Meine am liebsten wiederholte Empfehlung in punkto Sicherheit für Onlinekonten: Multi-Faktor-Authentifizierung verwenden. Immer noch wichtig, doch inzwischen versuchen Angreifer, einige MFA-Verfahren trickreich auszuhebeln – und werden dabei immer raffinierter.
Multi-Faktor-Authentifizierung (MFA) ist heute unverzichtbarer Bestandteil digitaler Sicherheit. Das Konzept ist simpel: Die Identität eines Benutzers wird durch mindestens zwei voneinander unabhängige Faktoren bestätigt. Diese klassische Aufteilung kennt ihr sicher: etwas, das ihr wisst (Passwort), etwas, das ihr besitzt (Smartphone oder Hardware-Token) und etwas, das ihr seid (Fingerabdruck oder Gesichtserkennung).
Die Statistiken sprechen eine klare Sprache: Laut Microsoft können 99,9% aller Account-Kompromittierungen durch MFA verhindert werden. Dennoch wächst die Zahl der Angriffe, die speziell darauf abzielen, auch diese zusätzliche Schutzebene zu durchbrechen.
Lästig: Passwörter sind leicht angreifbar und die guten schwer zu merken
Cyberangreifer werden kreativer
Die Bedrohungslandschaft hat sich 2025/26 deutlich verschärft. Cyberkriminelle nutzen inzwischen KI-gestützte Angriffsmethoden und haben ihre Techniken massiv verfeinert. Hier die aktuell gefährlichsten Angriffsvektoren:
- KI-gestütztes SIM-Swapping: Angreifer nutzen mittlerweile KI-generierte Stimmen, um Mobilfunkanbieter zu täuschen. Sie sammeln über Social Media Audioproben ihrer Opfer und erstellen täuschend echte Stimmen-Klone für Anrufe beim Kundendienst. Die Erfolgsquote ist erschreckend hoch.
- Adversarial-in-the-Middle (AitM): Diese neue Generation von Man-in-the-Middle-Angriffen nutzt spezialisierte Phishing-Kits wie EvilProxy oder Modlishka. Diese Tools können sogar moderne Session-Cookies stehlen und dabei Schutzmaßnahmen wie Conditional Access umgehen.
- Push-Bombing und MFA-Fatigue: Angreifer senden dutzende Push-Nachrichten an eure Authenticator-Apps, bis ihr aus Versehen oder genervt doch mal „Ja“ drückt. Diese Methode wird immer beliebter, weil sie so einfach ist.
- Deepfake-Phishing: Mit KI-generierten Videos und Stimmen erstellen Kriminelle täuschend echte Video-Calls, um an MFA-Codes zu kommen. Besonders bei CEO-Fraud und Business Email Compromise wird das eingesetzt.
- Prompt-Injection-Angriffe: Eine völlig neue Kategorie: Angreifer manipulieren KI-Assistenten in Unternehmen, um an interne MFA-Prozesse zu kommen oder Sicherheitsrichtlinien zu umgehen.
- Malware mit Anti-Detection: Moderne Banking-Trojaner wie Metamorfo oder neue Varianten von Emotet können inzwischen TOTP-Codes in Echtzeit abfangen und dabei EDR-Systeme (Endpoint Detection and Response) austricksen.
Cyberangreifer suchen immer nach neuen Methoden, um Opfer auszuplündern
Moderne Schutzstrategien für 2026
Die gute Nachricht: Es gibt effektive Gegenmaßnahmen. Hier die aktuell besten Schutzstrategien:
- Passkeys als goldener Standard: WebAuthn-basierte Passkeys sind 2026 die sicherste Authentifizierungsmethode. Sie sind phishing-resistent und funktionieren geräteübergreifend. Apple, Google und Microsoft haben die Synchronisation perfektioniert – nutzt sie überall, wo möglich.
- FIDO2-Hardware-Keys: YubiKey 5 Series oder Google Titan Keys bleiben unschlagbar gegen Phishing. Seit 2025 unterstützen sie auch biometrische Entsperrung und Multi-Device-Credentials.
- Number Matching aktivieren: Microsoft und Google haben Number Matching für ihre Authenticator-Apps eingeführt. Statt einfach „Ja“ zu drücken, müsst ihr eine angezeigte Zahl eingeben – das stoppt Push-Bombing sofort.
- Conditional Access mit Zero Trust: Unternehmen sollten auf risikobasierte Authentifizierung setzen. Tools wie Microsoft Entra ID oder Okta analysieren Gerät, Standort und Verhalten in Echtzeit.
- Biometrische MFA mit Liveness-Detection: Moderne Gesichts- und Fingerabdruckerkennung kann inzwischen Deepfakes erkennen. Windows Hello for Business und Apple’s Face ID haben 2025/26 massive Verbesserungen erhalten.
- Threat Intelligence Integration: Nutzt Services wie Have I Been Pwned Enterprise oder Microsoft’s Compromised Password Detection, um kompromittierte Accounts proaktiv zu identifizieren.
- Behavioral Analytics: KI-basierte Systeme lernen euer normales Verhalten und schlagen Alarm bei Anomalien – selbst wenn die MFA-Faktoren korrekt sind.
Konkrete Handlungsempfehlungen
Für Privatnutzer:
– SMS-basierte 2FA sofort durch App-basierte ersetzen (Google Authenticator, Authy, 1Password)
– Passkeys aktivieren, wo verfügbar (alle großen Dienste unterstützen sie mittlerweile)
– Bei wichtigen Accounts zusätzlich Hardware-Keys verwenden
– Regelmäßig Login-Aktivitäten überprüfen
Für Unternehmen:
– Zero-Trust-Architektur mit adaptiver MFA implementieren
– Phishing-Simulationen mit modernen KI-Angriffen durchführen
– Incident Response Pläne für MFA-Bypässe entwickeln
– Employee Education mit Fokus auf neue Bedrohungen
Ausblick: Die Zukunft der Authentifizierung
Die Entwicklung geht klar Richtung passwortlose Zukunft. Passkeys werden 2026 zum Standard, während klassische Passwörter langsam verschwinden. Gleichzeitig arbeiten Unternehmen an kontinuierlicher Authentifizierung – statt einmaliger Anmeldung wird permanent im Hintergrund verifiziert.
Quantencomputer stellen mittelfristig eine Bedrohung für heutige Verschlüsselungsverfahren dar. Die Industrie arbeitet bereits an quantensicheren Authentifizierungsverfahren, die bis 2030 marktreif werden sollen.
Multi-Faktor-Authentifizierung bleibt trotz aller Angriffsmethoden eure beste Verteidigung gegen Account-Übernahmen. Die Technologie entwickelt sich schnell weiter – und ihr solltet mithalten. Setzt auf moderne Verfahren wie Passkeys, vermeidet SMS-basierte 2FA und bleibt bei den Sicherheitsupdates am Ball.
Denn eines ist sicher: Angreifer schlafen nicht – aber mit den richtigen Tools seid ihr ihnen immer einen Schritt voraus.
Zuletzt aktualisiert am 18.02.2026
