[datensicherheit.de, 24.03.2026] Der neue „NETSCOUT DDoS Threat Intelligence Report“ dokumentiert laut NETSCOUT eine dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und die Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss: In der zweiten Jahreshälfte 2025 wurden demnach weltweit mehr als acht Millionen DDoS-Angriffe registriert. Besonders auffällig sei der Druck auf Kritische Infrastrukturen (KRITIS) – ausgelöst durch „Hacktivisten“, DDoS-for-hire-Dienste und Botnetze.

Abbildung: NETSCOUT

„NETSCOUT DDoS Threat Intelligence Report“: Dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss

In Deutschland sind Rechenzentren und Hosting-Dienste am stärksten betroffen

Die DDoS-Bedrohungslage in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) zeige im Jahr 2025 eine deutliche strukturelle Verschiebung, bei der sich der Fokus zunehmend von massenhaften Volumenangriffen hin zu leistungsstärkeren und strategisch eingesetzten Angriffsszenarien verlagere.

• DDoS-Angriffe hätten es insbesondere auf digitale Kerninfrastrukturen abgesehen, wobei „Computing Infrastructure Provider“ wie Rechenzentren, Hosting- und Datenverarbeitungsdienste mit mehr als 70.000 registrierten Angriffen mit deutlichem Abstand an der Spitze stünden.

Dahinter folgten kabelgebundene Telekommunikationsanbieter mit 28.981 sowie Mobilfunkanbieter mit 21.524 Angriffen. Die Angriffsfrequenz sei damit eindeutig dort am höchsten, wo Störungen eine maximale Breitenwirkung entfalten können.

Unterschiedliche DDoS-Belastungsmuster in der DACH-Region

Dass auch transport- und mobilitätsnahe Infrastrukturen zunehmend ins Visier gerieten, habe Anfang 2026 der DDoS-Angriff auf die Deutsche Bahn (DB) gezeigt. Diese Attacke erfolgte laut Unternehmensangaben in mehreren Wellen. Betroffen gewesen seien insbesondere die Auskunfts- und Buchungssysteme – darunter die Website „bahn.de“ sowie die App „DB Navigator“.

• Zwar zähle der Mobilitätssektor nicht zu den drei dominierenden Telekommunikations- oder Hosting-Kategorien, gehöre jedoch in Deutschland zu den am stärksten angegriffenen Branchen außerhalb der klassischen Netz- und Infrastruktursegmente.

In der Schweiz sei im Jahr 2025 ein leichter Anstieg von rund vier Prozent vom ersten auf das zweite Halbjahr auf insgesamt 43.466 Angriffe zu verzeichnen. Deutlich markanter sei jedoch die Angriffsdauer im zweiten Halbjahr 2025 (106,45 Minuten), welche die Vergleichswerte in Österreich und Deutschland übertreffe.

Kabelgebundene Anbieter in Österreich deutlich an erster Stelle

Für Österreich zeige sich ein etwas anderes Muster als in der Schweiz: Dort dominiere klar die Angriffsfrequenz bei kabelgebundenen Netzbetreibern, während die längsten Angriffe auf digitale Infrastruktur- und Hosting-Anbieter zielten. Mit 13.867 Angriffen stünden kabelgebundene Anbieter deutlich an erster Stelle und die Angriffe seien zahlreich, aber eher kurz bis mittellang angelegt.

• Dies spreche für wiederkehrende, volumenbasierte Störversuche gegen klassische Netzbetreiber. Anbieter von IT-Infrastruktur folgen auf Platz 2, mobile Netzbetreiber auf Platz 3 – das Muster entspreche damit dem regionalen Trend. Trotz unterschiedlicher Schwerpunkte konzentrierten sich DDoS-Angriffe in allen drei Ländern auf systemrelevante Telekommunikations- und Infrastruktursektoren.

Dass DDoS-Angriffe im Umfeld internationaler Großereignisse zusätzliche Dynamik entfalten könnten, hätten die Olympischen Winterspiele 2026 in Mailand-Cortina bestätigt: „Im Rahmen einer Angriffswelle der pro-russischen Gruppe ,NoName057‘ war unter anderem die Website des Österreichischen Olympischen Comités (ÖOC) zeitweise betroffen und für rund eine Stunde lahmgelegt.“

Qualitative Verschiebung der Bedrohungslage in der DACH-Region

Der aktuelle „NETSCOUT Threat Intelligence“-Bericht zeige, dass die DDoS-Entwicklung 2025 in der DACH-Region weniger von reiner Quantität, sondern mehr von qualitativer Eskalation geprägt gewesen sei. Multi-Vektor-Angriffe gehörten weiterhin zum festen Bestandteil des DDoS-Geschehens, so dass unterschiedliche Angriffsmethoden kombiniert und teils während der laufenden Attacke angepasst würden, um Erkennungs- und Abwehrmechanismen zu umgehen.

• Der zunehmende Einsatz KI-gestützter Werkzeuge senke zudem die technische Einstiegshürde für bestimmte Angriffstypen, denn Botnet-Steuerung oder Schwachstellenanalysen ließen sich stärker automatisieren.

„Large Language Models“ (LLMs) – im DarkWeb-Umfeld als „Dark LLMs“ genutzt – beschleunigten diese Abläufe zusätzlich und erleichterten die operative Umsetzung. Angesichts der technologischen Fortschritte im Bedrohungsumfeld seien intelligente und zunehmend autonome Verteidigungsmaßnahmen erforderlich, um systemische Betriebsstörungen wirksam zu begrenzen.

Weitere Informationen zum Thema:

NETSCOUT
ABOUT US: We are the Guardians of the Connected World.

NETSCOUT
Unmasking the Swarm: The Evolving Tactics of Botnet-Driven DDoS Attacks / DDoS Threat Intelligence Report / Issue 16: Findings from 2H 2025

datensicherheit.de, 20.02.2026
DDoS-Angriffe wie vor Kurzem auf die DB können Vertrauen der Kunden untergraben / Der jüngste Cyberangriff auf die DB Bahn zeigte abermals, wie angreifbar selbst zentrale Akteure der Kritischen Infrastruktur im Digitalen Raum sind

datensicherheit.de, 09.05.2025
Welle von DDoS-Angriffen: Deutsche Stadtportale im Visier / Häufung von DDoS-Attacken, bei denen Server durch Flut automatisierter Anfragen gezielt überlastet werden

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe / Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen

[datensicherheit.de, 18.01.2026] Der Hacker-Angriff auf „Eurail“ bzw. „Interrail“ sollte laut Darren Guccione, CEO und Co-Founder von Keeper Security, sowohl Unternehmen als auch Kunden in höchste Alarmbereitschaft versetzen: „Sensible Reisedaten könnten leicht missbraucht werden, wenn sie in die falschen Hände geraten!“, warnt er in seiner aktuellen Stellungnahme. Nach den bisher bekannt gewordenen Informationen berge diese Offenlegung von Passdaten und Kontaktinformationen ein hohes Risiko für Folgeangriffe, auch wenn die zentralen Buchungs- oder Zahlungssysteme demnach nicht direkt kompromittiert wurden.

Foto: Keeper Security

Darren Guccione: Wenn bei Datendiebstählen Ausweisdokumente betroffen sind, besteht zusätzlich das Risiko von Identitätsbetrug und langfristigem Missbrauch von Konten!

Reise- und Ausweisdaten für Cyberkriminelle besonders nützlich

Reisedaten seien für Cyberkriminelle besonders wertvoll: „Sie bieten einen guten Kontext für gezielte Phishing- und Social-Engineering-Betrugsversuche.“

• Gefälschte Rückerstattungsmitteilungen, Reiseplanänderungen oder Grenzkontrollwarnungen erschienen besonders glaubwürdig, da sie sowohl auf echte Reisebuchungen als auch auf persönliche Daten Bezug nähmen.

„Wenn bei Datendiebstählen Ausweisdokumente betroffen sind, besteht zusätzlich das Risiko von Identitätsbetrug und langfristigem Missbrauch von Konten“, erläutert Guccione.

