Angriff – datensicherheit.de Informationen zu Datensicherheit und Datenschutz https://www.datensicherheit.de Datensicherheit und Datenschutz im Überblick Fri, 19 Jun 2026 16:40:20 +0000 de hourly 1 KnowBe4-Stellungnahme zur Phishing-Erkennung trotz KI-basierter Raffinesse https://www.datensicherheit.de/knowbe4-stellungnahme-phishing-erkennung-ki-raffinesse Sun, 21 Jun 2026 22:23:00 +0000 https://www.datensicherheit.de/?p=55102 Laut aktuellem „Phishing Trends Report“ von KnowBe4 enthalten bereits 86 Prozent ein gewisses Maß an KI-Unterstützung

[datensicherheit.de, 22.06.2026] Auf Künstlicher Intelligenz (KI) basierende Phishing-Angriffe wirken offenkundig professioneller denn je – laut einer aktuellen KnowBe4-Stellungnahme indes hinterlassen diese jedoch erkennbare Spuren in E-Mails, auf Phishing-Webseiten und sogar in versteckten Inhalten. Das „KnowBe4 Threat Lab-Team“ hat nun neue Erkenntnisse zu KI-gestützten Phishing-Kampagnen veröffentlicht: Laut dem aktuellen „Phishing Trends Report“ von KnowBe4 enthielten 86 Prozent der in den vergangenen sechs Monaten beobachteten Phishing-Angriffe ein gewisses Maß an KI-Unterstützung. In der Folge seien Phishing-Mails heute häufig grammatikalisch fehlerfrei, korrekt gebrandet, hochpersonalisiert und deutlich schwerer über klassische Warnsignale wie Tippfehler oder holprige Formulierungen zu erkennen. Die vorliegende Analyse zeige jedoch auch, dass KI-generierte Angriffe nicht unsichtbar seien: Sie hinterlassen demnach wiederkehrende Spuren – von typischen LLM-Formulierungen über auffällige Design- und Code-Muster bis hin zu versteckten Fülltexten, welche dazu dienten, Sicherheitsscanner zu täuschen.

knowbe4-phishing-attacke-beispiel-walmart-git-card

Abbildung: KnowBe4

Beispiel einer Phishing-Attacke: Fälschung „Walmart GIFT-CARD“

KI hat „Qualität“ des Phishings verändert

Lange sei Phishing ein „Spiel der kleinen Fehler“ gewesen, so dass sich „Awareness“-Schulungen darauf konzentrieren konnten, schlechte Grammatik, unpassende Formulierungen oder fehlerhafte Logos zu erkennen.

  • Dieses Modell reiche jedoch nun nicht mehr aus: KI-generierte Phishing-Kampagnen erzielten den im Bericht genannten Daten zufolge Klickraten von rund 54 Prozent, während es bei traditionell erstellten Kampagnen nur zwölf Prozent seien. Gleichzeitig sei Phishing wieder zum wichtigsten Vektor für „Initial Access“ geworden.

Untersucht wurden laut KnowBe4 E-Mail-Phishing-Kampagnen mit KI-gestützter Content-Erstellung, No-Code-Phishing-Infrastruktur und Anti-Analyse-Techniken. Dabei seien SEG-Erkennungen (d.h. klassische sichere E-Mail-Gateways) umgangen und Organisationen weltweit über mehrere Branchen hinweg ins Visier genommen worden.

knowbe4-phishing-attacke-beispiel-google-rechnung

Abbildung: KnowBe4

Beispiel einer Phishing-Attacke: Fälschung Google-Rechnung

KI hinterlässt trotzdem Spuren

Ein besonders deutliches Beispiel sei eine Phishing-Mail gewesen, welche mit einer typischen KI-Ausgabeformulierung begonnen habe: „Hier ist die Nachricht formatiert und in Abschnitte unterteilt.“ Offensichtlich habe der Angreifer die automatisch erzeugte Einleitung nicht entfernt. In derselben Kampagne hätten sich außerdem versteckte Anti-Fingerprinting-Elemente sowie Unicode-Homoglyphen befunden, welche optisch wie normale Zeichen wirkten, aber die technische Erkennung erschweren sollten.

  • Sogar die Phishing-Infrastruktur habe KI-Spuren gezeigt: Die Angreifer hätten No-Code-Plattformen wie „Base44“, „Beacons.ai“ und „Retool“ genutzt, um täuschend echte „Credential Harvesting“-Seiten zu erstellen, darunter Imitationen von „Microsoft 365“, „Meta Business“ und „SharePoint“. Weil diese Seiten auf legitimen Plattformen gehostet würden, profitierten sie von deren Reputation. URL-Scanner und automatisierte Vertrauenssignale könnten dadurch ins Leere laufen.

Zusätzlich fanden Analysten auf Phishing-Seiten ausführliche, teils mehrsprachige Kommentare, welche die eigene Anti-Bot-Logik erklärt hätten, sowie typische KI-Artefakte wie eine „emoji“-lastige Gestaltung und überkonstruierte CSS-Strukturen. In einer Walmart-Reward-Kampagne seien außerdem unsichtbare, KI-generierte Büro-Konversationen eingebettet worden, um Scanner mit scheinbar harmloser Sprache zu täuschen.

KnowBe4-Tipps für IT-Sicherheitsteams

Visuelle Qualität dürfe nicht mit Legitimität verwechselt werden. Eine fehlerfreie, korrekt gebrandete E-Mail sei kein Beweis für Echtheit. Deshalb sollten „Awareness“-Trainings den Fokus von Tippfehlern auf belastbare Vertrauenssignale wie korrekte URLs, die Prüfung der Adressleiste auf Login-Seiten und Out-of-Band-Bestätigungen sensibler Anfragen verlagern.

  • Zudem sollten Unternehmen reputationsbasierte Filter neu bewerten. „Wenn Phishing-Seiten auf legitimen No-Code-Plattformen gehostet werden, reichen Domain-Reputation und klassische URL-Bewertungen nicht aus.“ Die Detection-Logik sollte gezielt um LLM-Artefakte, ungewöhnliche Inhaltsstrukturen und versteckte Textmuster erweitert werden.

Das „KnowBe4 Threat Lab-Team“ gibt abschließend zu bedenken: „KI macht Phishing professioneller, skalierbarer und schwerer erkennbar. Doch auch KI-generierte Angriffe hinterlassen Spuren.“ Sie hinterließen typische Formulierungen, strukturelle Muster, auffällige Design- und Code-Merkmale sowie versteckte Fülltexte. Für Unternehmen bedeutet das: „,Security Awareness’ und technische Erkennung müssen sich weiterentwickeln – weg vom reinen Blick auf schlechte Grammatik, hin zur Prüfung von URLs, zur Bewertung des Kontexts und zur Erkennung von KI-Artefakten!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4, KnowBe4 Blog, KnowBe4 Threat Lab
KnowBe4 Threat Lab is a research and analysis endeavor by seasoned cybersecurity professionals that discovers and investigates the latest phishing techniques and develops strategies to preemptively combat these threats. KnowBe4 Threat Lab specializes in researching and mitigating email threats and phishing attacks, using a combination of expert analysis and crowdsourced intelligence.

knowbe4, KnowBe4 Threat Lab, Jeewan Singh Jalal & Prabhakaran Ravichandhiran & Shikhar Dalela, 18.06.2026
What AI Can’t Hide When It Writes a Phishing Email

datensicherheit.de, 05.03.2026
Kratos: Neues Phishing-as-a-Service-Kit ermöglicht selbst Anfängern Ausführung hochkomplexer Angriffe / Vor Kurzem haben Sicherheitsanalysten der „KnowBe4 Threat Labs“ einen ersten Bericht zum Anfang 2026 aufgespürten Phishing-as-a-Service-Kit „Kratos“ vorgestellt

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten / Agentenbasierte KI-Modelle sind eine spezielle Form Künstlicher Intelligenz (KI), bei der diese in Form vieler autonomer Einheiten operieren

datensicherheit.de, 23.04.2024
Zscaler-Report 2024: 60 Prozent Anstieg bei KI-gesteuerten Phishing-Angriffen / Der diesjährige Report enthält Trends zu Phishing-Aktivitäten und -Taktiken sowie Best Practices zur Steigerung der Sicherheit von Unternehmen

]]>
Die physische Dimension digitaler Resilienz angesichts kinetischer Angriffe auf Cloud-Infrastrukturen https://www.datensicherheit.de/physisch-dimension-digital-resilienz-kinetisch-angriff-cloud Tue, 26 May 2026 22:43:00 +0000 https://www.datensicherheit.de/?p=54660 Patrick Fetter macht deutlich, weshalb physische Angriffe auf „Cloud“-Infrastrukturen – von Drohnen-Attacken auf Rechenzentren bis hin zu Sabotageakten an Seekabeln – die digitale Resilienz der Unternehmen grundlegend in Frage stellen

[datensicherheit.de, 27.05.2026] Patrick Fetter, „Lead Sales Engineer“ und „Cyber Security Evangelist“ bei Check Point, erörtert in seiner aktuellen Stellungnahme, warum physische Angriffe auf „Cloud“-Infrastrukturen – von Drohnen-Attacken auf Rechenzentren bis hin zu Sabotageakten an Seekabeln – die digitale Resilienz von Unternehmen grundlegend in Frage stellen. Er führt dabei aus, weshalb klassische Hochverfügbarkeitskonzepte nicht mehr ausreichen und welche „architektonischen Maßnahmen“ Unternehmen jetzt ergreifen sollten, um auch bei physischen Ausfällen handlungsfähig zu bleiben.

check-point-patrick-fetter

Foto: Check Point

Patrick Fetter stellt klar, dass im Kontext digitaler Resilienz auch an physische Sabotageakte bzw. Angriffe gedacht werden muss

„Cloud“-Infrastruktur als tragende Säule der globalen Digitalwirtschaft ist zur Angriffsfläche geworden

Fetter verdeutlicht: „Wenn wir an Bedrohungen für digitale Infrastrukturen denken, denken wir an Ransomware, an Zero-Day-Exploits, an kompromittierte Lieferketten. Woran wir seltener denken: Sabotageakte, durchtrennte Seekabel oder in Krisengebieten sogar Drohnen und Raketen.“

  • Doch genau diese physischen Bedrohungen rückten zunehmend ins Zentrum und würden zu einer unbequemen Erkenntnis zwingen: „Die ,Cloud’ ist kein abstrakter Raum! Sie besteht aus Gebäuden, Kabeln und Generatoren, die genauso verwundbar sind wie jede andere Kritische Infrastruktur.“

Inmitten aktueller militärischer Auseinandersetzungen attackierten z.B. Drohnen nicht mehr nur „klassische“ militärische Ziele, welche kinetische Angriffe ermöglichen, sondern auch Rechenzentren. Mehrere Einrichtungen großer „Cloud“-Anbieter seien beschädigt worden – Stromausfälle und strukturelle Schäden beeinträchtigten gleich mehrere Verfügbarkeitszonen innerhalb einer Region. „Was dabei offenkundig wurde, geht über den konkreten Vorfall hinaus: ,Cloud’-Infrastruktur, die tragende Säule der globalen Digitalwirtschaft, ist kein neutraler Hintergrund mehr. Sie ist zur Angriffsfläche geworden“, so Fetter.

