KI-Phishing lässt traditionelle Sicherheit bröckeln
KI-gestützte Phishing-Angriffe machen herkömmliche MFA-Methoden unzureichend. Die Industrie setzt zunehmend auf kryptografische Passkeys als neuen Sicherheitsstandard.
Cyber-Kriminelle nutzen Künstliche Intelligenz für raffinierte Attacken – und räumen dabei mit bewährten Schutzmaßnahmen auf. Diese Woche zeigt sich: Herkömmliche Zwei-Faktor-Authentifizierung ist längst nicht mehr sicher genug.
Die Zahlen sprechen eine klare Sprache: Manche Unternehmen melden einen Anstieg von Social-Engineering-Angriffen um 400 Prozent. KI macht Phishing-Versuche billiger, skalierbarer und erschreckend überzeugend. Die Antwort der Industrie? Ein radikaler Schwenk zu kryptografischen, unphishbaren Authentifizierungsmethoden.
Passkeys und FIDO2-Standards gelten bereits heute als neuer “Goldstandard” der Authentifizierung – so die US-Cybersecurity-Behörde CISA. Was früher als robuste Verteidigung galt, wird heute routinemäßig ausgehebelt.
Traditionelle Zwei-Faktor-Authentifizierung: Das Ende einer Ära
SMS-Codes, Einmal-Passwörter aus Authenticator-Apps, einfache Push-Benachrichtigungen – jahrelang galten sie als unverzichtbare Sicherheitsschicht. Doch ihre Schwachstelle ist fatal: Sie alle basieren auf geteilten Geheimnissen, die Angreifer abfangen können.
Sicherheitsforscher entdeckten diesen Monat fortgeschrittene “Phishing-as-a-Service”-Toolkits wie “Whisper 2FA”. Diese sind speziell darauf programmiert, traditionelle MFA-Token in Echtzeit abzufangen. Besonders perfide: Die Kits erstellen endlose Schleifen, die Nutzer so lange mit Anfragen bombardieren, bis ein gültiger Token erfasst wird.
Die Methode macht deutlich: Jede MFA-Variante, die auf kopierbaren Codes beruht, ist heute unzureichend. Was einst als sicher galt, wird mittlerweile gezielt und massenhaft überwunden.
Anzeige: Übrigens: Wer sich angesichts immer raffinierterer Phishing-Angriffe auch auf dem Smartphone besser schützen will, findet hier eine schnelle, praxistaugliche Lösung. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen für Android – mit Schritt-für-Schritt-Anleitungen für WhatsApp, Online-Banking, PayPal & Co. Leicht verständlich, ohne Zusatzkosten und sofort umsetzbar. Jetzt kostenloses Android-Sicherheitspaket sichern
Kryptografie als Rettungsanker: Passkeys erobern den Markt
Die Lösung liegt in der Kryptografie. Phishing-resistente Methoden wie FIDO2/WebAuthn funktionieren völlig anders: Sie nutzen ein einzigartiges Schlüsselpaar für jede Website oder jeden Service. Der private Schlüssel verlässt niemals das Nutzergerät – ob Smartphone oder Hardware-Key.
Beim Login verifiziert der Service die Identität durch eine kryptografische Signatur, die an die spezifische Website gebunden ist. Diese kann nicht auf betrügerischen Seiten wiedergegeben werden – Phishing wird technisch unmöglich.
Die Zahlen der FIDO Alliance beeindrucken: Über 15 Milliarden Online-Konten unterstützen bereits die Passkey-Anmeldung. Google meldet über 2,5 Milliarden Passkey-Anmeldungen mit 30 Prozent höherer Erfolgsrate als bei Passwörtern.
Regierungsdruck beschleunigt den Wandel
Der Wandel ist mehr als eine Empfehlung – er wird zunehmend zur Pflicht. Die US-Regierung verpflichtet Bundesbehörden per Direktive OMB M-22-09 zu phishing-resistenter MFA als Teil ihrer Zero-Trust-Strategie. Dieser Regierungsdruck strahlt auf die Privatwirtschaft aus.
Erst vergangene Woche kündigte die Compliance-Software-Firma AuditBoard an, komplett auf ein passwortloses Sicherheitsmodell umzusteigen. Grund: die dramatische Zunahme credential-basierter Angriffe. Das Unternehmen eliminiert Passwörter vollständig zugunsten FIDO2-unterstützter Geräte.
Der globale MFA-Markt könnte dadurch bald über 50 Milliarden Dollar erreichen – getrieben von der Nachfrage nach stärkerer Identitätssicherheit.
Revolution der Identitätssicherheit
Diese Entwicklung markiert die bedeutendste Evolution der digitalen Identitätsprüfung seit einem Jahrzehnt. Sie bricht mit wissensbasierter Authentifizierung (“was du weißt”) und einfachen Besitzfaktoren (“was du hast”) – hin zum kryptografischen Identitätsnachweis.
Der entscheidende Unterschied: Traditionelle MFA erfordert, dass Nutzer die Legitimität der Login-Anfrage selbst überprüfen. Bei phishing-resistenter MFA übernehmen Browser und Gerät diese Verifikation kryptografisch – menschliche Fehler werden ausgeschlossen.
Gleichzeitig verstärkt Generative KI diesen Trend paradoxerweise in beide Richtungen: Sie macht Phishing-Angriffe raffinierter, wird aber auch in Verteidigungsmechanismen integriert. Zukünftige MFA-Lösungen werden KI nutzen für adaptive Authentifizierung – diese bewertet Risiken dynamisch basierend auf Nutzerverhalten, Standort und Gerätekontext.
Ausblick: Das Ende des Passwort-Zeitalters
Experten prognostizieren: Binnen Jahresfrist werden die meisten Top-Websites Passkey-Anmeldungen anbieten. Für Unternehmen verschiebt sich der Fokus vom simplen “MFA haben” zum Nachweis “phishing-resistenter MFA” – getrieben durch Cyber-Versicherungen, Compliance-Anforderungen und Kundenerwartungen.
Die kommenden 12 bis 24 Monate bringen breitere Passkey-Übertragbarkeit zwischen Geräten und Ökosystemen. Verhaltensbiometrie – die Analyse von Tippgeschwindigkeit und Gerätenutzung – wird eine unsichtbare, aber mächtige Sicherheitsschicht hinzufügen.
Passwörter werden nicht über Nacht verschwinden. Aber ihre Zeit als primäre Authentifizierungsmethode geht zu Ende. Die Zukunft der Kontosicherheit ist kryptografisch, adaptiv und vor allem: resistent gegen die anhaltende Phishing-Bedrohung.
