[datensicherheit.de, 28.11.2025] Egal, was online gesucht wird – die meisten öffnen fast reflexartig Google. Doch seit dem KI-Hype rund um ChatGPT & Co. hat sich ein neues Rechercheverhalten etabliert, denn immer mehr Menschen stellen ihre Fragen direkt an künstliche Intelligenzen. Ersetzt die KI-Suche also schon bald die klassische Google Suche? Oder lässt sich eher von einem Nebeneinander als von einem Verdrängen sprechen? Ein Blick auf aktuelle Zahlen und Studien zeigt eine spannende Entwicklung.

State of Search“-Studie von Claneo von 2025

Die aktuelle „State of Search“-Studie von Claneo von 2025 liefert etwa einen guten Einblick. Dafür wurden Internetnutzer aus Deutschland und den USA befragt, wie sie Informationen im Internet suchen. Mit 67 Prozent bleibt Google vorerst die Anlaufstelle unter den Search-Tools. Spannender wird es bei den Alternativen: Ein Drittel der Befragten hat bereits KI-gestützte Tools wie ChatGPT genutzt, um Informationen zu finden. Ebenfalls ergab die Studie, dass Nutzer den Ergebnissen der KI im Vergleich zu 2024 viel mehr Glaubwürdigkeit beimessen. Bei ChatGPT wurde ein Anstieg von 21 Prozent im Vergleich zum Vorjahr verzeichnet, sodass 79 Prozent der Befragten im Jahr 2025 die Frage „Wie sehr vertraust du folgenden Plattformen?” mit „sehr” beantworteten

Google KI-Modus: Googles Antwort auf ChatGPT

Kein Wunder also, dass Google hier mitspielen will und sich für das KI-Zeitalter rüstet. Waren zunächst hierzulande bis vor Kurzem nur die AI Overviews sichtbar – von Künstlicher Intelligenz erstellte Antworten, die direkt in den Google-Suchergebnissen erscheinen und sogar noch vor den klassischen Links angezeigt werden – bietet Google nun auch den so genannten KI-Modus (AI Mode) an: Hier kann man direkt mit Google chatten und erhält KI-generierte Antworten statt klassischer Suchergebnisse.

Ein Blick auf die Fakten: Zehn Prozent Nutzung in den USA und Indien

Der Google AI Mode wurde im Mai 2025 zunächst in den USA und Indien eingeführt. Google-CEO Sundar Pichai sprach im Juli im Rahmen der Quartalszahlen von rund 100 Millionen aktiven Nutzern. Das entspricht nur etwa zehn Prozent der rund einer Milliarde Internetnutzer in diesen beiden Ländern. Die Zahlen zeigen: Das Interesse ist da – die Nutzung aber noch weit entfernt von einem Massenphänomen. Google AI Mode hatte damit sicher einen guten Start, aber in mittelfristiger Sicht wird vermutlich weiterhin eher ChatGPT das Rennen machen – im September haben rund 800 Millionen Nutzer ChatGPT genutzt.

Handlungsempfehlungen

Damit KI – sei es Google AI Overviews /AI Mode oder ChatGPT – den Content einer Seite verstehen kann, muss dieser der KI zugänglich sein. Hier sollte sich ein Unternehmen mit zwei Aspekten auseinandersetzen: technischen und inhaltlichen. Die technischen Aspekte umfassen beispielsweise Fragen wie: Werden KI-Bots auf meiner Seite blockiert, etwa durch robots.txt-Dateien, also einer Textdatei im Hauptverzeichnis einer Website, die Suchmaschinen-Crawlern Anweisungen gibt, welche Inhalte sie crawlen und indexieren dürfen und welche nicht. Auch eine Firewall-Einstellung oder ein Hoster kann den Zugriff von KI auf eine Webseite blockieren. Die inhaltlichen Aspekte betrachten, wie und wo Inhalten abgreift.

Wie KI zu ihren Ergebnissen kommt

Eine Auswertung von über 150.000 Antworten (Stand: Juni 2025) von Semrush, einer kostenpflichtige Online-Marketing-Software mit über 50 integrierten Tools zur Analyse und Optimierung von Websites, macht deutlich, auf welche Quellen große Sprachmodelle wie ChatGPT, Perplexity & Co. am häufigsten zurückgreifen: Reddit, eine Social-News-Website und Internetforum, auf dem Nutzer Inhalte wie Links, Videos, Bilder und Textbeiträge teilen, diskutieren und bewerten können, ist mit 40,1 % die mit Abstand meistzitierte Quelle, Wikipedia folgt abgeschlagen mit 26,3 %.

Die KI zerlegt dabei die an sie gestellte Frage (den so genannten Prompt) in weitere 20 bis 50 Unterprompts, um das weitere Interessensgebiet des Fragenden abzudecken und führt die Antworten, die sie gefunden hat, wieder in eine längere Antwort zusammen – daher erhält man meist sehr ausführliche Antworten auf seine Frage. Ein Beispiel: Wer „Schäden durch CloudTelefonie-Ausfälle verhindern“ bei Google eingibt, bekommt eine vollständige Erklärung sowie technische und organisatorische Maßnahmen, verfasst von KI. Häufig ergänzt Google diese Antwort durch Quellenangaben, ohne dass der Nutzer die verlinkten Seiten tatsächlich besuchen muss.

User-generated Content (UGC) wie Forenbeiträge, Bewertungen oder Wikis macht also den Großteil der KI-Zitate aus. Wer im neuen Such-Ökosystem künftig sichtbar bleiben möchte, sollte entsprechend handeln. Empfehlungen und Erfahrungswerte hierfür gibt es bereits durchaus:

• Fragen beantworten, nicht nur Keywords bedienen: „Wie funktioniert…?“, „Was ist der Unterschied…?“ sind hilfreich und sollten mit präzisen, faktenbasierten Antworten unterstützt werden.
• Inhalte für Menschen und Maschinen strukturieren: Klare Überschriften (H1-H3) und semantische Zusammenhänge in FAQ-Blöcken strukturieren die Inhalte KI-verständlich. Lassen sich Q&As nicht einbinden, ist auch die Struktur „Eine Idee pro Absatz“ hilfreich.
• Monitoring & Testing: Immer wieder die Sichtbarkeit in AI Overviews kontrollieren und unterschiedliche Content-Formate (z. B. How-to-Guides vs. Deep-Dives) testen.
• Plattformen mit user-generated Content (UGC) sind der Sweet Spot für KI-Sichtbarkeit.
• In Kombination mit einer neuen Studie von Profound (30 Mio. Empfehlungen in ChatGPT, Perplexity und Google AI Overviews analysiert) ergibt sich ein klarer Fahrplan: Wer auf den richtigen Seiten sichtbar ist, wird von KIs automatisch weiterempfohlen.

SEO bleibt – aber anders

Klassisches SEO ist und bleibt weiterhin wichtig. Doch Unternehmen sollten weiter ihre „Suchstrategien“ auf qualitativ hochwertigen Content, Markenvertrauen und Nutzererfahrung ausrichten – statt rein auf organische Klickzahlen zu setzen. Im KI-Zeitalter sind es nicht mehr die besten Verkäufer, die gewinnen – sondern die Anbieter, die in KI-gestützten sichtbar, vertrauenswürdig und relevant sind.

Autorenprofil

Mare Hojc, CEO AN Digital, Bild: Julius Osner

Mare Hojc, CEO AN Digital, ist ehemaliger Profihandballspieler. 2018 gründete er die Agentur AN Digital, die sich auf KI-Sichtbarkeit von Unternehmen spezialisiert hat – also etwa Sauf ChatGPT, Perplexity & Google – SEO 3.0 für mittlere & große Unternehmen.

Weitere Informationen zum Thema:

datensicherheit.de, 23.11.2025
Transformation der Web-Recherche: Hälfte der Internetnutzer setzt bereits auf KI-Chats

[datensicherheit.de, 21.11.2025] Weltweit existieren derzeit rund 371,7 Millionen registrierte Domains (Berechnung von Global Domain Report 2025 und Verisign). Jede einzelne Domain kann Ziel eines Angriffs sein. Für Unternehmen bedeutet das: Die eigene Adresse im Netz ist längst nicht mehr nur ein technischer Eintrag, sondern strategisches Kern-Asset. Wer sie verliert, verliert digitale Handlungsfähigkeit, Vertrauen und oft auch Geschäft.

