Cyberangriffe auf dem Vormarsch: Neue MFA-Tricks gefährden Unternehmen

Hacker umgehen zunehmend die Zwei-Faktor-Authentifizierung – und die neue Datenschutzverordnung erhöht den Druck auf Firmen.

Die Sicherheitslandschaft deutscher Unternehmen gerät massiv unter Druck. Seit heute, dem 19. Mai 2026, ist das neue Datennutzungsgesetz (DNG) in Kraft – und zeitgleich warnen Sicherheitsexperten vor einer neuen Welle hochentwickelter Cyberangriffe. Besonders perfide: Kriminelle knacken nicht mehr nur Passwörter, sondern hebeln die Multi-Faktor-Authentifizierung (MFA) komplett aus.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Wenn der Feind in der Mitte lauert

Die Methode heißt Adversary-in-the-Middle (AITM) – und sie ist gefährlicher als klassisches Phishing. Statt Zugangsdaten zu stehlen, kapern Angreifer aktive Sitzungs-Cookies. Das System glaubt dann, der Nutzer habe sich bereits legitimiert, und gewährt Zugang, ohne dass ein zweiter Faktor abgefragt wird.

Emanuel Lipschütz, Sicherheitschef bei Conscia, warnt: „Der Diebstahl von Sitzungs-Cookies macht viele gängige MFA-Implementierungen wirkungslos." Besonders im Visier: Finanzabteilungen. Hacker beobachten dort oft wochenlang den E-Mail-Verkehr, um bei großen Rechnungen die Kontodaten zu manipulieren.

Die Zahlen sind alarmierend: Phishing-Links sind für über 90 Prozent aller Datenlecks verantwortlich. Neue Tricks für 2025 und 2026 umfassen HTML- und SVG-Anhänge, manipulierte QR-Codes („Quishing") sowie gefälschte Kalendereinladungen.

Phishing-Welle rollt durch Deutschland

Erst gestern warnten Verbraucherschützer vor gefälschten Amazon- und Apple-Mails. Die Amazon-Variante fordert angeblich 8,99 Euro für Prime Video – in Wirklichkeit sollen Kontodaten abgegriffen werden. Zeitgleich locken Apple-Betrüger mit gesperrten Konten.

Der Finanzsektor ist besonders betroffen. Heute wurden Warnungen zu gefälschten „Deutschlandtickets" der Deutschen Bahn veröffentlicht. Bereits gestern gab es Alarme zur Commerzbank-Foto-TAN und in den vergangenen Tagen zu Deutsche Bank, DKB und Rundfunkbeitrag.

Die wirtschaftlichen Schäden sind enorm: In Österreich liegt der durchschnittliche Schaden pro Phishing-Fall bei 4.333 Euro, bei Überweisungsbetrug sogar bei über 8.513 Euro. Für Deutschland beziffern Experten den Gesamtschaden durch Cyberkriminalität 2023 auf 206 Milliarden Euro – Phishing macht davon 31 Prozent aus.

Neue Schutzschilde gegen alte Lücken

Die Technologiebranche reagiert. Signal hat nach Angriffen auf deutsche Politiker seine Sicherheit verschärft: Die App warnt jetzt deutlich vor unbekannten Kontakten und stellt klar, dass sie niemals PINs per Chat abfragt.

Google führt in Android 14 eine „Scan for Scam Apps"-Funktion ein, die lokal den Zugriff auf Passwortfelder überwacht. Dashlane setzt auf KI-basierte Phishing-Warnungen, die Webseiten in Echtzeit analysieren.

Unternehmen setzen verstärkt auf Security-Awareness-Training. Sicherheitsfirmen wie KnowBe4 testen zunächst die „Phishing-Anfälligkeit" der Belegschaft, um dann gezielt zu schulen. Gefordert wird zudem eine einstündige Kühlfrist bei der Registrierung neuer Banking-Geräte.

Neues Datengesetz: Fluch und Segen zugleich

Seit heute gilt das Datennutzungsgesetz (DNG) , das die EU-Verordnung in deutsches Recht umsetzt. Das Statistische Bundesamt (Destatis) wird zur zentralen Anlaufstelle für Anonymisierung und Metadaten. Die Bundesnetzagentur übernimmt die Aufsicht über Datenvermittlungsdienste.

Doch der Druck auf Unternehmen wächst. Der EU AI Act kommt hinzu: 78 Prozent der europäischen Mittelständler sind laut Umfragen nicht auf die ab August 2026 beginnenden Audits vorbereitet. 83 Prozent fehlt ein KI-Register, 74 Prozent haben keine klaren Compliance-Zuständigkeiten. Die Strafen können bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes betragen.

Compliance-Experten warnen: Wer die KI-Verordnung ignoriert, riskiert empfindliche Strafen. Dieser kostenlose Umsetzungsleitfaden zum EU AI Act liefert Ihnen den nötigen Überblick über alle relevanten Übergangsfristen. E-Book zur KI-Verordnung kostenlos herunterladen

Compliance wird zum Dauerbrenner

Dr. Bernd Federmann von KPMG Law betont: „Seit dem Hinweisgeberschutzgesetz müssen Unternehmen gesetzliche Anforderungen nachhaltig in ihre Compliance-Strukturen integrieren." Doch der Schutz ist nicht absolut: Das Bundesarbeitsgericht entschied im Dezember 2025, dass eine Kündigung in der Probezeit nur dann unzulässig ist, wenn sie nachweislich wegen der Meldung erfolgte.

Die Bürokratie bleibt eine Herausforderung: Bis zu 75 Prozent der Arbeitszeit in Datenschutzteams fließen in Dokumentation. KI-Assistenten sollen helfen, Verarbeitungsverzeichnisse (VVT) und Datenschutz-Folgenabschätzungen (DSFA) zu automatisieren – mit dem Potenzial, den Zeitaufwand um 75 Prozent zu senken.

Ausblick: Audit-Readiness als oberstes Ziel

Für den Rest des Jahres 2026 und 2027 wird die „Audit-Readiness" für den EU AI Act zur zentralen Aufgabe. Während KI-gestützte Abwehrmechanismen immer besser werden, bleibt der menschliche Faktor die größte Schwachstelle.

International zeigt sich ein Flickenteppich: Allein 2025 führten acht US-Bundesstaaten neue Datenschutzgesetze ein. Das Maryland Online Data Privacy Act (MODPA) gilt als eines der strengsten – mit Verboten von Geofencing und Pflicht zu KI-Risikobewertungen. Für multinationale Unternehmen bedeutet das: Die regulatorische Komplexität wächst genauso schnell wie die technische Raffinesse der Angreifer.

de | wirtschaft | 69375355 |