[datensicherheit.de, 06.09.2025] „Vor Kurzem hat ReliaQuest einen beachtenswerten Bericht zur aktuellen Entwicklung am ,cyberkriminellen Arbeitsmarkt’ vorgelegt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. So habe sich zwischen 2024 und 2025 die Zahl der dortigen „Stellenangebote“ mehr als verdoppelt. Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ seien gefragt – und solche, welche Künstliche Intelligenz (KI) für „Social Engineering“-Angriffe, zum Beispiel für sogenannte Deepfake-Attacken, nutzbar machten. Für die Zukunft lasse dies „nichts Gutes“ erahnen.

Foto: KnowBe4

Dr. Martin J. Krämer: Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von „Social Engineering“ zu erkennen – bevor es zu spät ist!

„Untergrund-Arbeitsmarkt“ boomt und professionalisiert sich

Um sich einen Überblick über die derzeitige Lage und aktuelle Entwicklungen am „cyberkriminellen Arbeitsmarkt“ zu verschaffen, hat demnach ein Team von RealiaQuest zwischen dem 1. Januar 2023 und dem 31. Juli 2025 das DarkWeb nach kriminellen Stellenanzeigen durchforstet und diese analysiert.

• Ihrem Fazit nach haben sich von 2024 bis 2025 die Gesuche in bekannten Cyberkriminellen-Foren wie „Exploit“ und „RAMP“ mehr als verdoppelt. Auch in diesem Jahr – 2025 – habe die Zahl der Anzeigen zugenommen – „sogar so rasant, dass der Vorjahreswert bereits im Juli überschritten wurde“.

Der „Underground-Arbeitsmarkt“ boome nicht nur – er professionalisiere sich auch. „Ganze 87 Prozent der Stellenanzeigen stammen mittlerweile von kriminellen ‚Personalvermittlern‘, die im DarkWeb für ihre kriminellen Klienten nach kriminellen Technikern mit hochspezialisierten Angriffsfähigkeiten – vor allem im Bereich ,Social Engineering’ – suchen.“ Der Trend sei klar: „Cyberkriminalität wird immer organisierter, spezialisierter und effizienter!“

„Social Engineering“-Wissen nebst KI-Fertigkeiten zunehmend gefragt

Neben „Social Engineering“ seien vor allem KI-Fertigkeiten zunehmend gefragt. Seit dem dritten Quartal 2024 habe sich hierbei ein deutlicher Anstieg der Gesuche bemerkbar gemacht. „Dabei geht es längst nicht mehr allein um die ‚simple‘ Erstellung von Malware. Mittlerweile werden KI-Experten rekrutiert, um Angriffsoperationen als Ganzes zu automatisieren“, betont Krämer. KI ermögliche schnellere, skalierbarere Operationen – bei einem deutlich niedrigeren Ressourceneinsatz.

• Auch und gerade im Bereich der „Deepfake“-Technologien, in denen KI und „Social Engineering“ immer häufiger zusammenkämen, sei mit einem Anstieg der Angriffe fest zu rechnen. „Bereits heute ist die Nachfrage nach erfahrenen ,Social Engineers’ relativ hoch – und damit kostspielig.“

Krämer warnt: „In den kommenden Monaten und Jahren werden KI-gestützte ,Deepfake’-Technologien sich für viele Cyberkriminellen zu einer echten kostengünstigen Alternative entwickeln.“ Es sei deshalb in jedem Fall davon auszugehen, dass „Social Engineering“-Angriffe, ob nun mit menschlicher oder maschineller Expertenunterstützung, weiter zunehmen würden.

Tipps zur Begegnung der Bedrohungslage im Bereich „Social Engineering“

Um für die wachsende Bedrohungslage im Bereich „Social Engineering“ gerüstet zu sein, rät ReliaQuest Unternehmen zu

• einem risikobasierten Sicherheitskonzept, bei dem regelmäßig die meistgefährdeten und hochwertigsten Vermögenswerte sowie potenziellen Angriffsvektoren identifiziert und hinsichtlich ihrer jeweiligen Risikolagen priorisiert werden
• einem professionellen Schwachstellen-Management (inklusive regelmäßiger Scans und Reportings)
• professionellen Schulungen und Tests der gesamten Belegschaft zum Thema „Social Engineering“ – alle Mitarbeiter müssten in die Lage versetzt werden, „Social Engineering“-Taktiken, auch Phishing- und „Spear Phishing“-Versuche, rechtzeitig zu erkennen, nicht darauf hereinzufallen und den zuständigen Sicherheitsteams zu melden

Nur so würden Unternehmen sich eine wachsame Belegschaft aufbauen können, „die unerwünschten Manipulationsversuchen wirksam widerstehen kann“.

