Julia Wolf 
Vishing-Kampagnen gegen Okta-Admins. Browser-Erweiterungen, die 20.000 Sessions abgreifen. 94 Prozent aller Login-Versuche kommen von Bots. Der Plot Twist: Die meisten dieser Angriffe brauchen keine Malware mehr. Sie brauchen nur Ihre Zugangsdaten.
Wer sich Cyberangriffe als Einbruch vorstellt, denkt an eingeschlagene Fenster. Die Realität 2026 sieht anders aus: Die Angreifer haben einen Schlüssel. Legitime Credentials ermöglichen, was Identitätsdiebstahl und Identity Abuse heute ermöglichen – unerkannte Bewegung durch Netzwerke, die niemanden alarmiert. Kein Trojaner, kein Exploit, kein klassischer Fingerabdruck. Nur ein Nutzerkonto, das sich ganz normal verhält.
Unit 42, die Forschungseinheit von Palo Alto Networks, hat im Darktrace-Report 2026 vergleichbare Angriffsmuster bestätigt; Unit 42 wertete zudem im Februar 2026 über 750 analysierte Vorfälle aus. Das Ergebnis ist wenig überraschend und gleichzeitig alarmierend: In 90 Prozent dieser Fälle spielten gestohlene Identitäten eine zentrale Rolle. Von der Infiltration bis zum Datendiebstahl vergingen dabei im Schnitt nur 72 Minuten – viermal schneller als noch 2025. Cyberangriffe haben ein neues Tempo. Und einen neuen Lieblings-Angriffsvektor.
Das Pikante daran: Klassische Authentifizierung gilt vielen Organisationen noch immer als gelöstes Problem. Login-Formular, Passwort, fertig. Vielleicht noch ein SMS-Code. Dass genau diese Infrastruktur zum primären Schlachtfeld geworden ist, hat sich in vielen IT-Abteilungen noch nicht herumgesprochen.
Der Cloudflare Threat Report 2026 liefert Zahlen, die man zweimal lesen muss. 94 Prozent aller Login-Versuche stammen demnach von Bots – automatisierte Credential-Stuffing-Angriffe, die gestohlene Datenpakete aus alten Leaks systematisch durchprobieren. Von den verbleibenden menschlichen Logins verwenden 46 Prozent nachweislich kompromittierte Zugangsdaten. Das heißt: Fast jeder zweite echte Nutzer loggt sich mit einem Passwort ein, das längst irgendwo im Darknet kursiert.
Parallel dazu scheitern E-Mail-Authentifizierungsstandards flächendeckend. 43 Prozent aller E-Mails bestehen den SPF-Check nicht, 44 Prozent fehlt DKIM, 46 Prozent haben kein DMARC. Das sind keine Randprobleme – das ist der Grund, warum Phishing nach wie vor funktioniert. Wer keine E-Mail-Authentifizierung implementiert hat, liefert Angreifern die Infrastruktur für glaubwürdige Fälschungen frei Haus.
Die Folge: 82,6 Prozent aller Phishing-Mails sind inzwischen KI-generiert, laut KnowBe4-Daten aus 2026. Grammatikfehler als Erkennungsmerkmal? Vergessen Sie das. Die Texte sind makellos, der Ton passt, die Absenderadresse sieht aus wie die Ihres IT-Dienstleisters. Authentifizierung als Schutzwall hat hier ausgedient – zumindest solange sie auf E-Mail-Erkennungsmustern basiert.
Besonders brisant ist ein Angriffsmuster, das seit Frühjahr 2026 systematisch dokumentiert wird: Vishing-Kampagnen gegen Administratoren von Identitätsmanagementsystemen. Konkret ins Visier geraten sind dabei Plattformen wie Okta, über die Single-Sign-On-Daten für ganze Unternehmensumgebungen kontrolliert werden.
Das Szenario läuft immer ähnlich ab. Ein Angreifer ruft an – mit unterdrückter Nummer, gelegentlich mit geklonter Stimme via KI. Er gibt sich als interner IT-Support aus, meldet ein dringendes Sicherheitsproblem und bittet den Admin, die Multi-Faktor-Authentifizierung kurzzeitig zu deaktivieren oder einen Backup-Code zu teilen. Social Engineering, verfeinert durch Deepfake-Technologie. Deepfake-Angriffe auf Unternehmen haben laut aktuellen Berichten um rund 300 Prozent zugenommen, „ClickFix“-Angriffe sogar um 500 Prozent.
