederkehrendes Problem: Die Microsoft Authenticator-App gerät in eine Endlosschleife, in der sie einen Code anfordert, der nur aus der App generiert werden kann, auf die der Admin keinen Zugriff mehr hat.
Angesichts von Millionen gehackten Konten pro Quartal wird deutlich, dass klassische Passwörter und herkömmliche MFA-Methoden oft nicht mehr ausreichen. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Microsoft und Co. durch biometrische Merkmale absolut sicher und stressfrei schützen. Kostenlosen Passkey-Ratgeber jetzt sichern
Die Fälle von Marcelo Lopes und Corne Boshoff zeigen die Konsequenzen: Nach Verlust eines Geräts oder einer fehlerhaften Authentifizierung waren sie als einzige Administratoren ihrer Organisationen komplett ausgesperrt. Sie mussten das Microsoft Data Protection Team telefonisch kontaktieren oder temporäre Test-Tenants erstellen, um Support-Tickets zu öffnen. Ein Alarmsignal für Unternehmen, die auf einen einzigen Admin-Account setzen.
Passwortlos in die Zukunft – mit Hindernissen
Die Branche bewegt sich in Richtung „passwortloser“ Umgebungen, doch der Weg ist steinig. Am 25. Mai 2026 bestätigte Microsoft, SMS-Verifikationscodes für persönliche Konten inklusive Xbox-Dienste abzuschaffen. Grund sind die bekannten Schwachstellen von SMS wie SIM-Swapping und Abfangen. Stattdessen setzt Microsoft auf Passkeys, biometrische Authentifizierung und die Authenticator-App.
Doch die Benutzererfahrung ist noch nicht ausgereift. Aktuelle Tests von Googles „Verified Email“ und verschiedenen Passkey-Implementierungen zeigen ein fragmentiertes Bild. Die Technologie funktioniert grundsätzlich, aber die Komplexität verschiedener Authentifizierungsmethoden über unterschiedliche Plattformen hinweg bleibt eine Hürde für die breite Einführung. Für viele Nutzer hat die Abkehr von Passwörtern einen Satz von Schwachstellen durch neue technische Komplexitäten ersetzt.
Was Unternehmen jetzt tun müssen
Die Botschaft der Sicherheitsbehörden ist eindeutig: Herkömmliche Push-basierte MFA und SMS-Codes reichen nicht mehr aus, um gegen Angriffe wie Kali365 zu bestehen. Unternehmen müssen auf phishing-resistente Methoden umsteigen.
Hardware-Sicherheitsschlüssel und die strikte Durchsetzung von Conditional Access werden zum neuen Standard. Systemadministratoren sollten zudem sicherstellen, dass mehrere globale Admin-Konten existieren und Notfall-Wiederherstellungsverfahren regelmäßig getestet werden. Denn eines hat die jüngste Entwicklung gezeigt: Die Grenze zwischen Angreifer und Admin verschwimmt – und der Feind sitzt manchmal in der eigenen Authentifizierungs-App.