Die limitierenden Faktoren der „Cloud“

Vorfälle dieser Art stehen offenbar nicht isoliert. Denn 2025 beeinträchtigten Störungen an Unterseekabeln im Roten Meer rund 17 Prozent des weltweiten Internetverkehrs. Große Ausfälle bei zentralen Web-Infrastrukturanbietern legten offen, wie abhängig das Internet von einer Handvoll zentralisierter Systeme ist.

  • Fetter kommentiert: „Zusammengenommen zeigen diese Ereignisse ein Muster: ,Points of Presence’, ,Backbone’-Konnektivität und ,Cloud’-Rechenzentren sind nicht mehr nur Wegbereiter digitaler Abläufe, sondern eigenständige Ziele.“

Jahrzehntelang habe die „Cloud“-Architektur auf der Annahme basiert, „dass Ausfälle lokal begrenzt bleiben und die Infrastruktur selbst intakt bleibt, selbst wenn einzelne Dienste ausfallen“. Verfügbarkeitszonen sollten unabhängig voneinander arbeiten, Redundanz über Regionen hinweg sollte Störungen auffangen. Diese Prämissen hätten Skalierbarkeit und Zuverlässigkeit ermöglicht, aber sie stimmten mit der heutigen Realität nicht mehr überein. Fetter warnt: „Ganze Regionen können unerreichbar werden. Netzwerkpfade können ohne Vorwarnung verschwinden. Nicht wegen Softwarefehlern, sondern weil die physische Infrastruktur beschädigt ist.“

Resilienz – weitermachen können, selbst wenn Teile der Infrastruktur ausfallen

Hochverfügbarkeit allein reiche nicht mehr. Resilienz müsse heute die Möglichkeit einbeziehen, „dass ganze Segmente der Infrastruktur ausfallen und dann trotzdem weiter funktionieren“. Dies erfordere ein grundlegendes Umdenken in der Architektur.

  • Erstens brauche es eine echte globale Verteilung: „Resilienz bemisst sich nicht mehr an der Dichte innerhalb einer Region, sondern an der Fähigkeit, regionsübergreifend zu operieren, wenn ein oder mehrere Standorte ausfallen. ,Traffic’ muss in Echtzeit intelligent umgeleitet werden können, und zwar basierend auf tatsächlicher Verfügbarkeit und Kapazität, nicht auf statischen ,Failover’-Plänen.“

  • Zweitens müssten Sicherheitsrichtlinien einheitlich und portabel sein: „Während einer Störung werden Nutzer über verschiedene Regionen umgeleitet, Datenpfade verschieben sich dynamisch, Durchsetzungspunkte ändern sich. Wenn Sicherheitsregeln an standortspezifische Konfigurationen gebunden sind, entstehen genau dann Lücken, wenn die Stabilität am fragilsten ist.“ Richtlinien müssten eben dem Nutzer und den Daten folgen, nicht dem Standort.
  • Drittens sei eine verteilte Durchsetzung unerlässlich: „Architekturen mit zentralisierten Kontrollpunkten schaffen inhärente Schwachstellen: Fällt der Kontrollpunkt aus, bricht die gesamte Durchsetzung zusammen.“ Ein resilientes Modell verteile die Sicherheitsprüfung über die gesamte Netzwerkstruktur und eliminiere „Single Points of Failure“.

Hybride Ansätze unverzichtbar – die „Cloud“ allein reicht nicht

Unternehmen müssten sich schonungslos ehrlich mit den Grenzen rein auf „Clouds“ basierten Sicherheitsmodellen auseinandersetzen. „SASE-Architekturen, die vollständig von einer stabilen, hochwertigen ,Cloud’-Konnektivität abhängen, setzen ideale Bedingungen voraus, die nicht immer gegeben sind.“

  • In der Realität könne die Konnektivität einbrechen, die Latenz sprunghaft ansteigen, eine ganze Region unerreichbar werden. „Hier werden hybride Ansätze entscheidend: Wer die Durchsetzung von Sicherheitsrichtlinien auch auf Endgeräte und Zweigstellen ausweitet, kann den Betrieb bei teilweisen Ausfällen aufrechterhalten. Das System degradiert dann kontrolliert, statt komplett auszufallen. Die zentralen Sicherheitsfunktionen bleiben dann erhalten, bis die volle Konnektivität wiederhergestellt ist.“

Die Frage sei nicht mehr, ob die Infrastruktur ausfallen wird, sondern ob die darauf aufbauenden Systeme darauf vorbereitet sind, wenn es geschieht. Fetter gibt abschließend zu bedenken: „Unternehmen, die weiterhin auf die Annahme einer stabilen, stets verfügbaren Infrastruktur setzen, gehen ein wachsendes Risiko ein! Wer dagegen auf Verteilung, Anpassungsfähigkeit und architektonische Konsistenz setzt, ist besser gerüstet gegen den nächsten Cyberangriff und auch gegen Störungen, die nicht aus dem Digitalen Raum kommen.“

Weitere Informationen zum Thema:

CHECK POINT
Über uns: Check Point Software Technologies ist ein weltweit führender Anbieter von Cybersicherheitslösungen, der sich dem Schutz von Unternehmen und Regierungen weltweit widmet.

YouTube, Check Point Software Technologies – DACH, 18.09.2025
Infinity Threat Exposure Management in Aktion – von Patrick Fetter, Cybersecurity Evangelist

datensicherheit.de, 06.05.2026
IT im Spannungsfeld zwischen Effizienz und Resilienz: Ganzheitliches Lieferketten-Management als Vorbild / Ari Albertini erörtert, warum für den Betrieb von IT-Systemen das Prinzip „Alles aus einer Hand“ gefährlich ist und Resilienz priorisiert werden muss

datensicherheit.de, 30.04.2026
Chaos Engineering für die Cyberresilienz: Wie KI kontrollierte Belastungsproben digitaler Systeme ermöglicht / Systeme können untersucht werden, wie sie unter gezielt herbeigeführten Störungen reagieren. Im Mittelpunkt steht nicht das Erzeugen von Fehlern um ihrer selbst willen, sondern die kontrollierte Prüfung, wie belastbar eine digitale Architektur in kritischen Situationen tatsächlich ist.

datensicherheit.de, 03.03.2026
Vier Säulen der Cyber-Resilienz / In einer Erhebung von Absolute Security gaben 83 Prozent der befragten CISOs an, dass Cyber-Resilienz wichtiger sei als traditionelle Cybersicherheitsmaßnahmen, und 90 Prozent hätten bereits eine Resilienzstrategie in ihrem Unternehmen umgesetzt.

]]>
DDoS-Angriffe: Zunahme technischer Eskalation in der DACH-Region mit Deutschland als Spitzenziel https://www.datensicherheit.de/ddos-angriffe-zunahme-technisch-eskalation-dach-region-deutschland-spitzenziel Mon, 23 Mar 2026 23:57:00 +0000 https://www.datensicherheit.de/?p=53408 In der zweiten Jahreshälfte 2025 hat NETSCOUT weltweit mehr als acht Millionen DDoS-Angriffe registriert

[datensicherheit.de, 24.03.2026] Der neue „NETSCOUT DDoS Threat Intelligence Report“ dokumentiert laut NETSCOUT eine dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und die Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss: In der zweiten Jahreshälfte 2025 wurden demnach weltweit mehr als acht Millionen DDoS-Angriffe registriert. Besonders auffällig sei der Druck auf Kritische Infrastrukturen (KRITIS) – ausgelöst durch „Hacktivisten“, DDoS-for-hire-Dienste und Botnetze.

netscout-ddos-threat-intelligence-report-2026

Abbildung: NETSCOUT

„NETSCOUT DDoS Threat Intelligence Report“: Dramatische Verschärfung der Cyberbedrohungslage durch „hacktivistische Aktivitäten“ und Nutzung von DDoS-Attacken als präzisionsgelenkte Waffen mit geopolitischem Einfluss

In Deutschland sind Rechenzentren und Hosting-Dienste am stärksten betroffen

Die DDoS-Bedrohungslage in der sogenannten DACH-Region (Deutschland-Österreich-Schweiz) zeige im Jahr 2025 eine deutliche strukturelle Verschiebung, bei der sich der Fokus zunehmend von massenhaften Volumenangriffen hin zu leistungsstärkeren und strategisch eingesetzten Angriffsszenarien verlagere.