Das Pikante daran: Die Zwei-Faktor-Authentifizierung, die als Standardschutz gegen Identitätsdiebstahl gilt, wird hier nicht technisch überwunden – sie wird schlicht menschlich ausgetrickst. Kein Exploitkode, kein Zero-Day. Nur ein überzeugender Anruf zur falschen Zeit.
Während Unternehmen ihre Perimeter absichern, schlummert ein anderes Risiko im Browser jedes Mitarbeiters. Im April 2026 wurden über 100 schädliche Browser-Erweiterungen identifiziert, die aktiv Sessions kompromittierten – betroffen waren unter anderem Google- und Telegram-Zugänge. Insgesamt wurden dabei rund 20.000 Nutzer-Sessions abgegriffen.
Der Mechanismus ist simpel und effektiv. Eine Browser-Erweiterung mit harmlosem Namen – PDF-Konverter, Passwort-Manager, Dark-Mode-Tool – liest Session-Cookies aus, sobald sich ein Nutzer authentifiziert hat. Die eigentliche Authentifizierung findet statt, MFA wird erfolgreich durchlaufen, alles wirkt normal. Im Hintergrund landet das Session-Token beim Angreifer, der damit die gesamte Sitzung übernimmt, ohne das Passwort zu kennen.
Meiner Einschätzung nach ist das eines der unterschätztesten Szenarien im Unternehmenskontext. Endpoint-Schutz prüft Executables. Wer prüft systematisch, welche Browser-Erweiterungen auf den Rechnern der Belegschaft installiert sind? Spoiler: Die wenigsten.
Im Januar 2026 wurden 5.143 neue Sicherheitslücken (CVEs) registriert – ein Monatsrekord. Mehr als ein Drittel davon als hoch oder kritisch eingestuft. Durchschnittlich 119 neue CVEs pro Tag, ein Anstieg von 24 Prozent gegenüber dem Vorjahr. Gleichzeitig hat NIST seine NVD-Analyse unter dem Druck der schieren Menge eingeschränkt.
Was das für Authentifizierungssysteme bedeutet: Patches kommen zu spät oder gar nicht. Bekannte Schwachstellen in Identity-Providern, MFA-Bibliotheken oder SSO-Implementierungen bleiben offen, weil die Priorisierung schlicht überfordert ist. Angreifer kennen das. Laut aktuellen Analysen zu Cyberangriffen 2026 zielen Akteure gezielt auf Identitätssysteme, gerade weil dort die Lücke zwischen bekannter Schwachstelle und eingespieltem Patch am größten ist.
Deutsche Unternehmen sind dabei besonders im Fokus. 1.223 Angriffe pro Woche und Organisation wurden für deutsche Firmen dokumentiert – ein Anstieg von 14 Prozent. Wenig überraschend für ein Land, das industriell zu den attraktivsten Zielen Europas gehört und gleichzeitig strukturell oft mit veralteter IT-Infrastruktur kämpft.
Die Gegenbewegung läuft unter dem Begriff passwortlose Authentifizierung. Passkeys, FIDO2-Standards, hardwaregebundene Tokens – technisch sind das sinnvolle Antworten auf Credential-Stuffing. Ein Passkey kann nicht geleakt werden, weil er nie in einer Datenbank liegt. Er ist an ein spezifisches Gerät und einen biometrischen Faktor gebunden. Phishing läuft ins Leere, weil der Schlüssel gerätespezifisch ist.
Klingt gut. Ist auch gut. Aber die Realität in Unternehmen sieht so aus: Legacy-Systeme, die FIDO2 nicht sprechen. Mitarbeiter, die Passkeys als umständlich empfinden und auf Ausnahmen drängen. Backup-Codes, die auf Post-its kleben. Und IT-Abteilungen, die Passkey-Rollouts gegen Budget- und Ressourcenengpässe durchkämpfen müssen.
Zwei-Faktor-Authentifizierung bleibt für die meisten Organisationen der pragmatische Kompromiss. Aber auch hier gilt: TOTP-basierte Codes können via Phishing in Echtzeit abgegriffen werden, wenn ein Nutzer einen gefälschten Login-Screen befüllt. Echte Sicherheit durch Zwei-Faktor-Authentifizierung entsteht nur mit phishing-resistenten Verfahren – also hardwarebasierten Keys oder Passkeys. Alles andere ist besser als nichts, aber kein Abschlusstor.
