Selbst etablierte Schutzmaßnahmen wie die Zwei-Faktor-Authentifizierung (2FA) und Passkeys werden erfolgreich umgangen. Angreifer setzen vermehrt automatisierte Werkzeuge und künstliche Intelligenz ein, um Authentifizierungsverfahren auszuhebeln.
MFA-Umgehung: 37-facher Anstieg seit Jahresbeginn
Aktuelle Daten von Push Security und Huntress belegen einen drastischen Anstieg von Kampagnen gegen die Multi-Faktor-Authentifizierung (MFA). Seit Jahresbeginn stieg die Zahl solcher Angriffe um das 37-Fache. Besonders kritisch: Angreifer nutzen den sogenannten „OAuth 2.0 Device Code Flow“ aus. Sie verleiten Nutzer dazu, eine Sitzung des Angreifers auf einer legitimen Microsoft-Anmeldeseite zu autorisieren.
Anzeige: Die Zahl der MFA-Umgehungen ist seit Jahresbeginn um das 37-Fache gestiegen – und KI-generierte Phishing-Angriffe treffen jetzt auch Privatpersonen. Mit dieser Checkliste sichern Sie Ihre Konten in 3 Schritten ab. Jetzt kostenlosen Sicherheits-Leitfaden anfordern
Dafür kommen spezialisierte Tools zum Einsatz. Seit Februar 2026 wird das Phishing-Kit „EvilTokens“ beobachtet, im April kam „Kali365“ hinzu. Diese Instrumente greifen Authentifizierungs-Token ab und verschaffen vollen Zugriff auf Nutzerkonten – ganz ohne Passwort oder zweiten Faktor. Allein im März 2026 waren weltweit über 340 Organisationen betroffen.
Banken und Reisebranche besonders betroffen
Der Finanzsektor steht derzeit im Fokus. Laut Sparkassen-Vertretern haben sich die Phishing-Versuche im Bankenbereich vervierfacht. Rund 82 Prozent dieser Angriffe werden durch KI generiert. Der Gesamtschaden: rund 1,8 Milliarden Euro.
Pünktlich zur Urlaubszeit verzeichnet auch die Reisebranche eine verschärfte Bedrohungslage. Check Point meldete für Mai 2026 durchschnittlich 2.291 Cyberangriffe pro Woche und Unternehmen – ein Plus von 24 Prozent gegenüber dem Vorjahr. Bitdefender Labs identifizierte zudem eine neue Qualität im WhatsApp-Phishing: Angreifer nutzen echte Buchungsdaten aus Datenlecks von Portalen wie Booking.com. Seit März 2026 wurden mindestens sechs solcher Kampagnen in mehr als zehn Ländern registriert, darunter Deutschland.
Industrie reagiert mit neuen Sicherheitslösungen
Die Branche stellt sich auf die veränderte Bedrohungslage ein. LexisNexis Risk Solutions veröffentlichte Mitte Juni eine aktualisierte Version seiner IDVerse-Plattform. Sie erkennt mittels KI Deepfakes und synthetische Identitäten bei der Verifizierung. Barracuda brachte mit „Integrated Email Protection“ eine Lösung auf den Markt, die durch den KI-Assistenten „Bailey“ Phishing-Versuche in Microsoft 365 und Google Workspace automatisiert bereinigt.
Auch bei weit verbreiteter Software wurden kritische Lücken geschlossen. Microsoft veröffentlichte am 16. Juni einen Patch für die Schwachstelle CVE-2026-42824 im Copilot für Microsoft 365. Mozilla gab am 17. Juni die Version 152 des E-Mail-Clients Thunderbird frei. Sie behebt insgesamt 38 Sicherheitslücken, zwölf davon hochkritisch.
Anzeige: Urlaubszeit ist Phishing-Hochsaison: Buchungsdaten aus Datenlecks werden für gezielte WhatsApp-Angriffe genutzt. Dieser Leitfaden zeigt, wie Sie sich bei Reisebuchungen und Online-Konten effektiv schützen. Sicherheits-Leitfaden für Urlauber jetzt sichern
Was jetzt hilft: FIDO2 und Hardware-Lösungen
Trotz der Umgehungsversuche betonen Experten wie Georg Gann von Yubico die Notwendigkeit phishing-resistenter Authentifizierung. Die US-Sicherheitsbehörde CISA stuft Verfahren nach den Standards FIDO2 und WebAuthn als sicher ein. Sie sind konstruktionsbedingt resistenter gegen Phishing als SMS- oder App-basierte Einmal-Passwörter.
Angesichts von über 124 Millionen gestohlenen Passwörtern, die Mitte Juni neu in der Datenbank „Have I Been Pwned“ auftauchten, raten Sicherheitsexperten zu regelmäßigen Passwortwechseln. Besser: auf Hardware-basierte Sicherheitslösungen oder verifizierte Passkeys umsteigen. Für Urlauber gilt: Keine Links in Messenger-Diensten anklicken, sondern direkt über offizielle Webseiten oder Apps der Anbieter kommunizieren.