  • DDoS-Angriffe hätten es insbesondere auf digitale Kerninfrastrukturen abgesehen, wobei „Computing Infrastructure Provider“ wie Rechenzentren, Hosting- und Datenverarbeitungsdienste mit mehr als 70.000 registrierten Angriffen mit deutlichem Abstand an der Spitze stünden.

Dahinter folgten kabelgebundene Telekommunikationsanbieter mit 28.981 sowie Mobilfunkanbieter mit 21.524 Angriffen. Die Angriffsfrequenz sei damit eindeutig dort am höchsten, wo Störungen eine maximale Breitenwirkung entfalten können.

Unterschiedliche DDoS-Belastungsmuster in der DACH-Region

Dass auch transport- und mobilitätsnahe Infrastrukturen zunehmend ins Visier gerieten, habe Anfang 2026 der DDoS-Angriff auf die Deutsche Bahn (DB) gezeigt. Diese Attacke erfolgte laut Unternehmensangaben in mehreren Wellen. Betroffen gewesen seien insbesondere die Auskunfts- und Buchungssysteme – darunter die Website „bahn.de“ sowie die App „DB Navigator“.

  • Zwar zähle der Mobilitätssektor nicht zu den drei dominierenden Telekommunikations- oder Hosting-Kategorien, gehöre jedoch in Deutschland zu den am stärksten angegriffenen Branchen außerhalb der klassischen Netz- und Infrastruktursegmente.

In der Schweiz sei im Jahr 2025 ein leichter Anstieg von rund vier Prozent vom ersten auf das zweite Halbjahr auf insgesamt 43.466 Angriffe zu verzeichnen. Deutlich markanter sei jedoch die Angriffsdauer im zweiten Halbjahr 2025 (106,45 Minuten), welche die Vergleichswerte in Österreich und Deutschland übertreffe.

Kabelgebundene Anbieter in Österreich deutlich an erster Stelle

Für Österreich zeige sich ein etwas anderes Muster als in der Schweiz: Dort dominiere klar die Angriffsfrequenz bei kabelgebundenen Netzbetreibern, während die längsten Angriffe auf digitale Infrastruktur- und Hosting-Anbieter zielten. Mit 13.867 Angriffen stünden kabelgebundene Anbieter deutlich an erster Stelle und die Angriffe seien zahlreich, aber eher kurz bis mittellang angelegt.

  • Dies spreche für wiederkehrende, volumenbasierte Störversuche gegen klassische Netzbetreiber. Anbieter von IT-Infrastruktur folgen auf Platz 2, mobile Netzbetreiber auf Platz 3 – das Muster entspreche damit dem regionalen Trend. Trotz unterschiedlicher Schwerpunkte konzentrierten sich DDoS-Angriffe in allen drei Ländern auf systemrelevante Telekommunikations- und Infrastruktursektoren.

Dass DDoS-Angriffe im Umfeld internationaler Großereignisse zusätzliche Dynamik entfalten könnten, hätten die Olympischen Winterspiele 2026 in Mailand-Cortina bestätigt: „Im Rahmen einer Angriffswelle der pro-russischen Gruppe ,NoName057‘ war unter anderem die Website des Österreichischen Olympischen Comités (ÖOC) zeitweise betroffen und für rund eine Stunde lahmgelegt.“

Qualitative Verschiebung der Bedrohungslage in der DACH-Region

Der aktuelle „NETSCOUT Threat Intelligence“-Bericht zeige, dass die DDoS-Entwicklung 2025 in der DACH-Region weniger von reiner Quantität, sondern mehr von qualitativer Eskalation geprägt gewesen sei. Multi-Vektor-Angriffe gehörten weiterhin zum festen Bestandteil des DDoS-Geschehens, so dass unterschiedliche Angriffsmethoden kombiniert und teils während der laufenden Attacke angepasst würden, um Erkennungs- und Abwehrmechanismen zu umgehen.

  • Der zunehmende Einsatz KI-gestützter Werkzeuge senke zudem die technische Einstiegshürde für bestimmte Angriffstypen, denn Botnet-Steuerung oder Schwachstellenanalysen ließen sich stärker automatisieren.

„Large Language Models“ (LLMs) – im DarkWeb-Umfeld als „Dark LLMs“ genutzt – beschleunigten diese Abläufe zusätzlich und erleichterten die operative Umsetzung. Angesichts der technologischen Fortschritte im Bedrohungsumfeld seien intelligente und zunehmend autonome Verteidigungsmaßnahmen erforderlich, um systemische Betriebsstörungen wirksam zu begrenzen.

Weitere Informationen zum Thema:

NETSCOUT
ABOUT US: We are the Guardians of the Connected World.

NETSCOUT
Unmasking the Swarm: The Evolving Tactics of Botnet-Driven DDoS Attacks / DDoS Threat Intelligence Report / Issue 16: Findings from 2H 2025

datensicherheit.de, 20.02.2026
DDoS-Angriffe wie vor Kurzem auf die DB können Vertrauen der Kunden untergraben / Der jüngste Cyberangriff auf die DB Bahn zeigte abermals, wie angreifbar selbst zentrale Akteure der Kritischen Infrastruktur im Digitalen Raum sind

datensicherheit.de, 09.05.2025
Welle von DDoS-Angriffen: Deutsche Stadtportale im Visier / Häufung von DDoS-Attacken, bei denen Server durch Flut automatisierter Anfragen gezielt überlastet werden

datensicherheit.de, 16.10.2024
DACH-Region: Alarmierende Zunahme der DDoS-Angriffe / Deutschland laut „NETSCOUT DDoS Threat Intelligence Report“ am stärksten von DDoS-Attacken betroffen

]]>
Eurail und Interrail: Hacker erlangten Zugriff auf Daten von Bahnreisenden https://www.datensicherheit.de/eurail-interrail-hacker-zugriff-daten-bahnreisende https://www.datensicherheit.de/eurail-interrail-hacker-zugriff-daten-bahnreisende#respond Sat, 17 Jan 2026 23:20:49 +0000 https://www.datensicherheit.de/?p=51779 Sensiblen Reisedaten droht Missbrauch, wenn sie in die Verfügung Cyberkrimineller gelangen

[datensicherheit.de, 18.01.2026] Der Hacker-Angriff auf „Eurail“ bzw. „Interrail“ sollte laut Darren Guccione, CEO und Co-Founder von Keeper Security, sowohl Unternehmen als auch Kunden in höchste Alarmbereitschaft versetzen: „Sensible Reisedaten könnten leicht missbraucht werden, wenn sie in die falschen Hände geraten!“, warnt er in seiner aktuellen Stellungnahme. Nach den bisher bekannt gewordenen Informationen berge diese Offenlegung von Passdaten und Kontaktinformationen ein hohes Risiko für Folgeangriffe, auch wenn die zentralen Buchungs- oder Zahlungssysteme demnach nicht direkt kompromittiert wurden.

keeper-security-darren-guccione

Foto: Keeper Security

Darren Guccione: Wenn bei Datendiebstählen Ausweisdokumente betroffen sind, besteht zusätzlich das Risiko von Identitätsbetrug und langfristigem Missbrauch von Konten!

Reise- und Ausweisdaten für Cyberkriminelle besonders nützlich

Reisedaten seien für Cyberkriminelle besonders wertvoll: „Sie bieten einen guten Kontext für gezielte Phishing- und Social-Engineering-Betrugsversuche.“

  • Gefälschte Rückerstattungsmitteilungen, Reiseplanänderungen oder Grenzkontrollwarnungen erschienen besonders glaubwürdig, da sie sowohl auf echte Reisebuchungen als auch auf persönliche Daten Bezug nähmen.

„Wenn bei Datendiebstählen Ausweisdokumente betroffen sind, besteht zusätzlich das Risiko von Identitätsbetrug und langfristigem Missbrauch von Konten“, erläutert Guccione.

Nach mutmaßlichem Datendiebstahl vermeintliche E-Mails und Textnachrichten der Eurail B.V. genau prüfen

Für betroffene Kunden sei nun Wachsamkeit geboten: „Unerwartete E-Mails oder Nachrichten, die sich auf Reisen mit ,Eurail’ oder ,DiscoverEU‘ beziehen, sollten mit äußerster Vorsicht behandelt und Konten genau überwacht werden!“

  • Kunden sollten E-Mails und Textnachrichten genau prüfen. Es sei wichtig, keinesfalls auf verdächtige Links zu klicken oder unbekannte E-Mail-Anhänge zu öffnen, da diese Malware auf das Gerät herunterladen oder Anmeldedaten, Zahlungsinformationen und andere sensible Daten stehlen könnten.

Die Aktivierung der Multi-Faktor-Authentifizierung (MFA) und die Verwendung eindeutiger und sicherer Passwörter seien ebenfalls wichtige Maßnahmen, um die Auswirkungen eines versuchten Kontoübergriffs erheblich zu begrenzen.

Für digitale Reiseplattformen ein Weckruf, mehr auf Datensicherheit zu achten

Für Unternehmen, die große digitale Reiseplattformen betreiben, sei dies eine weitere Erinnerung daran, dass sensible Identitätsdaten jederzeit streng kontrolliert, der Zugriff kontinuierlich überwacht und Systeme von Drittanbietern als Teil der Angriffsfläche für Cyberangriffe behandelt werden müssen.

  • Zero-Trust-Prinzipien, Zugriff mit geringsten Berechtigungen und eine starke Identitäts- und Zugriffsverwaltung seien heute grundlegende Anforderungen, um das Vertrauen der Kunden in großem Maßstab zu schützen.