Nach mutmaßlichem Datendiebstahl vermeintliche E-Mails und Textnachrichten der Eurail B.V. genau prüfen

Für betroffene Kunden sei nun Wachsamkeit geboten: „Unerwartete E-Mails oder Nachrichten, die sich auf Reisen mit ,Eurail’ oder ,DiscoverEU‘ beziehen, sollten mit äußerster Vorsicht behandelt und Konten genau überwacht werden!“

• Kunden sollten E-Mails und Textnachrichten genau prüfen. Es sei wichtig, keinesfalls auf verdächtige Links zu klicken oder unbekannte E-Mail-Anhänge zu öffnen, da diese Malware auf das Gerät herunterladen oder Anmeldedaten, Zahlungsinformationen und andere sensible Daten stehlen könnten.

Die Aktivierung der Multi-Faktor-Authentifizierung (MFA) und die Verwendung eindeutiger und sicherer Passwörter seien ebenfalls wichtige Maßnahmen, um die Auswirkungen eines versuchten Kontoübergriffs erheblich zu begrenzen.

Für digitale Reiseplattformen ein Weckruf, mehr auf Datensicherheit zu achten

Für Unternehmen, die große digitale Reiseplattformen betreiben, sei dies eine weitere Erinnerung daran, dass sensible Identitätsdaten jederzeit streng kontrolliert, der Zugriff kontinuierlich überwacht und Systeme von Drittanbietern als Teil der Angriffsfläche für Cyberangriffe behandelt werden müssen.

• Zero-Trust-Prinzipien, Zugriff mit geringsten Berechtigungen und eine starke Identitäts- und Zugriffsverwaltung seien heute grundlegende Anforderungen, um das Vertrauen der Kunden in großem Maßstab zu schützen.

„Eurail“ und „Interrail“ wurden 1959 eingeführt, um Fahrkartenangebote zur Nutzung europäischer Eisenbahnstrecken zum Pauschalpreis anzubieten: „Eurail“-Pässe sind für nicht-europäische Kunden bestimmt, während „Interrail“-Pässe an europäische Bahnreisende vergeben werden. Als organisatorisches Dach fungiert die niederländische Kapitalgesellschaft Eurail B.V. mit ihrem Verwaltungssitz in Utrecht.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Darren Guccione / Aktuelle Artikel von Darren

eurail
About us / Helping travelers to discover Europe since 1959

eurail, 10.01.2026
Data security incident: Eurail B.V. shares information about a recent data security incident

interrail
Über uns / Seit 1959 helfen wir Reisenden, Europa zu entdecken.

SPIEGEL Netzwelt, 15.01.2026
Schwerer Vorfall bei Eurail Daten von Interrail-Kunden gestohlen / Passnummern, Geburtsdaten, Kontaktadressen: Unbekannte Angreifer haben sich Zugriff auf Kundendaten des Anbieters Eurail verschafft. Das Unternehmen warnt vor möglichen Betrugsversuchen.

WIKIPEDIA
Eurail

Die Bundesregierung, 14.11.2025
DiscoverEU: Verlosung von Travel-Pässen Durch Europa bereisen / Die EU-Initiative DiscoverEU ermöglicht es jungen Menschen, Europa zu entdecken. Zweimal im Jahr werden rund 40.000 Travel-Pässe an 18-jährige Europäerinnen und Europäer verlost. Die aktuelle Bewerbungsrunde lief bis zum 13. November 2025.

[datensicherheit.de, 17.01.2026] Das „Unit 42“-Team von Palo Alto Networks hat am 15. Januar 2026 einen neuen Report veröffentlicht, welcher der Bedrohungslage für die Olympischen Winterspiele in Mailand und Cortina gewidmet ist: Anfang Februar 2026 richtet sich nicht nur die Aufmerksamkeit von Sportfans weltweit auf Italien – auch Cyberkriminelle und staatlich gesteuerte Akteure werden dieses globale Großereignis für ihre Zwecke ausnutzen, so die aktuelle Warnung.

Abbildung: paloalto NETWORKS

Die „Unit 42“ warnt: Auch Cyberkriminelle und staatlich gesteuerte Akteure werden dieses globale Großereignis für ihre Zwecke ausnutzen!

Cyberangriffe bei Olympia keine Seltenheit: „Unit 42“ hatte 2024 deutlichen Anstieg cyberkrimineller Aktivitäten registriert

Die Vergangenheit zeigt demnach: „In Pyeongchang 2018 legten Angreifer WLAN und digitale Infrastrukturen lahm. Bei den Spielen in Tokio 2021 versuchten russische Bedrohungsakteure, bereits die Vorbereitungen zu sabotieren.“

• 2024 in Paris habe die „Unit 42“ einen deutlichen Anstieg von DDoS-Attacken, Phishing-Kampagnen mit Olympia-Bezug und Betrugsversuchen registriert – „die Behörden meldeten über 140 Cybervorfälle“.

Um Sicherheitsverantwortliche zu unterstützen, hat die „Unit 42“ den Report „Defending the 2026 Milan-Cortina Winter Games“ veröffentlicht. Die Experten gehen darin auf ihre Analysen ein und beschreiben, welche Angreifer die Spiele bedrohen, was sie antreibt und mit welchen Methoden sie vorgehen – zudem benennen sie konkrete Schutzmaßnahmen.

Die wichtigsten Erkenntnisse der „Unit 42“:

• Bedrohungsakteure
  Ransomware-Gruppen, staatlich gesteuerte Bedrohungsakteure und Hacktivisten.
• Konkrete Gefahren
  „Muddled Libra“, „Insidious Taurus“ und „Salt Typhoon“.
• Angriffsmethoden
  „Social Engineering“, DDoS-Attacken, API-Schwachstellen.
• Schutzstrategien
  „Zero Trust“, „Runtime Security“, KI-gestützte Automatisierung

Bei Olympia kollidiert unbedingter Live-Anspruch oft mit IT-Security-Vorgaben

Andreas Schneider, CSO für Zentraleuropa bei Palo Alto Networks, unterstreicht die besondere Verwundbarkeit der übertragenden Fernsehanstalten: „Als ehemaliger CISO eines öffentlich-rechtlichen Broadcasters weiß ich: Bei Olympia kollidiert der unbedingte Live-Anspruch oft mit Security-Vorgaben.“

• Durch den technologischen Schwenk von geschlossenen, broadcast-spezifischen Technologien hin zu offenen IP-basierten „Workflows“ habe sich die Angriffsfläche deutlich vergrößert, während die verschärfte geopolitische Lage die Winterspiele 2026 zu einem attraktiven Ziel für Sabotage mache.

Er betont abschließend: „Gerade für ,Broadcaster’ in Deutschland und der Schweiz, die ohnehin unter starkem Rechtfertigungsdruck stehen, ist eine lückenlose Cyberresilienz heute keine Option mehr, sondern eine Überlebensfrage für ihre gesellschaftliche Akzeptanz!“

Weitere Informationen zum Thema:

UNIT 42
Unit 42: Intelligence driven, response ready…

UNIT 42
Defending the 2026 Milano Cortina Winter Games / Staying vigilant on the world’s largest stage

paloalto NETWORKS, UNIT 42. 2026
Cyber Threats to Milan-Cortina 2026

iTReseller, 06.06.2025
Palo Alto ernennt Andreas Schneider zum CSO Zentraleuropa / Andreas Schneider ist neuer CSO bei Palo Alto Networks für DACH und Osteuropa. Er soll aus der Schweiz Kunden in der gesamten Region beraten.

olympics.com
Olympische Winterspiele · 6. bis 22. Februar 2026 | Paralympische Winterspiele · 6. bis 15. März 2026

datensicherheit.de, 05.08.2024
Cyber-Games: Hacker missbrauchen olympische Begeisterung für Angriffe / Olympischen Spielen in Paris könnten zehnmal so viele Angriffe wie jenen in Tokio drohen

datensicherheit.de, 22.07.2024
Vielfältige Cyber-Bedrohungen rund um die Olympischen Spiele 2024 / Großereignis in Paris bietet auch ein attraktives Umfeld für Cyber-Kriminelle

datensicherheit.de, 22.07.2024
Olympische Sommerspiele – neben Fans und Medien werden auch Cyber-Kriminelle angelockt / Kaspersky warnt vor Phishing-Webseiten mit Olympia-Bezug und Cyber-Betrugsversuchen

[datensicherheit.de, 10.12.2025] Heutige Cyberangriffe haben offensichtlich die klassische Definition von Insider-Bedrohungen überholt, denn nunmehr wird quasi jeder Angreifer im Cyberspace zum „Innentäter“ – nämlich dann, sobald er Identität oder Gerät eines Nutzers kompromittiert hat. Durch Missbrauch legitimer Berechtigungen und „Living off the Land“-Taktiken agiert ein solcher dann unauffällig wie ein echter Mitarbeiter – eine bedenkliche Entwicklung, denn klassische Erkennungsmechanismen werden ausgehebelt und jeder Betrieb wird durch diese cyberkriminelle Taktik verwundbar. Tony Fergusson, „CISO in Residence“ bei Zscaler, zeigt in seinem aktuellen Kommentar, warum das Verhalten des Nutzers zum entscheidenden Vertrauenssignal wird: Ein „Zero Trust“-Ansatz ist demnach das Fundament einer robusten Sicherheitsarchitektur – doch erst zusätzliche Unvorhersehbarkeit und Täuschung (sog. „Negative Trust“) würden Cyberangreifer denn dazu zwingen, sichtbar zu werden. So entstehe ein neuer Ansatz, um Cyberangriffe frühzeitig zu erkennen und moderne Insider-Risiken wirksam einzudämmen.

