Neue Schadsoftware und professionelle Betrugsnetzwerke machen die einst beliebte Sicherheitsmethode zunehmend zur Gefahr. Experten setzen stattdessen auf hardwaregestützte Lösungen.
Die neue Bedrohungslage: Trojaner und Phishing-Netzwerke
Im Juni 2026 entdeckten Sicherheitsforscher „Rokarolla“ – einen Android-Banking-Trojaner, der es auf 217 Bank- und Kryptowährungs-Apps abgesehen hat. Die Schadsoftware nutzt Zugriffsrechte aus, um Tastatureingaben mitzuschneiden, Bildschirmaufnahmen zu machen und SMS-TANs zu stehlen.
Anzeige: Wer die Ära der SMS-TAN hinter sich lassen will, findet in diesem Report die entscheidenden Strategie-Hebel – von FIDO2-Hardware-Keys bis zur SIM-basierten Authentifizierung. Jetzt kostenlosen Sicherheits-Report anfordern
Doch das ist nur die Spitze des Eisbergs. Bereits im Frühjahr zerschlug das FBI mit „Operation Ghost Hook“ ein in China ansässiges „Phishing-as-a-Service“-Netzwerk namens Outsider Enterprise. Die Bilanz ist erschreckend: Allein im Mai 2026 verschickte das Netzwerk 2,5 Millionen SMS-Nachrichten an Android-Nutzer, betrieb über 9.000 betrügerische Webseiten und verursachte Schäden in Höhe von schätzungsweise 1,9 Milliarden Euro.
Hinzu kommt die Gefahr des SIM-Swappings, bei dem Angreifer die Handynummer auf ihre eigene SIM-Karte übertragen. Selbst Authenticator-Apps mit zeitbasierten Einmalpasswörtern (TOTP) sind nicht immun. Eine im März 2026 von CERT Polska dokumentierte Kampagne der Gruppe Ghostwriter (UNC1151) nutzte gefälschte Gmail-Administrator-E-Mails, um sowohl Passwörter als auch 2FA-Codes von Politikern und Forschern zu stehlen.
Der große Umbruch: 70 Prozent der Firmen betroffen
Ein am 15. Juni 2026 veröffentlichter Sicherheitsreport von HID und FIDO zeigt das ganze Ausmaß: 70 Prozent aller Organisationen haben in den letzten zwei Jahren identitätsbezogene Sicherheitsverletzungen erlitten. Besonders alarmierend: 35 Prozent der Unternehmen sind nicht in der Lage, kompromittierte Konten innerhalb von 24 Stunden zu sperren. Im öffentlichen Sektor liegt dieser Wert sogar bei 43 Prozent.
Die Konsequenz ist ein massiver Strategiewechsel. Rund 75 Prozent der Organisationen evaluieren oder implementieren derzeit integrierte Identitätslösungen. Der Druck steigt: Das australische Cyber Security Centre (ACSC) meldete für den Zeitraum 2024/25 einen Anstieg der Cyber-Bedrohungen um 83 Prozent.
Hardware-Keys: Der Goldstandard der Sicherheit
Sicherheitsexperten, unter anderem vom Hersteller Yubico, bezeichnen FIDO2-Hardware-Keys als den „Goldstandard“ für Authentifizierung. Diese Geräte verhindern das Abfangen von Codes, indem sie eine physische Präsenz und kryptografische Verifizierung verlangen – etwas, das Phishing-Kits nicht reproduzieren können.
SIM-Karte als Sicherheitsanker: Neue Technologien
Das Unternehmen Unibeam kündigte mit SecureSIM eine Lösung an, die die Authentifizierung direkt an die Hardware-Sicherheit der SIM, eSIM oder iSIM eines Mobilgeräts koppelt. Die SIM-Karte dient dabei als „Root of Trust“ für phishing-resistente Logins in Unternehmensumgebungen.
Auch die Kryptowährungsbranche zieht nach. Anbieter wie Ledger und LCX empfehlen ihren Nutzern, Transaktionsadressen direkt auf dem Hardware-Gerät zu überprüfen und Authenticator-Apps SMS vorzuziehen. Ledgers Geräte nutzen ein Secure Element mit Common-Criteria-EAL5+-Zertifizierung und löschen nach drei falschen PIN-Eingaben sämtliche Daten.
Authenticator-Apps im Wandel
Google Authenticator führte bereits im April 2023 eine Synchronisationsfunktion ein, die 2FA-Codes geräteübergreifend über das Google-Konto verfügbar macht. Mehr Komfort bedeutet aber auch neue Risiken – regelmäßige Sicherheitschecks sind Pflicht.
Anzeige: 35% der Unternehmen können kompromittierte Konten nicht innerhalb von 24 Stunden sperren – ein unhaltbarer Zustand. Dieser Leitfaden zeigt, wie Sie mit physischen Sicherheitsschlüsseln und Conditional Access die Reaktionszeit drastisch verkürzen. Sofort-Maßnahmen-Report jetzt sichern
Plattformen wie Toast machen MFA für sensible Rollen mittlerweile zur Pflicht. Seit dem 16. Juni 2026 benötigen alle Nutzer mit Finanzberechtigungen eine Mehrfachauthentifizierung, die etwa alle 30 Tage pro Gerät erneuert werden muss. Dienste wie 1Kosmos integrieren biometrische Verifikation mit passwortloser Authentifizierung in großen Cloud-Marktplätzen, um Social-Engineering-Angriffe an Service Desks und bei Remote-Einstellungsprozessen zu erschweren.
Die neue Gefahr: Phishing-Kits umgehen selbst MFA
Das FBI warnt ausdrücklich vor fortschrittlichen Phishing-Kits wie „Kali365″, die selbst standardmäßige MFA umgehen können – indem sie den Microsoft Device Code Flow ausnutzen. In diesen Angriffen können Angreifer in nur 42 Sekunden einen unbefugten Zugriffstoken erlangen. Sicherheitsexperten raten daher: Die Blockierung bestimmter Protokolle wie Device Code Flow durch Conditional Access ist inzwischen genauso wichtig wie die Wahl der 2FA-Methode selbst.
