Datenschutz: Bundestag verabschiedet Digitale-Identitäts-Gesetz

Während Konzernzentralen ihre IT-Sicherheit hochrüsten, bleiben Millionen Beschäfte im Einzelhandel, in der Produktion und im Gesundheitswesen mit veralteten Authentifizierungsmethoden zurück. Diese Schieflage macht rund 2,7 Milliarden Frontline-Mitarbeiter weltweit zum bevorzugten Ziel von Cyberkriminellen. Die Lage hat sich durch den Einsatz Künstlicher Intelligenz bei Angriffen dramatisch verschärft.

KI-gesteuerte Angriffe knacken den zweifachen Schutz

Im Frühjahr 2026 entdeckte Google Threat Intelligence den ersten Zero-Day-Exploit, der speziell von einer KI entwickelt wurde, um die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Dieser Durchbruch markiert eine neue Ära der Cyberbedrohung. Bereits heute sind 86 Prozent aller Phishing-Kampagnen KI-gesteuert – mit deutlich höheren Erfolgsquoten bei Angriffen auf mobile Nutzer.

Da mobile Nutzer zunehmend ins Visier KI-gesteuerter Phishing-Kampagnen geraten, ist ein robuster Basisschutz für Smartphones unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in fünf einfachen Schritten, wie Sie Android-Geräte wirksam gegen Hacker und Datenmissbrauch absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Hinzu kommt eine neue Generation von Phishing-as-a-Service-Plattformen. Erst am 21. Mai 2026 warnte das FBI vor einem Dienst namens Kali365. Seit April aktiv, nutzt diese Plattform den OAuth Device Code Flow, um MFA-Verfahren zu umgehen. Sicherheitsforscher berichten von Hunderten betroffenen Organisationen in Nordamerika und Europa.

Die sogenannte „MFA-Ermüdung“ setzt operative Teams zusätzlich unter Druck: Angreifer bombardieren Nutzer so lange mit Authentifizierungsanfragen, bis diese aus Erschöpfung eine versehentlich bestätigen. Herkömmliche SMS-Verfahren bieten dagegen keinen Schutz mehr. Microsoft kündigte am 24. Mai 2026 an, die SMS-basierte 2FA für Privatkonten einzustellen.

Ein weiteres Phänomen: „Quishing“ – Phishing über QR-Codes. Die Zahl der Fälle ist auf geschätzte 18 Millionen gestiegen, ein Anstieg um 150 Prozent. Besonders betroffen sind Frontline-Mitarbeiter, die täglich QR-Codes scannen.

Datenpannen: Der Mensch bleibt das schwächste Glied

Der Verizon Data Breach Investigations Report 2026 zeigt einen historischen Wendepunkt: Zum ersten Mal hat die Ausnutzung von Sicherheitslücken (31 Prozent) den Diebstahl von Zugangsdaten (13 Prozent) als häufigste Einbruchsmethode überholt. Dennoch bleibt der menschliche Faktor entscheidend – er ist an 62 Prozent aller Sicherheitsvorfälle beteiligt.

Eine Studie von Sophos vom Mai 2026 belegt das Ausmaß: 71 Prozent der Unternehmen weltweit – und 62 Prozent in Deutschland – erlebten im vergangenen Jahr mindestens einen identitätsbezogenen Sicherheitsvorfall. Die durchschnittlichen Kosten für die Schadensbehebung liegen bei umgerechnet rund 1,5 Millionen Euro.

Als Hauptursachen identifizieren die Forscher menschliche Fehler und die mangelhafte Verwaltung nicht-menschlicher Identitäten (NHI). Dazu gesellt sich ein neues Problem: „Shadow AI“ – die unautorisierte Nutzung von KI-Tools durch Mitarbeiter. Diese ist zur dritthäufigsten Ursache für Datenlecks geworden, während die KI-Nutzung in Unternehmen binnen eines Jahres von 15 auf 45 Prozent gestiegen ist.