Foto: Zscaler

Tony Fergusson: Die Zukunft der Verteidigung liegt darin, Angriffspfade zu minimieren, indem man durch „Zero Trust“ Vertrauen in eine Umgebung einbettet und anschließend mit „Negative Trust“ Rauschen hinzufügt…

Aufkommen der „Cloud“ macht berechtigte Nutzer ortsunabhängig – cyberkriminelle aber auch

„Das Risiko von Insider-Bedrohungen begleitet Unternehmen seit jeher – doch seine Bedeutung hat sich gewandelt“, betont Fergusson. Per Definition habe man unter einem „Insider“ jemanden verstanden, der sich physisch im Unternehmen aufhielt: Mitarbeiter im Büro oder vor Ort im Einsatz befindliche externe Fachkräfte.

• „Diese Ansicht hat sich mit dem Aufkommen der ,Cloud’ gewandelt. User arbeiten ortsunabhängig, Daten liegen verteilt in ,Cloud’-Umgebungen und der Netzwerkperimeter existiert nicht mehr. Hat jemand Zugang zu dieser virtuellen Unternehmensumgebung, wird er automatisch zum Insider.“

Dies wirft laut Fergusson die zentrale Frage auf: „Wenn ein Gerät mittels Malware und Command-and-Control-Funktionen kompromittiert wird, handelt es sich dann um einen Insider-Angriff?“ Er betont: „Aus der Perspektive des Zugriffs eindeutig ja. Denn der Angreifer verfügt dann über dieselben Berechtigungen wie ein legitimer User.“

Bewegungen des Angreifers ähneln regulären Zugriffsmustern eines legitimen Insiders

Darin liege nun die eigentliche Herausforderung: Cyberangreifer nutzten die veränderte IT-Landschaft geschickt aus. „Sobald sie eine Identität oder ein Gerät kompromittiert haben – sei es durch Phishing, Malware oder gestohlene Anmeldedaten –, übernehmen sie die Berechtigungen und Privilegien eines autorisierten Users.“

• Die Bewegungen des Angreifers ähnelten ab diesem Moment also regulären Zugriffsmustern. Je näher Eindringlinge an kritische Systeme und sensible Daten herankommen, desto stärker würden die Grenzen zwischen legitimer Aktivität und Angriffen verschwimmen.

„Wenn der Malware-Akteur tief in die Infrastruktur eines Unternehmens eingedrungen ist, agiert er praktisch wie eine autorisierte Person – im Extremfall wie ein Systemadministrator!“, warnt Fergusson.

„Living off the Land“-Methodik der Angreifer lässt diese als berechtigte Insider erscheinen

Ein zentrales Element dieser Methodik sei „Living off the Land“ (LOTL). Dabei nutzten Angreifer ausschließlich vorhandene „Tools“, Anmeldedaten und Prozesse und lenkten so bewusst keine Aufmerksamkeit auf sich. Sie vermieden es, verdächtige Software oder ungewohnte Verhaltensweisen in das Netzwerk einzuführen.

• „Sie bewegen sich unerkannt unterhalb des Radarschirms der Sicherheit und vermischen sich nahtlos mit legitimen Usern. Sie wirken wie jemand, der im Unternehmen im Anzug erscheint und dort ein- und ausgeht, selbstbewusst auftritt und die Routinen anderer Mitarbeitender übernimmt, so dass niemand durch ihre Präsenz misstrauisch wird.“

Genau diese Fähigkeit, in der Menge zu verschwinden, stelle indes eine erhebliche Herausforderung für die Erkennung solcher Angreifer dar und mache verhaltensbasierte Analysen und kontinuierliche Überwachung unverzichtbar.

Unvorhersehbarkeit als Grundprinzip moderner Verteidigung

Fergusson legt nahe: „Um solche Angreifer zu erkennen, müssen Unternehmen den Fokus deutlich stärker auf das Verhalten legen und nicht mehr ausschließlich an der User-Identität festmachen!“

• Abweichungen vom Normalverhalten eines Nutzers bildeten ein wichtiges Warnsignal – unabhängig davon, ob dieser böswillig agiert oder ein kompromittiertes Konto genutzt wird. Beide Vorgehensweisen folgten ähnlichen Mustern:

Sie suchten nach wertvollen „Assets“ und sensiblen Daten. „Da hilft es nur noch, ,Fallstricke’ im Netzwerk auszulegen, die bei ungewöhnlichen Aktivitäten auslösen und den Eindringling frühzeitig sichtbar machen, bevor er sein eigentliches Ziel erreicht hat“, erläutert Fergusson.

„Zero Trust“ und „Negative Trust“ zur Abwehr unberechtigter Insider

Doch ,Fallen’ allein genügten nicht für eine umfangreiche Resilienz: „Ein robustes Sicherheitsfundament basiert auf dem ,Zero Trust’-Ansatz: Vertrauen darf weder statisch noch implizit sein, sondern muss kontinuierlich überprüft werden!“

• Starke Authentifizierung, abgesicherte Unternehmensgeräte und fortlaufende Monitoring-Prozesse erschwerten Angreifern den unbefugten Zugriff erheblich. Sicherheitsverantwortliche sollten allerdings noch einen Schritt weitergehen und sich „Negative Trust“ zu eigen machen.

Sogenanntes Negatives Vertrauen bringe gezielte Unvorhersehbarkeit und kontrollierte Täuschung ins Spiel – ein wirkungsvoller Mechanismus, um Cyberangreifer vom eigentlichen Ziel abzulenken.

„Negative Trust“ erzeugt Rauschen, erhöht die Entropie und zwingt auf Köder zu reagieren

„Viele Unternehmensprozesse sind zu standardisiert – und diese Vorhersehbarkeit erleichtert dem Angreifer das Zurechtfinden im System“, erklärt Fergusson. Durch Variabilität und Störsignale aber entstehe eine Umgebung, welche für Angreifer schwerer navigierbar werde, während Verteidiger Anomalien leichter erkennen könnten.

• Zum Vergleich: „Verschlüsselte Daten besitzen hohe Entropie und wirken zufällig – ein Zustand, den Angreifer meiden. Klartext ist hingegen vorhersehbar und damit attraktiv.“

Gleiches gelte eben auch für IT-Umgebungen: „Je vorhersehbarer Systeme sind, desto leichter können sich Angreifer darin unbemerkt bewegen. ,Negative Trust’ erzeugt Rauschen, erhöht die Entropie und zwingt Angreifer, auf Köder zu reagieren.“

Nutzer-Verhalten als entscheidendes Vertrauenssignal

„Moderne Angreifer hacken sich heute nicht mehr ins Netzwerk, sie loggen sich ein und bewegen sich dann vollkommen sichtbar in der Umgebung.“ Dementsprechend ähnelten solche Attacken fast immer Insider-Angriffen – „unabhängig davon, ob die handelnde Identität real oder kompromittiert ist“.

• Deshalb sollte jede Bedrohung als Insider-Bedrohung betrachtet werden. Die Zukunft der Verteidigung liege darin, Angriffspfade zu minimieren, „indem man durch ,Zero Trust’ Vertrauen in eine Umgebung einbettet und anschließend mit ,Negative Trust’ Rauschen hinzufügt“.

