Microsoft beendet SMS-Authentifizierung: Passkeys ab sofort Pflicht

Erstmals hat eine Künstliche Intelligenz eigenständig einen Zero-Day-Exploit entwickelt, der speziell auf die Umgehung der Zwei-Faktor-Authentifizierung (2FA) abzielt. Die Google Threat Intelligence Group entdeckte am 25. Mai 2026 diesen neuartigen Angriff, der einen automatisierten Python-Skript nutzt, um eine semantische Logiklücke in einem Server-Management-Tool auszubeuten. Das Ziel: die massenhafte Kompromittierung von Einmal-Passwörtern (OTPs). Parallel dazu warnte das FBI vor der Phishing-Plattform „Kali365", während Microsoft die SMS-basierte Verifizierung für Privatkonten einstellte. Rund 86 Prozent aller Phishing-Angriffe werden inzwischen KI-gestützt durchgeführt – die prognostizierten Schäden belaufen sich auf hunderte Milliarden Euro allein für dieses Jahr.

Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland warnen Experten: Wer noch klassische Passwörter nutzt, geht ein unnötiges Risiko ein. Dieser kostenlose Report zeigt, wie Sie Ihre Konten bei Amazon, Microsoft oder WhatsApp mit der neuen Passkey-Technologie unknackbar absichern. Sichere Alternative zu Passwörtern jetzt gratis nachlesen

Phishing-as-a-Service: Angriffe für jedermann

Die Professionalisierung der Cyberkriminalität schreitet rasant voran. Seit April 2026 ist die Plattform „Kali365" aktiv, die das FBI am 21. Mai offiziell als Bedrohung einstufte. Der Dienst wird hauptsächlich über Telegram vertrieben und spezialisiert sich auf die Umgehung von Multi-Faktor-Authentifizierung (MFA). Die Methode ist perfide: Opfer werden aufgefordert, einen Code auf einer legitimen Microsoft-Autorisierungsseite einzugeben. Sobald dies geschieht, fängt der Angreifer das daraus resultierende OAuth-Token ab – und erhält vollen Zugriff auf Outlook, Teams und OneDrive, ohne jemals ein Passwort oder einen OTP-Code zu benötigen.

Die Preise für diesen Service sind erschreckend niedrig: Zwischen rund 230 Euro monatlich und 1.850 Euro jährlich können selbst technisch unerfahrene Kriminelle professionelle Kampagnen starten. Sicherheitsfirmen wie Arctic Wolf beobachten seit dem Frühjahr groß angelegte Angriffswellen. Die Plattform bietet Echtzeit-Dashboards und KI-generierte Köder, die offizielle Unternehmenskommunikation perfekt imitieren.

Unternehmen rüsten auf: Abschied von SMS und Passwörtern

Die Technologiekonzerne reagieren mit einer grundlegenden Neuausrichtung ihrer Sicherheitsarchitekturen. Microsoft kündigte am 25. Mai die Ausweitung der phishing-resistenten Passkey-Unterstützung in Microsoft Entra ID an. Nutzer können nun FIDO2-Passkeys auf Windows-Geräten über Windows Hello verwenden. Der entscheidende Vorteil: Die privaten Schlüssel verbleiben lokal in einem sicheren Container auf dem Gerät – eine Synchronisierung oder ein Abfangen der Zugangsdaten ist damit ausgeschlossen.

Gleichzeitig zog Microsoft einen Schlussstrich unter veraltete Verfahren: Seit dem 25. Mai werden keine SMS-Codes mehr für persönliche Konten akzeptiert. Die Umstellung auf die Microsoft Authenticator-App oder hardwarebasierte Sicherheitsschlüssel ist nun Pflicht. Der Schritt ist nachvollziehbar: SMS-basierte OTPs gelten als zunehmend verwundbar – sowohl durch KI-gestützte Abfangmethoden als auch durch klassische SIM-Swapping-Angriffe.

Auch deutsche Behörden sind betroffen. Die Deutsche Rentenversicherung warnte am 25. Mai vor einer Welle KI-generierter Phishing-Mails. Die Nachrichten imitieren Logo, Design und Sprachstil der Behörde perfekt und locken Empfänger mit angeblichen Sicherheitsupdates oder Beitragsrückerstattungen zur Preisgabe persönlicher Daten. Die Behörde betont: Die Absenderadresse bleibt das einzig verlässliche Erkennungsmerkmal – Grammatikfehler und schlechte Formatierung, die frühere Phishing-Versuche verrieten, sind durch Large Language Models praktisch verschwunden.

