Passwort-Angriffe explodieren: KI macht Cyberkriminelle gefährlicher
Datenpannen in den USA nehmen 2025 um 5 Prozent zu, während KI-gestützte Phishing-Angriffe und MFA-Fatigue neue Sicherheitsherausforderungen schaffen.
Freitag, 24. Oktober 2025
NEW YORK – Cyberkriminelle werden immer raffinierter und treiben die Zahl der Passwort-Angriffe 2025 auf neue Rekordwerte. Von kompromittierten Dienstleistern bis hin zu KI-gestützten Phishing-Attacken – die Bedrohungslandschaft wandelt sich rasant. Diese Woche musste Blue Cross Blue Shield of Montana 462.000 Versicherte über einen Datendiebstahl informieren, bei dem Namen, Geburtsdaten und medizinische Daten über einen gehackten Dienstleister abgeflossen waren.
Die ersten sechs Monate 2025 brachten bereits 1.732 Datenpannen in den USA – ein Anstieg von 5 Prozent gegenüber dem Vorjahreszeitraum. Mehr als 165 Millionen Menschen waren betroffen. Während die globalen Kosten für Datenlecks erstmals seit fünf Jahren sanken, explodierten sie für US-Unternehmen auf Rekordhöhe von 10,22 Millionen Dollar pro Vorfall.
KI-Phishing und MFA-Fatigue: Neue Angriffsmethoden setzen sich durch
Sicherheitsexperten beobachten eine klare Evolution bei den Angriffsmethoden. Phishing-Attacken, bei denen Kriminelle mit gefälschten E-Mails Zugangsdaten stehlen, führen inzwischen 16 Prozent aller Datenlecks herbei. Das Perfide: Angreifer nutzen zunehmend Künstliche Intelligenz für täuschend echte Deepfakes und personalisierte Nachrichten.
Besonders alarmierend ist der Trend zur sogenannten “MFA-Fatigue”. Hier bombardieren Kriminelle Nutzer nach einem Passwort-Diebstahl mit zahllosen Multi-Faktor-Authentifizierung-Anfragen – bis das Opfer aus Verwirrung oder Genervtheit doch noch zustimmt. Selbst die Zwei-Faktor-Authentifizierung, lange als sicher geltend, wird so ausgehebelt.
“Identitätsbasierte Schwachstellen sind zum Haupteinfallstor für moderne Cyberangriffe geworden”, warnt Tim Eades, CEO des Sicherheitsunternehmens Anetac. “Passwörter allein können unsere digitalen Identitäten nicht mehr schützen.”
Anzeige: Übrigens: Wer sich vor KI-Phishing, Passwort-Diebstahl und Banking-Betrug am Smartphone schützen möchte, findet hier eine kompakte Schritt-für-Schritt-Hilfe. Das kostenlose Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen, mit denen Sie WhatsApp, Online-Banking & Co. auf Ihrem Android-Gerät ohne teure Zusatz-Apps absichern – inklusive Checklisten und Update-Tipps. Ideal für Einsteiger: leicht verständlich und sofort umsetzbar. Jetzt kostenloses Android-Sicherheitspaket herunterladen
Angriffswelle trifft Airlines und Finanzbranche besonders hart
Die vergangenen Wochen brachten eine Serie spektakulärer Datenlecks:
- Luftfahrt im Visier: Vietnam Airlines verlor 23 Millionen Kundendatensätze über eine gehackte Drittanbieter-Plattform. Bei der australischen Qantas landeten Daten von 5,7 Millionen Passagieren im Darknet.
- Dienstleister-Risiko: Discord-Nutzer wurden über einen kompromittierten Kundenservice-Provider angegriffen. Ähnlich der Fall Blue Cross Blue Shield – auch hier war der Dienstleister Conduent Business Services das Einfallstor.
- Finanz- und Luxussegment: Die Kreditplattform Prosper verlor über 17 Millionen Kontodaten, das Auktionshaus Sotheby’s sensible Finanzdaten seiner Kunden.
Diese Vorfälle zeigen die Achillesferse der digitalisierten Wirtschaft: Ein einziges Leck beim Dienstleister kann hunderte Unternehmen und Millionen Kunden treffen. Bereits in der ersten Jahreshälfte 2025 sorgten 79 Lieferketten-Angriffe für Datenpannen bei 690 Organisationen.
NIST revolutioniert Passwort-Standards – Passkeys auf dem Vormarsch
Als Reaktion auf die Bedrohungslage überarbeitet das US-Institut für Standards und Technologie (NIST) seine Passwort-Richtlinien grundlegend. Weg von komplexen Sonderzeichen-Kombinationen, hin zu längeren, merkbaren Passphrasen ab 8-12 Zeichen. Zentral: der Abgleich mit Listen kompromittierter Passwörter und verpflichtende Multi-Faktor-Authentifizierung.
Parallel forciert die Branche den Übergang zu passwortlosen Systemen. Passkeys, die biometrische Merkmale oder Geräte-PINs nutzen, ersetzen zunehmend klassische Passwörter. Google, Amazon und Microsoft haben ihre Unterstützung massiv ausgebaut. Laut FIDO Alliance sind mittlerweile 97 Prozent aller Verbrauchergeräte Passkey-fähig, 48 Prozent der Top-100-Websites bieten die Technologie bereits an.
Der Passwort-Manager-Markt boomt parallel: von rund 3 Milliarden Dollar 2024 auf über 3,7 Milliarden 2025.
Ein Wettlauf zwischen Innovation und krimineller Kreativität
Die aktuelle Cybersicherheitslage gleicht einem Wettlauf zwischen technischem Fortschritt und krimineller Raffinesse. Während Passkeys eine sicherere Zukunft versprechen, ist ihre Verbreitung noch nicht universal. Diese Lücke nutzen Angreifer systematisch aus – vor allem über den Faktor Mensch.
Experten empfehlen eine mehrschichtige Verteidigung: stärkere Authentifizierung plus intensive Mitarbeiterschulungen gegen Social Engineering. Für Verbraucher gelten einzigartige, starke Passwörter pro Konto, aktivierte Zwei-Faktor-Authentifizierung und Passwort-Manager als unverzichtbare Grundausstattung.
Die hohen Schadenssummen in den USA spiegeln auch verschärfte Regulierung wider. Empfindliche Strafen zwingen Unternehmen zu höheren Sicherheitsinvestitionen – von eigenen Systemen bis zur Dienstleister-Prüfung.
Ausblick: Bis Ende 2025 ein Viertel der Top-Websites mit Passkeys
Die FIDO Alliance prognostiziert: Bis Jahresende werden 25 Prozent der weltweit größten 1.000 Websites Passkey-Login anbieten. Mit wachsender Vertrautheit könnten Anmeldedaten-Angriffe deutlich abnehmen.
Kurzfristig bleiben Passwörter jedoch Realität. Daher ist intelligentes Risikomanagement entscheidend: breitere Nutzung professioneller Passwort-Manager, konsequente MFA-Durchsetzung und KI-gestützte Anomalie-Erkennung bei Anmeldeversuchen.
Der zunehmende KI-Einsatz der Angreifer erfordert KI auch in der Verteidigung. Machine Learning wird neuartige Phishing-Attacken in Echtzeit identifizieren müssen. Für Verbraucher bleibt die Devise: informiert bleiben und Sicherheitsstandards konsequent umsetzen.
