Doch aktuelle Analysen zeigen: Die vermeintliche Schutzmauer bröckelt. Angreifer setzen zunehmend auf clevere Methoden, um MFA zu umgehen – mit Erfolg.
Angreifer nutzen legitime Microsoft-Schnittstellen
Sicherheitsforscher entdeckten Anfang Juli 2026 ein gefährliches Einfallstor. Beim sogenannten Device-Code-Phishing nutzen Kriminelle den legitimen Device Code Flow von Microsoft aus. Sie locken Nutzer auf eine offizielle Login-Seite – und sobald das Opfer einen manipulierten Code autorisiert, haben Angreifer Zugriff auf OneDrive, Teams oder E-Mails. Kaspersky warnte vor Kampagnen, die gezielt PDF-Dokumente und Weiterleitungen einsetzen.
Parallel dazu geraten Mailserver-Infrastrukturen ins Visier. Seit Mai 2026 beobachten Analysten Angriffe auf Roundcube-Mailserver nordamerikanischer Hochschulen. Die Schwachstellen CVE-2024-42009 (CVSS-Wert 9,3) und CVE-2025-49113 (CVSS-Wert 9,9) ermöglichen den Diebstahl von Zugangsdaten und die Installation von Hintertüren. Die Angreifer zerstören systematisch Sitzungsdaten, um ihre Spuren zu verwischen.
Router-Backdoor: Kein Patch in Sicht
Ein weiteres Problem lauert in der Hardware. Unter der Kennung CVE-2026-11405 wurde eine Backdoor in der Firmware von Tenda-Routern entdeckt. Ein undokumentierter Zugang in der Login-Funktion umgeht die Authentifizierung mit einem versteckten Passwort. Betroffen sind unter anderem die Modelle FH1201 und AC10. Da kein Patch verfügbar ist, empfehlen Experten den Austausch der Geräte oder die Deaktivierung des Fernzugriffs.
NIS2-Richtlinie verschärft Anforderungen für Unternehmen
Für Unternehmen wird die Lage durch strengere gesetzliche Vorgaben zusätzlich kompliziert. Die NIS2-Richtlinie ist seit dem 6. Dezember 2025 in Kraft. Sie verpflichtet mittelständische Unternehmen ab 50 Mitarbeitern oder einem Jahresumsatz von über zehn Millionen Euro zu umfassenden Risikomanagement-Maßnahmen. Dazu gehören die Sicherung der Lieferketten sowie strikte Meldepflichten: Bei Vorfällen muss innerhalb von 24 Stunden eine Frühwarnung erfolgen.
Wer die 24h-Meldepflicht nach NIS2 ernst nimmt, braucht jetzt einen klaren Fahrplan – inklusive Checkliste für den Notfall und Schutz vor aktuellen MFA-Umgehungen. Jetzt NIS2-Sofort-Report anfordern
„Identitäten sind das Hauptziel moderner Angriffe“, sagt Fabian Mosch vom IT-Dienstleister r-tec. Offensive Security-Tests zeigten regelmäßig, dass technologische Lösungen allein nicht ausreichen. Prozesse und ein aktives Identitätsmanagement (IAM) müssten zusammenspielen. Angreifer kombinieren oft mehrere geringfügige Schwachstellen – Phishing und fehlende MFA bilden die häufigsten Einstiegspunkte.
Als präventive Maßnahme gewinnen Passkeys an Bedeutung. Sie nutzen biometrische Daten oder PINs und gelten als weitgehend phishing-resistent. Google bietet Workspace-Administratoren inzwischen Optionen an, die klassische Passwortabfrage zugunsten dieser Hardware-gestützten Sicherheitsschlüssel zu überspringen.
Gerichtsurteil: Banken müssen Phishing-Opfer warnen
Die Relevanz sorgfältiger Authentifizierung zeigt sich auch in der Rechtsprechung. Das Oberlandesgericht Brandenburg entschied am 27. Mai 2026 (Az. 4 U 131/25): Banken trifft eine erhöhte Warnpflicht, wenn Kunden offensichtlich Opfer von Phishing werden. Im verhandelten Fall hatte ein Kunde durch die Herausgabe einer TAN und die Gewährung von Fernzugriff über 20.000 Euro verloren. Obwohl dem Kunden grobe Fahrlässigkeit attestiert wurde, sah das Gericht ein Mitverschulden der Bank – die Hotline-Mitarbeiterin hatte trotz deutlicher Betrugsanzeichen keine unmittelbare Warnung ausgesprochen.
WhatsApp: Neue Benutzernamen locken Identitätsdiebe
Auch bei WhatsApp verändern sich die Sicherheitsrisiken. Seit Ende Juni 2026 können Nutzer Benutzernamen reservieren. Die Verbraucherzentrale warnt vor neuen Identitätsdiebstählen: Kriminelle könnten durch vorgetäuschte Namen Vertrauen erschleichen. Nutzer sollten daher zusätzliche Sicherheitsfunktionen wie Benutzernamenschlüssel aktivieren.
Router-Backdoor ohne Patch? Device-Code-Phishing auf dem Vormarsch? Mittelständler mit 50+ Mitarbeitern sind ab sofort zur 24h-Meldung verpflichtet. Dieser Report zeigt, wie Sie Ihre Identitäten sichern und Compliance-Risiken minimieren. Compliance-Risiko-Check jetzt durchführen
KRITIS: Angriffe auf Industrieanlagen haben sich verdoppelt
In der kritischen Infrastruktur bleibt die Lage angespannt. Berichten zufolge haben sich Angriffe auf Industrieanlagen seit 2022 verdoppelt. In der Schweiz meldeten etwa 80 Prozent der KRITIS-Betreiber Vorfälle im Bereich der Betriebstechnologie (OT). Die Folge: Das Informationssicherheitsgesetz (ISG) wurde verschärft – mit klarem Fokus auf MFA und Netzwerksegmentierung.