„Eurail“ und „Interrail“ wurden 1959 eingeführt, um Fahrkartenangebote zur Nutzung europäischer Eisenbahnstrecken zum Pauschalpreis anzubieten: „Eurail“-Pässe sind für nicht-europäische Kunden bestimmt, während „Interrail“-Pässe an europäische Bahnreisende vergeben werden. Als organisatorisches Dach fungiert die niederländische Kapitalgesellschaft Eurail B.V. mit ihrem Verwaltungssitz in Utrecht.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Darren Guccione / Aktuelle Artikel von Darren

eurail
About us / Helping travelers to discover Europe since 1959

eurail, 10.01.2026
Data security incident: Eurail B.V. shares information about a recent data security incident

interrail
Über uns / Seit 1959 helfen wir Reisenden, Europa zu entdecken.

SPIEGEL Netzwelt, 15.01.2026
Schwerer Vorfall bei Eurail Daten von Interrail-Kunden gestohlen / Passnummern, Geburtsdaten, Kontaktadressen: Unbekannte Angreifer haben sich Zugriff auf Kundendaten des Anbieters Eurail verschafft. Das Unternehmen warnt vor möglichen Betrugsversuchen.

WIKIPEDIA
Eurail

Die Bundesregierung, 14.11.2025
DiscoverEU: Verlosung von Travel-Pässen Durch Europa bereisen / Die EU-Initiative DiscoverEU ermöglicht es jungen Menschen, Europa zu entdecken. Zweimal im Jahr werden rund 40.000 Travel-Pässe an 18-jährige Europäerinnen und Europäer verlost. Die aktuelle Bewerbungsrunde lief bis zum 13. November 2025.

]]>
https://www.datensicherheit.de/eurail-interrail-hacker-zugriff-daten-bahnreisende/feed 0
Unit 42 warnt vor cyberkrimineller Vorfreude auf Olympische Winterspiele 2026 https://www.datensicherheit.de/unit-42-warnung-cyberkriminelle-vorfreude-olympische-winterspiele-2026 https://www.datensicherheit.de/unit-42-warnung-cyberkriminelle-vorfreude-olympische-winterspiele-2026#respond Sat, 17 Jan 2026 00:02:06 +0000 https://www.datensicherheit.de/?p=51766 Das „Unit 42“-Team von Palo Alto Networks hat am 16. Januar 2026 einen neuen Report veröffentlicht, welcher der Bedrohungslage für die Olympischen Winterspiele 2026 in Mailand und Cortina gewidmet ist

[datensicherheit.de, 17.01.2026] Das „Unit 42“-Team von Palo Alto Networks hat am 15. Januar 2026 einen neuen Report veröffentlicht, welcher der Bedrohungslage für die Olympischen Winterspiele in Mailand und Cortina gewidmet ist: Anfang Februar 2026 richtet sich nicht nur die Aufmerksamkeit von Sportfans weltweit auf Italien – auch Cyberkriminelle und staatlich gesteuerte Akteure werden dieses globale Großereignis für ihre Zwecke ausnutzen, so die aktuelle Warnung.

palo-alto-networks-report-olympic-winter-games-2026

Abbildung: paloalto NETWORKS

Die „Unit 42“ warnt: Auch Cyberkriminelle und staatlich gesteuerte Akteure werden dieses globale Großereignis für ihre Zwecke ausnutzen!

Cyberangriffe bei Olympia keine Seltenheit: „Unit 42“ hatte 2024 deutlichen Anstieg cyberkrimineller Aktivitäten registriert

Die Vergangenheit zeigt demnach: „In Pyeongchang 2018 legten Angreifer WLAN und digitale Infrastrukturen lahm. Bei den Spielen in Tokio 2021 versuchten russische Bedrohungsakteure, bereits die Vorbereitungen zu sabotieren.“

  • 2024 in Paris habe die „Unit 42“ einen deutlichen Anstieg von DDoS-Attacken, Phishing-Kampagnen mit Olympia-Bezug und Betrugsversuchen registriert – „die Behörden meldeten über 140 Cybervorfälle“.

Um Sicherheitsverantwortliche zu unterstützen, hat die „Unit 42“ den Report „Defending the 2026 Milan-Cortina Winter Games“ veröffentlicht. Die Experten gehen darin auf ihre Analysen ein und beschreiben, welche Angreifer die Spiele bedrohen, was sie antreibt und mit welchen Methoden sie vorgehen – zudem benennen sie konkrete Schutzmaßnahmen.

Die wichtigsten Erkenntnisse der „Unit 42“:

  • Bedrohungsakteure
    Ransomware-Gruppen, staatlich gesteuerte Bedrohungsakteure und Hacktivisten.
  • Konkrete Gefahren
    „Muddled Libra“, „Insidious Taurus“ und „Salt Typhoon“.
  • Angriffsmethoden
    „Social Engineering“, DDoS-Attacken, API-Schwachstellen.
  • Schutzstrategien
    „Zero Trust“, „Runtime Security“, KI-gestützte Automatisierung

Bei Olympia kollidiert unbedingter Live-Anspruch oft mit IT-Security-Vorgaben

Andreas Schneider, CSO für Zentraleuropa bei Palo Alto Networks, unterstreicht die besondere Verwundbarkeit der übertragenden Fernsehanstalten: „Als ehemaliger CISO eines öffentlich-rechtlichen Broadcasters weiß ich: Bei Olympia kollidiert der unbedingte Live-Anspruch oft mit Security-Vorgaben.“

  • Durch den technologischen Schwenk von geschlossenen, broadcast-spezifischen Technologien hin zu offenen IP-basierten „Workflows“ habe sich die Angriffsfläche deutlich vergrößert, während die verschärfte geopolitische Lage die Winterspiele 2026 zu einem attraktiven Ziel für Sabotage mache.

Er betont abschließend: „Gerade für ,Broadcaster’ in Deutschland und der Schweiz, die ohnehin unter starkem Rechtfertigungsdruck stehen, ist eine lückenlose Cyberresilienz heute keine Option mehr, sondern eine Überlebensfrage für ihre gesellschaftliche Akzeptanz!“

Weitere Informationen zum Thema:

UNIT 42
Unit 42: Intelligence driven, response ready…

UNIT 42
Defending the 2026 Milano Cortina Winter Games / Staying vigilant on the world’s largest stage

paloalto NETWORKS, UNIT 42. 2026
Cyber Threats to Milan-Cortina 2026

iTReseller, 06.06.2025
Palo Alto ernennt Andreas Schneider zum CSO Zentraleuropa / Andreas Schneider ist neuer CSO bei Palo Alto Networks für DACH und Osteuropa. Er soll aus der Schweiz Kunden in der gesamten Region beraten.

olympics.com
Olympische Winterspiele™ · 6. bis 22. Februar 2026 | Paralympische Winterspiele™ · 6. bis 15. März 2026

datensicherheit.de, 05.08.2024
Cyber-Games: Hacker missbrauchen olympische Begeisterung für Angriffe / Olympischen Spielen in Paris könnten zehnmal so viele Angriffe wie jenen in Tokio drohen

datensicherheit.de, 22.07.2024
Vielfältige Cyber-Bedrohungen rund um die Olympischen Spiele 2024 / Großereignis in Paris bietet auch ein attraktives Umfeld für Cyber-Kriminelle

datensicherheit.de, 22.07.2024
Olympische Sommerspiele – neben Fans und Medien werden auch Cyber-Kriminelle angelockt / Kaspersky warnt vor Phishing-Webseiten mit Olympia-Bezug und Cyber-Betrugsversuchen

]]>
https://www.datensicherheit.de/unit-42-warnung-cyberkriminelle-vorfreude-olympische-winterspiele-2026/feed 0
Im Cyberspace werden Outsider zu heimlichen Insidern: Jeder Cyberangriff prinzipiell eine Innentäter-Bedrohung https://www.datensicherheit.de/cyberspace-outsider-insider-cyberangriff-prinzipiell-innentaeter-bedrohung https://www.datensicherheit.de/cyberspace-outsider-insider-cyberangriff-prinzipiell-innentaeter-bedrohung#respond Wed, 10 Dec 2025 00:11:07 +0000 https://www.datensicherheit.de/?p=51348 Heutige Cyberattacken haben offensichtlich die klassische Definition von Insider-Bedrohungen überholt, denn nunmehr wird quasi jeder Angreifer im Cyberspace zum „Innentäter“, da kaum mehr eine klare Perimetergrenze existiert

[datensicherheit.de, 10.12.2025] Heutige Cyberangriffe haben offensichtlich die klassische Definition von Insider-Bedrohungen überholt, denn nunmehr wird quasi jeder Angreifer im Cyberspace zum „Innentäter“ – nämlich dann, sobald er Identität oder Gerät eines Nutzers kompromittiert hat. Durch Missbrauch legitimer Berechtigungen und „Living off the Land“-Taktiken agiert ein solcher dann unauffällig wie ein echter Mitarbeiter – eine bedenkliche Entwicklung, denn klassische Erkennungsmechanismen werden ausgehebelt und jeder Betrieb wird durch diese cyberkriminelle Taktik verwundbar. Tony Fergusson, „CISO in Residence“ bei Zscaler, zeigt in seinem aktuellen Kommentar, warum das Verhalten des Nutzers zum entscheidenden Vertrauenssignal wird: Ein „Zero Trust“-Ansatz ist demnach das Fundament einer robusten Sicherheitsarchitektur – doch erst zusätzliche Unvorhersehbarkeit und Täuschung (sog. „Negative Trust“) würden Cyberangreifer denn dazu zwingen, sichtbar zu werden. So entstehe ein neuer Ansatz, um Cyberangriffe frühzeitig zu erkennen und moderne Insider-Risiken wirksam einzudämmen.

zscaler-tony-fergusson

Foto: Zscaler

Tony Fergusson: Die Zukunft der Verteidigung liegt darin, Angriffspfade zu minimieren, indem man durch „Zero Trust“ Vertrauen in eine Umgebung einbettet und anschließend mit „Negative Trust“ Rauschen hinzufügt…

Aufkommen der „Cloud“ macht berechtigte Nutzer ortsunabhängig – cyberkriminelle aber auch

„Das Risiko von Insider-Bedrohungen begleitet Unternehmen seit jeher – doch seine Bedeutung hat sich gewandelt, betont Fergusson. Per Definition habe man unter einem „Insider“ jemanden verstanden, der sich physisch im Unternehmen aufhielt: Mitarbeiter im Büro oder vor Ort im Einsatz befindliche externe Fachkräfte.

