Cyberkriminelle umgehen MFA mit gestohlenen Session-Tokens

Passwörter und Standard-Zwei-Faktor-Authentifizierung bieten kaum noch Schutz. Neue Angriffsmethoden zielen direkt auf digitale Anmelde-Tokens und nutzen KI für personalisierte Phishing-Angriffe. Unternehmen sind darauf schlecht vorbereitet.

KI-gestützte Phishing-Welle erobert Zugangsdaten

Die Zeiten, in denen ein starkes Passwort und eine SMS als zweiter Faktor genügten, sind vorbei. Sicherheitsberichte vom heutigen Freitag zeigen: Cyberkriminelle haben ihre Techniken verfeinert. Sie umgehen gezielt die Multi-Faktor-Authentifizierung (MFA), indem sie keine Passwörter mehr stehlen, sondern die darauffolgenden Session-Tokens. Diese digitalen „Schlüssel“ halten Nutzer in einem System angemeldet.

Angesichts der rasanten Entwicklung von KI-gestützten Phishing-Angriffen reicht herkömmlicher Passwortschutz kaum noch aus, um Unternehmensdaten zu sichern. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Phishing-Attacken in vier Schritten stoppen und die psychologischen Tricks der Hacker entlarven. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Microsoft beschrieb heute eine Kampagne der Gruppe Storm-2755. Sie nutzte sogenannte Adversary-in-the-Middle (AiTM)-Phishing-Angriffe. Dabei leiten Kriminelle Nutzer auf gefälschte Login-Seiten um und fangen den gesamten Anmeldevorgang ab – inklusive des Tokens. Mit diesem Token konnten die Angreifer dann auf HR-Plattformen zugreifen und Gehaltskonten umleiten.

Ein ähnliches Muster zeigte die Gruppe Storm-2657 2025 bei Angriffen auf US-Bildungseinrichtungen. Laut Strafverfolgungsbehörden summierten sich die Schäden durch betrügerische E-Mails (Business Email Compromise) im vergangenen Jahr auf über drei Milliarden Dollar.

Die Tools der Angreifer werden immer raffinierter. Das am Donnerstag analysierte „EvilToken“-Kit nutzt Künstliche Intelligenz, um Phishing-Nachrichten persönlich anzupassen. Es stiehlt Tokens über legitime Gerätecode-Anmeldungen. Herkömmliche Sicherheitstrainings, die auf Passwortkomplexität setzen, verlieren so an Wirkung.

Unternehmen schlafen bei KI-Bedrohungen

Doch viele Firmen sind auf diese neue Bedrohungslage nicht vorbereitet. Eine Studie des Verbands Certified Fraud Examiners (ACFE) und von SAS vom 9. April offenbart eine eklatante Lücke. Nur sieben Prozent der befragten 700 Experten halten ihr Unternehmen für vollständig gerüstet gegen KI-gestützten Betrug.

Zwar berichten 77 Prozent von mehr Social-Engineering-Angriffen mit Deepfakes. Doch nur ein Viertel setzt bereits selbst KI zur Betrugserkennung ein. Die Risiken werden durch interne Sorglosigkeit verstärkt: Der unkontrollierte Einsatz von KI-Tools wie ChatGPT gefährdet Unternehmensgeheimnisse. Mitarbeiter laden sensible Daten in externe Systeme, was zu neuen Schulungsprogrammen führt.

Auch interne Zugriffskontrollen sind oft mangelhaft. Die italienische Datenschutzbehörde verhängte am 26. März eine Strafe von 31,8 Millionen Euro gegen die Intesa Sanpaolo Bank. Ein Mitarbeiter hatte über zwei Jahre unrechtmäßig auf Daten Tausender Kunden zugegriffen. Die Bank hatte das volle Ausmaß zunächst verschleiert.

EU reagiert mit neuen Gesetzen und Datenhoheit

Die europäischen Regulierer antworten auf die anhaltenden Schwachstellen mit schärferen Vorgaben. Der Cyber Resilience Act (CRA) wird ab Dezember 2027 verbindliche Cybersicherheits-Anforderungen für Produkte mit digitalen Elementen stellen. „Security by Design“ und transparente Dokumentation werden Pflicht.

Da allein in Deutschland pro Quartal rund 4,7 Millionen Online-Konten gehackt werden, ist der Wechsel auf modernere Schutztechnologien für viele Nutzer unverzichtbar geworden. Dieser kostenlose Report zeigt Ihnen, wie Sie die neue Passkey-Technologie bei Diensten wie Amazon oder WhatsApp einrichten und Hackerangriffe effektiv verhindern. Jetzt Ratgeber für passwortloses Einloggen kostenlos herunterladen

Parallel treibt die EU die digitale Souveränität voran. Ab Ende 2026 sollen digitale Schengen-Visa die physischen Aufkleber ersetzen. Allein Deutschland muss dafür Konsularsysteme umrüsten und rund 3.000 Mitarbeiter schulen. Datenschützer warnen jedoch vor der zentralen Speicherung biometrischer Daten.

Große Plattformen investieren derweil in lokale Infrastruktur. TikTok kündigte heute eine Milliarden-Investition für ein zweites Rechenzentrum in Finnland an. Teil einer 12-Milliarden-Initiative soll dies europäische Datenhoheit durch externe Sicherheitsaudits gewährleisten.

Neue Sicherheitsstandards und Ausblick

Professionelle Verbände passen ihre Standards an die neuen Gefahren an. Die Organisation ISC2 integrierte heute KI-Sicherheitskompetenz in ihre Top-Zertifizierungen CISSP und CCSP. Über 50 Wissensbereiche wurden aktualisiert.

Experten raten dringend zu phishing-resistenter Authentifizierung. Lösungen wie FIDO2-Hardware-Keys oder Passkeys, die die Anmeldung an ein bestimmtes Gerät binden, gewinnen an Bedeutung. Laut einem Index vom 8. April setzen bereits 63 Prozent der betreuten KMU auf MFA – deutlich mehr als der Branchendurchschnitt von 34 bis 40 Prozent.

Die Zukunft der Identitätssicherheit wird von Gesetzen wie dem CRA und der weiter industrialisierten Cyberkriminalität geprägt. Der „Digital Omnibus“-Vorschlag der EU-Kommission könnte die Meldepflicht für Datenschutzverletzungen von 72 auf 96 Stunden ausdehnen.

Bis zur CRA-Deadline im Dezember 2027 müssen Unternehmen von reaktiven zu strukturellen Maßnahmen übergehen: Sichere Boot-Prozesse, Post-Quanten-Kryptografie und der Ersetz alter Systeme stehen an. Die oberste Priorität bleibt jedoch die Abwehr der Token-Diebstähle, die diesen Frühling massiv zugenommen haben.

de | boerse | 69119388 |