Auf diese Weise stärkten Unternehmen ihre Fähigkeit, böswilliges Verhalten frühzeitig zu identifizieren. Fergussons Fazit: „Dies gilt umso mehr, da Angreifer zunehmend bereit sind, Mitarbeitende zu bestechen, um Daten weiterzugeben oder Authentifizierungs-Cookies aus Browsern abzuziehen. In der heutigen Zeit, in der es keine Perimetergrenze mehr gibt, wird das Verhalten des Users zum einzigen wirklich verlässlichen Vertrauenssignal.“

Weitere Informationen zum Thema:

zscaler
Über Zscaler: Transformation – heute und morgen / Das Unternehmen nutzt die größte Security Cloud der Welt, um die Geschäfte der etabliertesten Unternehmen der Welt zu antizipieren, abzusichern und zu vereinfachen

zscaler
CISO in Residence: Tony Fergusson

datensicherheit.de, 29.11.2025
G DATA prognostiziert neue Dynamik der Cyberkriminalität: KI-Malware und Insider-Bedrohungen bestimmen 2026 die Bedrohungslage / G DATA gibt IT-Security-Ausblick und empfiehlt zur robusten Cyberabwehr moderne Technik sowie „Awareness Trainings“

datensicherheit.de, 08.09.2025
Laut neuer OPSWAT-Studie gefährden Insider und KI-Lücken Dateisicherheit in Unternehmen / Bedrohungen durch Insider und Blinde Flecken im Kontext Künstlicher Intelligenz erhöhen massiv die Dateisicherheitsrisiken in Unternehmen und verursachen Schäden in Millionenhöhe

datensicherheit.de, 02.09.2025
Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure / Risiken durch Insider – also Bedrohungen, welche von Personen mit legitimen Zugriffsrechten ausgehen – gehören zu den größten und kostspieligsten Herausforderungen für Unternehmen

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

[datensicherheit.de, 08.12.2025] „Vor Kurzem hat Entrust seinen neuen jährlichen ,Identity Fraud Report’ vorgestellt. In ihm warnt das Unternehmen vor einem signifikanten Anstieg von Deepfake-Angriffen“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Sowohl quanti- als auch qualitativ hätten auf Künstlicher Intelligenz (KI) basierende Betrugsfälle 2025 merklich zugelegt. Bei jedem fünften von ihnen werde mittlerweile auf Deepfakes gesetzt. Allein die Zahl gefälschter Selfies sei 2025 um 58 Prozent gestiegen. Am effektivsten – da umfassendsten – könne der Einsatz eines modernen „Human Risk Management“-Systems helfen. Dessen Phishing-Trainings, -Schulungen und -Tests ließen sich mittels KI mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken.

Foto: KnowBe4

Dr. Martin J. Krämer: Will man die eigenen Systeme erfolgreich vor Betrug – auch und gerade vor Deepfakes – absichern, muss man dem „Faktor Mensch“ auch weiterhin eine zentrale Rolle innerhalb der eigenen IT-Sicherheit zuweisen!

Immer schneller, unkomplizierter – und mit einer stetig steigenden Erfolgsquote – werden Deepfake-Angriffe umgesetzt

Eine zentrale Ursache laut Krämer: „Immer mehr KI-Plattformen drängen auf den freien Markt, die missbraucht werden können. Und immer mehr bösartige ‚Kits‘ sind im ,Darknet’ erhältlich, mit denen sich auch komplexe Deepfake-Angriffe realisieren lassen.“

• Realistisch wirkende Fake-Medieninhalte, egal ob nun Video, Audio oder Text, ließen sich mittlerweile auch von Laien weitgehend problemlos erstellen. Immer schneller, unkomplizierter – und mit einer stetig steigenden Erfolgsquote – könnten sie Deepfake-Angriffe realisieren. Längst fluteten ihre Deepfakes das Netz. „Der erwähnte 58-prozentige Anstieg von Fake-Selfies, er kommt nicht von ungefähr.“

Vor allem „Injection“-Angriffe hätten 2025 noch einmal kräftig zugelegt – im Vergleich zum Vorjahr um sage und schreibe 40 Prozent. „Bei einem ,Injection’-Angriff nutzt ein Angreifer eine Sicherheitslücke, um bösartigen Code in eine Anwendung einzuschleusen.“ Typischerweise über unzureichend validierte Benutzereingabefelder, um die beabsichtigte Logik der Anwendung zu manipulieren und sich unautorisierten Zugriff auf Daten oder ein System zu verschaffen.

In zwei „Injection“-Angriffsszenarien kommen Deepfakes mittlerweile verstärkt zum Einsatz:

1. „Video/Media-Injection“ (als ,Injection’-Angriff auf das Authentifizierungssystem)
   Angreifer schleusten hierbei einen Deepfake-Inhalt (Video, Audio oder Bild) in den Datenstrom eines Systems ein, welches diesen Inhalt dann als „echt“ interpretiere.
   Das Hauptziel des Angriffs sei die Umgehung biometrischer Verifizierungssysteme und anderer digitaler Kontrollen.
2. „Adversarial Injection“ (als „Injection“-Angriff auf das Detektionssystem)
   Angreifer fügten hierzu einem Deepfake-Inhalt „unsichtbare“ Störungen (Perturbationen) bei, um einen Deepfake-Detektor (ein KI-Modell, das Fälschungen erkennen soll) gezielt zu täuschen.
   Ziel sei es, den Detektor dazu zu bringen, dass er den gefälschten Inhalt als echt einstuft.

„Faktor Mensch“ von zentraler Bedeutung bei Deepfake-Abwehr

Der Bericht zeige: „Unternehmen sollten sich, wenn es um Betrugsprävention geht, nicht zu sehr auf ihre technischen Sicherheitslösungen verlassen!“ Längst hätten Angreifer begonnen, eben diese ins Visier zu nehmen.

• „Will man die eigenen Systeme erfolgreich vor Betrug – auch und gerade vor Deepfakes – absichern, will man eigene Risiken nachhaltig reduzieren, muss man dem ,Faktor Mensch’ auch weiterhin eine zentrale Rolle innerhalb der eigenen IT-Sicherheit zuweisen – und die eigenen Mitarbeiter entsprechend schulen“, betont Krämer.

Er rät daher:

• „Trainieren Sie Ihre Mitarbeiter darin, verdächtige Aktivitäten, die auf einen Deepfake-Angriff schließen lassen, zu erkennen!“
• „Vermitteln Sie ihnen das erforderliche Bewusstsein, so dass sie sich ein Bild von der steigenden Qualität und den spezifischen Risiken von Deepfakes (Video, Audio, Bild) machen können!“
• „Vermitteln Sie klare Verhaltensregeln zum Umgang mit verdächtigen Inhalten und zur Prüfung kritischer Anfragen (zum Beispiel von Zahlungsanweisungen)!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

ENTRUST
Identity Fraud Report: Explore the Latest in Global Fraud Intelligence / Fraudsters follow opportunity, and people remain one of the most vulnerable links in the chain. In 2025, we saw social engineering and coercion pose an increasing threat to identity verification, especially during the onboarding process.

datensicherheit.de, 14.10.2025
KI-basierte Betrugsmethoden: Wenn Deepfakes zur Waffe werden / Künstliche Intelligenz (KI) wird zunehmend zur Waffe in den Händen von Kriminellen. Während wir noch über die Chancen der Digitalisierung diskutieren, nutzen Betrüger bereits hoch entwickelte KI-Tools, um perfekte Fälschungen zu erstellen, die selbst Experten täuschen können und eine Herausforderung für Ermittler und Unternehmen darstellen

datensicherheit.de, 22.09.2025
Deepfakes in Echtzeit ab 30 US-Dollar im Darknet angeboten / Kaspersky-Experten vom „Global Research and Analysis Team“ (GReAT) haben in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio günstig anbieten