  • „Diese Ansicht hat sich mit dem Aufkommen der ,Cloud’ gewandelt. User arbeiten ortsunabhängig, Daten liegen verteilt in ,Cloud’-Umgebungen und der Netzwerkperimeter existiert nicht mehr. Hat jemand Zugang zu dieser virtuellen Unternehmensumgebung, wird er automatisch zum Insider.“

Dies wirft laut Fergusson die zentrale Frage auf: „Wenn ein Gerät mittels Malware und Command-and-Control-Funktionen kompromittiert wird, handelt es sich dann um einen Insider-Angriff?“ Er betont: „Aus der Perspektive des Zugriffs eindeutig ja. Denn der Angreifer verfügt dann über dieselben Berechtigungen wie ein legitimer User.“

Bewegungen des Angreifers ähneln regulären Zugriffsmustern eines legitimen Insiders

Darin liege nun die eigentliche Herausforderung: Cyberangreifer nutzten die veränderte IT-Landschaft geschickt aus. „Sobald sie eine Identität oder ein Gerät kompromittiert haben – sei es durch Phishing, Malware oder gestohlene Anmeldedaten –, übernehmen sie die Berechtigungen und Privilegien eines autorisierten Users.“

  • Die Bewegungen des Angreifers ähnelten ab diesem Moment also regulären Zugriffsmustern. Je näher Eindringlinge an kritische Systeme und sensible Daten herankommen, desto stärker würden die Grenzen zwischen legitimer Aktivität und Angriffen verschwimmen.

„Wenn der Malware-Akteur tief in die Infrastruktur eines Unternehmens eingedrungen ist, agiert er praktisch wie eine autorisierte Person – im Extremfall wie ein Systemadministrator!“, warnt Fergusson.

„Living off the Land“-Methodik der Angreifer lässt diese als berechtigte Insider erscheinen

Ein zentrales Element dieser Methodik sei „Living off the Land“ (LOTL). Dabei nutzten Angreifer ausschließlich vorhandene „Tools“, Anmeldedaten und Prozesse und lenkten so bewusst keine Aufmerksamkeit auf sich. Sie vermieden es, verdächtige Software oder ungewohnte Verhaltensweisen in das Netzwerk einzuführen.

  • „Sie bewegen sich unerkannt unterhalb des Radarschirms der Sicherheit und vermischen sich nahtlos mit legitimen Usern. Sie wirken wie jemand, der im Unternehmen im Anzug erscheint und dort ein- und ausgeht, selbstbewusst auftritt und die Routinen anderer Mitarbeitender übernimmt, so dass niemand durch ihre Präsenz misstrauisch wird.“

Genau diese Fähigkeit, in der Menge zu verschwinden, stelle indes eine erhebliche Herausforderung für die Erkennung solcher Angreifer dar und mache verhaltensbasierte Analysen und kontinuierliche Überwachung unverzichtbar.

Unvorhersehbarkeit als Grundprinzip moderner Verteidigung

Fergusson legt nahe: „Um solche Angreifer zu erkennen, müssen Unternehmen den Fokus deutlich stärker auf das Verhalten legen und nicht mehr ausschließlich an der User-Identität festmachen!“

  • Abweichungen vom Normalverhalten eines Nutzers bildeten ein wichtiges Warnsignal – unabhängig davon, ob dieser böswillig agiert oder ein kompromittiertes Konto genutzt wird. Beide Vorgehensweisen folgten ähnlichen Mustern:

Sie suchten nach wertvollen „Assets“ und sensiblen Daten. „Da hilft es nur noch, ,Fallstricke’ im Netzwerk auszulegen, die bei ungewöhnlichen Aktivitäten auslösen und den Eindringling frühzeitig sichtbar machen, bevor er sein eigentliches Ziel erreicht hat“, erläutert Fergusson.

„Zero Trust“ und „Negative Trust“ zur Abwehr unberechtigter Insider

Doch ,Fallen’ allein genügten nicht für eine umfangreiche Resilienz: „Ein robustes Sicherheitsfundament basiert auf dem ,Zero Trust’-Ansatz: Vertrauen darf weder statisch noch implizit sein, sondern muss kontinuierlich überprüft werden!“

  • Starke Authentifizierung, abgesicherte Unternehmensgeräte und fortlaufende Monitoring-Prozesse erschwerten Angreifern den unbefugten Zugriff erheblich. Sicherheitsverantwortliche sollten allerdings noch einen Schritt weitergehen und sich „Negative Trust“ zu eigen machen.

Sogenanntes Negatives Vertrauen bringe gezielte Unvorhersehbarkeit und kontrollierte Täuschung ins Spiel – ein wirkungsvoller Mechanismus, um Cyberangreifer vom eigentlichen Ziel abzulenken.

„Negative Trust“ erzeugt Rauschen, erhöht die Entropie und zwingt auf Köder zu reagieren

„Viele Unternehmensprozesse sind zu standardisiert – und diese Vorhersehbarkeit erleichtert dem Angreifer das Zurechtfinden im System“, erklärt Fergusson. Durch Variabilität und Störsignale aber entstehe eine Umgebung, welche für Angreifer schwerer navigierbar werde, während Verteidiger Anomalien leichter erkennen könnten.

  • Zum Vergleich: Verschlüsselte Daten besitzen hohe Entropie und wirken zufällig – ein Zustand, den Angreifer meiden. Klartext ist hingegen vorhersehbar und damit attraktiv.“

Gleiches gelte eben auch für IT-Umgebungen: „Je vorhersehbarer Systeme sind, desto leichter können sich Angreifer darin unbemerkt bewegen. ,Negative Trust’ erzeugt Rauschen, erhöht die Entropie und zwingt Angreifer, auf Köder zu reagieren.“

Nutzer-Verhalten als entscheidendes Vertrauenssignal

„Moderne Angreifer hacken sich heute nicht mehr ins Netzwerk, sie loggen sich ein und bewegen sich dann vollkommen sichtbar in der Umgebung.“ Dementsprechend ähnelten solche Attacken fast immer Insider-Angriffen – „unabhängig davon, ob die handelnde Identität real oder kompromittiert ist“.

  • Deshalb sollte jede Bedrohung als Insider-Bedrohung betrachtet werden. Die Zukunft der Verteidigung liege darin, Angriffspfade zu minimieren, „indem man durch ,Zero Trust’ Vertrauen in eine Umgebung einbettet und anschließend mit ,Negative Trust’ Rauschen hinzufügt“.

Auf diese Weise stärkten Unternehmen ihre Fähigkeit, böswilliges Verhalten frühzeitig zu identifizieren. Fergussons Fazit: „Dies gilt umso mehr, da Angreifer zunehmend bereit sind, Mitarbeitende zu bestechen, um Daten weiterzugeben oder Authentifizierungs-Cookies aus Browsern abzuziehen. In der heutigen Zeit, in der es keine Perimetergrenze mehr gibt, wird das Verhalten des Users zum einzigen wirklich verlässlichen Vertrauenssignal.“

Weitere Informationen zum Thema:

zscaler
Über Zscaler: Transformation – heute und morgen / Das Unternehmen nutzt die größte Security Cloud der Welt, um die Geschäfte der etabliertesten Unternehmen der Welt zu antizipieren, abzusichern und zu vereinfachen

zscaler
CISO in Residence: Tony Fergusson

datensicherheit.de, 29.11.2025
G DATA prognostiziert neue Dynamik der Cyberkriminalität: KI-Malware und Insider-Bedrohungen bestimmen 2026 die Bedrohungslage / G DATA gibt IT-Security-Ausblick und empfiehlt zur robusten Cyberabwehr moderne Technik sowie „Awareness Trainings“

datensicherheit.de, 08.09.2025
Laut neuer OPSWAT-Studie gefährden Insider und KI-Lücken Dateisicherheit in Unternehmen / Bedrohungen durch Insider und Blinde Flecken im Kontext Künstlicher Intelligenz erhöhen massiv die Dateisicherheitsrisiken in Unternehmen und verursachen Schäden in Millionenhöhe

datensicherheit.de, 02.09.2025
Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure / Risiken durch Insider – also Bedrohungen, welche von Personen mit legitimen Zugriffsrechten ausgehen – gehören zu den größten und kostspieligsten Herausforderungen für Unternehmen

datensicherheit.de, 17.11.2023
Die interne Gefahr: Wie sich Unternehmen vor Insider-Bedrohungen schützen können / Cyberkriminellen konzentrieren sich auf den Diebstahl von Zugangsdaten

]]>
https://www.datensicherheit.de/cyberspace-outsider-insider-cyberangriff-prinzipiell-innentaeter-bedrohung/feed 0
Deepfake-Angriffe: 2025 von quantitativer Zunahme wie qualitativer Raffinesse geprägt https://www.datensicherheit.de/deepfake-angriffe-2025-quantitaet-zunahme-qualitaet-raffinesse https://www.datensicherheit.de/deepfake-angriffe-2025-quantitaet-zunahme-qualitaet-raffinesse#respond Mon, 08 Dec 2025 00:32:46 +0000 https://www.datensicherheit.de/?p=51326 Sowohl quanti- als auch qualitativ haben KI-basierte Betrugsfälle 2025 merklich zugelegt – bei jedem fünften von ihnen wird mittlerweile auf Deepfakes gesetzt

[datensicherheit.de, 08.12.2025] „Vor Kurzem hat Entrust seinen neuen jährlichen ,Identity Fraud Report’ vorgestellt. In ihm warnt das Unternehmen vor einem signifikanten Anstieg von Deepfake-Angriffen“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Sowohl quanti- als auch qualitativ hätten auf Künstlicher Intelligenz (KI) basierende Betrugsfälle 2025 merklich zugelegt. Bei jedem fünften von ihnen werde mittlerweile auf Deepfakes gesetzt. Allein die Zahl gefälschter Selfies sei 2025 um 58 Prozent gestiegen. Am effektivsten – da umfassendsten – könne der Einsatz eines modernen „Human Risk Management“-Systems helfen. Dessen Phishing-Trainings, -Schulungen und -Tests ließen sich mittels KI mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken.

knowbe4-martin-kraemer-2023

Foto: KnowBe4

Dr. Martin J. Krämer: Will man die eigenen Systeme erfolgreich vor Betrug – auch und gerade vor Deepfakes – absichern, muss man dem „Faktor Mensch“ auch weiterhin eine zentrale Rolle innerhalb der eigenen IT-Sicherheit zuweisen!