Zahlreiche bekannte Beispiele

Bekannte Beispiele zeigen, wie schnell es gehen kann. Microsoft verlor schon Ende der 1990er-Jahre durch Social Engineering zeitweise die Kontrolle über die eigene Domain. Google versäumte 2021 die Verlängerung von google.com.ar – ein Privatnutzer registrierte sie kurzerhand. Auch die Open-Source-Plattform perl.com wurde entführt und wochenlang auf fragwürdige Inhalte geleitet.

Solche Fälle sind keine Randnotizen, sondern Warnungen: Wenn selbst Branchenriesen straucheln, sind Mittelständler erst recht gefährdet.

Die wachsende Angriffsfläche

Das Wachstum des Domain-Bestands zeigt die Dimension: Der DNIB-Report weist für Q2/2025 einen Anstieg um 3,3 Millionen Domains im Vergleich zum Vorquartal aus. Parallel steigt die Zahl der Streitfälle. 2024 registrierte die Weltorganisation für geistiges Eigentum (WIPO) 6.168 UDRP-Verfahren aus 133 Ländern – ein neuer Höchstwert. UDRP steht für Uniform Domain-Name Dispute-Resolution Policy, ein von der ICANN entwickeltes Schlichtungsverfahren für Domain-Streitigkeiten. Auch der Domain Dispute Digest 2025 von GigaLaw meldet ein anhaltend hohes Streitvolumen. Unternehmen aller Branchen müssen ihre Rechte verteidigen – der Aufwand wächst stetig.

Domain-Hijacking ist dabei nur eine von mehreren Bedrohungen. Angreifer nutzen Social Engineering, um Mitarbeitende zur Herausgabe von Zugangsdaten zu bewegen. Sie täuschen Registrare mit gefälschten Dokumenten oder nutzen schlicht organisatorische Lücken, wenn Verlängerungen versäumt werden. Auch Reverse Hijacking, also der Missbrauch angeblicher Markenrechte, nimmt zu. Die Konsequenzen reichen von unterbrochener Kommunikation bis hin zu kompletten Reputationsverlusten.

Noch immer wird die Sicherung von Domains oft in der IT verortet – ein gefährlicher Trugschluss. Denn betroffen ist nicht nur die technische Infrastruktur, sondern die gesamte Unternehmensidentität. Kunden unterscheiden nicht, ob eine Website wegen eines Hacks oder wegen eines internen Fehlers offline ist. Sie sehen: Die Marke hat ihre Hausaufgaben nicht gemacht.

Für Vorstände und Geschäftsführung heißt das: Domain-Sicherheit gehört in die Unternehmensstrategie. Sie betrifft Marketing, Kommunikation, Compliance und IT gleichermaßen. Wer das Thema delegiert, riskiert Kontrollverlust über das zentrale Tor zur Marke.

Organisatorische und technische Hausaufgaben

Ein wirksamer Schutz beginnt mit klaren Verantwortlichkeiten:

• Wer verwaltet das Domain-Portfolio?
• Wie darf auf die Haupt-Domain zugreifen?
• Wie sind Zugangsdaten dokumentiert?
• Sind Prozesse für Verlängerungen automatisiert?

Ohne diese Grundlagen greifen auch die besten Sicherheitsmechanismen nicht.

Technisch sind mehrere Ebenen unverzichtbar. Zwei-Faktor-Authentifizierung ist Pflicht, Registrar- und Registry-Locks erschweren unautorisierte Transfers. DNSSEC (Domain Name System Security Extensions) sichert die Authentizität von DNS-Antworten ab. Monitoring-Tools schlagen Alarm, wenn Nameserver geändert oder ähnliche Domains registriert werden. Und: Alte Domains sollten nicht einfach aufgegeben werden. Wer sie löscht, öffnet Angreifern Tür und Tor zu Catch-All-Adressen, über die sensible Kommunikation abgefangen werden kann.

Der Weg zurück zur eigenen Domain ist zeitaufwendig. Verfahren wie die UDRP bei der WIPO dauern Monate und erfordern eindeutige Markenrechte. Nationale Mechanismen wie der Dispute-Eintrag bei der DENIC bieten Schutz, sind aber ebenfalls nur reaktiv. Das zeigt: Prävention ist billiger als Rückeroberung. Laut WIPO dauert ein UDRP-Fall im Schnitt mehrere Monate und verursacht Kosten von mehreren tausend US-Dollar, ganz abgesehen von Reputationsschäden, die kaum bezifferbar sind.

Resilienz als Führungsaufgabe

Das Thema gewinnt auch durch Regulierung an Relevanz. Mit der europäischen NIS-2-Richtlinie werden Unternehmen verpflichtet, digitale Assets konsequent abzusichern. Domains sind Teil davon. Für die Geschäftsführung bedeutet das: Wer hier spart, riskiert nicht nur Imageschäden, sondern künftig auch Bußgelder.

Damit wird klar: Domains sind kein technisches Anhängsel, sondern Teil der Business Continuity. Ein Ausfall bedeutet Stillstand in Vertrieb, Kommunikation und Service. Strategisch geführte Unternehmen behandeln ihre Domain-Portfolios deshalb wie andere kritische Assets – von Produktionsanlagen bis zu Finanzsystemen.

Fazit: Domains sind Chefsache

Domains sind weit mehr als Webadressen. Sie sind die Eintrittspforte zur Marke, Vertrauensanker für Kunden und Grundlage geschäftlicher Kommunikation. Ihr Verlust trifft Unternehmen ins Herz. Wer Domains nicht absichert, handelt fahrlässig – technologisch, organisatorisch und strategisch. Das Fazit ist eindeutig: Domain-Management ist Chefsache. Denn nur wenn Führungskräfte Verantwortung übernehmen, werden die nötigen Ressourcen und Prozesse geschaffen, um Angriffe abzuwehren. In einer digitalen Wirtschaft, die von Vertrauen lebt, sind sichere Domains kein Detail. Sie sind Chefsache.

Über den Autor:

Christian Dallmayer, General Manager united-domains GmbH, Bild: united-domains GmbH

Christian Dallmayer verfügt über mehr als 15 Jahre Erfahrung im Web-, Technologie- und E-Commerce-Bereich, darunter bei der Q&A-Plattform gutefrage.net, dem Softwareunternehmen equinux AG und der Live-Shopping-Plattform 1-2-3.tv. Er hat einen Abschluss als Diplom-Politologe (Univ.) mit Schwerpunkt Politikwissenschaft, Marketing, Methoden der empirischen Sozialforschung an der Otto-Friedrich-Universität Bamberg. Er arbeitet seit 2022 bei der united-domains GmbH und ist als General Manager für die Bereiche B2B und B2C verantwortlich.

Weitere Informationen zuzm Thema:

datensicherheit.de, 13.05.2025
Domain-Hijacking: Wie Unternehmen ihre digitale Identität verlieren können

Von unserem Gastautor Pavel Goldman-Kalaydin, Head of Artificial Intelligence and Machine Learning bei Sumsub

[datensicherheit.de, 14.10.2025] Die Zahlen sprechen eine eindeutige Sprache: Laut des Sumsub Identity Fraud Reports machten Deepfake-basierte Betrugsfälle bereits 2024 sieben Prozent aller weltweiten Betrugsversuche aus, was einer Vervierfachung innerhalb nur eines Jahres entspricht. Deutschland erlebt dabei eine besonders dramatische Entwicklung, wie Daten aus dem ersten Quartal 2025 zeigen. Hierzulande explodierten die Deepfake-Betrugsversuche um erschreckende 1.100 Prozent gegenüber dem Vorjahreszeitraum.