Mobile Bedrohungen: Schäden in Milliardenhöhe

Die finanziellen Auswirkungen dieser neuen Ära der Cyberkriminalität sind gewaltig. Marktforscher prognostizieren für 2026 globale Schäden durch mobile Cyberkriminalität von rund 442 Milliarden Euro. Banking-Trojaner allein verzeichneten im ersten Quartal 2026 einen Anstieg von 196 Prozent auf 1,24 Millionen registrierte Fälle. Der Trojaner „Mamont" ist dabei für über 70 Prozent aller Angriffe auf Android-Geräte verantwortlich.

Besonders besorgniserregend: Ein kritischer Fehler im Qualcomm BootROM (CVE-2026-25262) gilt als nicht patchbar. Zahlreiche mobile Geräte bleiben damit dauerhaft verwundbar. Auch die Linux-Kernel-Sicherheitslücke „DirtyDecrypt" (CVE-2026-31635) wird bereits aktiv angegriffen.

Große Datenlecks verdeutlichen das Risiko: Anfang Mai zahlte der Bildungssoftware-Anbieter Instructure angeblich ein Lösegeld von 9,2 Millionen Euro nach einem Datenleck, das 8.800 Bildungseinrichtungen betraf. Am 23. Mai wurde Charter Communications von der Gruppe ShinyHunters attackiert – 42 Millionen Datensätze wurden kompromittiert. Die Angreifer arbeiten dabei atemberaubend schnell: Die Gruppe Storm-2949 extrahierte sensible Geheimnisse aus Azure Key Vaults in nur vier Minuten durch MFA-Prompt-Spam und Azure-RBAC-Manipulation.

Ob Banking, WhatsApp oder Online-Shopping – mobile Trojaner machen die tägliche Nutzung Ihres Android-Smartphones zum Sicherheitsrisiko. In diesem kostenlosen Ratgeber erfahren Sie, wie Sie Ihr Gerät mit 5 einfachen Schritt-für-Schritt-Maßnahmen effektiv vor Hackern und Datenmissbrauch schützen. Kostenlosen Android-Sicherheits-Ratgeber herunterladen

Quishing und neue Angriffsvektoren

Der aktuelle Verizon Data Breach Investigations Report zeigt einen grundlegenden Wandel: Die Ausnutzung von Sicherheitslücken hat gestohlene Zugangsdaten als primären Angriffsvektor abgelöst. Sicherheitslücken sind nun für 31 Prozent aller Datenschutzverletzungen verantwortlich, gestohlene Zugangsdaten nur noch für 13 Prozent. Der menschliche Faktor bleibt jedoch kritisch – er spielt bei 62 Prozent aller gemeldeten Datenlecks eine Rolle.

„Quishing" – Phishing über QR-Codes – verzeichnet einen Anstieg von 150 Prozent auf 18 Millionen Fälle. Angreifer nutzen das Vertrauen der Nutzer in mobile Scan-Funktionen schamlos aus. Im Google Play Store entdeckten Forscher 455 getarnte Schadsoftware-Apps, die vor ihrer Entfernung insgesamt 24 Millionen Downloads erreicht hatten.

Automatisierte Abwehr: Apple und Microsoft ziehen nach

Die Softwarehersteller reagieren mit aggressiveren, automatisierten Schutzmechanismen. Apple aktivierte am 24. Mai den „Stolen Device Protection" automatisch für Nutzer von iOS 26.4.1. Diese Funktion verlangt Face ID oder Touch ID und führt bei sensiblen Operationen an unbekannten Orten eine einstündige Sicherheitsverzögerung ein. Bereits am 11. Mai hatte iOS 26.5 insgesamt 52 Sicherheitslücken geschlossen und das PQ3-Protokoll eingeführt, das Post-Quanten-Kryptografie für Nachrichten bereitstellt.

Ausblick: Das Ende der Passwort-Ära

Die Abhängigkeit von traditionellen Passwörtern und SMS-basierter 2FA wird in professionellen Umgebungen rapide abnehmen. Die am 25. Mai bekanntgegebene Vertriebspartnerschaft zwischen Ingram Micro India und Yubico unterstreicht die wachsende globale Nachfrage nach hardwaregestützten, phishing-resistenten Authentifizierungslösungen.

Die Branche befindet sich in einem beschleunigten Wandel: Defensive Automatisierung muss mit KI-optimierten Angriffswerkzeugen Schritt halten. Während die Automatisierung von Sicherheitsupdates und die Implementierung von Protokollen wie PQ3 erheblichen Schutz bieten, werden technische Barrieren wie FIDO2 und Passkeys zur einzig verlässlichen Verteidigung gegen Identitätsdiebstahl. Organisationen sind gut beraten, von „Erkennen und Reagieren" auf „phishing-resistent by design" umzustellen – die prognostizierte Eskalation KI-gesteuerter mobiler und Cloud-basierter Angriffe lässt keine Alternative.

de | wirtschaft | 69421529 |