Hardware-Schlüssel statt Passwort: Der Weg in die Zukunft

Die Antwort auf diese Bedrohungen heißt phishing-resistente Authentifizierung. Immer mehr Organisationen setzen auf hardwaregebundene Token und FIDO2-basierte Passkeys. Am 25. Mai 2026 erweiterte Microsoft seine Entra-ID-Plattform um die Unterstützung von FIDO2-Passkeys unter Windows. Die privaten Schlüssel verbleiben dabei in einem lokalen Hardware-Container – sie können weder synchronisiert noch von Angreifern abgefangen werden.

Im Industriesektor vollzieht sich ein Paradigmenwechsel: Statt auf traditionelle Netzwerkgrenzen zu vertrauen, setzen Unternehmen auf identitätsbasierte Kommunikation. Moderne Operational Technology (OT) -Umgebungen mit virtualisierten Steuerungen und Cloud-Anbindungen benötigen für jede speicherprogrammierbare Steuerung (SPS) eine kryptografische Identität. Die Public-Key-Infrastruktur (PKI) wird so vom technischen Werkzeug zur strategischen Notwendigkeit.

Ein Energieversorger in Südostasien hat diesen Wandel bereits vollzogen: Er ersetzte veraltete VPNs durch eine spezielle OT-Zugangslösung für seine 5.000 Mitarbeiter. Mit dem Prinzip der minimalen Berechtigungen und ausschließlich ausgehenden Verbindungen eliminierte das Unternehmen die Risiken lateraler Bewegungen und überprivilegierter Zugriffe.

Gesetzgeber erhöhen den Druck

Auch die Regulierung verschärft sich. Am 20. Mai 2026 verabschiedete der Bundestag das Digitale-Identitäts-Gesetz – ein Meilenstein für die nationale Identitätsinfrastruktur. Bereits am 7. April 2026 hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) die C5:2026-Anforderungen für Cloud-Computing veröffentlicht. Die 168 Kriterien, die unter anderem Post-Quanten-Kryptografie und vertrauliches Computing umfassen, werden ab dem 1. Juni 2027 verbindlich.

Angesichts der Millionen gehackten Konten pro Quartal wird der Umstieg auf phishing-resistente Verfahren wie Passkeys auch für Privatnutzer immer dringlicher. In diesem Gratis-Report erfahren Sie, wie Sie die passwortlose Anmeldung für maximale Sicherheit und ohne Passwort-Stress bei Diensten wie Amazon oder WhatsApp einrichten. Kostenlosen Passkey-Ratgeber jetzt herunterladen

Viele Unternehmen tun sich schwer mit der Umsetzung. Von den 29.500 Firmen, die sich unter der NIS2-Richtlinie registrieren müssen, hatten bis März 2026 nur 11.000 die Frist eingehalten. Die Bürokratielast der DSGVO bleibt hoch: Die Gesamtsumme der verhängten Bußgelder erreichte im März 2026 rund 6,11 Milliarden Euro.

Ausblick: Das Identitäts-Perimeter wird zur Festung

Die Schäden durch mobile Cyberkriminalität werden für das Gesamtjahr 2026 auf 442 Milliarden Euro geschätzt. Der Schutz des „Identitäts-Perimeters“ rückt damit in den Mittelpunkt der Unternehmenssicherheit. Die NATO-Übung Locked Shields 2026 im April, an der 4.000 Teilnehmer mitwirkten, unterstrich die Notwendigkeit, IT- und OT-Sicherheitsstrategien zu integrieren.

Für Unternehmen mit großen Frontline-Belegschaften zeichnet sich ein schneller Wandel ab: weg von veralteten MFA-Verfahren, hin zu hardwaregestützten Lösungen. Die Ende Mai 2026 angekündigte Zusammenarbeit zwischen Sicherheitshardware-Herstellern und großen Distributionspartnern in Indien deutet darauf hin, dass die Infrastruktur für phishing-resistente Authentifizierung global ausgebaut wird. Denn eines ist klar: Für Frontline-Mitarbeiter muss die Authentifizierung sowohl nahtlos als auch kryptografisch sicher sein – nur so kann sie der nächsten Generation KI-gestützter Angriffe standhalten.

de | wirtschaft | 69421559 |