Pavel Goldman-Kalaydin, Head of Artificial Intelligence and Machine Learning bei Sumsub, Bild: Sumsub

Wenn Technologie zur perfekten Illusion wird

Hinter diesen Zahlen verbirgt sich eine technologische Revolution für Betrüger. Moderne KI-Systeme – von Generative Adversarial Networks bis hin zu Diffusion Models – können mittlerweile Videos, Bilder und Audioaufnahmen erzeugen, die von der Realität praktisch nicht zu unterscheiden sind. Sie analysieren vorhandenes Material, extrahieren charakteristische Muster und erschaffen daraus völlig neue, aber scheinbar authentische Inhalte.

Das Resultat sind Fälschungen von erschreckender Perfektion. Gesichtsausdrücke, Stimmfarbe und sogar individuelle Sprechgewohnheiten werden so präzise nachgeahmt, dass selbst nahestehende Personen getäuscht werden. Der spektakuläre Fall aus dem Jahr 2024 macht das Ausmaß deutlich. Damals überwies ein Angestellter 25 Millionen US-Dollar an Betrüger, nachdem er in einer Videokonferenz mit seinem vermeintlichen CEO entsprechende Anweisungen erhalten hatte.

Synthetische Identitäten: Der unsichtbare Diebstahl

Parallel zu Deepfakes entwickelt sich mit gefälschten Identitätsdokumenten eine weitere Bedrohungsdimension. Deutschland steht, mit einem Anstieg von 567 Prozent bei synthetischen Ausweisdokumenten, laut Daten von Sumsub europaweit an der Spitze eines beunruhigenden Trends. Diese Fälschungen kombinieren geschickt gestohlene, authentische Daten mit KI-generierten Elementen und schaffen so Identitäten, die in herkömmlichen Prüfverfahren als echt durchgehen.

Die gesellschaftlichen Auswirkungen reichen weit über einzelne Betrugsdelikte hinaus. Wenn KI-generierte Inhalte in sozialen Medien kursieren, entstehen neue Formen der Desinformation. Gefälschte Aussagen von Politikern oder anderen öffentlichen Personen können demokratische Prozesse beeinflussen und das Vertrauen in authentische Informationen untergraben.

Verteidigungsstrategien für die digitale Ära

Unternehmen sind diesem Trend jedoch nicht schutzlos ausgeliefert. Ein effektiver Schutz basiert auf einem mehrschichtigen Ansatz, der technologische Innovation mit organisatorischen Vorsichtsmaßnahmen verbindet.

Moderne KI-basierte Erkennungssysteme können Deepfakes anhand subtiler Bildunregelmäßigkeiten und Tonartefakte identifizieren und das oft zuverlässiger als das menschliche Auge. Liveness-Detection-Technologien unterscheiden zwischen echten Gesichtern und digitalen Nachbildungen, während Behavioral Analytics ungewöhnliche Nutzeraktivitäten aufspürt. Besonders wertvoll ist die Fraud Network Detection, die zusammenhängende Betrugsmuster erkennt und kriminelle Netzwerke frühzeitig entlarvt.

Doch Technologie allein reicht nicht aus. Mitarbeiter müssen für die neuen Bedrohungen sensibilisiert werden. Verdächtige Kommunikation, etwa plötzliche Zahlungsaufforderungen per Video oder ungewöhnliche Anrufe, sollte grundsätzlich über einen zweiten Kanal verifiziert werden. Zusätzliche Genehmigungsverfahren bei größeren Transaktionen schaffen weitere Sicherheitsbarrieren.

Ermittlungsbehörden rüsten auf

Auch die Strafverfolgung passt sich an die neuen Herausforderungen an. Internationale Organisationen wie Interpol entwickeln spezialisierte forensische Methoden für das digitale Zeitalter. Dazu gehören die Analyse von Metadaten zur Aufdeckung von Manipulationshistorien, Reverse Image Searching zur Identifikation von Originalquellen und linguistische Analysen zur Erkennung von Textanomalien.

Besonders vielversprechend sind KI-gestützte Erkennungsmodelle, die visuelle und akustische Unregelmäßigkeiten aufspüren, die für Menschen unsichtbar bleiben. Explainable AI-Systeme gehen noch einen Schritt weiter: Sie erklären nicht nur, dass eine Datei manipuliert wurde, sondern auch warum.

Rechtliche Herausforderungen und der „Liar’s Dividend“

Trotz technologischer Fortschritte bleiben rechtliche Hürden bestehen. Die Gesetzgebung hinkt der rasanten technischen Entwicklung hinterher, und Deepfake-Opfer haben oft Schwierigkeiten, sich zu wehren. Besonders problematisch wird das Phänomen des „Liar’s Dividend“. Die bloße Existenz von Deepfake-Technologie könnte dazu führen, dass selbst authentisches Beweismaterial als potenzielle Fälschung diskreditiert wird.

Der Weg nach vorn

Die Bekämpfung KI-basierter Bedrohungen erfordert eine koordinierte Antwort auf mehreren Ebenen. Strafverfolgungsbehörden müssen kontinuierlich ihre technischen Fähigkeiten ausbauen und in die Ausbildung ihrer Mitarbeiter investieren. Gleichzeitig ist eine verstärkte Kooperation zwischen öffentlichen Institutionen, Wissenschaft und Privatwirtschaft unerlässlich.

Private Unternehmen, die täglich Deepfakes und gefälschte Dokumente analysieren, verfügen oft über fortgeschrittenere Erkennungstechnologien als staatliche Stellen. Diese Expertise muss gezielt genutzt werden, um umfassende Abwehrstrategien zu entwickeln.

Letztendlich geht es um mehr als nur technologische Lösungen. Gesellschaftliches Bewusstsein für die Risiken synthetischer Medien, klare regulatorische Rahmenbedingungen und eine kontinuierliche Anpassung an neue Bedrohungen sind gleichermaßen wichtig. Nur durch einen ganzheitlichen Ansatz können wir die Vorteile der KI-Revolution nutzen, ohne ihren Missbrauch zu ermöglichen.

Die Zukunft wird zeigen, ob wir als Gesellschaft schnell genug lernen, mit diesen neuen Realitäten umzugehen oder ob uns die Technologie einen Schritt voraus bleibt.

Über den Autor

Pavel Goldman-Kalaydin ist Head of Artificial Intelligence and Machine Learning bei Sumsub, einer globaren Full-Cycle-Verifizierungsplattform. Mit einem umfassenden Hintergrund in der Softwareentwicklung ist Pavel seit über zehn Jahren im Bereich Künstliche Intelligenz und Machine Learning tätig. Bei Sumsub leitet er die Entwicklung von Technologien zur Prävention digitaler Betrugsversuche.

Weitere Informationen zum Thema:

datensicherheit.de, 23.09.2025
Bildungswesen im KI-Visier Cyberkrimineller: Klassenzimmern droht Rückfall in Offline-Modus

datensicherheit.de, 10.07.2025
KI droht zur größten Cyberbedrohung zu werden

Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

[datensicherheit.de, 31.07.2025] Je mehr Aufmerksamkeit Cyberkriminelle erhalten, desto erfolgreicher scheinen sie zu sein. Scattered Spider ist aufgrund seines gekonnten Einsatzes von Social Engineering besonders interessant. Das liegt daran, dass Abwehrmaßnahmen sich oft zu sehr auf technische Angriffe und technische Lösungen konzentrieren. Die Angreifer wie Scattered Spider setzen jedoch einfache Telefonanrufe oder SMS-Nachrichten und in einigen Fällen sogar Bestechungsgelder ein, um Insider zur Mithilfe zu bewegen. Die Gruppe agiert laut Informationen der CISA ähnlich wie „Lapsus$“ vor zwei Jahren, allerdings konnte Lapsus$ inzwischen im Wesentlichen zerschlagen  werden und einige Mitglieder wurden verhaftet.

Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute, Bild: SANS

Herausforderung Drittanbietersoftware

Die Herausforderung für Sicherheitsteam ist, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen. Detaillierte Einblicke in Autorisierungsaktivitäten sind oft begrenzt, was die ordnungsgemäße Erkennung und Abwehr dieser Bedrohungen verlangsamt oder sogar verhindert.

