Cyberangriffe: Zwei-Faktor-Authentifizierung kein Hinderniss mehr

Nico NussLetztes Update Februar 27, 2026

Cyberangriffe knacken jetzt auch Zwei-Faktor-Authentifizierung – und stellen damit ein zentrales Sicherheitsversprechen der letzten Jahre infrage. Sicherheitsforscher warnen vor zwei hochentwickelten Methoden, die selbst Multi-Faktor-Authentifizierung aushebeln. Ein KI-gestütztes Phishing-Kit namens „Starkiller“ stiehlt MFA-Codes in Echtzeit. Parallel missbrauchen Angreifer Microsofts OAuth-Protokolle, um dauerhaften Zugriff auf Konten zu erhalten. Besonders betroffen sind Cloud-Dienste wie Microsoft 365 und Google Workspace. Die Angriffe wirken täuschend echt – und zeigen, dass SMS-TAN, Push-Bestätigung oder Authenticator-App längst keinen absoluten Schutz mehr bieten.

Cyberangriffe: Zwei-Faktor-Authentifizierung kein Hinderniss mehr
Cyberangriffe: Zwei-Faktor-Authentifizierung kein Hinderniss mehr

Das Wichtigste in Kürze

  • Das „Starkiller“-Kit stiehlt MFA-Codes in Echtzeit per Adversary-in-the-Middle-Technik
  • Session-Tokens werden abgefangen und ermöglichen dauerhaften Zugriff
  • Ein OAuth-Trick verschafft Angreifern monatelangen Microsoft-365-Zugang
  • KI erzeugt perfekt formulierte Phishing-Mails ohne erkennbare Fehler
  • Sicherheitsexperten empfehlen Passkeys und FIDO2 als zukunftssichere Lösung

Was bedeutet „Cyberangriffe knacken jetzt auch Zwei-Faktor-Authentifizierung“?

Neue Angriffe wie das Starkiller-Phishing-Kit und manipulierte OAuth-Protokolle umgehen MFA, indem sie Codes in Echtzeit abfangen oder dauerhafte Zugriffstokens erzeugen – selbst bei Nutzung von Authenticator-Apps.

Wie das Starkiller-Kit MFA in Echtzeit aushebelt

Im Zentrum der aktuellen Warnungen steht das „Starkiller“-Kit. Sicherheitsforscher von Abnormal AI haben diese Methode detailliert analysiert. Anders als klassische Phishing-Seiten arbeitet das Tool als sogenannter Adversary-in-the-Middle. Es schaltet sich aktiv zwischen Nutzer und legitimen Dienst. Dadurch entsteht eine Live-Spiegelung der echten Login-Sitzung.

Gibt ein Nutzer seinen MFA-Code ein, wird dieser sofort an den echten Dienst weitergeleitet. Parallel dazu stiehlt das System den erzeugten Session-Token. Dieser Token ist der eigentliche Schlüssel zum Konto. Mit ihm erhalten Angreifer dauerhaften Zugriff. Sie müssen keinen weiteren Code eingeben. Das macht den Angriff besonders gefährlich. Selbst eine korrekt verwendete Authenticator-App schützt hier nicht mehr zuverlässig.

Lesen Sie auch  Bekennerschreiben: Sie drehen Berlin den Saft ab

Der OAuth Device Authorization Flow als Einfallstor

Parallel dazu wurde eine zweite Methode bekannt. Sie betrifft vor allem Nutzer von Microsoft 365. Dabei missbrauchen Angreifer den sogenannten OAuth Device Authorization Flow. Dieses Protokoll ist eigentlich für Geräte mit eingeschränkter Eingabe gedacht.

Opfer erhalten eine E-Mail mit angeblich dringender Sicherheitswarnung. Der Link führt tatsächlich zur echten Microsoft-Login-Seite. Genau das macht den Angriff so perfide. Der Nutzer wird jedoch aufgefordert, einen Code aus der E-Mail einzugeben. Mit diesem Schritt autorisiert er unbewusst das Gerät des Angreifers.

Der Angreifer erhält daraufhin einen dauerhaften Zugriffsschlüssel. Dieser bleibt oft monatelang gültig. Selbst eine Passwortänderung hebt diesen Zugriff nicht auf. Der Angriff wirkt legitim, da keine gefälschte Seite sichtbar ist. Klassische Warnsignale fehlen vollständig.

KI-gestütztes Phishing wird nahezu unsichtbar

Die neue Angriffswelle wird durch künstliche Intelligenz verstärkt. KI generiert Phishing-Mails in perfektem Deutsch. Die Texte sind kontextbezogen und professionell formuliert. Rechtschreibfehler oder schlechte Übersetzungen gehören der Vergangenheit an.