Ein weiterer Trend 2026 verdient besondere Aufmerksamkeit: Kompromittierung über die Lieferkette. Backdoors in populären WordPress-Plugins, manipulierte Versionen von Tools wie CPU-Z, schädliche Pakete in öffentlichen Repositories – der Angriff kommt nicht mehr von außen, sondern aus Software, der explizit vertraut wird.
Für Authentifizierungssysteme ist das besonders gefährlich. Wer ein kompromittiertes Authentifizierungsplugin in sein CMS einbindet, öffnet die Session-Daten aller Nutzer. Wer einem manipulierten Passwort-Manager-Update vertraut, übergibt seine gesamte Credentials-Bibliothek. Das ist kein hypothetisches Szenario – die Angriffe auf Browser-Erweiterungen und Plugins sind 2026 belegbar dokumentiert.
Die Antwort muss hier auf mehreren Ebenen erfolgen: Software-Composition-Analyse für alle verwendeten Bibliotheken, regelmäßige Audits installierter Erweiterungen, Privilegienbeschränkung für Drittanbieter-Tools. Und die unangenehme Grundfrage, die sich jede Organisation stellen muss: Wissen wir eigentlich, welcher Code gerade aktiv auf unsere Authentifizierungsprozesse zugreift?
Die bisher beschriebenen Angriffsmuster treffen Großunternehmen und Mittelständler gleichermaßen – aber sie treffen letztere oft härter. Während DAX-Konzerne dedizierte Identity-Security-Teams unterhalten, verwaltet im Mittelstand häufig eine Person mit mehreren IT-Rollen nebenbei auch das Identitätsmanagementsystem. Das ist keine Kritik an diesen Personen, sondern eine strukturelle Realität, die Angreifer sehr gut kennen.
Konkret bedeutet das: Vishing-Angriffe auf kleine IT-Teams sind besonders effektiv, weil es keine Eskalationskette gibt, die ein zweites Paar Augen auf verdächtige Anfragen wirft. Wenn die IT-Verantwortliche alleine entscheidet und ein überzeugender Anruf suggeriert, der Geschäftsführer warte auf eine sofortige Lösung, fehlt die institutionelle Bremse. Größere Sicherheitsabteilungen haben hier einen strukturellen Vorteil durch Vier-Augen-Prinzipien und klar definierte Eskalationswege.
Ein praxisnahes Szenario, das zunehmend dokumentiert wird: Ein Angreifer recherchiert über LinkedIn die Organisationsstruktur eines mittelständischen Unternehmens, identifiziert den IT-Leiter und dessen Vorgesetzten. Er ruft den IT-Leiter an, gibt sich als externer Dienstleister aus und referenziert korrekte interne Details – Projektname, Systembezeichnungen, gelegentlich sogar Vor- und Nachname von Kollegen. Dann folgt die Bitte um temporären Zugang. Ohne klares Protokoll für solche Situationen ist die Hemmschwelle, abzulehnen, erschreckend gering.
Die Gegenmaßnahme muss nicht teuer sein: Ein schriftlich fixiertes Verfahren, das festlegt, dass privilegierte Zugänge grundsätzlich nur nach schriftlicher Anforderung und Vier-Augen-Freigabe geändert werden, kostet keine Lizenzgebühren. Es kostet Disziplin und eine klare Kommunikation im Team.
Ein konzeptioneller Wandel, der in fortschrittlicheren Sicherheitsarchitekturen bereits stattfindet, ist das Prinzip der kontinuierlichen Authentifizierung. Die klassische Logik lautet: Ein Nutzer meldet sich an, das System vertraut ihm für die Dauer der Sitzung. Genau diese Logik macht Session-Hijacking über Browser-Erweiterungen so wirkungsvoll – wer das Token hat, gilt als verifiziert, egal wer tatsächlich hinter dem Bildschirm sitzt.