Krämer kommentiert abschließend: „Dem kann nur zugestimmt werden. Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von ,Social Engineering’, von Phishing und ,Spear Phishing’ zu erkennen – bevor es zu spät ist!“ Der zunehmende KI-Einsatz auf Seiten Cyberkrimineller lasse diese Notwendigkeit nur noch weiter an Bedeutung gewinnen.

Weitere Informationen zum Thema:

knowbe4
About Us: KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research Team, 21.08.2025
Threat Spotlight | Cybercrime Is Hiring: Recruiting AI, IoT, and Cloud Experts to Fuel Future Campaigns

datensicherheit.de, 10.08.2025
Social Engineering laut Unit 42 Haupteinfallstor 2025 / In mehr als einem Drittel der über 700 analysierten Fälle weltweit nutzten Angreifer „Social Engineering“ als Einstieg – also den gezielten Versuch, Opfer durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein zentrale Herausforderung für Sicherheitsteam ist der Umstand, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen.

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

[datensicherheit.de, 16.07.2025] Die Zunahme des internationalen Reiseverkehrs führt offenbar auch vermehrt zu Cyberangriffen auf Passagiere – jedenfalls weist eine aktuelle Untersuchung von NordVPN und Saily auf einen florierenden Schwarzmarkt für gestohlene Reisedokumente hin – demnach sind dort u.a. Pass-Scans, Visa-Informationen und Vielfliegerkonten nachgefragt. „Die Studie zeigt auf, wie günstig es für Kriminelle ist, gestohlene Identitäten zu erwerben.“ Die Untersuchung sei zwischen dem 10. und 20. Juni 2025 von den Forschungsteams von NordVPN und Saily durchgeführt worden – Grundlage sei eine Auswertung von Daten der Plattform „NordStellar“ zur Bedrohungsanalyse gewesen. Untersucht worden seien Angebote auf DarkWeb-Marktplätzen und in Hacker-Foren, in denen Reisedokumente und damit verbundene Informationen gehandelt werden.

Erschreckend hohe Preise im DarkWeb für persönliche Daten Reisender

„Scans von Reisepässen aus verschiedenen Ländern werden im DarkWeb bereits ab zehn US-Dollar (ca. 8,50 Euro) gehandelt. Für verifizierte EU-Pässe werden Summen von über 5.000 US-Dollar (ca. 4.300 Euro) erzielt.“

• Auch gefälschte Kontoauszüge, Visum-Aufkleber sowie gehackte Kundenkonten von Bonusprogrammen mit Millionen Prämienmeilen erreichten dreistellige Preise. Selbst Buchungen über Plattformen wie „Booking.com“ würden mit hohen Rabatten weiterverkauft, oft für 250 Dollar (ca. 215 Euro) oder mehr.

„Die erschreckend hohen Preise, die im DarkWeb für persönliche Daten von Reisenden erzielt werden, zeigen, wie wertvoll und gefährdet diese Informationen inzwischen sind“, kommentiert Marijus Briedis, „Chief Technology Officer“ (CTO) bei NordVPN.

Vielfältige Wege zum Diebstahl von Reisedaten

Reisedaten gelangten auf unterschiedlichen Wegen in kriminelle Hände. „Häufig erfolgt der Zugriff über Malware, die Geräte oder ,Cloud’-Speicher nach sensiblen Informationen durchsucht.“ Sicherheitslücken bei Fluggesellschaften, Visa-Dienstleistern oder Reisebüros böten weitere Einfallstore.

