Unternehmenskonten, Schutz

2FA-Lücken: 56 Prozent der Unternehmenskonten ohne Schutz

Veröffentlicht: 06.07.2026 um 15:38 Uhr, Redaktion boerse-global.de

Die Zwei-Faktor-Authentifizierung zeigt zunehmend Schwachstellen. Neue Angriffsmethoden wie Session-Hijacking umgehen den Schutz und gefährden sensible Daten.

2FA-Sicherheitslücken: Bankkonten und Firmenzugänge in Gefahr
Ein Smartphone-Bildschirm zeigt eine Zwei-Faktor-Authentifizierungsaufforderung, mit unscharfem Code und Daten im Hintergrund. Illustration mit AI erstellt übermittelt durch boerse-global.de

Die vermeintliche Schutzmauer bröckelt: Aktuelle Sicherheitslücken bei der Zwei-Faktor-Authentifizierung (2FA) setzen Bankkonten und Firmenzugänge einem erhöhten Risiko aus.

Die trügerische Sicherheit der optionalen 2FA

Lange galt die Mehr-Faktor-Authentifizierung (MFA) als nahezu unüberwindbare Hürde für Angreifer. Microsofts Daten zufolge sollen damit bis zu 99,9 Prozent aller automatisierten Attacken abgewehrt werden. Doch die Praxis zeigt ein anderes Bild: Optionale Sicherheitseinstellungen und immer raffiniertere Umgehungsmethoden hebeln diesen Schutz zunehmend aus.

Besonders im Bankensektor offenbart sich ein gefährliches Muster. Im Mai 2026 verlor ein 84-jähriger Kunde einer US-Großbank 30.000 Euro – umgerechnet rund 27.000 Euro. Angreifer nutzten gestohlene Zugangsdaten aus einem früheren Datenleck, um auf sein Konto zuzugreifen. Da die Bank MFA nicht verpflichtend vorschrieb, konnten die Kriminellen ungehindert agieren und sogar die Gmail-Einstellungen manipulieren, um Transaktionswarnungen zu unterdrücken.

Die großen US-Institute wie Bank of America, Chase, Capital One und Citibank machen MFA für viele Kunden weiterhin zur Option. Nur wenige wie die PNC Bank schreiben den zusätzlichen Schutzschritt vor. In den USA haben Banken 45 Tage Zeit für Ermittlungen – eine Erstattung ist für die Opfer keineswegs garantiert.

Unternehmenssoftware: Ein offenes Scheunentor

Doch nicht nur Privatkunden sind betroffen. Der SaaS-Sicherheitsreport von Kaseya aus dem Jahr 2026 zeichnet ein alarmierendes Bild für Unternehmen. Demnach entfielen 2025 ganze 69 Prozent aller überwachten SaaS-Konten auf Gastzugänge – ein Anstieg um fast zwei Millionen im Vergleich zum Vorjahr.

Anzeige

Die 56-Prozent-Lücke bei MFA betrifft auch Ihr Unternehmen. Angreifer nutzen Session-Hijacking und OAuth-Lücken – herkömmliche 2FA reicht nicht mehr. Dieser Report zeigt, wie Sie mit Passkeys und Cookie-Schutz Ihre Konten wirklich absichern. Jetzt kostenlosen Sicherheits-Report anfordern

Die Studie fördert erschreckende Details zutage: Bei 56 Prozent der Endbenutzerkonten war MFA deaktiviert. Nur 27 Prozent der Organisationen setzten die Sicherheitsmaßnahme aktiv durch. Die Folge: Fast 279 Millionen Sicherheitswarnungen mittlerer bis kritischer Schwere gingen 2025 ein. Ein weiteres Problem: OAuth-Integrationen, die Drittanbieter-Apps Zugriff auf Kontodaten gewähren, vergeben oft weitreichende Berechtigungen – und diese bleiben selbst nach einem Passwortwechsel bestehen.

Moderne Angriffsmethoden: Phishing und Session-Hijacking

Cyberkriminelle passen ihre Strategien an. Zwischen April und Mai 2026 beobachtete Kaspersky eine Phishing-Kampagne, die gezielt die OAuth-2.0-Geräteautorisierung der Microsoft Identity Platform ausnutzte. Die Angreifer verschickten passwortgeschützte PDF-Dateien und lockten ihre Opfer dazu, einen Einmalcode auf einer legitimen Microsoft-Seite einzugeben – und gewährten so der Schadsoftware Zugriff auf das Konto.

Noch gefährlicher ist der sogenannte Session-Hijacking, auch bekannt als Cookie-Diebstahl. Laut Daten der Google Threat Analysis Group (TAG) ist der Diebstahl von Sitzungstoken inzwischen für mehr Kontenübernahmen verantwortlich als klassisches Phishing. Infostealer-Malware, die auf die im Browser gespeicherten „Cookies" abzielt, verzeichnete im vergangenen Jahr einen Anstieg von 58 Prozent. Auf illegalen Märkten kursieren über 2,1 Milliarden gestohlene Cookie-Datensätze – genug, um jede 2FA zu umgehen, indem Angreifer eine aktive Sitzung übernehmen.

Die Zukunft: Phishing-resistente Standards

Anzeige

Session-Hijacking umgeht jede 2FA – über 2,1 Milliarden gestohlene Cookies kursieren im Darknet. Schützen Sie Ihre aktiven Sitzungen mit den 5 Maßnahmen aus diesem Report. Sicherheits-Report gegen Cookie-Diebstahl jetzt sichern

Herkömmliche 2FA-Methoden wie SMS-Einmalpasswörter gelten zunehmend als unsicher. SIM-Swapping und kompromittierte E-Mail-Konten machen sie angreifbar. Sicherheitsexperten setzen daher auf phishing-resistente Alternativen. Passkeys auf Basis der Standards FIDO2 und WebAuthn gelten als vielversprechendste Lösung, da sie die Authentifizierung an ein bestimmtes physisches Gerät binden.

Auch der Hardware-Markt reagiert. Das Schweizer Unternehmen Swissbit brachte mit dem iShield Key Pro einen in Berlin gefertigten Sicherheitsschlüssel mit USB-C-Anschluss auf den Markt. Er unterstützt FIDO2, PIV und weitere Protokolle. Diese Hardware-Lösungen bieten verschlüsselten lokalen Speicher und verhindern den Diebstahl von Sitzungstoken – ein entscheidender Vorteil im Kampf gegen die Flut von Infostealer-Malware und Social-Engineering-Angriffen.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69706033 |