Zwei-Faktor-Schutz, KI-Sicherheitslücke

Zwei-Faktor-Schutz gehackt: Erste KI-Sicherheitslücke umgeht 2FA

Veröffentlicht: 11.07.2026 um 19:32 Uhr, Redaktion boerse-global.de

Erster dokumentierter Fall einer KI-generierten Sicherheitslücke. Google entdeckt Angriff auf Open-Source-Tool zur Umgehung von 2FA.

KI-gestützte Hacker umgehen erstmals Zwei-Faktor-Schutz
Leuchtendes, mehrschichtiges digitales Schloss-Symbol, umgeben von wirbelnden Datenströmen und rotem Code, symbolisiert Zwei-Faktor-Authentifizierung und Cyber-Bedrohungen. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die Google Threat Intelligence Group entdeckte den Angriff auf ein Open-Source-Webverwaltungstool. Der Vorfall fällt in eine Zeit wachsender Warnungen von Sicherheitsbehörden: Herkömmliche Authentifizierungsmethoden werden zunehmend zur Zielscheibe automatisierter und personalisierter Attacken.

Explosionsartiger Anstieg automatisierter Phishing-Angriffe

Die niederländische Datenschutzbehörde meldet einen dramatischen Wandel der Bedrohungslage. Cyberangriffe auf Unternehmen in den Niederlanden stiegen 2025 um 58 Prozent auf 2.428 Vorfälle. Die Zahl der Account-Übernahmen verdreifachte sich im selben Zeitraum.

Der Grund: KI-gestützte Phishing-Kits. Sie erlauben Angreifern, personalisierte Köder zu erstellen und die Zwei-Faktor-Authentifizierung (2FA) mit sogenannten „Adversary-in-the-Middle"-Techniken zu umgehen.

Forschung von Noah Intelligence zeigt: Mit 83-prozentiger Wahrscheinlichkeit wird der Diebstahl von Sitzungstoken zur dominierenden Methode, um Multi-Faktor-Authentifizierung (MFA) zu knacken. Weitere Gefahren: Trust-Inheritance-Angriffe über Software-Ökosysteme und der routinemäßige Einsatz von Deepfake-Social-Engineering in mittelständischen Unternehmen.

Die alarmierende Zahl: Nur 35 Prozent aller Organisationen haben bislang auf phishing-resistente MFA-Standards wie FIDO2 oder Passkeys umgestellt.

Anzeige

Angesichts der rasanten Entwicklung von KI-gestützten Phishing-Angriffen wird der Schutz vor Account-Übernahmen für Unternehmen überlebenswichtig. Dieser kostenlose Report zeigt Ihnen, wie Sie mit der neuen Passkey-Technologie Ihre Konten absichern und Hackern keine Chance mehr lassen. Sichere Alternative zu Passwörtern jetzt gratis entdecken

Gezielte Vishing-Kampagnen kapern Passkey-Anmeldungen

Seit April 2026 jagt eine Gruppe namens O-UNC-066 (Pink) Microsoft-365-Nutzer in sechs Branchen: Technologie, Gesundheitswesen, Luftfahrt und Automobilindustrie. Statt Softwarelücken auszunutzen, setzt die Gruppe auf Vishing – also Telefonbetrug.

Die Masche: Die Angreifer tricksen ihre Opfer per Anruf aus, einen fremden Passkey auf ihrem Konto zu registrieren. Ein Bediener-Panel passt sich in Echtzeit an die MFA-Abfragen an. Ist der Passkey erst einmal hinterlegt, bleibt er selbst dann bestehen, wenn das Opfer sein Passwort oder die MFA-Einstellungen zurücksetzt.

Der Datendiebstahl erfolgt meist innerhalb von 72 Stunden nach der ersten Kompromittierung. Seit Ende Mai 2026 betreibt die Gruppe eine eigene Datenleck-Seite für Erpressungsversuche.

Sitzungs-Hijacking und Sicherheitslücken

Neben Social Engineering setzen Angreifer zunehmend auf Speicherfehler vor der Authentifizierung. Zwischen Januar und Juni 2026 verfolgten Ermittler mehrere Einbrüche über CVE-2025-5777 – eine Schwachstelle namens CitrixBleed 2 in NetScaler ADC und Gateway.

Der Exploit erlaubt es, Sitzungstoken durch manipulierte Anfragen zu stehlen. So kapern Angreifer MFA-geschützte Sessions. Diese gestohlenen Sitzungen nutzten Kriminelle, um die DragonForce-Ransomware einzuschleusen – nachdem sie über Tools wie ScreenConnect und Zoho Assist Fernzugriff erlangt hatten.

Der Verizon Data Breach Investigations Report 2026 analysierte über 31.000 Vorfälle. Ergebnis: Zwar sind Sicherheitslücken ein Hauptvektor für Erstzugriffe, doch der Missbrauch von Zugangsdaten treibt weiterhin den Großteil erfolgreicher Angriffe an. Besonders brisant: 27 Prozent der Ransomware-Opfer hatten keine bekannten vorherigen Zugangsdatenlecks – ein Hinweis auf direkte Ausnutzung oder Echtzeit-Session-Diebstahl.

Anzeige

Ob Phishing oder Vishing – die psychologischen Tricks der Cyberkriminellen werden immer raffinierter und gefährden die Sicherheit ganzer Firmennetzwerke. Erfahren Sie in diesem kostenlosen Anti-Phishing-Paket, welche Manipulationsmethoden aktuell genutzt werden und wie Sie Ihr Unternehmen in 4 Schritten effektiv schützen. Kostenlosen Leitfaden zur Hacker-Abwehr herunterladen

Regulierungsbehörden und Unternehmen reagieren

Weil traditionelle 2FA immer häufiger versagt, schreiben Aufsichtsbehörden strengere Standards vor. Die Hongkonger Wertpapier- und Futures-Kommission (SFC) verlangt ab Juli 2027 von lizenzierten Krypto-Plattformen den Ersatz von Einmalpasswörtern (OTPs) durch phishing-resistente Authentifizierung wie Biometrie oder Gerätebindung. Andernfalls haften die Firmen für Verluste ihrer Kunden durch Sicherheitsverstöße.

Auch Großkonzerne rüsten auf. Microsoft meldete im Juli 2026 eine 99,97-prozentige Einführung phishing-resistenter MFA bei seinen internen Nutzer-Geräte-Paaren. Bis 2029 will der Konzern vollständig auf Post-Quanten-Kryptografie umstellen.

Sicherheitsexperten raten Organisationen unter Druck durch KI-Angriffe: Verabschiedet euch von alter Authentifizierung und setzt vollständiges Privileged Access Management (PAM) auf. Bislang haben das erst 36 Prozent der Unternehmen umgesetzt.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69746996 |