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

[datensicherheit.de, 01.12.2025] Montag, der 1. Dezember 2025 ist „Cyber Monday“ und soll wieder Käufer mit Rabatten locken – auch dieser dem Konsum gewidmete Tag wird eingerahmt vom „Black Friday“ (zuletzt am 28. November 2025) und den verstärkten Bestellungen bzw. Einkäufen in der Adventszeit 2025. Gerade in solchen Zeiten ist mit groß angelegte Bot-Angriffe im saisonalen Einzelhandel zu rechnen, wenn hoher Datenverkehr, erhöhtes Checkout-Volumen und intensive Werbeaktivitäten zu verzeichnen sind und leicht von Sicherheitserwägungen ablenken können. Studien wie u.a. der „Thales Imperva Bad Bot Report 2025“ zeigen dann auch auf, dass besonders der Einzelhandel dann zum Ziel Cyberkrimineller wird. Julian Iavarone, „Technical Consultant“ für die DACH-Region bei Thales, kommentiert in seiner aktuellen Stellungnahme: „Jährlich erhalten Online-Händler ihren größten Umsatz im Zeitraum November bis Dezember, also zwischen ,Black Friday’, ,Cyber Monday’ und der Adventszeit bis hin zu Weihnachten. Datenverkehr und Transaktionsvolumen nehmen zu, doch zugleich auch die Bedrohungslage. Auch Cyberkriminelle wissen, dass sie zu dieser Jahreszeit den größten Gewinn erzielen können.“

Foto: Thales

Julian Iavarone: Online-Händler verzeichnen während „Black Friday“, „Cyber Monday“ und der Adventszeit ein stark erhöhtes Umsatz- und Datenvolumen – Cyberkriminelle nutzen dies gezielt für automatisierte Bot-Angriffe aus!

Rabatt-Aktionstage wie „Cyber Monday“ bringen Online-Handel zahlreiche Herausforderungen

Dank Künstlicher Intelligenz (KI) könnten Cyberkriminelle viele ihrer Prozesse automatisieren und sich leichter tun Daten zu erheben. „Sie wissen genau, wann die Kundenaktivität und die Belastung der Handelssysteme am höchsten sind und nutzen dies für sich aus!“, warnt Iavarone. Inzwischen träfen 39 Prozent des „Bad Bot“-Datenverkehrs den Online-Handel.

• „Einzelhändler stehen zugleich vor der Herausforderung, dass sie zu dieser Zeit besonders viele Änderungen vornehmen. Sei es das Einstellen neuer Saisonware oder die Platzierung von Gewinnspielen und Aktionen, um mehr Käufer auf die Website zu führen.“

Dafür schalteten sie mehr Werbeanzeigen und verbänden diese wiederum mit ihren IT-Systemen, um – ebenfalls mit KI – noch genauere Aussagen zum Konsumverhalten treffen zu können.

Groß angelegte Bot-Angriffe florieren im saisonalen Einzelhandel – eben auch rund um „Cyber Monday“

Groß angelegte Bot-Angriffe florierten im saisonalen Einzelhandel – bei hohem Datenverkehr, erhöhtem Checkout-Volumen und intensiven Werbeaktivitäten. Genau dann könne nämlich das Monitoring an technische Grenzen stoßen.

• Studien wie der „Thales Imperva Bad Bot Report 2025“ zeigten eben, dass besonders der Einzelhandel das Ziel der Cyberkriminellen sei. Mit 15 Prozent aller Bot-Vorfälle sei dieser Sektor der am zweithäufigsten angegriffene.

33 Prozent des Webverkehrs auf Online-Shopping-Websites sei von bösartigen Bots verursacht worden – eine Zahl, welche 2025 auf fast 40 Prozent gestiegen sei. Noch aktuellere Daten ließen schlussfolgern, dass Bots mittlerweile 53 Prozent des Webverkehrs beim E-Commerce ausmachten, gegenüber lediglich 47 Prozent „menschlichem“ Webverkehr. Die Herausforderung für viele Händler bestehe nun darin, dass sie den Unterschied zunächst erkennen müssten.

„Cyber Monday“: Umsatz und Rabatte erhofft – aber „Account Takeover“ und andere Gefahren drohen

Moderne Bots ahmten mit Headless-Browsern, Residential-Proxys oder KI-/„Cloud“-gesteuerter Automatisierung menschliches Verhalten nach und könnten dadurch viele herkömmliche Abwehrmaßnahmen umgehen. Sicherheitsteams von Einzelhändlern konzentrierten sich häufig auf offensichtliche Betrugswege wie Zahlungsbetrug, aber Bots brächten subtilere, in größerem Umfang auftretende Risiken mit sich.

• Zu den gängigsten Techniken zählten „Account Takeover“ (ATO), „Price Scraping“, „Scalping“ bzw. der Missbrauch von Checkout-Funktionen sowie Angriffe auf Schnittstellen und die Applikationslogik.

Iavarone fasst die Situation zusammen: „Online-Händler verzeichnen also während ,Black Friday’, ,Cyber Monday’ und der Adventszeit ein stark erhöhtes Umsatz- und Datenvolumen. Cyberkriminelle nutzen dies gezielt für automatisierte Bot-Angriffe aus. Moderne KI-gestützte Bots imitieren menschliches Verhalten und umgehen damit klassische Schutzmechanismen.“ Sicherheitsteams stehen laut Iavaronevor der Herausforderung, „guten“ und „schlechten“ Bot-Traffic zu unterscheiden und gezielt Bedrohungen wie „Account Takeover“, „Price Scraping“ oder Checkout-Missbrauch abzuwehren. „Mit den richtigen Maßnahmen lässt sich dies jedoch einschränken und Online-Händler wie deren Kunden vor Online-Betrug schützen!“

Drei Thales-Tipps für Sicherheitsteams gegen Online-Betrug – nicht nur am „Cyber Monday“

Sicherheitsteams von Online-Händlern könnten ihre Unternehmen und deren Kunden vor Online-Betrug schützen. Die folgenden drei Tipps sollen sie dabei unterstützen, um einen Überblick über „Bad Bot“-Traffics zu erhalten und deren Aktivitäten auszuwerten und einzuschränken.

1. Überblick über den Datenverkehr behalten
   Für Sicherheitsteams gelte die alte Regel: „Was sie nicht sehen können, können sie auch nicht schützen.“ Zu den modernen Bot-Verhaltensweisen gehöre die Nutzung von Headless-Browsern und privaten Proxy-Netzwerken. Damit ahmten diese normales Web-Verhalten nach.
   KI habe die Effektivität automatisierter Missbräuche erhöht, so dass Cyberkriminelle ihre Angriffe leichter wiederholen könnten, bis sie ihr Ziel letztendlich infiltriert haben. Deshalb sei es wichtig, die vollständige Anwendungs- und API-Infrastruktur im Blick zu behalten.
2. Priorisierung hochwertiger Endpunkte wie Login, APIs und Checkout
   Wenn Sicherheitsteams sicherstellen, dass ihr Bot-Schutz mehr als nur die Webseite abdeckt, sei bereits viel gewonnen.
   Vor allem hochwertige Ziele wie Login-Seiten, Konten, Checkout-APIs und Endpunkte seien bevorzugte Angriffsziele.
3. Kundenkonten proaktiv schützen
   „Credential-Stuffing“- und „Account Takeover“-Angriffe nähmen während der Hauptverkaufssaison zu.
   Traditionelle Sicherheitsmaßnahmen wie gute Passwort-Hygiene und Multi-Faktor-Authentifizierung (MFA) seien zwar wirksam, reichten aber für die KI-gestützten Angriffe nicht mehr aus. Ein echter „Account Takeover“-Schutz erkenne und blockiere Angriffe sofort und präzise.

Weitere Informationen zum Thema:

THALES
Deutschland / Über uns

Linkedin
Julian Iavarone

THALES CYBERSECURITY imperva
2024 Bad Bot Report

datensicherheit.de, 28.11.2025
Black Friday 2025 – KI-Betrug von Cyberkriminellen im Bestellchaos lanciert / Während Verbraucher den vermeintlich günstigen Angeboten rund um den „Black Friday“ nachjagen, nutzen Cyberkriminelle die Transaktionsflut, um betrügerische Bestellungen zu verstecken

datensicherheit.de, 28.11.2024
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf / Die populäre Rabatt-Saison hat begonnen – und mit ihr Cyber-Betrügereien

datensicherheit.de, 26.11.2021
Black Friday und Cyber Monday 2021: Daten und KI beeinflussen Kundenengagement / Black Friday auch in Deutschland für Einzelhändler Einstieg in die Weihnachts-Einkaufssaison

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

datensicherheit.de, 19.11.2018
Online-Shopping: Sicher einkaufen am Black Friday und Cyber Monday / Empfehlungen des BSI

[datensicherheit.de, 06.09.2025] „Vor Kurzem hat ReliaQuest einen beachtenswerten Bericht zur aktuellen Entwicklung am ,cyberkriminellen Arbeitsmarkt’ vorgelegt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. So habe sich zwischen 2024 und 2025 die Zahl der dortigen „Stellenangebote“ mehr als verdoppelt. Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ seien gefragt – und solche, welche Künstliche Intelligenz (KI) für „Social Engineering“-Angriffe, zum Beispiel für sogenannte Deepfake-Attacken, nutzbar machten. Für die Zukunft lasse dies „nichts Gutes“ erahnen.