Kontinuierliche Authentifizierung bricht mit diesem Modell. Statt einmaliger Verifikation beim Login überprüft das System fortlaufend, ob das Verhalten der aktiven Sitzung zum bekannten Nutzerprofil passt. Springt ein Account plötzlich von München nach Singapur, greift er auf ungewöhnliche Ressourcen zu oder ändert er in rascher Folge Berechtigungen, löst das eine erneute Verifikation oder eine automatische Sitzungsunterbrechung aus.
Technologien wie User and Entity Behavior Analytics, kurz UEBA, setzen genau hier an. Sie sind nicht trivial in der Implementierung und erzeugen in der Anfangsphase häufig Fehlalarme, die interne Prozesse belasten. Trotzdem sind sie eine der wenigen Methoden, die auch dann noch wirken, wenn die erste Hürde – der Login selbst – bereits überwunden wurde. Für Organisationen, die privilegierte Accounts schützen müssen, ist das Nachdenken über post-login-Sicherheit keine Kür, sondern eine zunehmend notwendige Pflicht.
Konkrete Schritte gegen die beschriebenen Angriffsmuster gibt es. Einige davon sind technisch, andere organisatorisch, alle sind umsetzbar – auch ohne Fortune-500-Budget.
E-Mail-Authentifizierung vollständig implementieren. SPF, DKIM und DMARC sind keine optionalen Extras. Wer alle drei korrekt konfiguriert, nimmt Angreifern die Infrastruktur für glaubwürdige Phishing-Mails weg. Die Zahlen oben zeigen: 43 bis 46 Prozent der Organisationen haben das noch nicht getan. Das ist ein niedriges Hängefrüchtl mit hohem Schutzeffekt.
Phishing-resistente MFA priorisieren. Zwei-Faktor-Authentifizierung via SMS oder TOTP ist besser als kein zweiter Faktor. Aber wirklich phishing-resistent sind nur FIDO2-basierte Hardware-Token oder Passkeys. Für privilegierte Accounts – Admins, IT-Systeme, Identitätsmanagement – sollte das kein Opt-in sein, sondern Pflicht.
Browser-Erweiterungen inventarisieren und einschränken. Klingt banal. Ist es. Trotzdem fehlt in vielen Organisationen eine zentrale Policy, die regelt, welche Erweiterungen installiert werden dürfen. Ein Whitelist-Ansatz via Gruppenrichtlinien oder MDM reduziert die Angriffsfläche erheblich.
Anti-Vishing-Training für privilegierte Accounts. Admins müssen wissen, dass kein legitimer IT-Support jemals telefonisch nach MFA-Codes fragt. Dieser Satz klingt trivial. Er ist es nicht, wenn eine überzeugende KI-Stimme um 23 Uhr anruft und ein dringendes Sicherheitsproblem schildert. Regelmäßige Simulationsübungen – auch für Vishing – sind 2026 kein Luxus.
Credentials auf Kompromittierung prüfen. Tools wie Have I Been Pwned oder kommerzielle Dark-Web-Monitoring-Dienste erkennen, wenn Zugangsdaten aus bekannten Leaks im Umlauf sind. Wer weiß, dass 46 Prozent menschlicher Logins kompromittierte Daten nutzen, sollte seinen eigenen Benutzerbestand regelmäßig dagegen abgleichen.
Was Unternehmen hingegen lassen sollten: Identitätsschutz als einmalige Projektaufgabe behandeln. Die Bedrohungslage verändert sich schneller, als Release-Zyklen erlauben. Wer einmal MFA ausrollt und dann fünf Jahre nicht nachschaut, was Vishing, Session-Hijacking und Browser-Erweiterungen in der Zwischenzeit geleistet haben, wird die Rechnung bekommen. Laut IBM-Daten kostet ein durchschnittlicher Breach durch kompromittierte Credentials rund 4,37 Millionen US-Dollar. Das ist kein Anreiz zum Innehalten – das ist ein Argument für kontinuierliche Überprüfung.
Identitätsschutz ist 2026 kein Randthema mehr – er ist das Zentrum jeder ernsthaften Sicherheitsstrategie. Die Angreifer haben das längst verstanden. Die Frage ist, wann Organisationen aufhören, Authentifizierungssysteme als gelöstes Problem zu behandeln, und anfangen, sie als das zu sehen, was sie sind: das meistattackierte Stück Infrastruktur im gesamten Unternehmen. Was schützt Ihr privilegiertes Konto gerade vor einem Vishing-Angriff um Mitternacht?
