Laut Cloudflare Threat Report 2026 zielen Angreifer immer seltener auf Passwörter, sondern auf aktive Session-Tokens. Infostealer wie LummaC2 extrahieren diese direkt aus dem Browser und ermöglichen so die vollständige Übernahme verifizierter Sitzungen. MFA schützt zwar den Login, aber nicht die laufende Verbindung. Der Report zeigt, dass nur kontinuierliche, kontextbasierte Autorisierung dieses Risiko adressiert.
Cyberkriminelle zielen auf Session-Tokens statt Passwörter. Gestohlene Tokens machen MFA wirkungslos, weil sie die gesamte Sitzung übernehmen.
Die Festung, von der sich Unternehmen jahrelang maximale Sicherheit versprochen haben, ist gefallen: Die technischen Hürden am Netzwerkperimeter verlieren mit der KI-Automatisierung an Bedeutung. Damit genügt es auch nicht mehr, allein auf die Multi-Faktor-Authentifizierung zu vertrauen. Das Knacken klassischer Schwachstellen und mühsame Suchen nach technischen Lücken haben die Cyberkriminellen inzwischen hinter sich gelassen und nutzen nun die Identität selbst als Einfallstor, indem sie sich mit legitimen, wenn auch gestohlenen, Identitäten ganz einfach in die Konten ihrer potenziellen Opfer einloggen.
Angriffsmethoden wie Session-Hijacking und der Diebstahl von Authentifizierungs-Tokens unterlaufen klassische Sicherheitsanfragen, womit der einmalige Zeitpunkt des Logins seine Funktion als verlässliche Sicherheitskontrolle verliert. Eine Strategie, die lediglich auf die punktuelle Überprüfung beim Zugriff setzt, greift damit zu kurz. Um die Integrität sensibler Daten zu wahren, muss sich der Fokus von der einmaligen Authentifizierung hin zu einer kontinuierlichen, kontextbasierten Überprüfung auf Protokollebene verlagern.
Das Problem, das mit der Multi-Faktor-Authentifizierung (MFA) einhergeht, ist, dass sie die Identität eines Nutzers lediglich zum Zeitpunkt des Logins validiert. Ist diese Hürde genommen, genießt er für die Dauer der gesamten Sitzung blindes Vertrauen. Allerdings setzen raffinierte Angriffsmethoden wie Adversary-in-the-Middle (AiTM) genau an dieser Schnittstelle an. Hier fangen Cyberkriminelle über Proxy-Server sowohl die Anmeldedaten als auch das zeitkritische MFA-Token ab, während der Nutzer der Meinung ist, sich auf einer legitimen Seite anzumelden. Da das System den abgefangenen Code als gültig erkennt, erhalten unbefugte Dritte volle Kontrolle über die Sitzung, noch bevor der tatsächliche Nutzer den Vorgang abschließt.
Die prekäre Lage wird durch den Einsatz von KI-Tools, der die industrielle Skalierung von Social-Engineering-Angriffen ermöglicht, weiter verschärft. Automatisierte Bots, die MFA-Anfragen in hoher Frequenz an die Mobilgeräte von Mitarbeitern senden, verursachen eine sogenannte „MFA Fatigue“ – ein Begriff, der die zunehmende Ermüdung oder auch Unachtsamkeit der Nutzer beschreibt, aufgrund derer sie den Zugriff auf Konten vorschnell gewähren. Wie die Recherchen von Cloudflare im Rahmen des aktuellen Cloudflare Threat Report 2026 belegen, haben die Hacker mit diesen Methoden längst nicht mehr nur Einzelpersonen im Visier. Vielmehr werden solche Angriffe massenhaft und dennoch hochgradig individuell lanciert. Ein statischer zweiter Faktor bietet gegen diese dynamischen, automatisierten Abfangmanöver jedoch auch keinen ausreichenden Schutz, da er die Authentizität der laufenden Verbindung nach dem ersten Login zu keinem Zeitpunkt mehr überprüft.
Das primäre Ziel der Angreifer sind heute weniger Passwörter, sie interessieren sich vielmehr für gültige Session-Tokens. Diesen stellt der Server aus, sobald sich ein Nutzer durch einen erfolgreichen Login-Prozess inklusive MFA legitimiert hat - der Token weist im Zuge dessen den Server als authentifiziert aus. Wie der Cloudflare Threat Report zeigt, gibt es einen massiven Anstieg beim Einsatz spezialisierter Schadsoftware, sogenannter Infostealer wie LummaC2. Diese Malware fokussiert sich nicht auf das Mitlesen von Tastatureingaben, sondern extrahiert aktive Session-Tokens direkt aus den Datenbanken und dem Zwischenspeicher des Webbrowsers auf dem Endgerät.