Qualifiziertes internes Fachwissen nötig

Eine genaue Identitätsverwaltung und -überwachung muss eng auf die Geschäftsprozesse eines Unternehmens abgestimmt sein, was in der Regel am besten mit ausreichend qualifiziertem internem Fachwissen erreicht werden kann. Moderne, segmentierte Netzwerke verkomplizieren die Sache noch weiter und machen die detaillierte Überwachung, die erforderlich ist, um diese Angriffe frühzeitig zu erkennen, fast unmöglich. Einige Unternehmen profitieren davon, dass aufrichtige Insider verdächtige Aktivitäten melden, beispielsweise einen erhaltenen Anruf. Schulungen für Security Awareness legen oft mehr Wert auf die Meldefunktionen als auf altmodische Anti-Phishing-Schulungen.

Weitere Informatione zum Thema:

datensicherheit.de, 11.05.2025
SANS Institute benennt Top 5 der gefährlichsten neuen Angriffstechniken

Von unserem Gastautor Tim Pfaelzer, Senior Vice President & General EMEA Manager bei Veeam

[datensicherheit.de, 30.07.2025] Viel zu lange haben Führungskräfte die Datensicherheit ihrer Unternehmen aus der Ferne betrachtet und sich auf theoretische Pläne und eine -Checklisten-Mentalität verlassen. Diese „2D-Perspektive“ – bei der technische Maßnahmen einfach auf einer To-Do-Liste abgehakt werden – wird der tatsächlichen, organisationsübergreifenden Komplexität von Cyber-Bedrohungen nicht gerecht. Insbesondere Ransomware lässt sich auf dem Papier nicht vollständig simulieren.

Falsche Gefühl der Sicherheit

Diese Mentalität hat zu einem gefährlichen falschen Gefühl der Sicherheit geführt. Studien zeigen, dass mehr als 30 % der Unternehmen glauben, sie seien widerstandsfähiger als sie tatsächlich sind. Sie mögen zwar über die richtigen Komponenten verfügen, aber wenn diese Elemente nicht in einem rigoros getesteten, realitätsnahen Notfallplan zusammenarbeiten, laufen sie Gefahr, im Falle einer echten Krise angreifbar zu sein.

Tim Pfaelzer, Senior Vice President & General EMEA Manager bei Veeam, Bild: Veeam

Angesichts der Tatsache, dass 69 % der Unternehmen im vergangenen Jahr mit einer Ransomware-Bedrohung konfrontiert waren, ist die Zeit des blinden Vertrauens vorbei. Führungskräfte dürfen sich nichts vormachen und müssen sinnvolle, proaktive Maßnahmen ergreifen.

Falsches Vertrauen, echte Konsequenzen

Die Widerstandsfähigkeit von Daten kann trügerisch komplex sein und Lücken bleiben oft verborgen, bis es zu spät ist. Viele Unternehmen tappen in die Falle, dass sie glauben, sie seien vorbereitet, nur um dann bei einem Angriff das Gegenteil herauszufinden. Von den Unternehmen, die im letzten Jahr Opfer eines Ransomware-Angriffs wurden, waren 69 % der Meinung, dass sie vorher gut vorbereitet waren. Nachdem sie einen Angriff erlitten hatten, sank das Vertrauen in die Vorbereitung und Maßnahmen um mehr als 20 %.

Obwohl die Mehrheit der Unternehmen über ein Ransomware-Playbook verfügte, enthielt weniger als die Hälfte dieser wesentliche technische Komponenten wie Sicherungskopien und Pläne zur Eindämmung oder Isolierung der Schadsoftware im Ernstfall. Oberflächlich betrachtet schien alles in Ordnung zu sein, doch bei näherer Betrachtung zeigten sich erhebliche Schwachstellen.

Die Folgen von solch falschem Vertrauen sind schwerwiegend: Nur 10,5 % der Unternehmen waren im vergangenen Jahr in der Lage, sich nach einem Ransomware-Angriff erfolgreich zu erholen, was zu erheblichen geschäftlichen und betrieblichen Beeinträchtigungen führte. Der jüngste Ransomware-Vorfall bei M&S ist ein viel beachtetes Beispiel, das nicht nur zu Serviceausfällen für die Kunden, sondern auch zu einem geschätzten Verlust von etwa 346 Millionen Euro (300 Millionen Pfund) führte.

Datensicherheit – Die Bedrohungslandschaft entwickelt sich stetig weiter

Einige Unternehmen haben vielleicht gehofft, dass die Zerschlagung großer Ransomware-Gruppen wie BlackCat und LockBit durch die Strafverfolgungsbehörden die Bedrohungslandschaft überschaubarer machen würde. In Wirklichkeit hat die Gefahr jedoch nicht abgenommen, sondern sich weiterentwickelt. Kleinere Gruppen und „einsame Wölfe“ haben die Lücke schnell gefüllt und neue Methoden und Taktiken entwickelt, die die Widerstandsfähigkeit von Unternehmen weiter herausfordern.

Von „2D“ zu „3D“: Der Weg zu echter Resilienz

Unabhängig davon, wie zuversichtlich ein Unternehmen in Bezug auf die Resilienz der eigenen Daten sein mag, ist eine gründliche, kritische Prüfung des eigenen Ransomware-Playbooks unerlässlich. Man kann nicht mehr davon ausgehen, dass das, was auf dem Papier funktioniert, auch unter realen Bedingungen Bestand hat. Führungskräfte müssen von einer flachen, 2D-Perspektive zu einem dynamischen 3D-Ansatz übergehen.

Beginnen sollte man dabei mit dem Gesamtüberblick: Es sollte klar sein, welche Daten besonders schützenswert sind und wo sie sich befinden. Wichtige Ausfallsicherheitsmaßnahmen wie eine vordefinierte Befehlskette und regelmäßige Überprüfungen der Backups sollten vorhanden sein. Darüber hinaus ist es essenziell, dass Sicherheitsteams über die neuesten Angriffstrends informiert sind. Da 89 % der Unternehmen berichten, dass ihre Backup-Repositories gezielt von Bedrohungsakteuren angegriffen wurden, ist die Sicherstellung von Redundanz für Backups heute von entscheidender Bedeutung.

Die Behebung dieser Schwachstellen ist allerdings nur der Anfang. Unternehmen müssen ihre Notfallpläne mit Simulationen unter realen Bedingungen testen. Es reicht nicht aus, sich auf Plan A zu verlassen – auch Pläne B, C, D müssen getestet werden, einschließlich Szenarien, in denen wichtige Mitarbeiter nicht verfügbar sind oder mehrere Krisen gleichzeitig auftreten. Dieser Prozess deckt oft blinde Flecken auf, die in einem theoretischen Plan unbemerkt bleiben würden.

Aus Zuversicht wird Sicherheit

Der Einsatz von Frameworks wie dem Veeam Data Resilience Maturity Model (DRMM), das in Zusammenarbeit mit McKinsey entwickelt wurde, kann Unternehmen dabei helfen, nicht mehr blind zu vertrauen. Die Ergebnisse zeigen, dass Unternehmen mit einem hohen Grad an Data Maturity sich siebenmal schneller von Ransomware-Vorfällen erholen als ihre weniger resilienten Konkurrenten und dreimal weniger Ausfallzeiten haben.

Indem Unternehmen die Kontrolle über ihre Datensicherheit übernehmen – durch rigorose Tests, kontinuierliche Optimierung und gemeinsames Fachwissen – können sie blindes Vertrauen durch bewährte Kompetenzen ersetzen. In der heutigen Bedrohungslandschaft ist es nicht die Frage „ob“ Ihr Unternehmen zum Ziel wird, sondern „wann“. Der beste Zeitpunkt für die Vorbereitung ist jetzt – denn bei der Datenresilienz entscheidet ausschließlich echte Einsatzbereitschaft über Erfolg oder Misserfolg.