Foto: KnowBe4

Dr. Martin J. Krämer: Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von „Social Engineering“ zu erkennen – bevor es zu spät ist!

„Untergrund-Arbeitsmarkt“ boomt und professionalisiert sich

Um sich einen Überblick über die derzeitige Lage und aktuelle Entwicklungen am „cyberkriminellen Arbeitsmarkt“ zu verschaffen, hat demnach ein Team von RealiaQuest zwischen dem 1. Januar 2023 und dem 31. Juli 2025 das DarkWeb nach kriminellen Stellenanzeigen durchforstet und diese analysiert.

• Ihrem Fazit nach haben sich von 2024 bis 2025 die Gesuche in bekannten Cyberkriminellen-Foren wie „Exploit“ und „RAMP“ mehr als verdoppelt. Auch in diesem Jahr – 2025 – habe die Zahl der Anzeigen zugenommen – „sogar so rasant, dass der Vorjahreswert bereits im Juli überschritten wurde“.

Der „Underground-Arbeitsmarkt“ boome nicht nur – er professionalisiere sich auch. „Ganze 87 Prozent der Stellenanzeigen stammen mittlerweile von kriminellen ‚Personalvermittlern‘, die im DarkWeb für ihre kriminellen Klienten nach kriminellen Technikern mit hochspezialisierten Angriffsfähigkeiten – vor allem im Bereich ,Social Engineering’ – suchen.“ Der Trend sei klar: „Cyberkriminalität wird immer organisierter, spezialisierter und effizienter!“

„Social Engineering“-Wissen nebst KI-Fertigkeiten zunehmend gefragt

Neben „Social Engineering“ seien vor allem KI-Fertigkeiten zunehmend gefragt. Seit dem dritten Quartal 2024 habe sich hierbei ein deutlicher Anstieg der Gesuche bemerkbar gemacht. „Dabei geht es längst nicht mehr allein um die ‚simple‘ Erstellung von Malware. Mittlerweile werden KI-Experten rekrutiert, um Angriffsoperationen als Ganzes zu automatisieren“, betont Krämer. KI ermögliche schnellere, skalierbarere Operationen – bei einem deutlich niedrigeren Ressourceneinsatz.

• Auch und gerade im Bereich der „Deepfake“-Technologien, in denen KI und „Social Engineering“ immer häufiger zusammenkämen, sei mit einem Anstieg der Angriffe fest zu rechnen. „Bereits heute ist die Nachfrage nach erfahrenen ,Social Engineers’ relativ hoch – und damit kostspielig.“

Krämer warnt: „In den kommenden Monaten und Jahren werden KI-gestützte ,Deepfake’-Technologien sich für viele Cyberkriminellen zu einer echten kostengünstigen Alternative entwickeln.“ Es sei deshalb in jedem Fall davon auszugehen, dass „Social Engineering“-Angriffe, ob nun mit menschlicher oder maschineller Expertenunterstützung, weiter zunehmen würden.

Tipps zur Begegnung der Bedrohungslage im Bereich „Social Engineering“

Um für die wachsende Bedrohungslage im Bereich „Social Engineering“ gerüstet zu sein, rät ReliaQuest Unternehmen zu

• einem risikobasierten Sicherheitskonzept, bei dem regelmäßig die meistgefährdeten und hochwertigsten Vermögenswerte sowie potenziellen Angriffsvektoren identifiziert und hinsichtlich ihrer jeweiligen Risikolagen priorisiert werden
• einem professionellen Schwachstellen-Management (inklusive regelmäßiger Scans und Reportings)
• professionellen Schulungen und Tests der gesamten Belegschaft zum Thema „Social Engineering“ – alle Mitarbeiter müssten in die Lage versetzt werden, „Social Engineering“-Taktiken, auch Phishing- und „Spear Phishing“-Versuche, rechtzeitig zu erkennen, nicht darauf hereinzufallen und den zuständigen Sicherheitsteams zu melden

Nur so würden Unternehmen sich eine wachsame Belegschaft aufbauen können, „die unerwünschten Manipulationsversuchen wirksam widerstehen kann“.

Krämer kommentiert abschließend: „Dem kann nur zugestimmt werden. Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von ,Social Engineering’, von Phishing und ,Spear Phishing’ zu erkennen – bevor es zu spät ist!“ Der zunehmende KI-Einsatz auf Seiten Cyberkrimineller lasse diese Notwendigkeit nur noch weiter an Bedeutung gewinnen.

Weitere Informationen zum Thema:

knowbe4
About Us: KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research Team, 21.08.2025
Threat Spotlight | Cybercrime Is Hiring: Recruiting AI, IoT, and Cloud Experts to Fuel Future Campaigns

datensicherheit.de, 10.08.2025
Social Engineering laut Unit 42 Haupteinfallstor 2025 / In mehr als einem Drittel der über 700 analysierten Fälle weltweit nutzten Angreifer „Social Engineering“ als Einstieg – also den gezielten Versuch, Opfer durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein zentrale Herausforderung für Sicherheitsteam ist der Umstand, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen.

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

[datensicherheit.de, 03.09.2025] Sicherheitsexperten von Proofpoint haben nach eigenen Angaben in den letzten Monaten eine deutliche Zunahme von Angriffskampagnen festgestellt, welche auf „Stealerium“ basieren – einem 2022 auf „GitHub“ – veröffentlichten sogenannten Info-Stealer auf Open-Source-Basis. Solche ein frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht – könne zwar Sicherheitsforschern helfen, werde indes auch von Cyberkriminellen missbraucht, angepasst und weiterentwickelt. Dadurch entstehen offenkundig zahlreiche, schwerer zu erkennende Varianten. Neben „Stealerium“ selbst gebe es weitere Malware mit erheblichem Überschneidungen im Code – insbesondere „Phantom Stealer“ und „Warp Stealer“. Proofpoint fasst diese demnach unter dem Oberbegriff „Stealerium“ zusammen.

Abbildung: ds-Screenshot von Website „GitHub“ (03.09.2025)

„Stealerium“ als frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht

Aufleben der Angriffe: „Stealerium“ im Mai 2025 wieder verstärkt bei E-Mail-Bedrohungsdaten aufgetaucht

Nach einer Phase geringer Aktivität hätten Proofpoint-Experten „Stealerium“ im Mai 2025 wieder verstärkt in ihren E-Mail-Bedrohungsdaten finden können. Auslöser sei eine Kampagne der Gruppe „TA2715“ gewesen – kurz darauf sei „TA2536“ gefolgt. „In den Monaten bis August 2025 wurden weitere Kampagnen mit unterschiedlichen Täuschungsmethoden und Dateiformaten entdeckt. Die Größenordnung reichte von einigen Hundert bis zu zehntausenden E-Mails pro Angriffswelle.“

• Die Angreifer hätten unterschiedlichste Themen als Köder genutzt – darunter fingierte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen und das Thema „Hochzeit“. Die Absender hätten bei den Angriffen Banken, NGOs, Gerichte oder Dokumentendienstleister imitiert. In den Betreffzeilen sei auf eine vermeintliche Dringlichkeit bzw. finanzielle Relevanz verwiesen worden.

Technisch seien komprimierte EXE-Dateien, „JavaScript“- und „VBScript“-Dateien, ISO- und IMG-Images sowie ACE-Archive zum Einsatz gekommen. „Beispiele sind eine ,TA2715‘-Kampagne vom 5. Mai 2025 mit einer mutmaßlichen Angebotsanfrage einer kanadischen Wohltätigkeitsorganisation oder eine ,Xerox Scan’-Mail.“ Auch juristische Drohungen mit angeblichen Gerichtsterminen seien genutzt worden, um Opfer zum Klicken zu verleiten.