Damit sind die Cyberkriminellen in der Lage, die meisten vorgeschalteten Sicherheitsmaßnahmen vollständig zu umgehen. Mehr noch: Ein gestohlenes, aktives Token ermöglicht es ihnen, eine Sitzung auf einem anderen Gerät zu replizieren. Da der Dienst die Sitzung bereits als verifiziert eingestuft hat, findet keine erneute Abfrage von Anmeldedaten oder MFA-Codes statt. Da der Angreifer innerhalb der bestehenden Session als legitimer Nutzer agiert, ist die Identifikation des Eindringlings für klassische Monitoring-Systeme äußerst schwer. Damit wird deutlich, dass der Schutz des Endgeräts und die kontinuierliche Überprüfung der Sitzungsvariablen – wie IP-Adresse, Browser-Fingerprint und Verhaltensmuster – wichtiger sind als die reine Absicherung des Anmeldevorgangs.
Werden Identitäten durch Unbefugte missbraucht, erstreckt sich das Schadenspotenzial über alle mit dem Netzwerk verbundenen Cloud-Dienste. In vielen Unternehmen sind SaaS-Plattformen heute über automatisierte Schnittstellen miteinander verknüpft, in der Regel abgesichert durch langlebige OAuth-Tokens. Diese Tokens erlauben Anwendungen den Zugriff auf Daten in angebundenen Systemen ohne neue Nutzerinteraktion oder MFA-Prüfung. Wie der Threat Report zeigt, stellt das ein massives Sicherheitsrisiko dar: Denn diese einmal ausgestellten Berechtigungen sind oftmals über Monate hinweg gültig und werden in der Regel kaum kontrolliert.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Gelingt es einem Cyberkriminellen, sich in den Besitz eines Tokens zu bringen, erlangt er außerdem Zugriff auf integrierte Drittanbieter-Systeme, ohne ein primäres Anmeldeverfahren passieren zu müssen. Da diese Verbindungen in vielen Fällen überprivilegiert sind, ist es Eindringlingen möglich, sich lateral durch das gesamte Cloud-Ökosystem zu bewegen. Besonders gefährlich sind gezielte Kampagnen, die systematisch die Vertrauensstellungen zwischen Cloud-Plattformen ausnutzen, um Daten abzugreifen oder Ransomware zu platzieren. Der Komplexität der automatisierten Schnittstellen ist es geschuldet, dass klassische Identitätsprüfungen an dieser Stelle ins Leere laufen, sofern sie nicht in der Lage sind, die Integrität jeder einzelnen transaktionalen Verbindung zwischen den beteiligten Diensten kontinuierlich zu überprüfen.
Fazit: Ohne kontinuierliche Autorisierung geht nichts
Die Ergebnisse des Cloudflare Threat Reports könnten klarer nicht zeigen: Den Fokus allein auf einen punktuellen Login-Zeitpunkt zu legen, könnte für die Unternehmenssicherheit zum Super-Gau werden. Token-Diebstahl und die automatisierte Umgehung von MFA-Faktoren erfordern, dass Identitätsschutz als dynamischer Prozess verstanden wird. Niemand darf sich mehr darauf verlassen, dass eine einmal verifizierte Sitzung über Stunden oder gar Tage hinweg integer bleibt.
Der Übergang zu einer permanenten, kontextbasierten Autorisierung auf Protokollebene ist daher unumgänglich. Dabei müssen Variablen wie Gerätestatus, geografischer Standort und Verhaltensmuster in Echtzeit abgeglichen werden, um Anomalien umgehend zu identifizieren und den Zugriff gegebenenfalls automatisiert zu entziehen. Nur durch einen konsequenten Zero-Trust-Ansatz, der die Integrität einer Verbindung während ihrer gesamten Dauer hinterfragt, lassen sich die Risiken, die durch gestohlene Identitätsmerkmale und überprivilegierte Cloud-Verbindungen entstehen, effektiv beseitigen.