Weitere Informationen zum Thema:

datensicherheit.de, 20.01.2025
NIS-2: Veeam-Umfrage in Deutschland kündet von vielen Baustellen der KRITIS-Betreiber

Ein Gastkommentar von Nadir Izrael, Mitbegründer und CTO von Armis

[datensicherheit.de, 27.05.2025] Laut einer aktuellen Studie von Armis sind fast neun von zehn (87 Prozent) der IT-Führungskräfte besorgt über die Auswirkungen von Cyberwarfare auf ihr Unternehmen. Es gibt immer mehr Belege dafür, dass staatliche Akteure weiterhin Kritische Infrastrukturen in den USA angreifen. Die Wurzeln dieser staatlichen Cyberangriffe, die als ATPs (Advanced Persistent Threats) bezeichnet werden, reichen dabei fast zwei Jahrzehnte zurück.

APT – Verhinderung solcher Angriffe eine enorme Herausforderung für Unternehmen

Die Verhinderung solcher Angriffe ist eine enorme Herausforderung für Unternehmen, da die Gegner im Vergleich zu einem durchschnittlichen Sicherheitsteam über deutlich bessere Ressourcen verfügen. APTs müssen nur eine Schwachstelle finden, beispielsweise ein anfälliges Gerät oder ungeschützte Anmeldedaten. Sicherheitsteams hingegen müssen jeden Tag Hunderte von Warnmeldungen bearbeiten. Obwohl 81 Prozent der IT-Führungskräfte angeben, dass die Umstellung auf eine proaktive Cybersicherheitsstrategie ein Hauptziel ihres Unternehmens für dieses Jahr ist, geben 58 Prozent der Unternehmen zu, dass sie derzeit nur auf Bedrohungen reagieren, wenn diese auftreten, oder nachdem bereits ein Schaden entstanden ist.

KI ändert die Dynamik moderner Cyberangriffe

Künstliche Intelligenz verändert die Dynamik moderner Cyberangriffe grundlegend – sie macht sie schneller, effizienter und schwerer erkennbar. Fast drei Viertel (73 Prozent) der IT-Führungskräfte zeigen sich besonders besorgt darüber, dass staatliche Akteure KI einsetzen, um hochgradig raffinierte und gezielte Attacken zu entwickeln. Für Sicherheitsverantwortliche ist es daher unerlässlich, die Mechanismen KI-gestützter Cyberkriegsführung zu verstehen – und zu wissen, wie sie ihr Unternehmen künftig wirksam schützen können.

APTs – eine globale Gefahr

APTs und Cyberwarfare gehen Hand in Hand. Die Bedrohunsakteure von Volt Typhoon werden China, Cozy Bear Russland und Reaper Nordkorea zugeschrieben, um nur einige zu nennen. „Volt Typhoon“ kundschaftet Netzwerkarchitekturen aus, verschafft sich über Schwachstellen einen ersten Zugang und zielt darauf ab, administrative Rechte zu erhalten. Um diese Angriffe zu verhindern, ist es wichtig, die gängigsten TTPs (Tactics, Techniques, and Procedures) der staatlichen und halbstaatlichen Angreifer zu kennen.

Nadir Izrael, Mitbegründer und CTO von Armis, Foto: Armis

Die Bedrohung durch Cyberwarfare ist ein globales Phänomen. Ein prominentes Beispiel ist Cozy Bear – eine russische APT-Gruppe, die seit über einem Jahrzehnt gezielt Systeme der US-Regierung angreift. Die Kompromittierung von SolarWinds, die das Bewusstsein für Risiken in der Lieferkette deutlich geschärft hat, wird ebenfalls dieser Gruppe zugeschrieben. Cozy Bear setzt bevorzugt auf Phishing und zwischengespeicherte RDP-Zugänge, um Anmeldedaten zu stehlen. Inzwischen nutzen solche Angreifer zunehmend künstliche Intelligenz, um ihre Methoden noch effektiver zu machen – sei es beim Ausnutzen verwundbarer Systeme, dem Abgreifen ungeschützter Zugangsdaten oder durch ausgefeilte Social-Engineering-Techniken.

APTs und KI: Eine neue Qualität der Bedrohung

KI-gestützte Angriffe heben Cyberbedrohungen auf ein neues Niveau – sie sind anpassungsfähiger, schwerer zu erkennen und potenziell deutlich wirksamer als bisherige Angriffsmethoden. Sicherheitsforscher haben bereits nachgewiesen, wie effektiv künstliche Intelligenz im Kontext von Phishing-Angriffen eingesetzt werden kann. Angesichts der bekannten Social-Engineering-Strategien von Cozy Bear ist es besonders alarmierend, dass diese Gruppe KI nutzen könnte, um hochgradig personalisierte Phishing-Kampagnen im großen Stil zu automatisieren – etwa gegen Regierungsbehörden.

Auch Volt Typhoon, bekannt für das Ausnutzen verwundbarer Betriebstechnologien, könnte künftig von KI profitieren. Entsprechende Modelle lassen sich gezielt darauf trainieren, Schwachstellen in spezifischen Zielumgebungen zu identifizieren – oder sogar selbstständig zu attackieren, sobald sie eine Angriffsfläche erkennen. Die Angriffe können dann ohne menschliches Zutun ausgelöst werden. Darüber hinaus kann KI die Entwicklung und Variation von Malware automatisieren und dynamisch Schadcode generieren, der klassischen Erkennungsmethoden entgeht. Und das ist nur der Anfang: Diese Einsatzmöglichkeiten sind bereits Realität – und stellen erst den sichtbaren Teil eines viel größeren Problems dar.

Frühzeitig handeln – bevor der Schaden entsteht

Der richtige Zeitpunkt zum Handeln ist jetzt. Zwar können Unternehmen die Bedrohungslage durch Cyberwarfare nicht beeinflussen – sehr wohl aber, wie gut sie darauf vorbereitet sind. Viele reagieren noch immer erst dann, wenn ein Angriff bereits erfolgreich war. Um das zu ändern, müssen Sicherheitsstrategien proaktiv ausgerichtet werden – also auf die Phase vor dem eigentlichen Vorfall. Prävention beginnt mit vollständiger Transparenz über alle digitalen Infrastrukturen: IT, OT, IoT, IoMT und Cloud. Doch es reicht nicht aus, nur zu wissen, welche Assets vorhanden sind. Entscheidend ist, zu verstehen, wie sie miteinander vernetzt sind, wo potenzielle Schwachstellen liegen und wie sich Risiken priorisieren lassen.

Die gute Nachricht: KI-gestützte Sicherheitslösungen bieten heute leistungsfähige Werkzeuge, um Cyberangriffe frühzeitig zu erkennen und abzuwehren. So kann etwa die Analyse von Verhaltensmustern helfen, ungewöhnliche Aktivitäten aufzudecken – noch bevor es zu Störungen kommt. Genau wie Angreifer ihre Angriffe mithilfe von KI automatisieren, können Unternehmen dieselbe Technologie nutzen: um Schwachstellen aufzuspüren, Bedrohungen schneller zu erkennen und Schutzmaßnahmen in Echtzeit anzupassen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Armis Vulnerability Intelligence Database soll präventive Cyber-Sicherheit unterstützen

datensicherheit.de, 04/27/2025
Armis Vulnerability Intelligence Database to support preventive Cyber Security

Von unserem Gastautor Christian Dallmayer, General Manager united-domains GmbH

[datensicherheit.de, 13.05.2025] Hinter jeder Domain steckt mehr als eine Webadresse – sie ist Aushängeschild, strategisches Asset und genießt das höchste Vertrauen der Kunden. Umso schwerwiegender sind Angriffe, die auf die Kontrolle einer Domain abzielen. Beim sogenannten Domain-Hijacking verschaffen sich Angreifer den Zugriff auf die Verwaltungsrechte – mit potenziell weitreichenden Folgen: von Phishing-Kampagnen über Reputationsschäden bis hin zu Angriffen auf interne Systeme.

Die Angriffe erfolgen häufig unbemerkt, sind in ihrer Wirkung aber gravierend: Von der Umleitung des Webverkehrs auf gefälschte Inhalte bis hin zum Verlust geschäftskritischer E-Mail-Kommunikation. Unternehmen sollten deshalb dringend prüfen, ob ihre Domain-Sicherheitsstrategie heutigen Anforderungen noch gerecht wird.

