KI-gesteuerte Hacker umgehen moderne Sicherheitsverfahren – die Industrie schlägt zurück.
Die digitale Identitätssicherung steht vor einem fundamentalen Wandel. Während Tech-Konzerne das Ende der Passwort-Ära einläuten, setzen Cyberkriminelle zunehmend auf künstliche Intelligenz und spezialisierte Phishing-Kits, um selbst moderne Multi-Faktor-Authentifizierung (MFA) zu knacken. Das FBI warnte erst vor wenigen Tagen vor einer neuen Bedrohung – und die Branche reagiert mit „phishing-resistenten“ Standards.
Die neue Welle: KI-gesteuerte Angriffe auf MFA
Am 21. Mai 2026 veröffentlichte das FBI eine formelle Warnung zu Kali365, einer „Phishing-as-a-Service“-Plattform (PhaaS), die bereits im April entdeckt wurde. Verbreitet über den Messenger-Dienst Telegram, nutzt KI-generierte Köder und eine ausgeklügelte „Device-Code-Phishing“-Technik. Die Masche: Opfer werden auf legitime Microsoft-Anmeldeseiten gelockt, wo Angreifer OAuth-Token abgreifen. So erlangen sie dauerhaften Zugriff auf Outlook, Teams und OneDrive – ganz ohne Passwort oder abgefangenen SMS-Code.
Angesichts der zunehmenden Angriffe auf herkömmliche Zugangsdaten suchen viele Nutzer nach sichereren Alternativen zum klassischen Passwort. Diese neue Methode ermöglicht Ihnen die Anmeldung per Fingerabdruck oder Gesichtserkennung – schnell, stressfrei und ohne Sicherheitsrisiken durch Phishing. Passkeys einrichten und Online-Konten effektiv schützen
Nur vier Tage später, am 25. Mai, meldete die Google Threat Intelligence Group (GTIG) einen weiteren Meilenstein der Bedrohung: den ersten bekannten KI-entwickelten Zero-Day-Exploit, der aktiv im Netz eingesetzt wurde. Die Attacke zielte auf eine Logikschwachstelle in einem verbreiteten Open-Source-Server-Tool, um die Zwei-Faktor-Authentifizierung zu umgehen. Google betonte zwar, dass die eigene KI Gemini nicht für die Erstellung des Exploits genutzt wurde – doch das verwendete Python-Skript trug eindeutige Merkmale einer Generierung durch große Sprachmodelle (LLMs). Sicherheitsanalysten vermuten staatlich unterstützte Gruppen aus Nordkorea, Russland und China hinter der Entwicklung.
Ein weiterer GTIG-Bericht dieser Woche dokumentiert die Entwicklung des chinesischsprachigen PhaaS-Ökosystems. Gruppen wie YY Lai Yu, die Nutzer in Japan mit over 400 Phishing-Vorlagen attackierten, setzen inzwischen auf Echtzeit-Abfangmechanismen über administrative Kontrollpanels. Diese Systeme erlauben es, Anmeldedaten und Wallet-Provisionierungsdaten gleichzeitig abzugreifen – herkömmliche Zwei-Faktor-Verfahren werden so wirkungslos.
Hardware-Authentifizierung als Antwort der Industrie
Die Reaktion der Tech-Branche lässt nicht lange auf sich warten. Am 25. Mai 2026 gab Ingram Micro India eine strategische Vertriebspartnerschaft mit Yubico bekannt. Ziel ist es, den Zugang zu den Hardware-Schlüsseln der YubiKey 5 Series und Bio Series im indischen Markt zu erweitern. Im Fokus stehen Hochsicherheitsanwendungen: Zero-Trust-Architekturen, Schutz für Remote-Mitarbeiter und Compliance-Vorgaben in den Bereichen Finanzen, Gesundheitswesen und öffentliche Verwaltung.
Der Druck auf Unternehmen wächst. Laut dem Sophos CISO Report 2026 werden die weltweiten Kosten durch Cyberkriminalität bis 2031 auf rund 12,2 Billionen US-Dollar jährlich steigen. Für viele Firmen ist der Umstieg auf hardwarebasierte Sicherheitsschlüssel oder FIDO2-konforme Passkeys längst keine Option mehr – sondern Voraussetzung für Cyber-Versicherungen und regulatorische Compliance.
Besonders der Finanzsektor zieht nach. Beobachtungen aus den letzten Maitagen zeigen einen sprunghaften Anstieg unbefugter Aktiengeschäfte durch Depot-Übernahmen, vor allem in Japan. Um Echtzeit-Phishing-Angriffe auf Einmalpasswörter (OTP) abzuwehren, setzen große Brokerhäuser wie SBI, Rakuten und Matsui zunehmend auf FIDO-basierte Authentifizierung. Diese Systeme arbeiten mit Public-Key-Kryptographie: Keine sensiblen Geheimnisse oder Passwörter werden jemals an einen Server übertragen oder dort gespeichert – ein grundlegender Schutz gegen Abhörangriffe.