Immer schneller, unkomplizierter – und mit einer stetig steigenden Erfolgsquote – werden Deepfake-Angriffe umgesetzt

Eine zentrale Ursache laut Krämer: „Immer mehr KI-Plattformen drängen auf den freien Markt, die missbraucht werden können. Und immer mehr bösartige ‚Kits‘ sind im ,Darknet’ erhältlich, mit denen sich auch komplexe Deepfake-Angriffe realisieren lassen.“

  • Realistisch wirkende Fake-Medieninhalte, egal ob nun Video, Audio oder Text, ließen sich mittlerweile auch von Laien weitgehend problemlos erstellen. Immer schneller, unkomplizierter – und mit einer stetig steigenden Erfolgsquote – könnten sie Deepfake-Angriffe realisieren. Längst fluteten ihre Deepfakes das Netz. „Der erwähnte 58-prozentige Anstieg von Fake-Selfies, er kommt nicht von ungefähr.“

Vor allem „Injection“-Angriffe hätten 2025 noch einmal kräftig zugelegt – im Vergleich zum Vorjahr um sage und schreibe 40 Prozent. „Bei einem ,Injection’-Angriff nutzt ein Angreifer eine Sicherheitslücke, um bösartigen Code in eine Anwendung einzuschleusen.“ Typischerweise über unzureichend validierte Benutzereingabefelder, um die beabsichtigte Logik der Anwendung zu manipulieren und sich unautorisierten Zugriff auf Daten oder ein System zu verschaffen.

In zwei „Injection“-Angriffsszenarien kommen Deepfakes mittlerweile verstärkt zum Einsatz:

  1. „Video/Media-Injection“ (als ,Injection’-Angriff auf das Authentifizierungssystem)
    Angreifer schleusten hierbei einen Deepfake-Inhalt (Video, Audio oder Bild) in den Datenstrom eines Systems ein, welches diesen Inhalt dann als „echt“ interpretiere.
    Das Hauptziel des Angriffs sei die Umgehung biometrischer Verifizierungssysteme und anderer digitaler Kontrollen.
  2. „Adversarial Injection“ (als „Injection“-Angriff auf das Detektionssystem)
    Angreifer fügten hierzu einem Deepfake-Inhalt „unsichtbare“ Störungen (Perturbationen) bei, um einen Deepfake-Detektor (ein KI-Modell, das Fälschungen erkennen soll) gezielt zu täuschen.
    Ziel sei es, den Detektor dazu zu bringen, dass er den gefälschten Inhalt als echt einstuft.

„Faktor Mensch“ von zentraler Bedeutung bei Deepfake-Abwehr

Der Bericht zeige: „Unternehmen sollten sich, wenn es um Betrugsprävention geht, nicht zu sehr auf ihre technischen Sicherheitslösungen verlassen!“ Längst hätten Angreifer begonnen, eben diese ins Visier zu nehmen.

  • „Will man die eigenen Systeme erfolgreich vor Betrug – auch und gerade vor Deepfakes – absichern, will man eigene Risiken nachhaltig reduzieren, muss man dem ,Faktor Mensch’ auch weiterhin eine zentrale Rolle innerhalb der eigenen IT-Sicherheit zuweisen – und die eigenen Mitarbeiter entsprechend schulen, betont Krämer.

Er rät daher:

  • „Trainieren Sie Ihre Mitarbeiter darin, verdächtige Aktivitäten, die auf einen Deepfake-Angriff schließen lassen, zu erkennen!“
  • „Vermitteln Sie ihnen das erforderliche Bewusstsein, so dass sie sich ein Bild von der steigenden Qualität und den spezifischen Risiken von Deepfakes (Video, Audio, Bild) machen können!“
  • „Vermitteln Sie klare Verhaltensregeln zum Umgang mit verdächtigen Inhalten und zur Prüfung kritischer Anfragen (zum Beispiel von Zahlungsanweisungen)!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

ENTRUST
Identity Fraud Report: Explore the Latest in Global Fraud Intelligence / Fraudsters follow opportunity, and people remain one of the most vulnerable links in the chain. In 2025, we saw social engineering and coercion pose an increasing threat to identity verification, especially during the onboarding process.

datensicherheit.de, 14.10.2025
KI-basierte Betrugsmethoden: Wenn Deepfakes zur Waffe werden / Künstliche Intelligenz (KI) wird zunehmend zur Waffe in den Händen von Kriminellen. Während wir noch über die Chancen der Digitalisierung diskutieren, nutzen Betrüger bereits hoch entwickelte KI-Tools, um perfekte Fälschungen zu erstellen, die selbst Experten täuschen können und eine Herausforderung für Ermittler und Unternehmen darstellen

datensicherheit.de, 22.09.2025
Deepfakes in Echtzeit ab 30 US-Dollar im Darknet angeboten / Kaspersky-Experten vom „Global Research and Analysis Team“ (GReAT) haben in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio günstig anbieten

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

]]>
https://www.datensicherheit.de/deepfake-angriffe-2025-quantitaet-zunahme-qualitaet-raffinesse/feed 0
Cyber Monday: Online-Rabattschlacht durch Bad-Bot-Traffic gefährdet https://www.datensicherheit.de/cyber-monday-online-rabattschlacht-bad-bot-traffic-gefahr https://www.datensicherheit.de/cyber-monday-online-rabattschlacht-bad-bot-traffic-gefahr#respond Sun, 30 Nov 2025 23:29:26 +0000 https://www.datensicherheit.de/?p=51231 Der 1. Dezember 2025 ist „Cyber Monday“ und soll wieder Käufer mit Rabatten locken – auch dieser dem Konsum gewidmete Tag wird eingerahmt vom „Black Friday“ und verstärktem Bestellaufkommen in der Adventszeit

[datensicherheit.de, 01.12.2025] Montag, der 1. Dezember 2025 ist „Cyber Monday“ und soll wieder Käufer mit Rabatten locken – auch dieser dem Konsum gewidmete Tag wird eingerahmt vom „Black Friday“ (zuletzt am 28. November 2025) und den verstärkten Bestellungen bzw. Einkäufen in der Adventszeit 2025. Gerade in solchen Zeiten ist mit groß angelegte Bot-Angriffe im saisonalen Einzelhandel zu rechnen, wenn hoher Datenverkehr, erhöhtes Checkout-Volumen und intensive Werbeaktivitäten zu verzeichnen sind und leicht von Sicherheitserwägungen ablenken können. Studien wie u.a. der „Thales Imperva Bad Bot Report 2025“ zeigen dann auch auf, dass besonders der Einzelhandel dann zum Ziel Cyberkrimineller wird. Julian Iavarone, „Technical Consultant“ für die DACH-Region bei Thales, kommentiert in seiner aktuellen Stellungnahme: „Jährlich erhalten Online-Händler ihren größten Umsatz im Zeitraum November bis Dezember, also zwischen ,Black Friday’, ,Cyber Monday’ und der Adventszeit bis hin zu Weihnachten. Datenverkehr und Transaktionsvolumen nehmen zu, doch zugleich auch die Bedrohungslage. Auch Cyberkriminelle wissen, dass sie zu dieser Jahreszeit den größten Gewinn erzielen können.“

thales-julian-iavarone

Foto: Thales

Julian Iavarone: Online-Händler verzeichnen während „Black Friday“, „Cyber Monday“ und der Adventszeit ein stark erhöhtes Umsatz- und Datenvolumen – Cyberkriminelle nutzen dies gezielt für automatisierte Bot-Angriffe aus!

Rabatt-Aktionstage wie „Cyber Monday“ bringen Online-Handel zahlreiche Herausforderungen

Dank Künstlicher Intelligenz (KI) könnten Cyberkriminelle viele ihrer Prozesse automatisieren und sich leichter tun Daten zu erheben. „Sie wissen genau, wann die Kundenaktivität und die Belastung der Handelssysteme am höchsten sind und nutzen dies für sich aus!“, warnt Iavarone. Inzwischen träfen 39 Prozent des „Bad Bot“-Datenverkehrs den Online-Handel.

  • „Einzelhändler stehen zugleich vor der Herausforderung, dass sie zu dieser Zeit besonders viele Änderungen vornehmen. Sei es das Einstellen neuer Saisonware oder die Platzierung von Gewinnspielen und Aktionen, um mehr Käufer auf die Website zu führen.“

Dafür schalteten sie mehr Werbeanzeigen und verbänden diese wiederum mit ihren IT-Systemen, um – ebenfalls mit KI – noch genauere Aussagen zum Konsumverhalten treffen zu können.

Groß angelegte Bot-Angriffe florieren im saisonalen Einzelhandel – eben auch rund um „Cyber Monday“

Groß angelegte Bot-Angriffe florierten im saisonalen Einzelhandel – bei hohem Datenverkehr, erhöhtem Checkout-Volumen und intensiven Werbeaktivitäten. Genau dann könne nämlich das Monitoring an technische Grenzen stoßen.