Typologie und Abgrenzung von Domain-Hijacking

Im Gegensatz zu verwandten Bedrohungsszenarien wie DNS-Hijacking oder klassischem Phishing zielt Domain-Hijacking unmittelbar auf die Kontrolle über die Domain selbst. Angreifer versuchen, sich durch Täuschung, Manipulation oder gar juristische Verfahren Zugang zur Verwaltung der Domain zu verschaffen – sei es durch Login-Daten, technische Lücken oder gezielte Missbrauchsversuche bei Registraren.

Typische Angriffsvektoren reichen von Social Engineering bis hin zu operativen Schwachstellen. Häufig setzen Angreifer auf Täuschungstaktiken, um Mitarbeitende zur Preisgabe sensibler Zugangsdaten zu bewegen. Oder es wird versucht, Prozesse in der Domainverwaltung auszunutzen – etwa durch unautorisierte Änderungen oder gezielte Anfragen. Auch sogenannte Reverse Domain Hijacking-Verfahren, bei denen unberechtigte Markenansprüche vorgegaukelt werden, zählen zu den bekannten Methoden. Zwar bleibt der tatsächliche Erfolg solcher Versuche begrenzt, doch bereits der Aufwand zur Abwehr kann für Unternehmen erheblich sein.

Praxisbeispiele mit Signalwirkung

Bereits seit den frühen Jahren des Internets ist Domain-Hijacking ein reales Risiko. So erlangten Angreifer bereits 1999 über Social Engineering kurzzeitig Kontrolle über die Domain microsoft.com, indem sie bei dem Domain-Registrar Network Solutions administrative Änderungen veranlassten. Der Fall gilt bis heute als mahnendes Beispiel für strukturelle Schwächen bei Domainverwaltern.

Auch Google musste in mehreren Ländern erfahren, wie schnell Domains ohne ausreichenden Schutz in falsche Hände geraten können. In Argentinien wurde die Domain google.com.ar 2021 kurzzeitig von einer Privatperson registriert, nachdem Google die Verlängerung versäumt hatte. Ein vergleichbarer Vorfall betraf zuvor bereits die vietnamesische Landesdomain. Die Auswirkungen waren jeweils temporär, aber reputationsschädigend – und unterstreichen die Notwendigkeit konsequenter Erneuerungs- und Überwachungsprozesse.

Ein weiterer Fall, der die Verwundbarkeit selbst etablierter Open-Source-Projekte offenlegte, betraf die Domain perl.com. Nach der Übernahme wurde sie durch Dritte für Wochen auf fragwürdige Inhalte umgeleitet. Ebenfalls aufhorchen ließ im letzten Jahr ein Streit um die Domain fritz.box: Nachdem die neue Top-Level-Domain .box eingeführt wurde, sicherte sich ein Dritter die Adresse – AVM musste die Domain über ein UDRP-Verfahren wieder erkämpfen.

Konsequenzen bei Domain-Verlust

Die Auswirkungen eines erfolgreichen Domain-Hijackings sind vielfältig und reichen weit über den unmittelbaren Kontrollverlust hinaus. Für Unternehmen bedeutet der Verlust ihrer Domain nicht nur eine potenzielle Unterbrechung digitaler Geschäftsprozesse, sondern auch eine massive Gefährdung der Außenwahrnehmung. Kunden, Partner und Dienstleister können im Ernstfall nicht mehr zwischen legitimem und betrügerischem Angebot unterscheiden.

Neben den unmittelbaren finanziellen Schäden drohen langfristige Reputationsverluste. Wird die Domain für Phishing, Malware-Verbreitung oder betrügerische Inhalte verwendet, kann dies das Vertrauen in die betroffene Marke dauerhaft beschädigen. Hinzu kommen juristische Herausforderungen bei der Rückgewinnung – insbesondere wenn internationale Registrierungsstellen involviert sind oder Verfahren wie die UDRP eingeleitet werden müssen.

Sicherheitsvorkehrungen auf technischer Ebene

Ein wirksamer Schutz beginnt mit der Sicherung des Zugangs zu den Domain-Verwaltungskonten. Komplexe, regelmäßig aktualisierte Passwörter und die konsequente Nutzung von Zwei-Faktor-Authentifizierung sollten heute als Standard gelten. Zusätzlich empfiehlt sich die klare Definition interner Zuständigkeiten:

• Wer ist für welche Domains verantwortlich?
• Wo sind die Zugänge dokumentiert?
• Gibt es Notfallroutinen?

Technische Schutzmaßnahmen wie Registrar Locks oder Registry Locks verhindern unautorisierte Domaintransfers und erhöhen die Integrität des Domainbesitzes. Auch die Implementierung von DNSSEC, das die Authentizität von DNS-Antworten verifiziert, stellt eine wichtige Ergänzung der Sicherheitsarchitektur dar. Besonders für Unternehmen mit hoher Markenbekanntheit ist diese Maßnahme essentiell, um gezielte Manipulationen im DNS-System auszuschließen. Wir empfehlen deshalb dringend, die Hauptdomain(s) einem zusätzlichen Schutz zu unterziehen und nur wenigen autorisierten Personen den Zugriff auf die DNS-Einstellungen einzuräumen.

Frühwarnsysteme und Monitoring

Ein weiterer zentraler Baustein der Sicherheitsstrategie ist die kontinuierliche Überwachung von Domain-bezogenen Daten. Dazu gehören regelmäßige WHOIS-Kontrollen ebenso wie die Überwachung von DNS-Einstellungen und Traffic-Strukturen. Auffällige Aktivitäten – etwa unautorisierte Nameserver-Änderungen – lassen sich so frühzeitig erkennen.

Professionelle Domain-Monitoring-Lösungen ermöglichen es darüber hinaus, neu registrierte Domains zu identifizieren, die der eigenen Marke ähneln oder auf gezielte Täuschung ausgelegt sind. Auf dieser Basis können rechtliche Schritte frühzeitig vorbereitet oder – bei Bedarf – automatisiert eingeleitet werden.

Strategischer Schutz beginnt mit Prävention

Neben den technischen Komponenten erfordert eine ganzheitliche Sicherheitsstrategie auch organisatorische Maßnahmen. Hierzu zählt eine strukturierte Domain-Portfoliopflege, die sowohl die fristgerechte Verlängerung bestehender Domains als auch die Registrierung möglicher Tippfehler- oder Typosquatting-Varianten umfasst.

Schulungen für Mitarbeiter – insbesondere in den Bereichen IT, Marketing und Recht – erhöhen das Bewusstsein für die Relevanz von Domain-Sicherheit und reduzieren das Risiko, Opfer von Social-Engineering-Angriffen zu werden. Sensibilisierung und Prozesse müssen Hand in Hand gehen, um Domain-Sicherheit nicht dem Zufall zu überlassen.

Reaktionsfähigkeit im Ernstfall

Kommt es dennoch zu einem Vorfall, ist eine strukturierte Incident-Response-Strategie entscheidend. Der betroffene Registrar sollte umgehend informiert und in die Wiederherstellung der Domain eingebunden werden. Parallel ist eine transparente Kommunikation mit relevanten Stakeholdern empfehlenswert, um Vertrauen zu wahren und Missverständnisse zu vermeiden.

Rechtlich stehen Unternehmen verschiedene Mittel zur Verfügung. Besonders relevant ist das UDRP-Verfahren, das von der Internetverwaltung ICANN für gTLDs etabliert wurde und nicht auf lokale Gerichtsbarkeit, sondern bei akkreditierten Schlichtungsstellen wie der WIPO durchführbar ist. Es ermöglicht eine vergleichsweise schnelle Klärung von Domain-Streitigkeiten – sofern die Voraussetzungen erfüllt sind. In Deutschland bietet zudem der sogenannte Dispute-Eintrag bei der DENIC eine Möglichkeit, .de-Domains bis zur gerichtlichen Klärung zu sichern.

