Digitale Identitäten: Angriffsfläche für Hacker wächst

Schwache Passwörter und KI-Phishing öffnen Hackern Tür und Tor – selbst bei Regierungen. Eine Serie schwerer Sicherheitsvorfälle diese Woche zeigt eine wachsende Krise beim Schutz digitaler Identitäten. Während Cyberkriminelle zunehmend auf künstliche Intelligenz und Angriffe auf Lieferketten setzen, bleiben grundlegende Sicherheitslücken die größte Schwachstelle.

Staatliche Infrastruktur mit einfachen Passwörtern geschützt

Eine Untersuchung von Bellingcat vom 11. April 2026 offenbarte Erschreckendes: Rund 800 Zugangsdaten-Paare ungarischer Regierungsbeamter kursierten in verschiedenen Datenlecks im Netz. Betroffen waren auch Accounts des Verteidigungsministeriums und NATO-bezogener Operationen. Die Ursache? Die Wiederverwendung simpler Passwörter wie „123456aA“ oder „linkedinlinkedin“.

Angesichts von Millionen gehackter Konten pro Quartal wird die herkömmliche Anmeldung per Passwort zum unkalkulierbaren Sicherheitsrisiko. Erfahren Sie in diesem kostenlosen Report, wie Sie mit der neuen Passkey-Technologie Ihre Konten bei Amazon, WhatsApp und Co. endlich unknackbar machen. Sicher, bequem und passwortlos: Jetzt Gratis-Report sichern

Diese Nachlässigkeit auf staatlicher Ebene fällt mit einer Welle von Unternehmensdatenlecks zusammen. Rockstar Games bestätigte einen Vorfall bei einem Drittanbieter, bei dem die Hackergruppe ShinyHunters Erpressungsversuche startete. Gleichzeitig meldeten Figure Technology und Kloeckner Metals Corporation schwere Datenschutzverletzungen.

Die Gefahr für kritische Infrastruktur steigt ebenfalls. Fast 4.000 industrielle Steuerungssysteme in den USA sind laut einem Bericht weiterhin ungeschützt im Internet erreichbar. US-Behörden warnen vor gezielten Angriffen iranischer Akteure auf Systeme, die Wasser-, Energie- und Fertigungsanlagen steuern.

KI-Phishing und Malware industrialisieren den Diebstahl

Die Methoden der Angreifer werden immer raffinierter. Eine neue Malware namens „Omnistealer“ nutzt Blockchain-Netwerke wie TRON zur Verbreitung und hat bereits rund 300.000 Zugangsdatensätze erbeutet. Das Programm zielt auf über 60 Krypto-Wallet-Erweiterungen und 10 Passwort-Manager ab.

Gleichzeitig erreicht der Einsatz von künstlicher Intelligenz beim Phishing eine neue Dimension. Branchendaten zeigen: 82,6 % aller Phishing-E-Mails werden mittlerweile von KI generiert – das sind 3,4 Milliarden betrügerische Nachrichten täglich. Die Kampagnen sind hocheffektiv; die durchschnittliche Zeit, bis ein Nutzer auf einen schädlichen Link klickt, sank auf nur 21 Sekunden.

„Die Industrialisierung der Täuschung ist in vollem Gange“, so ein Sicherheitsexperte. „KI generiert nicht nur täuschend echte E-Mails, sondern hilft Angreifern auch, Schwachstellen zu finden.“ Modelle wie Anthropics „Mythos Preview“ entdeckten zwar tausende Zero-Day-Lücken, doch die Sorge wächst, dass dieselbe Technologie zur Erstellung von Angriffscode missbraucht wird.

Lieferketten werden zum Einfallstor Nummer eins

Ein dominanter Trend dieses Frühjahrs sind Supply-Chain-Angriffe. Im März 2026 wurden zwei bedeutende Open-Source-Tools kompromittiert. Die Gruppe TeamPCP manipulierte den Schwachstellen-Scanner Trivy, erbeutete Daten von über 10.000 Organisationen und traf mehr als 100.000 Nutzer.

Parallel dazu griff ein nordkoreanischer Akteur die beliebte Axios JavaScript-Bibliothek an, die wöchentlich etwa 100 Millionen Mal heruntergeladen wird. Durch bösartigen Code erhielten die Hacker potenziellen Zugang zu Signaturzertifikaten für macOS-Anwendungen – inklusive der Desktop-Version von ChatGPT.

Als Reaktion darauf treiben Technologieanbieter Sicherheitsupdates voran. Google veröffentlichte am 11. April Version 146 des Chrome-Browsers für Windows, speziell entwickelt, um die Übernahme aktiver Sitzungen zu verhindern. Solche „Adversary-in-the-Middle“-Angriffe wurden zuletzt von Gruppen wie Storm-2755 genutzt, um Gehaltszahlungen umzuleiten.

Da Hacker gezielt psychologische Schwachstellen und technische Lieferketten ausnutzen, benötigen Unternehmen heute eine proaktive Abwehrstrategie. Dieser kostenlose Anti-Phishing-Leitfaden zeigt in vier Schritten, wie Sie Ihr Unternehmen wirksam vor Identitätsdiebstahl und Betrug schützen. Kostenloses Anti-Phishing-Paket für Unternehmen anfordern

Systemische Lösungen statt Appelle an Nutzer

Die anhaltenden Probleme mit schwachen Passwörtern – wie im Fall der ungarischen Regierung – zeigen, dass reine Sensibilisierungskampagnen nicht ausreichen. Analysten argumentieren, dass Phishing oft intuitive, schnelle Denkprozesse ausnutzt und nicht bloß Unwissenheit.

„Die Last der Wachsamkeit darf nicht allein beim Einzelnen liegen“, fordert eine Sicherheitsforscherin. „Wir brauchen Systeme, die Fehler abfangen.“ Als Antwort auf die vielschichtigen Bedrohungen veröffentlichte MITRE am 11. April sein „Fight Fraud Framework“ (MITRE F3). Das Open-Source-Modell schafft eine gemeinsame Sprache für Cybersicherheits- und Betrugsabwehrteams.

Für Organisationen und Privatpersonen lauten die Empfehlungen klar: Multi-Faktor-Authentifizierung wird zum Muss, ergänzt durch immutable Backups und Warnungen vor externen Absendern. Da selbst offizielle Download-Kanäle – wie bei der CPU-Z-Software geschehen – kurzzeitig kompromittiert werden können, sind die Überprüfung von Dateisignaturen und die Beobachtung des Systemverhaltens essenziell.

Der finanzielle Schaden ist immens. Weltweite Verluste durch Phishing werden auf 25 Milliarden Euro jährlich geschätzt. Indische Strafverfolgungsbehörden zerschlugen kürzlich ein internationales Cyberbetrugs-Syndikat, das mit über 2.500 Beschwerden und Diebstählen im Wert von 36 Millionen Euro in Verbindung steht.

Während Unternehmen wie Emsisoft weiterhin kostenlose Entschlüsselungstools für ältere Ransomware anbieten, deuten die rasante Entwicklung von Malware wie „Omnistealer“ und die hohe Erfolgsquote von KI-Phishing auf eine Zukunft hin, in der der Kampf um Zugangsdaten immer stärker von automatisierten Echtzeit-Erkennungssystemen abhängen wird.

de | boerse | 69127225 |