  • Studien wie der „Thales Imperva Bad Bot Report 2025“ zeigten eben, dass besonders der Einzelhandel das Ziel der Cyberkriminellen sei. Mit 15 Prozent aller Bot-Vorfälle sei dieser Sektor der am zweithäufigsten angegriffene.

33 Prozent des Webverkehrs auf Online-Shopping-Websites sei von bösartigen Bots verursacht worden – eine Zahl, welche 2025 auf fast 40 Prozent gestiegen sei. Noch aktuellere Daten ließen schlussfolgern, dass Bots mittlerweile 53 Prozent des Webverkehrs beim E-Commerce ausmachten, gegenüber lediglich 47 Prozent „menschlichem“ Webverkehr. Die Herausforderung für viele Händler bestehe nun darin, dass sie den Unterschied zunächst erkennen müssten.

„Cyber Monday“: Umsatz und Rabatte erhofft – aber „Account Takeover“ und andere Gefahren drohen

Moderne Bots ahmten mit Headless-Browsern, Residential-Proxys oder KI-/„Cloud“-gesteuerter Automatisierung menschliches Verhalten nach und könnten dadurch viele herkömmliche Abwehrmaßnahmen umgehen. Sicherheitsteams von Einzelhändlern konzentrierten sich häufig auf offensichtliche Betrugswege wie Zahlungsbetrug, aber Bots brächten subtilere, in größerem Umfang auftretende Risiken mit sich.

  • Zu den gängigsten Techniken zählten „Account Takeover“ (ATO), „Price Scraping“, „Scalping“ bzw. der Missbrauch von Checkout-Funktionen sowie Angriffe auf Schnittstellen und die Applikationslogik.

Iavarone fasst die Situation zusammen: „Online-Händler verzeichnen also während ,Black Friday’, ,Cyber Monday’ und der Adventszeit ein stark erhöhtes Umsatz- und Datenvolumen. Cyberkriminelle nutzen dies gezielt für automatisierte Bot-Angriffe aus. Moderne KI-gestützte Bots imitieren menschliches Verhalten und umgehen damit klassische Schutzmechanismen.“ Sicherheitsteams stehen laut Iavaronevor der Herausforderung, „guten“ und „schlechten“ Bot-Traffic zu unterscheiden und gezielt Bedrohungen wie „Account Takeover“, „Price Scraping“ oder Checkout-Missbrauch abzuwehren. „Mit den richtigen Maßnahmen lässt sich dies jedoch einschränken und Online-Händler wie deren Kunden vor Online-Betrug schützen!“

Drei Thales-Tipps für Sicherheitsteams gegen Online-Betrug – nicht nur am „Cyber Monday“

Sicherheitsteams von Online-Händlern könnten ihre Unternehmen und deren Kunden vor Online-Betrug schützen. Die folgenden drei Tipps sollen sie dabei unterstützen, um einen Überblick über „Bad Bot“-Traffics zu erhalten und deren Aktivitäten auszuwerten und einzuschränken.

  1. Überblick über den Datenverkehr behalten
    Für Sicherheitsteams gelte die alte Regel: „Was sie nicht sehen können, können sie auch nicht schützen.“ Zu den modernen Bot-Verhaltensweisen gehöre die Nutzung von Headless-Browsern und privaten Proxy-Netzwerken. Damit ahmten diese normales Web-Verhalten nach.
    KI habe die Effektivität automatisierter Missbräuche erhöht, so dass Cyberkriminelle ihre Angriffe leichter wiederholen könnten, bis sie ihr Ziel letztendlich infiltriert haben. Deshalb sei es wichtig, die vollständige Anwendungs- und API-Infrastruktur im Blick zu behalten.
  2. Priorisierung hochwertiger Endpunkte wie Login, APIs und Checkout
    Wenn Sicherheitsteams sicherstellen, dass ihr Bot-Schutz mehr als nur die Webseite abdeckt, sei bereits viel gewonnen.
    Vor allem hochwertige Ziele wie Login-Seiten, Konten, Checkout-APIs und Endpunkte seien bevorzugte Angriffsziele.
  3. Kundenkonten proaktiv schützen
    „Credential-Stuffing“- und „Account Takeover“-Angriffe nähmen während der Hauptverkaufssaison zu.
    Traditionelle Sicherheitsmaßnahmen wie gute Passwort-Hygiene und Multi-Faktor-Authentifizierung (MFA) seien zwar wirksam, reichten aber für die KI-gestützten Angriffe nicht mehr aus. Ein echter „Account Takeover“-Schutz erkenne und blockiere Angriffe sofort und präzise.

Weitere Informationen zum Thema:

THALES
Deutschland / Über uns

Linkedin
Julian Iavarone

THALES CYBERSECURITY imperva
2024 Bad Bot Report

datensicherheit.de, 28.11.2025
Black Friday 2025 – KI-Betrug von Cyberkriminellen im Bestellchaos lanciert / Während Verbraucher den vermeintlich günstigen Angeboten rund um den „Black Friday“ nachjagen, nutzen Cyberkriminelle die Transaktionsflut, um betrügerische Bestellungen zu verstecken

datensicherheit.de, 28.11.2024
Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf / Die populäre Rabatt-Saison hat begonnen – und mit ihr Cyber-Betrügereien

datensicherheit.de, 26.11.2021
Black Friday und Cyber Monday 2021: Daten und KI beeinflussen Kundenengagement / Black Friday auch in Deutschland für Einzelhändler Einstieg in die Weihnachts-Einkaufssaison

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

datensicherheit.de, 19.11.2018
Online-Shopping: Sicher einkaufen am Black Friday und Cyber Monday / Empfehlungen des BSI

]]>
https://www.datensicherheit.de/cyber-monday-online-rabattschlacht-bad-bot-traffic-gefahr/feed 0
Cyberkrimineller Arbeitsmarkt: Warnendes Indiz für Angriffszunahme mittels Social Engineering https://www.datensicherheit.de/cyberkriminelle-arbeitsmarkt-warnung-indiz-zunahme-angriffe-social-engineering https://www.datensicherheit.de/cyberkriminelle-arbeitsmarkt-warnung-indiz-zunahme-angriffe-social-engineering#respond Fri, 05 Sep 2025 22:23:49 +0000 https://www.datensicherheit.de/?p=50009 Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ sind aktuell sehr nachgefragt

[datensicherheit.de, 06.09.2025] „Vor Kurzem hat ReliaQuest einen beachtenswerten Bericht zur aktuellen Entwicklung am ,cyberkriminellen Arbeitsmarkt’ vorgelegt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. So habe sich zwischen 2024 und 2025 die Zahl der dortigen „Stellenangebote“ mehr als verdoppelt. Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ seien gefragt – und solche, welche Künstliche Intelligenz (KI) für „Social Engineering“-Angriffe, zum Beispiel für sogenannte Deepfake-Attacken, nutzbar machten. Für die Zukunft lasse dies „nichts Gutes“ erahnen.

knowbe4-martin-kraemer-2023

Foto: KnowBe4

Dr. Martin J. Krämer: Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von „Social Engineering“ zu erkennen – bevor es zu spät ist!

„Untergrund-Arbeitsmarkt“ boomt und professionalisiert sich

Um sich einen Überblick über die derzeitige Lage und aktuelle Entwicklungen am „cyberkriminellen Arbeitsmarkt“ zu verschaffen, hat demnach ein Team von RealiaQuest zwischen dem 1. Januar 2023 und dem 31. Juli 2025 das DarkWeb nach kriminellen Stellenanzeigen durchforstet und diese analysiert.

  • Ihrem Fazit nach haben sich von 2024 bis 2025 die Gesuche in bekannten Cyberkriminellen-Foren wie „Exploit“ und „RAMP“ mehr als verdoppelt. Auch in diesem Jahr – 2025 – habe die Zahl der Anzeigen zugenommen – „sogar so rasant, dass der Vorjahreswert bereits im Juli überschritten wurde“.

Der „Underground-Arbeitsmarkt“ boome nicht nur – er professionalisiere sich auch. „Ganze 87 Prozent der Stellenanzeigen stammen mittlerweile von kriminellen ‚Personalvermittlern‘, die im DarkWeb für ihre kriminellen Klienten nach kriminellen Technikern mit hochspezialisierten Angriffsfähigkeiten – vor allem im Bereich ,Social Engineering’ – suchen.“ Der Trend sei klar: „Cyberkriminalität wird immer organisierter, spezialisierter und effizienter!“

„Social Engineering“-Wissen nebst KI-Fertigkeiten zunehmend gefragt

Neben „Social Engineering“ seien vor allem KI-Fertigkeiten zunehmend gefragt. Seit dem dritten Quartal 2024 habe sich hierbei ein deutlicher Anstieg der Gesuche bemerkbar gemacht. „Dabei geht es längst nicht mehr allein um die ‚simple‘ Erstellung von Malware. Mittlerweile werden KI-Experten rekrutiert, um Angriffsoperationen als Ganzes zu automatisieren, betont Krämer. KI ermögliche schnellere, skalierbarere Operationen – bei einem deutlich niedrigeren Ressourceneinsatz.

  • Auch und gerade im Bereich der „Deepfake“-Technologien, in denen KI und „Social Engineering“ immer häufiger zusammenkämen, sei mit einem Anstieg der Angriffe fest zu rechnen. „Bereits heute ist die Nachfrage nach erfahrenen ,Social Engineers’ relativ hoch – und damit kostspielig.“

Krämer warnt: „In den kommenden Monaten und Jahren werden KI-gestützte ,Deepfake’-Technologien sich für viele Cyberkriminellen zu einer echten kostengünstigen Alternative entwickeln.“ Es sei deshalb in jedem Fall davon auszugehen, dass „Social Engineering“-Angriffe, ob nun mit menschlicher oder maschineller Expertenunterstützung, weiter zunehmen würden.