Digitale Identität braucht rechtlichen und technischen Schutz

Domain-Hijacking ist keine hypothetische Gefahr, sondern eine reale Herausforderung für Unternehmen in der vernetzten Wirtschaft. Der Schutz der eigenen Domain ist integraler Bestandteil einer ganzheitlichen Sicherheits- und Markenstrategie. Er erfordert nicht nur technisches Know-how, sondern auch juristische Weitsicht und organisatorische Klarheit.

Unternehmen, die ihre Domain-Assets als strategisches Gut begreifen und entsprechende Schutzmaßnahmen implementieren, stärken ihre digitale Resilienz – und setzen ein klares Zeichen für Verlässlichkeit, Sicherheit und Kundenorientierung im digitalen Raum.

Über den Autor:

Christian Dallmayer, General Manager united-domains GmbH, Bild: united domains

Christian Dallmayer bringt über 15 Jahre Erfahrung in Web-, Technologie- und E-Commerce-Unternehmen mit, darunter gutefrage.net, equinux AG und 1-2-3.tv. Seit 2022 ist er bei united-domains und verantwortet als General Manager die Bereiche B2B und B2C.

Weitere Informationen zum Thema:

datensicherheit.de, 02.09.2020
Cybersquatting: Angreifer imitieren Domains großer Marken

Ein Kommentar von unserem Gastautor Andre Schindler, General Manager EMEA und SVP Global Sales bei NinjaOne

[datensicherheit.de, 08.05.2025] Laut des ifo-Instituts arbeiten 24,5 Prozent der Beschäftigten in Deutschland zumindest teilweise von zu Hause aus. Diese Zahl ist in den letzten Jahren stabil geblieben und trotz mancher Diskussion ist das Thema Homeoffice in vielen Unternehmen fest etabliert. Im Zuge dessen hat sich die Anzahl von Endpunkten entsprechend erhöht und auch die Möglichkeit für potenzielle Schwachstellen für die IT-Systeme.

Bedrohungen rechtzeitig erkennen

Reaktive Sicherheitsansätze und komplexe und ineffiziente Patch-Prozesse erhöhen diese Risiken und viele Unternehmen haben Schwierigkeiten, Schwachstellen – bevor sie eine ernsthafte Bedrohung darstellen – zu erkennen. Deshalb sind effiziente und effektive Prozesse für das Patch- und Schwachstellenmanagement wichtiger denn je.  Nur so können IT-Teams einen proaktiven, risikobasierten Ansatz verfolgen, mit dem sie Schwachstellen erkennen, bewerten, priorisieren und beheben können, bevor sie eskalieren.

Automatisierung und Priorisierung senken das Risiko von Cyberangriffen

Durch automatisiertes Patch-Management wird die Belastung der IT-Abteilungen deutlich reduziert und Fehler im Zusammenhang mit umständlichen, manuellen Prozessen minimiert. Das händische Einspielen von Patches ist zeitaufwendig und birgt Sicherheitsrisiken, wohingegen automatisierte Patch-Management-Lösungen Zeit für die Erkennung, das Testen und die Bereitstellung kritischer Updates einsparen und so eine schnellere Reaktion auf eventuelle Schwachpunkte ermöglichen.

Priorisierung von Schwachstellen wichtig

Die gute Nachricht ist hier, dass nicht alle Schwachstellen das gleiche Maß an Bedrohung darstellen. Deshalb können sie priorisiert werden, was wiederum noch mehr Zeit und Ressourcen schont. Automatisierte Risikobewertungen ermöglichen IT-Abteilungen, zuerst die kritischsten Schwachstellen anzugehen und dadurch Gefährdung durch schwerwiegende Sicherheitsbedrohungen zu verringern.   Der Einsatz künstlicher Intelligenz kann den Patch-Prozess noch weiter optimieren. KI-gesteuerte Tools liefern IT-Teams kontextbezogene Empfehlungen dazu, welche Patches wann installiert werden sollten, wodurch der Aufwand für die Fehlerbehebung und die Systemausfallzeiten weiter minimiert werden.

Fazit

Ohne effektives Patch-Management bleibt die Bewältigung von Cybersicherheitsrisiken eine ständige Herausforderung. Durch die Automatisierung des Patch-Managements können Unternehmen nicht nur das Risiko von Cyberangriffen verringern, sondern auch Ressourcen in den IT-Abteilungen für strategische Aufgaben freisetzen. Dadurch wird das Unternehmen effizienter, produktiver und letztlich sicherer.

Weitere Informationen zmum Thema:

NinjaOne
Automate the hardest parts of IT

datensicherheit.de, 31.07.2020
Das VPN nicht überlasten – wie moderne Patchvorgänge auch Homeoffices abdecken

Ein Beitrag von unseren Gastautoren Nischal Khadgi und Ujwal Thapa, Sicherheitsforscher bei Logpoint

[datensicherheit.de, 05.04.2025] ClickFix wird bereits von einer Reihe von nationalstaatlichen Akteuren wie APT 28 und Kimsuky genutzt. Besonders beliebt ist die Verbreitung von Stealer-Malware wie Lumma Stealer über die Social Engineering-Kampagne. Die Betreiber verleiten Benutzer dazu, bösartigen Code auf ihren Systemen auszuführen. Angreifer locken ihre Opfer auf scheinbar legitime, aber kompromittierte Websites, auf denen täuschen echt wirkende Pop-ups erscheinen. Diese Pop-ups fordern die Benutzer auf, auf Schaltflächen mit der Aufschrift „Reparieren“ oder „Ich bin kein Roboter“ zu klicken. Sobald sie angeklickt werden, wird automatisch ein Befehl in die Zwischenablage des Benutzers kopiert und der Benutzer dazu gebracht, ihn manuell zu kopieren und in sein Systemterminal einzufügen.

ClickFix-Angriffsvektoren, Bild: Logpont

ClickFix erstmalig Mitte 2024 entdeckt

Diese Technik wurde erstmals Mitte 2024 entdeckt und wird seither immer häufiger eingesetzt. Neben Phishing wurden auch Malvertising und SEO-Poisoning als Verbreitungstechniken beobachtet.

Die folgenden Tipps sollen Sicherheitsverantwortlichen bei der Erkennung und Behebung helfen:

ClickFix-InfektionsketteClickFix-Kampagnen stützen sich in hohem Maße auf Social Engineering-Techniken wie Phishing. Benutzer sollen dazu verleitet werden, auf Webseiten zu gehen, die bösartige Software herunterlädt. Daher müssen Unternehmen Wert auf regelmäßige Mitarbeiterschulungen legen, die sich auf das Erkennen von und die Reaktion auf Bedrohungen wie Phishing konzentrieren. Darüber hinaus sollten Unternehmen ein Verfahren für Mitarbeiter einrichten, die den Verdacht haben, Opfer eines Phishing-Angriffs geworden zu sein. Dies sollte eine Meldung an die zuständigen Behörden und der sofortigen Einleitung von Maßnahmen zur Eindämmung des Vorfalls und zur Minimierung möglicher Schäden behinhalten.

ClickFix-Infektionskette, Bild: Logpoint

„Defense-in-Depth“-Strategie für robuste Sicherheit

Unternehmen sollten eine „Defense-in-Depth“-Strategie anwenden, um eine robuste Sicherheit zu schaffen. Dazu gehören mehrere unabhängige Sicherheitskontrollen wie EDR, SIEM, Netzwerksegmentierung, Identitäts- und Zugriffsmanagement sowie E-Mail-/Web-Filterung in der gesamten Infrastruktur. Dieser mehrschichtige Ansatz hilft dabei, Bedrohungen frühzeitig zu erkennen und zu neutralisieren und so den potenziellen Schaden zu minimieren.

Überblick behalten

Eine Protokollierung, Asset-Transparenz und ein kontinuierliches Monitoring der Systems sind unerlässlich, um Bedrohungen wie ClickFix zu erkennen und darauf zu reagieren. Diese Funktionen bieten einen ganzheitlichen Überblick über das Netzwerk und erleichtern die Identifizierung von Anomalien, die einen bevorstehenden Angriff signalisieren können. Ein konsequentes Monitoring des Endpunkt- und Netzwerkverkehrs kann helfen, verdächtige Verhaltensweisen zu erkennen.