Besonders kritisch sind URL-Verschleierungstechniken im Starkiller-Kit. Angreifer nutzen das „@“-Symbol in Webadressen. Dadurch hebt der Browser scheinbar den legitimen Teil der Adresse hervor. Das tatsächliche Ziel bleibt verborgen.

In Kombination mit KI-Inhalten sinkt die Erkennungswahrscheinlichkeit drastisch. Nutzer sehen keine offensichtlichen Hinweise auf Betrug. Die Angriffe wirken authentisch und zeitkritisch. Genau dieser Druck führt häufig zur erfolgreichen Kompromittierung.

Cloud-Dienste und Unternehmen im Visier

Die Auswirkungen sind erheblich. Besonders betroffen sind Cloud-Plattformen wie Microsoft 365 und Google Workspace. Auch Bankportale stehen im Fokus.

Viele Unternehmen verlassen sich auf MFA als letzte Verteidigungslinie. Doch diese Annahme gilt als überholt. Angreifer nutzen valide Session-Tokens. Dadurch erscheinen ihre Aktivitäten technisch autorisiert. Herkömmliche Sicherheitsfilter schlagen oft nicht an.

Lesen Sie auch  Bankschließfach für Wertsachen oder Gold: Wie sicher ist es wirklich?

Ein häufiges Ziel ist Business Email Compromise. Dabei geben sich Täter als Führungskräfte aus. Sie veranlassen Überweisungen oder fordern sensible Daten an. Der finanzielle Schaden kann enorm sein. Gleichzeitig leidet das Vertrauen in digitale Prozesse.

Warum klassische MFA-Faktoren nicht mehr ausreichen

SMS-Codes, Push-Nachrichten oder App-Bestätigungen gelten als „phishbare“ Faktoren. Das bedeutet, sie können durch Echtzeit-Manipulation abgefangen werden. AiTM-Angriffe zeigen diese Schwäche deutlich.

Selbst wenn Nutzer vorsichtig handeln, bleibt ein Restrisiko. Die Technik arbeitet im Hintergrund. Die Interaktion wirkt legitim. Genau darin liegt die Stärke der neuen Methoden.

Sicherheitsverantwortliche reagieren bereits. In vielen Unternehmen wird der Device Code Flow für normale Konten deaktiviert. Dennoch bleibt das Problem bestehen. Solange Nutzer Codes manuell eingeben, können sie abgefangen werden.

Passkeys und FIDO2 als neue Sicherheitsstufe

Experten sehen die Zukunft in hardwaregebundenen Verfahren. Passkeys und FIDO2-Sicherheitsschlüssel sind kryptografisch an eine konkrete Domain gebunden. Dadurch funktionieren sie nicht auf gefälschten Seiten.

Selbst wenn ein Nutzer auf eine perfekt imitierte Login-Seite gelangt, verweigert der Sicherheitsschlüssel die Authentifizierung. Die Domain stimmt nicht überein. Dieser Mechanismus macht AiTM-Angriffe extrem schwierig.

Langfristig werden Passkeys Standard werden. Bis dahin gilt erhöhte Wachsamkeit. Nutzer sollten niemals Codes eingeben, die sie nicht selbst angefordert haben. E-Mails mit Zeitdruck sind besonders kritisch. Aufmerksamkeit bleibt vorerst die wichtigste Verteidigung.

Fazit

Cyberangriffe knacken jetzt auch Zwei-Faktor-Authentifizierung – und verändern die Sicherheitslage grundlegend. Echtzeit-Phishing, manipulierte OAuth-Protokolle und KI-generierte Mails zeigen, wie professionell Angreifer inzwischen vorgehen. Klassische MFA reicht nicht mehr aus. Unternehmen und Privatnutzer müssen reagieren. Passkeys und hardwarebasierte Verfahren bieten echten Schutz. Wer jetzt nicht umstellt, riskiert dauerhafte Kontoübernahmen. Sicherheit beginnt heute mit dem richtigen Authentifizierungsmodell.

Klicke, um diesen Beitrag zu bewerten!
[Gesamt: 1 Durchschnitt: 5]

Lesen Sie auch  Sohn von Rob Reiner wegen Mordes angeklagt
Nico Nuss
Nico Nuss
Website

Der Autor Nico Nuss beschäftigt sich seit 2001 mit den Themen Mobile Computing und Automation Software. Auf Grund seiner Erfahrung und dem starken Interesse für Zukunftstechnologien gilt seine Aufmerksamkeit den Themen Robotik und AI.

Ähnliche Beiträge:

  1. Abzocke mit QR Code – So erkennen Sie Phishing
  2. Stromausfall Berlin: Kälte bis Donnerstag
  3. Phishing-Alarm für 11 Mio. Bankkunden: „Erneuerung starten“-Falle
Nico NussLetztes Update Februar 27, 2026
Mehr anzeigen
Schaltfläche "Zurück zum Anfang"