Iberia-Datenleck: Das Ende der Sicherheitsfrage ist besiegelt

Die Sicherheitsfrage stirbt – und drei Ereignisse an einem Wochenende beschleunigen ihr Ende dramatisch. Was Experten seit Jahren prophezeien, wird nun zur akuten Bedrohung: Statische Fragen nach dem Mädchennamen der Mutter oder dem ersten Haustier sind nicht nur veraltet, sondern gefährlich.

Am heutigen Dienstag kündigte die Fintech-Plattform Orenda eine strategische Partnerschaft mit CyberloQ an, deren erklärtes Ziel lautet: „Wissensbasierte Authentifizierung eliminieren”. Ausgerechnet am selben Tag, an dem die Folgen eines großen Datenlecks deutlich werden, das zeigt, warum diese Entscheidung längst überfällig ist.

Am Sonntag bestätigte die spanische Fluggesellschaft Iberia einen Sicherheitsvorfall bei einem Drittanbieter. Kompromittiert wurden Namen, E-Mail-Adressen und Vielfliegernummern von Kunden. Passwörter? Angeblich nicht betroffen. Doch Sicherheitsanalysten warnen: Genau diese „sekundären Daten” sind das Gold, nach dem Angreifer graben.

„Der Iberia-Vorfall ist ein Lehrbuchbeispiel dafür, warum Knowledge-Based Authentication versagt”, erklärt ein Cybersecurity-Experte. „Angreifer brauchen Ihr Passwort nicht, wenn sie es mit den gerade gestohlenen persönlichen Details zurücksetzen können.”

Viele Android-Nutzer unterschätzen, wie leicht persönliche Daten über Apps und frühere Lecks zusammengesetzt werden können – genau das macht Sicherheitsfragen und einfache Kontowiederherstellungen angreifbar. Das kostenlose Sicherheitspaket „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone” zeigt praxisnah, welche Einstellungen, geprüften Apps, Update‑Routinen und Backup‑Strategien Ihre Chats, Banking-Apps und Konten schützen. Inklusive Schritt‑für‑Schritt-Anleitungen für WhatsApp, Online‑Banking und PayPal. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Android-Smartphone herunterladen

Das Problem liegt in der Natur der Sicherheitsfrage selbst: Sie beruht auf statischen Informationen, die sich nicht ändern lassen. Anders als ein Passwort kann niemand den Mädchennamen seiner Mutter nachträglich wechseln, nachdem dieser in einem Datenleck aufgetaucht ist.

KI macht aus Fragmenten vollständige Profile

Doch es wird noch schlimmer. Eine neue Generation KI-gestützter Tools kann mittlerweile Antworten auf Sicherheitsfragen „inferieren” – aus verstreuten Datenfragmenten zusammensetzen.

Analysen von Anthropic aus Mitte November zeigen, wie sogenannte „agentische KI” komplexe Angriffskampagnen orchestriert. Diese KI-Agenten durchforsten das Darknet nach geleakten Datenbanken wie jener von Iberia und gleichen sie mit öffentlichen Social-Media-Profilen ab. Das Lieblingsurlaubsziel aus der Sicherheitsfrage? Die KI findet es in zehn Jahren Instagram-Posts oder in Flugdaten aus früheren Lecks.

Anders als menschliche Angreifer, die blind raten müssen, analysiert KI Tausende Datenpunkte in Sekunden. Die Sicherheitsfrage wird zur offenen Tür.

Regulierer und Standards ziehen die Notbremse

Die Industrie reagiert – und zwar nicht mehr nur mit Lippenbekenntnissen. Am Montag veröffentlichte Salesforce Ben, eine führende unabhängige Nachrichtenseite im Salesforce-Ökosystem, eine eindringliche Warnung: Organisationen sollten auf Passkeys umsteigen, sofort.

Die Grundlage dafür liefert das US-amerikanische NIST (National Institute of Standards and Technology), dessen aktualisierte digitale Identitätsrichtlinien NIST SP 800-63-4 im Juli 2025 finalisiert wurden. Die Vorgabe ist unmissverständlich: Anbieter „DÜRFEN NICHT” wissensbasierte Authentifizierung verwenden.

Monatelang blieben diese Richtlinien theoretisch. Doch jetzt, mit dem Stichtag 2026 im Nacken, setzen Anbieter sie hastig um. Die Partnerschaft zwischen Orenda und CyberloQ zeigt, wie die Praxis aussieht: Geräte-Bindung statt Sicherheitsfrage. Das System verifiziert die physische Hardware des Nutzers, nicht dessen Gedächtnis.

Verschlüsselung auch unter Druck

Parallel verschärft eine weitere Sicherheitslücke den Druck auf veraltete Authentifizierungsmethoden. Am heutigen Dienstag wurde eine kritische Schwachstelle in Apache Syncope (CVE-2025-65998) bekannt. Ein fest kodierter AES-Schlüssel ermöglichte den Zugriff auf verschlüsselte Nutzerpasswörter.

Die Schwachstelle betrifft zwar die Passwortspeicherung, unterstreicht aber die Fragilität geteilter Geheimnisse im Identitätsmanagement – und warum die Branche weg von gespeicherten Zugangsdaten will.

Die Zange schließt sich

Ein Beobachter bringt es auf den Punkt: „Wir erleben eine Zangenbewegung gegen Legacy-Authentifizierung. Auf der einen Seite verbieten Regulierer KBA. Auf der anderen macht KI es trivial, sie zu umgehen. Unternehmen, die weiter auf ‚Wie heißt dein erstes Haustier?’ setzen, lassen ihre Türen offen.”

Diese Entwicklung spiegelt einen breiteren Trend wider: Laut dem 2025 Identity Security Trends Report übersteigen Maschinenidentitäten mittlerweile die Zahl menschlicher Nutzer. Manuelle Verifizierungsmethoden wie Sicherheitsfragen werden damit zunehmend unpraktikabel.

Was kommt im ersten Quartal 2026?

Die nächsten sechs Monate dürften turbulent werden:

Massive Abschaltungen: Banken, Reiseportale und Gesundheitsplattformen werden KBA deaktivieren und durch biometrische Verfahren oder Hardware-Schlüssel ersetzen.

Die Reset-Krise: Nutzer müssen neue Wiederherstellungsmethoden registrieren – eine zweite E-Mail, eine Telefonnummer –, sonst droht der Aussperrung.

Rechtliche Haftung: Mit den NIST-Standards fest etabliert könnten Unternehmen, die durch KBA-Ausnutzung gehackt werden, für mangelnde „angemessene” Sicherheitsmaßnahmen haftbar gemacht werden.

Für Verbraucher gilt ab sofort: Wenn ein Dienst heute noch Sicherheitsfragen verlangt, behandelt sie wie Passwörter. Speichert zufällige Zeichenfolgen im Passwort-Manager – niemals die Wahrheit.

PS: Wollen Sie Ihre Konten, Chats und Bankzugänge wirklich vor Datendieben schützen? Das kostenlose Android‑Sicherheitspaket erklärt, wie Sie Hardware- und Software‑Schwachstellen schließen, Wiederherstellungsoptionen sicher einrichten und Sicherheitsfragen nicht als Passwortersatz nutzen. Mit praktischen Checklisten und leicht umsetzbaren Schritt‑für‑Schritt-Anleitungen – auch für weniger technikaffine Nutzer. Jetzt Android-Schutzpaket kostenlos anfordern