„Stealerium“ ist in „.NET“ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen

Nach der Ausführung sammele „Stealerium“ zunächst WLAN-Profile und Informationen zu nahegelegenen Netzwerken – teils ergänzt durch „PowerShell“-Befehle zur Manipulation von „Windows Defender“ und geplanten Tasks, um sich dauerhaft im System festzusetzen. Manche Varianten missbrauchten die „Remote Debugging“-Funktion von „Chrome“, um Browser-Sicherheitsmechanismen zu umgehen und sensible Daten wie „Cookies“ oder Passwörter zu stehlen.

• „,Stealerium’ ist in ,.NET’ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen. Die Exfiltration erfolgt über verschiedene Wege – am häufigsten per SMTP, daneben über ,Discord-Webhooks’, die ,Telegram’-API, den Filehosting-Dienst ,Gofile’ und die Chat-Plattform ,Zulip’.“ Kostenlose „Cloud“-Dienste wie „Gofile“ erleichterten den unauffälligen Abfluss großer Datenmengen. „Zulip“ sei in den untersuchten Kampagnen zwar nicht aktiv genutzt worden, sei aber als Option vorhanden.

Die „Stealerium“-Malware sei hochgradig konfigurierbar. Die Konfiguration enthalte „C2“- und Exfiltrationsparameter sowie Listen mit Diensten, etwa bestimmter Banken. Teile seien per „AES“ verschlüsselt. „Stealerium“ nutze zahlreiche Anti-Analyse-Techniken: Startverzögerungen, Abgleich von Systemparametern mit Blocklisten, Erkennung bestimmter Prozesse und Dienste, Anti-Emulation und Selbstlöschung bei Verdacht. „Bemerkenswert ist die Fähigkeit, aktuelle Blocklisten dynamisch aus öffentlichen ,GitHub’-Repositories nachzuladen.“

„Phantom Stealer“ als Variante derselben Bedrohung

„Phantom Stealer“ habe große Teile des Codes mit „Stealerium“ gemeinsam und unterscheide sich vor allem in der Art der Datenübertragung. „Manche Samples enthalten Verweise auf beide Namen, was auf Code-Recycling hindeutet.“ Auch „Warp Stealer“ weise deutliche Überschneidungen auf. „Proofpoint behandelt diese Familien als Varianten derselben Bedrohung, solange keine wesentlichen funktionalen Unterschiede bestehen.“

• Die Aktivitäten zwischen Mai und Juli 2025 zeigten, dass „Stealerium“ und seine Varianten weiterhin aktiv in Angriffen eingesetzt würden. Die Kombination aus offenem Quellcode, breiter Funktionspalette und flexiblen Exfiltrationswegen mache sie zu einer ernstzunehmenden Bedrohung. Organisationen sollten auf verdächtige Systembefehle, ungewöhnliche „PowerShell“-Nutzung zur Manipulation von „Defender“-Einstellungen und „headless“ „Chrome“-Prozesse achten.

Ebenso sei es ratsam, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht autorisierten Diensten wie „Discord“, „Telegram“ oder „Gofile“ zu blockieren. Nur durch technische Erkennung, Netzwerküberwachung und Sensibilisierung der Mitarbeiter lasse sich das Risiko durch diese vielseitige Schadsoftware wirksam senken.

Weitere Informationen zum Thema:

proofpoint
What Sets Us Apart: Email, social media, and mobile devices are the tools of your trade—and for cyber criminals, the tools of attack. Proofpoint protects your people, data and brand against advanced threats and compliance risks.

proofpoint, Rob Kinner & Kyle Cucci & The Proofpoint Threat Research Team, 03.09.2025
Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers

datensicherheit.de, 28.07.2025
Lumma Stealer back in CyberSpace – als neue, verbesserte Version / „Lumma“ hatte lange als eine der gefährlichsten und beliebtesten Schadsoftwares zum Stehlen von Zugangsdaten gegolten

datensicherheit.de, 23.06.2025
Amatera Stealer: Neue Bedrohung aus dem Netz umgeht moderne Sicherheitslösungen / Der „Amatera Stealer“, ein neuer hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, warnt Proofpoint

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

[datensicherheit.de, 29.07.2025] Peter Barker, „Chief Product Officer“ bei Ping Identity, warnt in seiner aktuellen Stellungnahme vor einer nächsten Welle auf Künstlicher Intelligenz (KI) gestützter Angriffe und führt aus, warum der Mix aus klassischer Sicherheit und smarter Identitätsstrategie zur Abwehr entscheidend sein wird. „Mit der KI befinden wir uns an einem interessanten Wendepunkt, an dem neue Möglichkeiten Gestalt annehmen: Lebensrettende Fortschritte im Gesundheitswesen und im Transportwesen sowie die Nachbildung von Persönlichkeiten des öffentlichen Lebens, wie der verstorbenen Suzanne Somers, sind keine Science-Fiction mehr. Gleichzeitig waren die Sicherheitsbedenken in Bezug auf KI noch nie so groß wie heute.“ Es bestehe ein enormer Bedarf an mehr Bewusstsein und Schutz insbesondere vor Cyberkriminellen, welche KI-Systeme und -„Tools“ missbrauchten. Zwar könne eben auch KI zur Bekämpfung solcher Betrüger eingesetzt werden, doch sei ein gemischter Ansatz, „bei dem herkömmliche ,Tools’ mit KI kombiniert werden“, die effektivere Strategie.

Foto: Ping Identity

Peter Barker: Mithilfe der KI-Technologie können Video- und Audio-Deepfakes erstellt und in kürzester Zeit in normalen digitalen Interaktionen eingesetzt werden!

Unternehmen sollten der Schaffung einer sicheren und intuitiven Online-Umgebung Priorität einräumen

„Laut einer kürzlich durchgeführten Umfrage nimmt das Vertrauen der Verbraucher in Unternehmen ab, da sie sich zunehmend Sorgen über Identitätsbetrug machen“, so Barker. Tatsächlich haben demnach 97 Prozent der Befragten Bedenken, dass ihre persönlichen Daten online sind. Nur acht Prozent hätten volles Vertrauen in Unternehmen, welche ihre Identitätsdaten verwalten. „Das sind weniger als zehn Prozent im Vergleich zum letzten Jahr.“

• Da die digitale Erfahrung das Herzstück des Kundenvertrauens sei und sich die Erwartungen weiterentwickelten, müssten Marken der Schaffung einer sicheren und intuitiven Online-Umgebung Priorität einräumen: „Die Möglichkeiten für Unternehmen, KI und dezentralisierte Identität zu nutzen, um dieses Ziel zu erreichen, sind immens. Diese Technologien sind die Zukunft der Identität.“

Frühe Anwender würden sich durch erstklassige Kundenerlebnisse von Nichtanwendern abheben. Es sei jedoch notwendig, die Bedenken der Verbraucher direkt anzusprechen und gleichzeitig dafür zu sorgen, „dass die Einführung schrittweise erfolgt und zugänglich ist“.

Neue Welle Generativer KI-Bedrohungen voraus

Zudem müsse man sich zunehmend gegen eine neue Welle generativer, KI-gestützter Bedrohungen wie sogenannte Deepfakes, Betrug durch Nachahmung und Manipulation digitaler Medien, schützen. „Laut einem kürzlich erschienenen ,AARP’-Bericht werden Identitätsbetrug und Betrügereien die Amerikaner im Jahr 2024 47 Milliarden Dollar kosten. Es wird erwartet, dass diese Zahlen jedes Jahr weiter steigen werden.“

Die Auswirkungen auf Unternehmensebene könnten katastrophale Ausmaße annehmen. Barker berichtet: „Wir beobachten bereits ein wachsendes Volumen dieser Bedrohungen am Arbeitsplatz, mit Spitzenwerten in:“

• Nachahmung von Führungskräften
  Betrüger ahmten CEOs und CFOs nach, um betrügerische Überweisungen zu autorisieren und das Vertrauen in die hierarchische Kommunikation auszunutzen.
  Durch die Verwendung realistischer Video- oder Audiomaterialien wirkten betrügerische Anträge glaubwürdiger und umgingen herkömmliche Überprüfungsmethoden.
• Onboarding-Betrug
  Dabei würden gefälschte Identitäten verwendet, um eine Anstellung zu erhalten und oft auf sensible Systeme oder Daten zuzugreifen.
  Mit Deepfakes angereicherte Lebensläufe und Vorstellungsgespräche erleichterten es Betrügern, unbemerkt in Unternehmen einzudringen.
• Verstößen gegen den privilegierten Zugang
  Indem sie sich als Mitarbeiter mit hochrangigem Zugang ausgeben, könnten Betrüger in Kritische Infrastrukturen (KRITIS) eindringen.
  Dies führe häufig zu „weitreichenden Datenverletzungen oder Betriebsstörungen“.

