Microsoft-Authenticator-Lücke: Finanzbranche im Visier von KI-Hackern

Eine kritische Sicherheitslücke in Microsofts Authenticator-App und eine Flut von KI-gesteuerten Phishing-Angriffen setzen die globale Finanzbranche massiv unter Druck.

Die Bedrohungslage hat sich dramatisch verschärft. Sicherheitsforscher melden einen Rekordwert von 3,4 Milliarden KI-generierten Phishing-Mails täglich. Gleichzeitig entdeckten Experten eine schwerwiegende Schwachstelle im Microsoft Authenticator, die Banken und Unternehmen in Atem hält.

Angesichts von Milliarden KI-generierter Phishing-Mails und Sicherheitslücken in Authentifizierungs-Apps ist der Schutz privater Daten wichtiger denn je. Dieser kostenlose Ratgeber zeigt Ihnen 5 einfache Schritt-für-Schritt-Maßnahmen, um Ihr Smartphone effektiv vor Hackern und Viren abzusichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Kritische Lücke im Microsoft Authenticator

Die als CVE-2026-41615 geführte Sicherheitslücke hat einen CVSS-Score von 9,6 – die höchste Risikostufe. Angreifer können damit Zugriffstoken stehlen und die mehrstufige Authentifizierung (MFA) umgehen. Microsoft hat am heutigen Mittwoch Updates veröffentlicht: Android-Nutzer benötigen Version 6.2605.2973, iOS-Anwender mindestens Version 6.8.47.

Erst Anfang der Woche kündigte Microsoft an, SMS-basierte Verifizierungscodes durch Passkeys zu ersetzen. Der Grund: SIM-Swapping und Netzwerkschwachstellen machen SMS zunehmend unsicher. Geschäftskonten sind von dieser Umstellung vorerst nicht betroffen, doch Experten raten Unternehmen dringend zum Umdenken.

KI-Trojaner auf dem Vormarsch

Die Zahlen sind alarmierend: 86 Prozent aller Phishing-Kampagnen werden inzwischen von Künstlicher Intelligenz gesteuert. Besonders betroffen ist der Bankensektor – die Fälle von Banking-Trojanern stiegen im ersten Quartal 2026 um 196 Prozent auf 1,24 Millionen Vorfälle.

Mit „PromptSpy" entdeckten Forscher den ersten Android-Schädling mit integriertem KI-Modell. Die Malware passt sich in Echtzeit an Sicherheitsumgebungen an und generiert täuschend echte Social-Engineering-Angriffe. Die Folgen sind gravierend: Einem Bericht zufolge verlor ein Opfer über 50.000 Euro durch einen Deepfake-Betrug.

Wenn Virenschleusen zur Ware werden

Microsofts Digital Crimes Unit (DCU) gelang ein Schlag gegen die Hackergruppe Fox Tempest. Die in Dubai operierende Bande bot „Malware-Signing-as-a-Service" an – für 5.000 bis 9.500 Euro pro Zugang. Zu ihren Kunden zählten die berüchtigten Ransomware-Gruppen Rhysida, Akira und Qilin.

Die Ermittler beschlagnahmten Domains und widerriefen über 1.000 gefälschte Code-Signing-Zertifikate. Diese digitalen Zertifikate sind der Schlüssel zum Erfolg: Signierte Malware umgeht Sicherheitssoftware, die vertrauenswürdigen Anwendungen automatisch vertraut.

Schwachstellen als Einfallstor Nummer eins

Der aktuelle Verizon Data Breach Investigations Report (DBIR) 2026 zeigt einen grundlegenden Wandel: Die Ausnutzung von Software-Schwachstellen hat den Diebstahl von Zugangsdaten als häufigste Einbruchsquelle abgelöst. 31 Prozent aller Sicherheitsverletzungen gehen auf diesen Weg zurück – ein Anstieg von 20 Prozent im Vorjahr. Der Diebstahl von Anmeldedaten fiel dagegen auf 13 Prozent.

Da Software-Schwachstellen mittlerweile das Haupteinfallstor für Cyberkriminelle sind, dürfen regelmäßige System-Aktualisierungen nicht dem Zufall überlassen werden. Erfahren Sie in diesem kostenlosen Report, wie Sie durch die richtigen Updates Sicherheitslücken schließen und Ihr Gerät rund um die Uhr schützen. Kostenlosen Android-Update-Ratgeber herunterladen

Ransomware bleibt mit 48 Prozent aller Vorfälle die dominierende Bedrohung. Doch die durchschnittliche Lösegeldzahlung sank auf unter 140.000 Dollar. Bessere Backups und die Weigerung vieler Unternehmen zu zahlen zeigen offenbar Wirkung. Ein Problem bleibt jedoch: Die durchschnittliche Zeit bis zur Schließung kritischer Lücken stieg auf 43 Tage – ein Anstieg von 34 Prozent.

Strengere Regeln für den Datenschutz

Die regulatorische Landschaft verschärft sich. In den USA verabschiedete Alabama mit HB 351 ein umfassendes Datenschutzgesetz, das ab Mai 2027 gilt. Unternehmen, die Daten von mindestens 25.000 Einwohnern verarbeiten, müssen dann Zugriffs-, Korrektur- und Löschrechte gewährleisten. Verstöße kosten bis zu 15.000 Dollar pro Fall.

Die US-Handelsbehörde FTC startete zudem ein Portal zur Durchsetzung des „Take It Down Act". Damit können Betroffene Dienste melden, die nicht einvernehmliche intime Bilder nicht binnen 48 Stunden entfernen.

In Europa zeigte eine Untersuchung von Euroconsumers: Die meisten Smart-Home-Geräte geben weiterhin Daten an Dritte weiter – oft mit undurchsichtigen Datenschutzerklärungen. Für Cyberkriminelle ein gefundenes Fressen für gezielte Phishing-Angriffe.

Ausblick: Der Kampf gegen die „Patch-Lücke"

Die Botschaft der Sicherheitsexperten ist eindeutig: Reaktives Patchen und einfache MFA reichen nicht mehr. Nur 26 Prozent der bekannten Schwachstellen auf der CISA-KEV-Liste werden derzeit geschlossen. Der Trend geht zu passwortlosen Systemen und hardwaregestützten Sicherheitsschlüsseln.

Für den Rest des Jahres 2026 steht die Finanzbranche vor einer Mammutaufgabe: Die 43-tägige „Patch-Lücke" schließen und die Authentifizierungstoken sichern – denn genau diese sind zum neuen Lieblingsziel digitaler Diebe geworden.

de | wissenschaft | 69382350 |