• Offiziellen Web-Portalen nachempfundene Phishing-Seiten verleiteten ferner Nutzer dazu, Reisepässe oder Visa-Dokumente hochzuladen. Auch öffentlich zugängliche „Cloud“-Ordner mit unzureichenden Zugriffsbeschränkungen würden gezielt durchsucht. „Selbst physische Dokumente wie Bordkarten, die an Flughäfen verloren gehen oder weggeworfen werden, gelangen ins DarkWeb.“

„Aktuelle Betrugsmethoden basieren zunehmend auf KI-gestützten Phishing-Versuchen; darunter gefälschte Check-in-Portale, die zur Übermittlung von Selfies mit Ausweisen auffordern, ebenso wie betrügerische Registrierungsseiten für Lounges oder WLAN-Zugänge“, erläutert Vykintas Maknickas, CEO von Saily, und führt hierzu weiter aus: „Durch den einfachen Zugang zu KI-Tools sind solche Phishing-Versuche einfach durchzuführen, äußerst überzeugend und schwer zu erkennen.“

Gestohlene Reisedaten – eine Goldgrube für Cyberkriminelle

Reisedokumente besäßen hohen Wiederverkaufswert bei geringem Aufwand für die Kriminellen. Viele digitale Plattformen verlangten zur Identitätsverifizierung lediglich einen Reisepass-Scan und ein Foto – ein Verfahren, welches durch Deepfake-Technologien umgangen werden könne.

• Gestohlene Datensätze enthielten oft vollständige Namen, Geburtsdaten, Passnummern, E-Mail-Adressen, Telefonnummern und Notfallkontakte. Diese Informationen ermöglichten Identitätsdiebstahl, betrügerische Kontoeröffnungen oder gezielte Social-Engineering- bzw. Phishing-Angriffe, bei denen persönliche Daten und Reiseinformationen genutzt würden, um Opfer oder deren Kontakte zu täuschen.

„Reisedokumente eröffnen Kriminellen mit minimalem Aufwand Zugang zu digitalen Identitäten“, so Briedis’ Warnung. „Ihr Missbrauch kann schwerwiegende Folgen haben!“

Tipps von NordVPN und Saily: Schutzmaßnahmen für Reisende

NordVPN und Saily raten Reisenden dazu, Schutzmaßnahmen für ihre Reisedaten zu ergreifen: Sensible Reisedokumente sollten in verschlüsselten digitalen Tresoren statt in öffentlich zugänglichen „Cloud“-Ordnern gespeichert werden. Zudem sei besondere Wachsamkeit gegenüber Phishing-Versuchen geboten. Insbesondere bei URLs gelte es, diese vor der Eingabe persönlicher Informationen zu überprüfen.

• Laut Maknickas ist gesunde Skepsis der wirksamste Schutz gegen moderne Social-Engineering-Angriffe: „Betrugsversuche sind heute oft täuschend echt, da sie gezielt personalisiert und kontextbezogen gestaltet werden. Ein kurzer Moment des Innehaltens und kritischen Hinterfragens kann entscheidend sein. Im Zweifelsfall sollte die Echtheit einer Anfrage immer über einen unabhängigen Kanal überprüft werden.“

Ergänzend empfiehlt Briedis: „Digitale Endgeräte sollten stets mit aktueller Antiviren-Software geschützt sein. In öffentlichen WLAN-Netzen bietet der Einsatz eines VPNs zusätzlichen Schutz durch Verschlüsselung und Blockierung potenzieller Malware. Finanz- und Treuekonten sollten regelmäßig auf verdächtige Aktivitäten geprüft und verlorene oder gestohlene Dokumente umgehend gemeldet werden, um Risiken zu minimieren.“

Weitere Informationen zum Thema:

NordVPN, Werner Beckmann, 15.07.2025
So sieht ein Marktplatz für geklaute Reisedokumente aus: Eine Untersuchung von NordVPN und Saily

NordVPN
Lerne NordVPN kennen / Online-Sicherheit beginnt mit einem Klick – und die Geschichte eines der führenden VPN-Anbieter beginnt mit einer Vision.