Tipps zur Begegnung der Bedrohungslage im Bereich „Social Engineering“

Um für die wachsende Bedrohungslage im Bereich „Social Engineering“ gerüstet zu sein, rät ReliaQuest Unternehmen zu

  • einem risikobasierten Sicherheitskonzept, bei dem regelmäßig die meistgefährdeten und hochwertigsten Vermögenswerte sowie potenziellen Angriffsvektoren identifiziert und hinsichtlich ihrer jeweiligen Risikolagen priorisiert werden
  • einem professionellen Schwachstellen-Management (inklusive regelmäßiger Scans und Reportings)
  • professionellen Schulungen und Tests der gesamten Belegschaft zum Thema „Social Engineering“ – alle Mitarbeiter müssten in die Lage versetzt werden, „Social Engineering“-Taktiken, auch Phishing- und „Spear Phishing“-Versuche, rechtzeitig zu erkennen, nicht darauf hereinzufallen und den zuständigen Sicherheitsteams zu melden

Nur so würden Unternehmen sich eine wachsame Belegschaft aufbauen können, „die unerwünschten Manipulationsversuchen wirksam widerstehen kann“.

Krämer kommentiert abschließend: „Dem kann nur zugestimmt werden. Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von ,Social Engineering’, von Phishing und ,Spear Phishing’ zu erkennen – bevor es zu spät ist!“ Der zunehmende KI-Einsatz auf Seiten Cyberkrimineller lasse diese Notwendigkeit nur noch weiter an Bedeutung gewinnen.

Weitere Informationen zum Thema:

knowbe4
About Us: KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research Team, 21.08.2025
Threat Spotlight | Cybercrime Is Hiring: Recruiting AI, IoT, and Cloud Experts to Fuel Future Campaigns

datensicherheit.de, 10.08.2025
Social Engineering laut Unit 42 Haupteinfallstor 2025 / In mehr als einem Drittel der über 700 analysierten Fälle weltweit nutzten Angreifer „Social Engineering“ als Einstieg – also den gezielten Versuch, Opfer durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein zentrale Herausforderung für Sicherheitsteam ist der Umstand, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen.

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

]]>
https://www.datensicherheit.de/cyberkriminelle-arbeitsmarkt-warnung-indiz-zunahme-angriffe-social-engineering/feed 0
Stealerium: Proofpoint meldet Comeback einer Cyberbedrohung https://www.datensicherheit.de/stealerium-proofpoint-meldung-comeback-cyberbedrohung https://www.datensicherheit.de/stealerium-proofpoint-meldung-comeback-cyberbedrohung#respond Wed, 03 Sep 2025 16:09:57 +0000 https://www.datensicherheit.de/?p=49961 Es gibt weitere Malware mit erheblichen Überschneidungen im Code – insbesondere „Phantom Stealer“ und „Warp Stealer“ –, welche Proofpoint unter dem Oberbegriff „Stealerium“ zusammenfasst

[datensicherheit.de, 03.09.2025] Sicherheitsexperten von Proofpoint haben nach eigenen Angaben in den letzten Monaten eine deutliche Zunahme von Angriffskampagnen festgestellt, welche auf „Stealerium“ basieren – einem 2022 auf „GitHub“ – veröffentlichten sogenannten Info-Stealer auf Open-Source-Basis. Solche ein frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht – könne zwar Sicherheitsforschern helfen, werde indes auch von Cyberkriminellen missbraucht, angepasst und weiterentwickelt. Dadurch entstehen offenkundig zahlreiche, schwerer zu erkennende Varianten. Neben „Stealerium“ selbst gebe es weitere Malware mit erheblichem Überschneidungen im Code – insbesondere „Phantom Stealer“ und „Warp Stealer“. Proofpoint fasst diese demnach unter dem Oberbegriff „Stealerium“ zusammen.

github-stealerium-download-screenshot-3-september-2025

Abbildung: ds-Screenshot von Website „GitHub“ (03.09.2025)

„Stealerium“ als frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht

Aufleben der Angriffe: „Stealerium“ im Mai 2025 wieder verstärkt bei E-Mail-Bedrohungsdaten aufgetaucht

Nach einer Phase geringer Aktivität hätten Proofpoint-Experten „Stealerium“ im Mai 2025 wieder verstärkt in ihren E-Mail-Bedrohungsdaten finden können. Auslöser sei eine Kampagne der Gruppe „TA2715“ gewesen – kurz darauf sei „TA2536“ gefolgt. „In den Monaten bis August 2025 wurden weitere Kampagnen mit unterschiedlichen Täuschungsmethoden und Dateiformaten entdeckt. Die Größenordnung reichte von einigen Hundert bis zu zehntausenden E-Mails pro Angriffswelle.“

  • Die Angreifer hätten unterschiedlichste Themen als Köder genutzt – darunter fingierte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen und das Thema „Hochzeit“. Die Absender hätten bei den Angriffen Banken, NGOs, Gerichte oder Dokumentendienstleister imitiert. In den Betreffzeilen sei auf eine vermeintliche Dringlichkeit bzw. finanzielle Relevanz verwiesen worden.

Technisch seien komprimierte EXE-Dateien, „JavaScript“- und „VBScript“-Dateien, ISO- und IMG-Images sowie ACE-Archive zum Einsatz gekommen. „Beispiele sind eine ,TA2715‘-Kampagne vom 5. Mai 2025 mit einer mutmaßlichen Angebotsanfrage einer kanadischen Wohltätigkeitsorganisation oder eine ,Xerox Scan’-Mail.“ Auch juristische Drohungen mit angeblichen Gerichtsterminen seien genutzt worden, um Opfer zum Klicken zu verleiten.

„Stealerium“ ist in „.NET“ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen

Nach der Ausführung sammele „Stealerium“ zunächst WLAN-Profile und Informationen zu nahegelegenen Netzwerken – teils ergänzt durch „PowerShell“-Befehle zur Manipulation von „Windows Defender“ und geplanten Tasks, um sich dauerhaft im System festzusetzen. Manche Varianten missbrauchten die „Remote Debugging“-Funktion von „Chrome“, um Browser-Sicherheitsmechanismen zu umgehen und sensible Daten wie „Cookies“ oder Passwörter zu stehlen.

  • „,Stealerium’ ist in ,.NET’ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen. Die Exfiltration erfolgt über verschiedene Wege – am häufigsten per SMTP, daneben über ,Discord-Webhooks’, die ,Telegram’-API, den Filehosting-Dienst ,Gofile’ und die Chat-Plattform ,Zulip’.“ Kostenlose „Cloud“-Dienste wie „Gofile“ erleichterten den unauffälligen Abfluss großer Datenmengen. „Zulip“ sei in den untersuchten Kampagnen zwar nicht aktiv genutzt worden, sei aber als Option vorhanden.

Die „Stealerium“-Malware sei hochgradig konfigurierbar. Die Konfiguration enthalte „C2“- und Exfiltrationsparameter sowie Listen mit Diensten, etwa bestimmter Banken. Teile seien per „AES“ verschlüsselt. „Stealerium“ nutze zahlreiche Anti-Analyse-Techniken: Startverzögerungen, Abgleich von Systemparametern mit Blocklisten, Erkennung bestimmter Prozesse und Dienste, Anti-Emulation und Selbstlöschung bei Verdacht. „Bemerkenswert ist die Fähigkeit, aktuelle Blocklisten dynamisch aus öffentlichen ,GitHub’-Repositories nachzuladen.“

„Phantom Stealer“ als Variante derselben Bedrohung

„Phantom Stealer“ habe große Teile des Codes mit „Stealerium“ gemeinsam und unterscheide sich vor allem in der Art der Datenübertragung. „Manche Samples enthalten Verweise auf beide Namen, was auf Code-Recycling hindeutet.“ Auch „Warp Stealer“ weise deutliche Überschneidungen auf. „Proofpoint behandelt diese Familien als Varianten derselben Bedrohung, solange keine wesentlichen funktionalen Unterschiede bestehen.“

  • Die Aktivitäten zwischen Mai und Juli 2025 zeigten, dass „Stealerium“ und seine Varianten weiterhin aktiv in Angriffen eingesetzt würden. Die Kombination aus offenem Quellcode, breiter Funktionspalette und flexiblen Exfiltrationswegen mache sie zu einer ernstzunehmenden Bedrohung. Organisationen sollten auf verdächtige Systembefehle, ungewöhnliche „PowerShell“-Nutzung zur Manipulation von „Defender“-Einstellungen und „headless“ „Chrome“-Prozesse achten.

Ebenso sei es ratsam, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht autorisierten Diensten wie „Discord“, „Telegram“ oder „Gofile“ zu blockieren. Nur durch technische Erkennung, Netzwerküberwachung und Sensibilisierung der Mitarbeiter lasse sich das Risiko durch diese vielseitige Schadsoftware wirksam senken.

Weitere Informationen zum Thema:

proofpoint
What Sets Us Apart: Email, social media, and mobile devices are the tools of your trade—and for cyber criminals, the tools of attack. Proofpoint protects your people, data and brand against advanced threats and compliance risks.

proofpoint, Rob Kinner & Kyle Cucci & The Proofpoint Threat Research Team, 03.09.2025
Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers

datensicherheit.de, 28.07.2025
Lumma Stealer back in CyberSpace – als neue, verbesserte Version / „Lumma“ hatte lange als eine der gefährlichsten und beliebtesten Schadsoftwares zum Stehlen von Zugangsdaten gegolten

datensicherheit.de, 23.06.2025
Amatera Stealer: Neue Bedrohung aus dem Netz umgeht moderne Sicherheitslösungen / Der „Amatera Stealer“, ein neuer hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, warnt Proofpoint

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

]]>
https://www.datensicherheit.de/stealerium-proofpoint-meldung-comeback-cyberbedrohung/feed 0