Es gilt, neue KI mit traditioneller Sicherheit zu kombinieren

Barker unterstreicht: „Auf das, was unsere Augen sehen und unsere Ohren hören, ist kein Verlass mehr, denn Angreifer nutzen Generative KI aus. Mithilfe der KI-Technologie können Video- und Audio-Deepfakes erstellt und in kürzester Zeit in normalen digitalen Interaktionen eingesetzt werden.“

• Die Betrugsabwehr-Abteilungen hätten schon jetzt Mühe, mit der Anzahl der Fälle, die ihre Aufmerksamkeit erforderten, Schritt zu halten – und KI werde dieses Problem noch verschärfen.

„Wir befinden uns an einem entscheidenden Punkt, an dem wir uns mit dieser neuen Grenze des Risikomanagements in Unternehmen befassen müssen!“ Schon jetzt nutzten bösartige Akteure die Möglichkeiten Generativer KI, um synthetische Inhalte für Betrug, Insider-Bedrohungen, Kompromittierung der Lieferkette und Markenschädigung zu erzeugen. Barkers Fazit: „Wenn synthetische digitale Inhalte für Unternehmen, Regierungen und Medien weitgehend unkontrolliert bleiben, steht das Vertrauen auf dem Spiel. Um wachsam und flexibel zu bleiben und diese neue Ära des KI-gestützten Betrugs zu verhindern, müssen wir die neue KI mit der traditionellen Sicherheit kombinieren.“

Weitere Informationen zum Thema:

PingIdentity
Lernen Sie Ping Identity kennen

PingIdentity, 2025
2024 Consumer Survey / New Global Consumer Survey Findings / Overcome the Fear of Unknowns for Improved Digital Experiences

AARP, Christina Ianzito, 25.03.2025
Scams and Fraud: Identity Fraud and Scams Cost Americans $47 Billion in 2024 / Victims are losing more money to these crimes, a new AARP-backed report finds

datensicherheit.de, 22.07.2025
KI-Nutzung – unklare Rechtslage und Sicherheitsbedenken größte Hürden für Unternehmen / Laut aktuellem „eco Branchenpuls“ sehen nur zehn Prozent der IT-Entscheider Deutschland gut gerüstet für die nächste KI-Revolution

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

datensicherheit.de, 12.07.2025
Cyberabwehr: 74 Prozent der deutschen Unternehmen setzen bereits KI ein / Bei 42 Prozent der befragten Unternehmen haben KI und Automatisierung oberste Priorität zur Verbesserung der Cybersicherheit

datensicherheit.de, 10.07.2025
KI droht zur größten Cyberbedrohung zu werden / Ein Grund für die zunehmende Gefährdung durch Cyberkriminalität ist die zunehmende KI-Nutzung durch Angreifer

datensicherheit.de, 08.07.2025
Audio-Deepfakes: Zunahme der KI-Verfügbarkeit als Booster für Betrugsversuche / Einen hohen Anteil an diesen Deepfake-Betrugsversuchen haben laut KnowBe4 synthetische Sprachanrufe

[datensicherheit.de, 28.07.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, hebt in seiner aktuellen Stellungnahme hervor, dass sich Phishing zu einem der gefährlichsten Einfallstore moderner Cyberkriminalität entwickelt hat – und hierbei sei vor allem eines bewiesen worden: Anpassungsfähigkeit. „Wo Unternehmen auf ausgereifte Schutzmaßnahmen wie ,Secure eMail Gateways’ (SEGs) setzen, nutzen Angreifer gezielt deren Schwächen aus. Die Angriffsmethoden werden immer raffinierter und dynamischer – deshalb ist jetzt an der Zeit ist, über neue Verteidigungsstrategien nachzudenken“, gibt Krämer zu bedenken.

Foto: KnowBe4

Dr. Martin J. Krämer rät zu Kombination aus intelligenter Prävention und menschlicher Wachsamkeit zur Phishing-Abwehr

Wie Phishing-Angreifer SEGs raffiniert überlisten

Cyberkriminelle gingen strategisch vor: Sie analysierten die Funktionsweise von SEGs genau und entwickelten ihre Kampagnen so, „dass sie Prüfmechanismen umgehen“. Dabei ließen sich vier zentrale Taktiken erkennen, welche sich teils ergänzten und immer schwerer abzuwehren seien:

1. Zeitlich verzögerte „Payloads“
   „Eine bewährte Methode besteht darin, dass schädliche Inhalte nicht sofort nach E-Mail-Zustellung aktiv sind“, berichtet Krämer. Beispielsweise enthielten Phishing-Mails Links, welche erst Stunden später zu bösartigen Webseiten führten, oder Dateien, deren Schadcode sich erst nach dem Download entfalte. Da SEGs E-Mails primär beim Empfang scannten, bleibe diese Bedrohung unentdeckt.
2. Nutzung legitimer Plattformen
   Angreifer nutzten bewusst bekannte und vertrauenswürdige Dienste wie „Microsoft SharePoint“, „OneDrive“ oder „Google Docs“, um darin ihre Schadlinks zu verbergen. Diese Taktik nutze die gute Reputation solcher Domains, um von SEGs nicht blockiert zu werden – obwohl sich die schädliche Komponente hinter scheinbar harmlosen URLs verberge.
3. „Social Engineering“ ohne klassische Malware
   Gerade Angriffe per „Business eMail Compromise“ (BEC) zeigten, „wie wirkungsvoll Phishing ohne technische Signaturen sein kann“. Krämer erläutert: „Die Angreifer geben sich als Vorgesetzte oder Geschäftspartner aus und bewegen Mitarbeitende dazu, sensible Informationen preiszugeben oder Zahlungen auszulösen – ganz ohne Anhang oder auffälligen Link.“
4. Phishing nur mit Text ohne URLs oder Anhänge
   Manche Angriffe kämen völlig ohne Links oder Anhänge aus und imitierten seriöse interne Kommunikation – etwa durch täuschend echte Rechnungen oder Lieferanweisungen. Da diese E-Mails keinerlei auffällige Indikatoren enthielten, erschienen sie für klassische Gateway-Lösungen als „unkritisch“ und gelangten so problemlos zum Empfänger.

Klassischer Perimeter-Ansatz zur Phishing-Abwehr reicht nicht mehr aus

Diese o.g. gezielten Techniken zeigten deutlich: „Der klassische Perimeter-Ansatz, bei dem E-Mails beim Eingang geprüft und dann freigegeben werden, reicht heute nicht mehr aus. Angreifer denken mit – und sind leider oft einen Schritt voraus.“

• Wirksamen Schutz böten heute nur „cloud“-basierte, KI-gestützte Sicherheitslösungen, welche weit über die einmalige Prüfung beim E-Mail-Eingang hinausgingen. Diese analysierten Inhalte und Kommunikationsverhalten, würden untypische Muster erkennen, sich dynamisch an neue Angriffstechniken anpassen und reagierten in Echtzeit auf verdächtige Aktivitäten.

Doch Technologie allein reiche nicht aus. „Ebenso wichtig ist es, Mitarbeitende gezielt und kontinuierlich zu schulen – etwa im Erkennen manipulierter Inhalte, gefälschter Absender oder ungewöhnlicher Formulierungen“, unterstreicht Krämer und führt abschließend aus: „Nur wenn intelligente Prävention mit menschlicher Wachsamkeit kombiniert wird, entsteht eine wirksame Verteidigung gegen die ausgeklügelten Phishing-Angriffe!“

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2025
Phishing-Simulationen: Falsche interne E-Mails erzielen bei KnowBe4-Untersuchung die meisten Klicks / Der nun vorliegende „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken

datensicherheit.de, 17.06.2025
Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA / Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an