Cyberangriffe 2026: Standard-Passwörter sind endgültig wertlos

Die klassische Zwei-Faktor-Authentifizierung ist tot. Das zeigen spektakuläre Polizeiaktionen und neue Geheimdienstberichte aus der ersten Märzwoche 2026. Sowohl staatliche Hacker als auch Cyberkriminelle umgehen Standard-Login-Verfahren routinemäßig – und zwingen Unternehmen zum radikalen Umdenken.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind und wie neue Gesetze die Haftung verschärfen, zeigt dieser aktuelle Branchen-Report. IT-Sicherheits-Trends 2024 kostenlos herunterladen

Der industrielle Passwort-Diebstahl

Am 4. März 2026 schlug Europol gemeinsam mit Microsoft, Cloudflare und Trend Micro zu: Die Plattform Tycoon 2FA wurde zerschlagen. Seit 2023 hatte dieser „Phishing-as-a-Service“-Dienst Kriminellen ermöglicht, Sicherheitsbarrieren im industriellen Maßstab zu umgehen.

Das System funktionierte als raffinierte Falle. Statt nur Passwörter abzugreifen, leitete es Login-Daten in Echtzeit an legitime Dienste weiter – samt Einmal-Codes per SMS oder App. Im entscheidenden Moment fing es dann die lebendige Sitzungs-Cookie ab. Damit hatten Angreifer dauerhaften Zugang, selbst wenn das Passwort später geändert wurde.

Für umgerechnet etwa 120 Euro im Monat bot der Dienst seine Dienste an. Vor der Stilllegung seiner 330 Domains hatte Tycoon 2FA rund 2.000 Abonnenten und verschickte monatlich zig Millionen Phishing-Mails. Laut Europol waren bis Mitte 2025 etwa 62 Prozent aller von Microsoft blockierten Phishing-Versuche auf diese Plattform zurückzuführen. Fast 100.000 Organisationen weltweit wurden so kompromittiert.

Staaten als heimliche Profiteure

Während Plattformen wie Tycoon 2FA die Einstiegshürde für Cyberkriminelle senken, nutzen staatliche Akteure dieselben Schwachstellen mit verheerender Präzision. Das am 6. März veröffentlichte Cyber Threat Assessment zeigt, wie regierungsnahe Hacker kritische Infrastrukturen infiltrieren.

Russische Gruppen wie Midnight Blizzard (auch APT29) zielen demnach gezielt auf schlecht gesicherte Testumgebungen ab. Nach dem Erstzugang per Passwort-Spraying erstellen sie bösartige OAuth-Apps. Diese Hintertüren bleiben oft auch dann bestehen, wenn das ursprünglich geknackte Konto gesichert wird.

Chinesische Gruppen wie Volt Typhoon halten sich laut Berichten monatelang unentdeckt in Netzwerken von Energie- und Transportunternehmen. Sie nutzen gehackte Zugangsdaten und ungepatchte Geräte, um dann mit Bordmitteln der Systeme weiterzuwandern. Auch iranische Hacker sollen seit Anfang März vermehrt Schwachstellen in Luftfahrt- und Finanzunternehmen ausnutzen.

Die Antwort: Hardware-Schlüssel statt SMS-Codes

Die Erfolge der Angreifer zwingen Regulierungsbehörden zum Handeln. US-Behörden wie die Cybersecurity and Infrastructure Security Agency warnen deutlich: Herkömmliche Authentifizierung reicht nicht mehr aus.

Die Lösung heißt phishing-resistente Authentifizierung nach FIDO2- und WebAuthn-Standards. Hardware-Sicherheitsschlüssel oder kryptografische Passkeys prüfen die Verbindung zwischen Gerät und besuchter Website. Landet ein Nutzer auf einer Phishing-Seite, scheitert die kryptografische Verhandlung – der Angriff wird automatisch blockiert.

Die neuen Richtlinien sind streng: Software für kritische Infrastrukturen muss standardmäßig phishing-resistente Verfahren nutzen. Universelle Standardpasswörter werden verboten. Für viele Branchen gelten strikte Umsetzungsfristen noch 2026.

Da herkömmliche SMS-Codes und Standard-Apps oft nicht mehr ausreichen, bietet dieser Experten-Guide eine 4-Schritte-Anleitung zur erfolgreichen Abwehr moderner Phishing-Methoden. Anti-Phishing-Paket für Unternehmen gratis sichern

Identität wird zur neuen Angriffsfläche

Die Ereignisse markieren eine Zeitenwende in der IT-Sicherheit. Die Identität des Nutzers hat die traditionelle Netzwerkgrenze als Hauptangriffsfläche abgelöst. Wenn sich authentifizierte Sitzungen als günstiges Abo-Modell verkaufen lassen, wird aus einzelnen Sicherheitsvorfällen ein systemisches Risiko.

Experten beobachten zudem eine gefährliche Vermischung: Staatliche Hacker agieren im Schatten kommerzieller Cyberkriminalität. Sie nutzen dieselben Tools oder kaufen gestohlene Sitzungs-Cookies direkt bei Kriminellen. Für Unternehmen bedeutet das: Die Unterscheidung zwischen simplen Phishing-Mails und staatlichen Angriffen ist hinfällig.

Was Unternehmen jetzt tun müssen

Die Zeit drängt. Firmen sollten ihre Zugriffsrichtlinien sofort überprüfen und anpassen. Der Markt für Phishing-Dienste wird sich nach der Zerschlagung von Tycoon 2FA schnell neu formieren – wahrscheinlich mit noch raffinierteren Methoden.

Der Rat der Experten ist klar: Weg von SMS und Standard-Apps, hin zu hardware-basierten Sicherheitsschlüsseln für die gesamte Belegschaft. IT-Abteilungen müssen Sitzungen kontinuierlich überwachen, um verdächtige Aktivitäten oder unerwartete Systemzugriffe zu erkennen. Die unerlaubte Erstellung von OAuth-Apps ist ein wichtiger Alarmindikator.

Zusätzlich helfen strikte Berechtigungsbeschränkungen (Least-Privilege-Prinzip) und regelmäßiges Widerrufen inaktiver Sitzungstokens. In einer Welt, in der Passwörter allein nichts mehr wert sind, wird proaktive Überwachung zur neuen Verteidigungslinie.

boerse | 68648740 |