MFA-Bombing: Neue Angriffswelle bedroht deutsche Unternehmen

MFA-Bombing-Attacken auf deutsche Firmen und Banken erreichen neue Dimension. Eine massive Eskalation von Cyberangriffen zielt seit Tagen auf Unternehmenszugänge und Bankportale. Die Angreifer nutzen eine als MFA-Bombing bekannte Taktik, um die Zwei-Faktor-Authentifizierung auszuhebeln. Für deutsche Unternehmen entstehen dadurch erhebliche Compliance-Risiken unter NIS2 und DSGVO.

So funktioniert die neue Angriffswelle

Die Angreifer gehen gezielt vor: Nachdem sie Benutzername und Passwort erbeutet haben, überfluten sie das Mobilgerät des Opfers mit Authentifizierungs-Anfragen per Push-Benachrichtigung. Das Ziel ist die psychologische Überforderung. „Die Opfer sind von den ständigen Meldungen genervt oder halten sie für einen Systemfehler“, erklärt ein Sicherheitsexperte. Irgendwann bestätigen sie eine Anfrage, nur um Ruhe zu haben – und öffnen den Angreifern damit Tür und Tor.

Laut Analysen vom 7. Februar 2026 wird diese Methode derzeit aggressiv gegen Kunden großer Finanzinstitute wie der Deutsche Bank und gegen Unternehmens-VPNs eingesetzt. Besonders tückisch: Die Attacken werden oft mit Vishing-Anrufen kombiniert. Dabei geben sich die Täter als IT-Support oder Bankmitarbeiter aus und drängen das Opfer, die Benachrichtigung „zu Sicherheitszwecken“ zu bestätigen. Eine perfide Mischung aus technischem Angriff und Social Engineering.

Viele Unternehmen sind auf KI-gestützte MFA-Bombing- und Vishing-Angriffe nicht vorbereitet. Sicherheitsforscher warnen, dass ein Großteil der Organisationen weiterhin auf einfache Push-Approve-Methoden setzt, die diese Angriffe zulassen. Ein kostenloses Cyber-Security-E-Book erklärt konkrete Schutzmaßnahmen – von FIDO2/Passkeys und Number-Matching bis zu Awareness-Maßnahmen gegen Vishing und rechtlichen Anforderungen unter DSGVO und NIS2. Cyber-Security E-Book jetzt herunterladen

Kritische Compliance-Lücke für Unternehmen

Die Angriffe stellen Unternehmen vor ein ernsthaftes rechtliches Problem. Die NIS2-Richtlinie und die DSGVO verlangen „stand der Technik“ bei Sicherheitsmaßnahmen. Einfache „Approve/Deny“-Push-Benachrichtigungen, die anfällig für MFA-Bombing sind, könnten diesen Anspruch nicht mehr erfüllen.

„Unternehmen, die anfällige MFA-Methoden einsetzen, riskieren Haftungsfragen bei einem Vorfall“, warnt eine auf IT-Recht spezialisierte Anwältin. Regulierungsbehörden könnten argumentieren, dass die erforderlichen technischen und organisatorischen Maßnahmen (TOMs) nach Artikel 32 DSGVO nicht umgesetzt wurden. Für die besonders betroffene Finanzbranche verschärft sich die Lage: Gelangen Angreifer an Treasury-Systeme, drohen nicht nur finanzielle Verluste, sondern auch umfangreiche Meldepflichten.

KI treibt Angriffe auf neue Stufe

Die aktuelle Welle ist nicht nur massiv, sondern auch hochgradig organisiert. Sicherheitsforscher berichten seit Anfang Februar 2026 vom Einsatz autonomer KI-Agenten. Diese können die Angriffe nicht nur skalieren, sondern auch an das Nutzerverhalten anpassen. Sie starten die „Bombardierung“ gezielt zu Zeiten, in denen die Opfer abgelenkt oder müde sind – etwa spät abends.

Die Bundesbehörde BSI hat zwar bereits vor schwachen Multi-Faktor-Methoden gewarnt. Die Intensität der jüngsten Attacken erhöht den Druck auf Compliance-Verantwortliche jedoch dramatisch. Die Prognose für das erste Quartal 2026 ist düster: Experten rechnen mit einer weiteren Steigerung der Angriffssophistikation, etwa durch den Einsatz von Deepfake-Stimmen in Vishing-Anrufen.

Die Lösung: Abschied von einfachen Push-Benachrichtigungen

Die Sicherheitsarchitektur muss sich anpassen. Der Konsens unter Experten ist klar: Die Ära der einfachen Push-MFA ist vorbei. Als sicherere Alternativen gelten der FIDO2-Standard und Number-Matching-Protokolle.

Beim Number Matching muss der Nutzer eine auf dem Anmeldebildschirm angezeigte Zahl in seine Authenticator-App eintippen. Ein simpler, aber effektiver Schritt: Er macht MFA-Bombing wirkungslos, da eine Bestätigung ohne aktive Interaktion mit dem Login unmöglich wird. Viele deutsche Banken und Unternehmen beschleunigen laut Berichten bereits die Umstellung auf Passkeys, einen FIDO2-basierten, passwortlosen Standard.

Für IT- und Compliance-Verantwortliche ist jetzt Handeln geboten. Eine schnelle Überprüfung der Remote-Zugangspolitik, das Abschalten veralteter Authentifizierungsprotokolle und die Schulung von Mitarbeitern zu MFA-Bombing sind erste, zwingende Schritte. Die Definition von „konformer Sicherheit“ hat sich gewandelt: Seit Februar 2026 zählt auch die Widerstandsfähigkeit gegen psychologische Manipulation dazu.

PS: Keine einfache Push-Benachrichtigung mehr verwenden – dieser Gratis-Guide zeigt, welche technischen Umstellungen (z. B. Number Matching, Passkeys) und organisatorischen Schritte nötig sind, um DSGVO- und NIS2-Anforderungen zu erfüllen und Mitarbeiter gegen Vishing zu sensibilisieren. Praktische Checklisten und Umsetzungs-Tipps helfen IT-Teams sofort. Gratis Cyber-Security-Guide anfordern