Thought Leadership
Generative KI macht Phishing-Mails und Deepfake-Anrufe ununterscheidbar von der Realität. Passwörter und SMS-Codes sind kein Schutz mehr, sondern ein Haftungsrisiko.
Es ist ein gewöhnlicher Montagmorgen. Ihr Telefon klingelt und im Display erscheint der Name Ihres Geschäftsführers. Am anderen Ende hören Sie seine vertraute Stimme, inklusive des charakteristischen Räusperns und des leichten Akzents, den er seit Jahren pflegt. Er bittet Sie unter hohem Zeitdruck, eine dringende Zahlung für eine Akquisition freizugeben, die sich in der finalen Phase befindet. Die Vertraulichkeit sei absolut entscheidend, betont er mit Nachdruck. Sie zögern keine Sekunde, denn warum sollten Sie Ihrer eigenen Wahrnehmung misstrauen? Doch genau hier schnappt die Falle zu.
Nicht mehr der plumpe Link in einer fehlerhaften E-Mail ist die größte Gefahr für Unternehmen. Die neue Frontlinie verläuft direkt durch unsere Sinne. Dank generativer Künstlicher Intelligenz ist Phishing im klassischen Sinne fast schon ein Relikt der Vergangenheit. Wir befinden uns in einer Zeit der auditiven und visuellen Manipulation, in der Passwörter und herkömmliche Zwei-Faktor-Authentifizierungen via SMS so wirkungsvoll sind wie ein Vorhängeschloss aus Pappe. Wer heute noch auf Wissen statt auf physikalische Beweise setzt, hat den Kampf gegen die organisierte Cyberkriminalität bereits verloren. Die Identitätsstrategie ist zum zentralen Überlebensfaktor der modernen Corporate Governance avanciert.
Der Niedergang der klassischen Authentifizierung
Was jahrzehntelang als Standard galt, nämlich ein Passwort als eine Kombination aus Zeichen, Sonderzeichen und Zahlen, ist heute ein Sicherheitsrisiko erster Güte. Laut dem aktuellen Bericht zur Sicherheitslage von Verizon waren gestohlene oder schwache Zugangsdaten bereits zu Beginn des Jahrzehnts für den Großteil aller Hacking-Angriffe verantwortlich. Im Jahr 2026 hat sich diese Lage drastisch verschärft. KI-gestützte Brute-Force-Angriffe können komplexe Passwörter in Sekundenbruchteilen knacken. Doch das ist oft gar nicht mehr nötig, da Social Engineering durch Deepfake-Technologien eine Dimension erreicht hat, die jede rein wissensbasierte Sicherung mühelos aushebelt.
Wer heute noch auf SMS-basierte Verfahren setzt, handelt nach Ansicht führender Sicherheitsforscher grob fahrlässig. Das sogenannte SIM-Swapping, bei dem Angreifer die Mobilfunknummer des Opfers übernehmen, ist mittlerweile ein weitgehend automatisierter Prozess. Noch gefährlicher ist jedoch die psychologische Komponente. Ein Deepfake-Anruf, der den Mitarbeiter dazu bringt, den per SMS erhaltenen Code laut vorzulesen oder in eine gefälschte Maske einzugeben, hebelt selbst diese Hürde aus. Studien von Cybersicherheitsfirmen wie CrowdStrike belegen, dass die Erfolgsquote von KI-gestützten Vishing-Angriffen (Voice Phishing) im Vergleich zu herkömmlichen Methoden enorm gestiegen ist.
Die totale Illusion: Stimmen aus dem Algorithmus
Die Technologie hinter Deepfake-Stimmen hat einen Reifegrad erreicht, der eine Unterscheidung zwischen Original und Fälschung für das menschliche Ohr unmöglich macht. Während man früher noch stundenlanges Audiomaterial für einen akzeptablen Klon benötigte, reichen heute oft weniger als drei Sekunden Original-Ton aus. Diese Proben extrahieren Angreifer automatisiert aus YouTube-Interviews, Keynotes oder Social-Media-Beiträgen von Führungskräften. Die KI-Modelle imitieren nicht nur den Klang, sondern auch die Sprachmelodie und subtile emotionale Untertöne.
Ein reales Praxisbeispiel lieferte bereits der Raubzug gegen ein multinationales Unternehmen in Hongkong, bei dem ein Mitarbeiter der Finanzabteilung angewiesen wurde, insgesamt 25 Millionen US-Dollar auf Konten der Betrüger zu überweisen. Er hatte zuvor an einer Videokonferenz teilgenommen, bei der scheinbar der CFO und mehrere Kollegen anwesend waren. Alle Beteiligten waren perfekte Deepfakes, die in Echtzeit interagierten. Was damals noch technisches Neuland war, ist heute industrialisierte Kriminalität. In einer solchen Umgebung wird die Identität einer Person zu einem verhandelbaren Gut, wenn sie nicht durch unveränderliche, hardwarebasierte Fakten geschützt ist.
FIDO2 und Hardware-Keys: Die neue Verteidigungslinie
Die Antwort auf diese totale Manipulation ist der radikale Umstieg auf Passwordless-Strategien und Phishing-resistente Multi-Faktor-Authentifizierung (MFA), basierend auf dem FIDO2-Sicherheitsstandard. FIDO2 steht für Fast Identity Online und wird von der FIDO Alliance global vorangetrieben. Dieses Protokoll verschiebt das Sicherheitsmodell weg von geteilten Geheimnissen wie Passwörtern hin zu asymmetrischer Kryptographie.
