Die klassische Zwei-Faktor-Authentifizierung (MFA) ist als alleinige Sicherheitsbarriere gescheitert. Neue Angriffsmethoden erlauben es Hackern, sich einfach als legitime Nutzer auszugeben – und umgehen so jede zweite Verifikationsstufe. Das zwingt Unternehmen zu einem radikalen Umdenken.

Anzeige

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und neue Gesetze die Sicherheitslage verschärfen, ist Thema dieses Experten-Reports. Erfahren Sie, wie Sie Ihr Unternehmen mit einfachen Maßnahmen proaktiv vor kostspieligen Attacken schützen. Cyber Security Awareness Trends kostenlos herunterladen

Die neue Angriffsstrategie: Session-Hijacking statt Passwort-Klau

Die Zeiten, in denen Cyberkriminelle Firewalls durchbrachen oder Passwörter knackten, sind vorbei. Die aktuelle Bedrohungslage 2026 ist subtiler und gefährlicher: Angreifer stehlen aktive Sitzungstokens und Cookies. Mit diesen digitalen Schlüsseln können sie sich in bereits authentifizierte Nutzersitzungen einklinken – ohne dass ein MFA-Code jemals abgefragt wird.

Hinter diesem Paradigmenwechsel steht eine industrialisierte Schattenwirtschaft. Sicherheitsforscher von SpyCloud und Recorded Future beobachten einen massiven Anstieg sogenannter „Stealer-Logs“ in Underground-Märkten. Diese Datensätze enthalten nicht nur Benutzernamen und Passwörter, sondern in fast einem Drittel der Fälle auch die wertvollen Session-Cookies. Allein im vergangenen Jahr wurden fast zwei Milliarden gestohlene Credentials in „Combo-Listen“ indiziert.

Phishing 2.0: Der Angreifer sitzt mit in der Mitte

Die Technik der Wahl für diesen Diebstahl sind ausgeklügelte Adversary-in-the-Middle (AiTM)-Phishing-Angriffe. Moderne Phishing-Kits agieren dabei wie ein Echtzeit-Proxy. Geben Opfer ihre Daten auf einer gefälschten Login-Seite ein, leitet das Kit diese sofort an den echten Dienst weiter, fängt die MFA-Abfrage ab und präsentiert sie dem ahnungslosen Nutzer. Sobald dieser den Code eingibt, gehört dem Angreifer die daraus resultierende Sitzung.

Diese Methode ist längst zur Ware geworden. Über Phishing-as-a-Service (PhaaS)-Plattformen wie die kürzlich von Europol zerschlagene „Tycoon 2FA“-Infrastruktur können auch technisch weniger versierte Kriminelle groß angelegte Kampagnen starten. Doch für jeden abgeschalteten Dienst tauchen neue Varianten wie „Sneaky2FA“ auf. Experten von Barracuda schätzen, dass bis Ende 2026 über 90 Prozent aller Credential-Kompromittierungen auf solche ausgefeilten Kits zurückgehen werden.

Anzeige

Da Hacker zunehmend psychologische Schwächen ausnutzen und fertige Schadprogramme für Phishing-Attacken verwenden, wird eine strukturierte Abwehr immer wichtiger. Dieser Guide bietet eine 4-Schritte-Anleitung, um Organisationen effektiv vor CEO-Fraud und modernen Hacker-Methoden zu bewahren. Kostenloses Anti-Phishing-Paket sichern

Maschinen im Visier: Die unsichtbare Gefahr

Die Bedrohung beschränkt sich nicht mehr auf menschliche Nutzer. Mit der Cloud-Migration rücken nicht-menschliche Identitäten (NHI) wie API-Keys und Automatisierungs-Tokens ins Fadenkreuz. Der Identity Exposure Report 2026 von SpyCloud zeigt eine „explosionsartige“ Zunahme beim Diebstahl dieser Maschinen-Identitäten. Sie werden oft weniger streng überwacht als Mitarbeiterkonten, bieten Angreifern aber den gleichen, langanhaltenden Zugang zu Unternehmensumgebungen.

„Angreifer suchen nicht mehr nur einen Weg hinein, sie suchen nach authentifiziertem Zugang“, erklärt Trevor Hilligoss von SpyCloud. Dieser erlaubt es ihnen, sich seitlich in Cloud-Umgebungen zu bewegen und dauerhaft präsent zu bleiben, ohne klassische Sicherheitsalarme auszulösen. Besonders betroffen sind laut Bericht die Versicherungs- und Gesundheitsbranche, die ein erhöhtes Risiko für folgende Ransomware-Angriffe tragen.

Die Zukunft der Verteidigung: Phishing-resistente MFA und Anomalie-Erkennung

Wie kann man sich wehren? Behörden wie die US-Cybersicherheitsbehörde CISA und Branchenanalysten drängen auf einen Wechsel zu phishing-resistenter MFA. Gemeint sind FIDO2-konforme Hardware-Keys oder Passkeys, die an ein bestimmtes Gerät gebunden sind und sich nicht einfach über Proxy-Server abfangen lassen.

Der eigentliche Fokus der Sicherheitsstrategien muss sich jedoch verlagern: von der reinen Authentifizierung hin zur Überwachung nach der Anmeldung. Entscheidend wird die Fähigkeit sein, Anomalien in aktiven Sitzungen zu erkennen – nicht nur gescheiterte Login-Versuche. Sicherheitsverantwortliche sollten etwa auf „unmögliche Reisen“ (Anmeldungen von geografisch weit entfernten Orten in kurzer Zeit) oder die plötzliche Erstellung neiner Postfachregeln nach einem Login achten.

Das Ziel ist klar: Die Ausführungskosten für den Angreifer müssen steigen. Die Sicherheit darf nicht länger auf einen einzigen, umgehbaren Faktor setzen. In einer Welt, in der Identitätsdiebstahl industrialisiert betrieben wird, ist die nächste Authentifizierung bereits in der Mache.