Hürden bei der Umsetzung: Das Nutzererlebnis hakt
Trotz der klaren Sicherheitsvorteile bleibt der Übergang in eine passwortlose Welt technisch und nutzerfreundlich herausfordernd. Tests von Googles Passkey- und „Verified Email“-Systemen Anfang des Jahres zeigen: Das aktuelle Ökosystem wirkt fragmentiert. Passkeys sollen das Anmelden vereinfachen – doch viele Nutzer stellen fest, dass die Einrichtung kaum weniger Schritte erfordert als ein herkömmlicher Passwort-Manager.
Hinzu kommen aggressive Aufforderungen von Plattformen wie Microsoft, die Nutzer immer wieder zur Erstellung von Passkeys drängen. Googles Verified Email-System ist zudem auf Gmail-Konten beschränkt, unterstützt kein „Sign in with Google“ für Drittanbieter-Apps und fehlt die geräteübergreifende Synchronisation. Branchenanalysten warnen: Diese Komplexität könnte die breite Einführung behindern, da die aktuellen Systeme oft ein tieferes Verständnis der Authentifizierungsmethoden voraussetzen – statt den Prozess zu vereinfachen.
Schwachstellen-Ausnutzung überholt Passwortdiebstahl
Die strategische Bedeutung des Umstiegs auf Passkeys untermauert der Verizon Data Breach Investigations Report 2026. Die Analyse von über 31.000 Sicherheitsvorfällen und 22.000 bestätigten Datenlecks in 145 Ländern zeigt einen fundamentalen Wandel: Die Ausnutzung von Schwachstellen hat gestohlene Anmeldedaten als primären Angriffsvektor abgelöst. Schwachstellenausnutzung war für 31 Prozent der Datenlecks verantwortlich, gestohlene Zugangsdaten nur noch für 13 Prozent.
Da technische Schutzmaßnahmen allein oft nicht ausreichen, rücken Awareness-Kampagnen gegen gezielte Manipulation immer mehr in den Fokus. Experten erklären in diesem Paket, wie Sie psychologische Tricks entlarven und Ihr Unternehmen in vier Schritten wirksam absichern. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern
Das deutet darauf hin: Unternehmen verbessern zwar allmählich ihre Passwort-Hygiene, kommen aber mit dem Tempo der Software-Sicherheitslücken nicht hinterher. Nur 26 Prozent der Schwachstellen aus dem CISA-Katalog bekannter ausgenutzter Sicherheitslücken (KEV) wurden im vergangenen Jahr vollständig behoben – ein Rückgang von 38 Prozent im Vorjahreszeitraum. Die durchschnittliche Zeit bis zur Behebung liegt derzeit bei 43 Tagen.
Trotz des Aufkommens technischer Exploits bleibt der menschliche Faktor bei 62 Prozent aller Datenlecks entscheidend. Social Engineering ist weiterhin wirkungsvoll – wie das CypherLoc-Scareware-Kit zeigt. Seit Jahresbeginn 2025 wurden rund 2,8 Millionen Angriffe auf dieses Kit zurückgeführt. Es nutzt gefälschte Microsoft-Support-Formulare und Phishing-E-Mails, um Opfer dazu zu bringen, betrügerische Support-Nummern anzurufen – mit dem Ziel finanzieller Erpressung.
Ausblick: Wettlauf zwischen Schutz und Angriff
Die zweite Jahreshälfte 2026 wird von einem Wettrennen zwischen Authentifizierungs-Innovation und KI-verstärkter Ausbeutung geprägt sein. Während PhaaS-Plattformen wie Kali365 und Schadsoftware wie TrapDoor – die kürzlich Entwickler mit 34 bösartigen Paketen auf npm und PyPI angriff – weiterhin Erfolge erzielen, werden die Verteidigungswerkzeuge zunehmend automatisiert. Sicherheitsplattformen melden inzwischen eine mittlere Erkennungszeit für solche Schadpakete von etwas über fünf Minuten.
Das FBI und Sicherheitsexperten empfehlen Unternehmen sofortige Anpassungen: Einschränkung von Device-Code-Flows, Implementierung streng definierter bedingter Zugriffsrichtlinien und den Wechsel weg von MFA-Methoden, die auf abfangbaren Codes basieren. Da die durchschnittliche Zeit, die Angreifer benötigen, um eine neue Schwachstelle auszunutzen, kürzer ist als der übliche Patch-Zyklus der Unternehmen, wird die Einführung phishing-resistenter Hardware und kryptografischer Passkeys zur primären Verteidigungslinie gegen die 12,2-Billionen-Dollar-Bedrohung der globalen Cyberkriminalität.
