Cyberangriffe zwingen Unternehmen zu Passwort-Alternativen

Angesichts einer Welle raffinierter Cyberangriffe setzen deutsche Unternehmen verstärkt auf phishing-resistente Authentifizierung. Neue Warnungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) machen den Handlungsdruck deutlich.

BSI warnt vor kritischen Lücken und neuen Phishing-Methoden

Die Bedrohungslage hat sich innerhalb weniger Tage zugespitzt. Das BSI erneuerte am 22. Januar seine Warnung vor mehreren kritischen Sicherheitslücken in den Browsern Google Chrome und Microsoft Edge. Diese Schwachstellen, mit einem hohen CVSS-Risikoscore von 8,8 bewertet, könnten Angreifern bereits durch den Besuch einer manipulierten Webseite Zugriff verschaffen.

Parallel dazu warnte die Behörde am 23. Januar vor einer neuen Phishing-Masche namens „GhostPairing“, die WhatsApp-Nutzer ins Visier nimmt. Dabei wird die legitime Gerätekopplungsfunktion missbraucht, um Konten zu übernehmen. Diese Vorfälle zeigen einen klaren Trend: Cyberkriminelle zielen immer gezielter auf die Kompromittierung von Benutzerkonten ab – dem häufigsten Einfallstor in Unternehmensnetzwerke.

Passend zum Thema Phishing: Neue Methoden wie „GhostPairing“ und ausgeklügelte MFA‑Angriffe zeigen, wie leicht Konten kompromittiert werden können. Das kostenlose Anti‑Phishing‑Paket erklärt in einer kompakten 4‑Schritte‑Anleitung, wie Unternehmen Hacker‑Methoden erkennen, Mitarbeiter für psychologische Angriffsmuster schulen und technische Gegenmaßnahmen implementieren. Praktische Checklisten und branchenspezifische Hinweise helfen IT‑Teams, Schutzlücken sofort zu schließen. Jetzt Anti‑Phishing‑Paket kostenlos herunterladen

Warum traditionelle Zwei-Faktor-Authentifizierung nicht mehr ausreicht

Lange galt die Multi-Faktor-Authentifizierung (MFA) als sicherer Goldstandard. Doch Methoden wie SMS-Codes oder einfache Push-Benachrichtigungen zeigen zunehmend Schwächen. Sie sind anfällig für Social-Engineering, SIM-Swapping und sogenannte MFA-Fatigue-Angriffe, bei denen Nutzer mit Bestätigungsanfragen bombardiert werden, bis sie versehentlich zustimmen.

Jede Authentifizierung, die die Übertragung eines Codes von einem Gerät auf ein anderes erlaubt, ist prinzipiell für Phishing angreifbar. „GhostPairing“ ist ein Paradebeispiel dafür, wie eine legitime Funktion durch geschickte Täuschung zur Schwachstelle wird.

FIDO2 und Passkeys als neue Verteidigungslinie

Als strategische Antwort gewinnt der FIDO2-Standard (Fast Identity Online) massiv an Bedeutung. Technologien wie Passkeys, die auf asymmetrischer Kryptografie basieren, beseitigen das grundlegende Problem: das gemeinsame Geheimnis, also das Passwort.

Der private kryptografische Schlüssel bleibt sicher auf dem Gerät des Nutzers, etwa dem Smartphone. Der entscheidende Sicherheitsvorteil: Die Methode ist an die spezifische Internetdomain des Dienstes gebunden. Selbst wenn ein Mitarbeiter auf eine perfekte Phishing-Seite hereinfällt, ist der Passkey dort nutzlos. Das Abgreifen von Zugangsdaten wird so praktisch unmöglich.

EU-Regulierung treibt die Umstellung voran

Der regulatorische Druck beschleunigt den Wandel zusätzlich. EU-Richtlinien wie NIS2 und der Digital Operational Resilience Act (DORA) verpflichten Unternehmen in kritischen Sektoren und der Finanzbranche zur Implementierung nachweisbar robuster Sicherheitsmaßnahmen.

Die Einführung phishing-resistenter Authentifizierung wird damit nicht nur zur technischen Best Practice, sondern zur Compliance-Notwendigkeit. Sie dient dem systemischen Risikomanagement und hilft, hohe Bußgelder zu vermeiden. Erst am 20. Januar legte die EU-Kommission neue Vorschläge zur Stärkung der Cybersicherheit vor.

Der unumkehrbare Trend zur passwortlosen Zukunft

Die Cybersicherheitslandschaft 2026 ist ein ständiger Wettlauf. Während KI-gestützte Angriffe komplexer werden, bieten Passkeys eine robuste Abwehr. Für Unternehmen ist die Umstellung eine strategische Investition in die Cyber-Resilienz.

Der Übergang wird schrittweise erfolgen. Die Integration in bestehende Systeme und die Schulung der Nutzer bleiben Herausforderungen. Doch die Kombination aus eskalierender Bedrohung, technologischem Fortschritt und schärferer Regulierung macht die Abkehr vom Passwort zur strategischen Notwendigkeit für jedes zukunftsorientierte Unternehmen.

PS: Angesichts regulatorischen Drucks durch NIS2 und DORA sollten Unternehmen ihre Abwehr gegen Phishing beschleunigen. Das gleiche Anti‑Phishing‑Paket liefert konkrete Umsetzungsschritte zur Integration technischer Maßnahmen (inkl. MFA‑Härtung) und erklärt, wie Passkeys und FIDO2 sinnvoll ergänzt werden. Enthalten sind Fallbeispiele, praxiserprobte Checklisten und eine Schritt‑für‑Schritt‑Roadmap für IT‑Verantwortliche. Anti‑Phishing‑Paket jetzt gratis anfordern