Im Kern basiert dieser Schutz auf zwei Säulen, nämlich dem Besitz eines physischen Geräts und einem biometrischen Merkmal, das lokal auf diesem Gerät verarbeitet wird. Das entscheidende Sicherheitsmerkmal von FIDO2 ist das sogenannte Origin Binding. Das bedeutet, dass der Hardware-Key oder der Sicherheitschip Ihres Rechners nur dann eine kryptographische Signatur freigibt, wenn die URL der Website exakt mit der bei der Registrierung hinterlegten Adresse übereinstimmt. Ein Mitarbeiter kann also noch so sehr durch einen Deepfake-Anruf manipuliert werden. Selbst wenn er bereitwillig mitspielt, könnte er seine Zugangsdaten nicht an eine Phishing-Seite preisgeben, da die Hardware die Kommunikation mit einer nicht verifizierten Gegenstelle schlichtweg verweigert.
Die Technik hinter dem Schutzschild
Technisch gesehen nutzt FIDO2 das WebAuthn-Protokoll. Wenn Sie sich anmelden, sendet der Server eine Herausforderung an Ihr Gerät. Ihr Sicherheitsschlüssel signiert diese Herausforderung mit einem privaten Schlüssel, der das Gerät niemals verlässt. Der Server prüft diese Signatur mit dem dazugehörigen öffentlichen Schlüssel. Da kein Passwort übertragen wird, gibt es auch nichts, was ein Angreifer stehlen könnte. Die biometrische Prüfung, etwa per Fingerabdruck oder Gesichtsscan, findet ausschließlich auf dem Endgerät statt. Es werden keine biometrischen Daten in eine Cloud hochgeladen, was das Risiko eines zentralen Datenlecks vollständig eliminiert.
Unternehmen wie Google haben bereits vor Jahren die Wirksamkeit dieses Ansatzes bewiesen. Nach der Umstellung der gesamten Belegschaft auf physische Sicherheitsschlüssel sank die Zahl der erfolgreichen Kontoübernahmen durch Phishing auf null.
Versicherungstechnische Konsequenzen: Grobe Fahrlässigkeit
Ein Aspekt, der IT-Entscheider heute besonders unter Druck setzt, ist die Haltung der Cyber-Versicherungen. Große Akteure wie Munich Re oder Allianz haben ihre Policen drastisch angepasst. Wer heute einen Schadensfall meldet, der durch einen einfachen Identitätsdiebstahl via Passwort oder SMS-Code ermöglicht wurde, riskiert die komplette Leistungsverweigerung. Versicherungstechnisch gilt der Verzicht auf Phishing-resistente MFA mittlerweile als grobe Fahrlässigkeit.
In den Audits der Versicherer wird detailliert abgefragt, ob privilegierte Konten durch Hardware-Keys geschützt sind. Die Logik dahinter ist simpel, denn wenn eine Technologie existiert, die Angriffe wie Deepfake-Vishing technisch unmöglich macht, ist ihre Nicht-Anwendung ein vermeidbares Risiko. Dies zwingt Unternehmen dazu, Identitätsstrategien nicht mehr als reines IT-Thema, sondern als zentrales Element des Risikomanagements zu betrachten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt hierzu klare Empfehlungen und stuft FIDO2 als den derzeit sichersten Standard ein.
Biometrie On-Device: Komfort trifft Sicherheit
Ein häufiger Einwand gegen Hardware-Keys war in der Vergangenheit die mangelnde Benutzerfreundlichkeit. Doch mittlerweile ist die biometrische On-Device-Authentifizierung, oft als Passkeys bezeichnet, der Standard, der diesen Widerspruch auflöst. Passkeys nutzen die Biometrie-Sensoren von Smartphones und Laptops, um den privaten kryptographischen Schlüssel freizugeben. Das entscheidende Merkmal ist auch hier die Dezentralität.
Diese dezentrale Speicherung bietet einen Schutz, dem generative KI nichts entgegensetzen kann. Selbst wenn eine KI Ihr Gesicht perfekt nachahmen kann, besitzt sie nicht die physikalische Hardware Ihres Geräts, die für die kryptographische Handshake-Prozedur zwingend erforderlich ist. Wir bewegen uns weg von dem, was man weiß, hin zu dem, was man hat und wer man physisch vor Ort ist. Die Identität wird so von einer manipulierbaren Information zu einer physikalisch verifizierten Tatsache. Dies schafft nicht nur Sicherheit, sondern auch eine deutlich flüssigere User Experience für die Mitarbeiter.
Der Weg zur sicheren Identitätsstrategie
Die Umstellung auf eine moderne Identitätsstrategie erfordert mehr als nur den Kauf von Hardware-Sticks. Es ist ein kultureller Wandel. Administratoren und Mitarbeiter in sensiblen Bereichen wie der Finanzabteilung müssen verstehen, dass ihre Stimme und ihr Gesicht im digitalen Raum nicht mehr als alleiniger Identitätsnachweis ausreichen. Die Implementierung beginnt mit einem gründlichen Audit der bestehenden Zugangswege. Wo werden noch Passwörter verwendet? Welche Systeme erlauben noch SMS-Zweitfaktoren?
Ein kritischer Punkt ist die konsequente Deaktivierung von Fallback-Methoden. Viele Systeme erlauben es bisher, bei Verlust des Hardware-Keys auf ein einfaches Passwort zurückzugreifen. Genau hier setzen professionelle Angreifer an. Eine konsequente FIDO2-Strategie sieht vor, dass für den Ernstfall ein zweiter, physischer Ersatzschlüssel an einem sicheren Ort hinterlegt wird, statt das Sicherheitsniveau durch schwache Ausweichoptionen im Hintergrund zu verwässern.