Unternehmen müssen über einen gut definierten Incident Response-Plan verfügen, um sicherzustellen, dass sie schnell und effektiv auf Sicherheitsvorfälle reagieren können. Ebenso wichtig ist die Durchführung regelmäßiger Übungen zur Reaktion auf sicherheitsrelevante Vorfälle. Diese Übungen tragen dazu bei, Lücken in der Reaktionsstrategie aufzudecken und die Benutzer bei der Erkennung sowie der richtigen Reaktion zu befähigen.

Weitere Informationen zum Thema:

datensicherheit.de, 26.03.2025
2024/2025: Alle 14 Sekunden ein Cyber-Angriff auf Unternehmen

Logpoint
ClickFix: Another Deceptive Social Engineering Technique

Von unserem Gastautor Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf

[datensicherheit.de, 04.04.2025] Cyberangriffe entwickeln sich stetig weiter, und klassische Abwehrmaßnahmen allein reichen oft nicht mehr aus. Threat Intelligence ist ein Schlüssel zur frühzeitigen Erkennung und Abwehr von Angriffen. Sie stellt Unternehmen jedoch vor die Herausforderung, relevante Erkenntnisse aus der schieren Menge an Bedrohungsinformationen zu identifizieren, zu verstehen und klare Maßnahmen abzuleiten.

Threat Intelligence – Den Angreifern einen Schritt voraus

Unter Threat Intelligence versteht man die systematische Sammlung, Analyse und Nutzung von Bedrohungsdaten, die dabei hilft, Angriffsmuster sowie häufig ausgenutzte Schwachstellen und aktuelle Bedrohungen in IT-Infrastrukturen zu erkennen und Sicherheitsmaßnahmen entsprechend anzupassen. Ohne sie wäre es für Unternehmen schwierig, zu verstehen, wie sich Angriffstaktiken verändern und welche Sicherheitsmaßnahmen erforderlich sind. Denn sie gibt z. B. Aufschluss darüber, wie Ransomware-Taktiken sich verändern, welche kriminellen Gruppen am aktivsten sind und wie häufig Phishing in bestimmten Branchen vorkommt.

Threat Intelligence basiert u. a. auf Darknet-Analysen, Indicators of Compromise (IOCs) wie schadhaften IPs, Security Operations Center (SOC)-Erkenntnissen, Informationen zu Angriffsmustern von Cyberkriminellen und allgemeinen Bedrohungstrends. Die Bedrohungsdaten können aus verschiedensten Quellen stammen, etwa aus Foren der Cybersecurity-Community, aus Sicherheitsprotokollen von Unternehmen, aus Publikationen von Forschern oder auch aus kostenpflichtigen Abonnements entsprechender Anbieter.

Entscheidend ist dabei jedoch, dass die Menge an technischen Details – wie IP-Adressen, Hashwerte, Domains, URLs oder Angriffstechniken – ebenfalls konsolidiert und in eine für Unternehmen nutzbare Form überführt werden. Denn Threat Intelligence muss handlungsorientiert sein. Für Unternehmen müssen sich aus der Nutzung konkrete Maßnahmen ableiten lassen. Andernfalls bleiben die Informationen lediglich von theoretischem Interesse und stellen rein technische Daten dar, ohne einen tatsächlichen Beitrag zur Verbesserung der Cybersicherheit des Unternehmens zu leisten.

Security- und IT-Verantwortliche in Unternehmen können diese Daten dann nutzen, um Bedrohungen in ihren jeweiligen IT-Landschaften zu erkennen, darauf zu reagieren und proaktive Sicherheitsmaßnahmen gezielt umzusetzen. Dadurch minimieren sie nicht nur Sicherheitsrisiken, sondern nutzen auch Budget, Ressourcen und Technologien effizienter.

Aktuelle Insights in die Cybersicherheitslandschaft

So gibt beispielsweise der aktuelle Threat Report von Arctic Wolf Einblicke in die aktuelle Bedrohungslage und leitet konkrete Handlungsempfehlungen ab. Der Security-as-a-Service-Anbieter betreibt eines der größten kommerziellen SOCs weltweit und erstellt den Bericht auf Basis von Bedrohungs-, Malware-, Digital-Forensik- und Incident-Response-Daten. Die Ergebnisse zeigen, wie Cyberkriminelle ihre Methoden weiterentwickeln, um stärkere Sicherheitsmaßnahmen zu umgehen: Ransomware-Angreifer setzen verstärkt auf Datendiebstahl, Business-E-Mail-Compromise-Taktiken werden raffinierter, und bekannte Schwachstellen sind weiterhin Einfallstor für Cyberkriminelle.

Beim Schwachstellenmanagement zeigt sich beispielsweise: Wenige Schwachstellen werden überproportional oft ausgenutzt. 2024 wurden über 40.000 Sicherheitslücken verzeichnet, doch in 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus – für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären. Dies macht deutlich, wie wichtig proaktives Patch-Management ist.

Trotz verfügbarer Sicherheitsupdates zögern viele Unternehmen, Patches zeitnah einzuspielen – sei es mangels klarer Prozesse oder aufgrund personeller Engpässe. Doch jedes ungepatchte System ist eine offene Tür für Angreifer – und genau darauf setzen Cyberkriminelle. Ein auf Threat Intelligence basierendes effektives Schwachstellenmanagement mit automatisierten Patch-Prozessen und kontinuierlicher Überwachung der Angriffsoberfläche sowie der Entwicklungen in der Bedrohungslandschaft ist daher essenziell, um das Risiko erfolgreicher Angriffe zu minimieren.

Die Herausforderung: Zu viele Daten, zu wenig Ressourcen

Wie das Beispiel Schwachstellenmanagement zeigt, mangelt es Unternehmen oft nicht an der Verfügbarkeit von relevanten Bedrohungsdaten, sondern an den Ressourcen, diese sinnvoll zu nutzen. Besonders kleinere Security-Teams stehen vor der Herausforderung, die Masse an Informationen effizient zu analysieren und zu verwalten. Hier kommen externe Sicherheitspartner ins Spiel, die Unternehmen mit gezielten Threat-Intelligence-Maßnahmen unterstützen können, z. B. durch:

• Risikobasiertes Schwachstellenmanagement: Identifikation und Priorisierung von Sicherheitslücken nach Dringlichkeit
• Kuratiertes Reporting: Bereitstellung relevanter Informationen anstelle einer unübersichtlichen Flut an Rohdaten
• Echtzeit-Warnungen: Automatische Benachrichtigung über kritische Bedrohungen

Ein weiterer Vorteil der Zusammenarbeit mit externen Partnern ist ihr breiter Datenzugang: Sie analysieren Bedrohungstrends über zahlreiche Unternehmen hinweg und können dadurch präzisere, praxisnahe Empfehlungen ableiten. Von diesem Wissen profitieren wiederum Unternehmen und können ihre Sicherheitsmaßnahmen gezielt anpassen.

Fazit: Kuratierte Threat Intelligence als Schlüssel zum Erfolg

Threat Intelligence ist essenziell, doch ohne strukturierte Analysen bleiben wertvolle Informationen ungenutzt. Nur mit kuratierter Threat Intelligence lässt sich die Flut an Bedrohungsdaten sinnvoll auswerten, Sicherheitsstrategien optimieren und fundierte Entscheidungen treffen. Fehlen die internen Ressourcen, um dies abzudecken, kann die Zusammenarbeit mit einem spezialisierten Security-Partner wie Arctic Wolf Unternehmen dabei unterstützen, ihre Sicherheitslage nachhaltig zu verbessern.

Dr. Sebastian Schmerl, Vice President Security Services EMEA bei Arctic Wolf, Bild: Arctic Wolf

Über den Autor

Dr. Sebastian Schmerl ist Vice President Security Services EMEA und verantwortlich für Cyber Security Operations bei Arctic Wolf. Er unterstützt Kunden bei der Prävention, Erkennung und Reaktion auf Sicherheitsvorfälle in komplexen IT-Landschaften und Cloud- oder ICS-Umgebungen.