Über den Autor: Max Imbiel ist Field CISO DACH bei Cloudflare.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1c/69/1c6942ebf47d36ad830afe472460d8c0/0130915347v2.jpeg "Cyberkriminelle zielen auf Session-Tokens statt Passwörter. Gestohlene Tokens machen MFA wirkungslos, weil sie die gesamte Sitzung übernehmen. (Bild: © CuteBee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7f/fe/7ffee70dd4a831c2b2756d73c9e8e40c/0122470970v1.jpeg "Der Mai 2026 zeichnet sich durch hohes Patch-Volumen bei zugleich niedrigem Exploit-Druck aus. (Bild: Dall-E / Vogel IT-Medien / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/29/86/298680c8efc8d28b11e52f5eccd33719/0131154208v2.jpeg "Instructure untersucht einen Cybersecurity-Vorfall, bei dem ein Angreifer Zugriff auf Daten von Nutzern der Lernplattform Canvas erlangt hat. (Bild: Envato Elements)")
:quality(80)/p7i.vogel.de/wcms/6f/84/6f8494488e59da69d4425f687828c237/0130553928v2.jpeg "Laut Ivanti wird Agentic AI in der Cybersicherheit mittlerweile breit eingesetzt und genießt zunehmend vertraut, doch trotz hoher Akzeptanz besteht ein „Cybersecurity Readiness Deficit“. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/20/c8/20c8d28236226a61a0a699be6d3e98ba/0126797743v1.jpeg "Das wirkmächtige KI-Modell von Anthropic, Claude Mythos, wirft Fragen der nationalen Sicherheit auf. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/88/ab8878adf6bf649c6d327154c55a483c/0130917727v2.jpeg "Active Directory bietet keine native MFA für Kennwortanmeldungen. Von Smartcard über multiOTP und Duo bis Silverfort gibt es fünf praktikable Alternativen. (Bild: © Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/a2/0ea2191c9c894533d3f3e62be1b6a1d9/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/90/c1/90c13acae662d8e91c6526ea441b1ab4/0130712596v1.jpeg "Deutschland zählt zu den größten Playern in der Cybersicherheitsforschung. Doch die theoretischen Ergebnisse verlassen zu selten die Labore. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/70/17/7017e8d76fa5797366a42e075a6411b4/0131054108v1.jpeg "Nach Shai-Hulud folgt „mini Shai-Hulud“. (Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0e/b0/0eb02d3779a1b37f24888eb473dbff97/0130914935v1.jpeg "Cyberkriminelle kompromittieren gezielt Dienstleister, um über Umwege in Zielsysteme vorzudringen. NIS-2 und DORA machen Third-Party-Risikomanagement zur Pflicht auf Führungsebene. (Bild: © Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/64/d6/64d68a07918d732b89a9988555028cc3/0126593157v1.jpeg "Das European Cybersecurity Competence Centre (ECCC) ist das Europäische Kompetenzzentrum für Cybersicherheit mit Sitz in Bukarest. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9d/8e/9d8e6fc97f50307232c1d98c39f4bb0a/0130052295v2.jpeg "RansomHub erlaubt es seinen RaaS-Partnern, die komplette Lösegeldsumme zu behalten und auch mit anderen Gruppen zu arbeiten. Möglicherweise konnte sich RansomHub so als eine der dominierenden Ransomware-Gruppen etablieren. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e7/04/e70481da107589efc1fd491106c4eea9/0130685142v1.jpeg "IT-Compliance bildet den rechtlichen Rahmen für die IT von Unternehmen und Behörden. Neben internen Richtlinien gehören dazu auch die gesetzlichen und vertraglichen Pflichten, die von der IT zu erfüllen sind. (Bild: MicroStockHub via Getty Images Signature)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/38/35/383586af1f2bafa3a5336beeb6d1156a/0123011186v2.jpeg "Hacker entwickeln ihre Techniken stetig weiter, um an den modernen Sicherheitsmechanismen wie Mehrfaktor-Authentifizierung (MFA) vorbeizukommen. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/70/69/706919d52afdacaf2f0673e1f2be027b/0125969613v2.jpeg "Cyberkriminelle erstellen täuschend echte Microsoft-365-Anwendungen, die populäre Dienste wie RingCentral, SharePoint, Adobe oder DocuSign imitieren und auf scheinbar legitime OAuth-Autorisierungsseiten führen. (Bild: © Pakin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/0e/5e0e718a0ec674b6e003e266e907a91c/0125536774v2.jpeg "Chester Wisniewski, Director, Global Field CTO bei Sophos, hat sich intensiv mit der Entwicklung und den Schwächen der verschiedenen MFA-Verfahren auseinandergesetzt und beschreibt, wie die Zukunft der multiplen Authentifizierungsmethoden aussehen muss. (Bild: © Have a nice day - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/28/fb/28fbd4b66d5a6547362c2c784d852934/0130549494v2.jpeg "Cyberkriminelle hebeln MFA über gefälschte SSO-Portale mit dem MitM-Framework Evilginx aus. Mindestens 18 US-Universitäten wurden seit April 2025 attackiert. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/28/fb/28fbd4b66d5a6547362c2c784d852934/0130549494v2.jpeg "Cyberkriminelle hebeln MFA über gefälschte SSO-Portale mit dem MitM-Framework Evilginx aus. Mindestens 18 US-Universitäten wurden seit April 2025 attackiert. (Bild: © kucherav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/46/f446eddda02725a24488842d22320f96/0126743949v2.jpeg "Zero Trust verlangt kontinuierliche Prüfung aller Zugriffe – ein Balanceakt zwischen maximaler Sicherheit und praktikabler Usability. (Bild: © Bartek - stock.adobe.com)")