Cyber Essentials Plus 2026: Multi-Faktor-Authentifizierung jetzt Pflicht
28.06.2026 - 23:30:37 | boerse-global.de
Im Zentrum der neuen Richtlinien steht die Ausweitung der Multi-Faktor-Authentifizierung (MFA) auf alle Nutzergruppen. Hinzu kommen neue Standards für digitale Identitäten. Branchenexperten und staatliche Stellen reagieren damit auf eine zunehmend komplexe Bedrohungslage durch automatisierte Angriffe.
Cyber Essentials Plus 2026: Das ändert sich
Mit der Aktualisierung des Standards Cyber Essentials Plus 2026 werden die Anforderungen massiv angehoben. War MFA bisher vorrangig für Administratoren vorgesehen, schreibt der neue Standard die Authentifizierung nun für sämtliche Nutzer vor. Betroffen sind alle, die auf Cloud- und Internetdienste zugreifen.
Auch die Passwortregeln ändern sich. Bei aktivierter MFA reicht künftig eine Mindestlänge von acht Zeichen. Konten ohne diesen Zusatzschutz müssen mindestens zwölf Zeichen aufweisen. Experten raten zudem davon ab, Nutzer zu regelmäßigen Passwortwechseln zu zwingen – es sei denn, es besteht ein konkreter Missbrauchsverdacht.
Als sicherere Alternativen rücken hardwarebasierte Sicherheitsschlüssel oder Authentifikator-Apps in den Fokus. Herkömmliche SMS-Verfahren verlieren dagegen an Bedeutung. Der Grund: Sicherheitsbedenken.
Österreich drängt auf technologische Unabhängigkeit
Parallel zur Standardverschärfung setzt sich Österreich auf europäischer Ebene für mehr technologische Souveränität ein. Digitalisierungsstaatssekretär Alexander Pröll wandte sich an EU-Kommissarin Henna Virkkunen. Sein Vorschlag: Das KI-Unternehmen Anthropic soll strategisch in der Europäischen Union angesiedelt werden.
Hintergrund sind wachsende Restriktionen beim Zugang zu US-amerikanischen KI-Modellen wie GPT-5.6. Diese unterliegen zunehmend Sicherheitsvorgaben der US-Regierung.
Während die Politik um technologische Souveränität ringt, müssen Unternehmen die neuen EU-Vorgaben für künstliche Intelligenz bereits heute im Blick behalten. Dieser kostenlose Umsetzungsleitfaden bietet Ihnen einen kompakten Überblick über alle Anforderungen, Pflichten und Risikoklassen des EU AI Act. EU AI Act in 5 Schritten verstehen
Gleichzeitig schreitet die Entwicklung der European Digital Identity Wallet (EUDI-Wallet) voran. Bis Ende 2026 soll die digitale Brieftasche in allen EU-Mitgliedstaaten für grenzüberschreitende Identitätsnachweise und Signaturen verfügbar sein. In Österreich ist unter anderem das Unternehmen A-Trust am Pilotprojekt beteiligt. Ziel: verifizierte digitale Identitäten, die den Schutz vor Account-Übernahmen verbessern.
KI-gestützte Angriffe: Die Bedrohungslage eskaliert
Die Notwendigkeit strengerer Standards wird durch aktuelle Warnungen der Five-Eyes-Geheimdienstallianz unterstrichen. Am 22. Juni 2026 wiesen die Dienste darauf hin, dass Künstliche Intelligenz die Hürden für Cyberangriffe massiv senkt.
Laut Daten von Verizon stellen gestohlene Zugangsdaten weiterhin die Hauptursache für Web-Angriffe dar. Weltweit werden monatlich rund 1,4 Milliarden kompromittierte Konten registriert. Allein in Deutschland waren es zuletzt 4,7 Millionen gehackte Konten pro Quartal.
Seit dem 26. Juni 2026 warnen zudem das FBI und die CISA vor spezialisierten Phishing-Kampagnen. Diese richten sich gezielt gegen Regierungsbeamte und Journalisten. Die Angreifer versuchen, Backup-Schlüssel von Messengerdiensten wie Signal zu entwenden.
Angesichts von 4,7 Millionen gehackten Konten pro Quartal in Deutschland wird der Schutz privater und geschäftlicher Logins zur absoluten Priorität. Erfahren Sie in diesem Gratis-Report, wie Sie die neue Passkey-Technologie bei Amazon, Microsoft und WhatsApp einrichten und Passwörter für immer überflüssig machen. Kostenlosen Passkey-Ratgeber jetzt herunterladen
Implementierung: Viele Organisationen scheitern
Die Wirksamkeit von MFA ist unbestritten. Laut Microsoft blockiert die Technologie rund 99,9 Prozent aller Versuche zur Konto-Kompromittierung. Dennoch gestaltet sich die Umsetzung für viele Organisationen schwierig.
Erfahrungen mit dem Cyber-Essentials-Standard zeigen: Etwa 32 Prozent der Organisationen bestehen die entsprechende Prüfung nicht im ersten Anlauf.
Neben der MFA-Pflicht kommen weitere Anforderungen auf Unternehmen zu. Kritische Sicherheitsupdates müssen künftig innerhalb eines 14-Tage-Fensters installiert werden. Firmware-Updates werden auch für private Geräte zur Pflicht – sofern diese für den Zugriff auf Unternehmensdaten genutzt werden.
Branchenbeobachter stellen fest: Erst etwa 30 Prozent der Organisationen haben moderne Verfahren wie Passkeys vollständig ausgerollt. Der Weg zu flächendeckender Sicherheit ist also noch weit.