Saily
Was ist Saily?

datensicherheit.de, 01.07.2025
Sommer, Sonne, Sicherheitsrisiko: Sophos-Tipps für hohen Cyberschutzfaktor auch auf Reisen / Sophos gibt zum Beginn der Sommer-Urlaubszeit 2025 Tipps, wie Reisende sich vor Datendiebstahl und Spionage schützen können

datensicherheit.de, 08.06.2025
WLAN auf Reisen: Jeder siebte Urlauber gefährdet eigene Datensicherheit / Fünf Prozent der Befragten haben sich bisher noch gar nicht mit Cybersicherheitsrisiken im Urlaub beschäftigt

datensicherheit.de, 30.05.2025
Sommerurlaub 2025 voraus: 7 KnowBe4-Cybersicherheitstipps für Reisen / KnowBe4 hat elementare Tipps für die Reisesicherheit veröffentlicht – speziell auf aktuelle Cybersicherheitsbedrohungen zugeschnitten

datensicherheit.de, 17.01.2025
Warnung vor neuer Phishing-Angriffskampagne über Reisebüro-Konten / Jüngste Phishing-Kampagne zeigt, wie gefährlich die Imitation von Marken sein kann

[datensicherheit.de, 08.07.2025] Das sogenannte DarkWeb ist offensichtlich längst kein mysteriöser Randbereich des Internets mehr – „es ist eine florierende Untergrundwirtschaft, die Identitätsdiebstahl, Ransomware und Datenschutzverletzungen weltweit antreibt“, warnt Panda Security in seiner aktuellen Stellungnahme und berichtet: „Laut einer aktuellen Analyse von Panda Security für 2025 gab es allein in den USA 880.418 Beschwerden wegen Internetkriminalität, mit einem Gesamtschaden von 12,5 Milliarden US-Dollar – ein Anstieg von 22 Prozent im Vergleich zu 2022.“

Abbildung: Panda Security

Überblick: „Tor“-Nutzer weltweit

60 Prozent der DarkWeb-Domains hosten illegale Inhalte

Zentrale Erkenntnisse aus dem Bericht „39 Eye-Opening Dark Web Statistics for 2025“:

• 15 Milliarden gestohlene Zugangsdaten kursierten auf DarkWeb-Marktplätzen
• Ransomware-Angriffe seien 2023 um 55,5 Prozent gestiegen, besonders stark betroffen gewesen sei der Gesundheitssektor
• 60 Prozent der Domains im DarkWeb hosteten illegale Inhalte
• Die USA und Deutschland machten gemeinsam 68 Prozent des globalen DarkWeb-Traffics im „Tor“-Netzwerk aus
• Über drei Millionen Menschen griffen täglich auf das DarkWeb zu (Stand per März 2025)

DarkWeb-Boost befördert Komplexität und Reichweite der Bedrohungen

Mit dem prognostizierten weiteren Wachstum des DarkWebs – Schätzungen zufolge werde der Markt bis 2032 auf 2,92 Milliarden US-Dollar zunehmen – stiegen auch die Komplexität und Reichweite der Bedrohungen.

Der Bericht „39 Eye-Opening Dark Web Statistics for 2025“ gibt demnach Einblicke, wie gestohlene Daten, Phishing-Kits und kriminelle Marktplätze in nahezu vollständiger Anonymität funktionieren.

Abbildung: Panda Security

Gegenüberstellung: „Web“ vs. „DarkWeb“

Panda Security gibt praktische Tipps zum Schutz – inklusive DarkWeb-Überwachung

Der vollständige Bericht umfasst laut Panda Security:

• Übersicht der „Tor“-Nutzung nach Ländern
• Aufschlussreiche Statistiken zu Identitätsdiebstahl, Phishing und Datenschutzverletzungen
• Wie Cyberkriminelle gehackte Zugangsdaten zu Geld machen
• Risiken durch Foren, „Telegram“-Gruppen und geleakte Mitarbeiterdaten
• Praktische Tipps zum Schutz – inklusive DarkWeb-Überwachung, VPNs und Sicherheitstools wie „Panda Dome“

Weitere Informationen zum Thema:

panda, 05.05.2025
39 Eye-Opening Dark Web Statistics for 2025

datensicherheit.de, 26.06.2025
Dark Economy Report 2025: BioCatch sieht Finanzinstitute im Zugzwang / BioCatch hat am 18. Juni 2025 seinen ersten „Dark Economy Report“ veröffentlicht – diesem liegt eine Umfrage unter 800 Experten in 17 Ländern auf fünf Kontinenten zugrunde

datensicherheit.de, 16.06.2025
BKA-Meldung zu Archetyp Market: Darknet-Handelsplattform abgeschaltet / Auf dieser ältesten kriminellen Handelsplattform im Darknet wurden laut BKA mindestens 250 Millionen Euro umgesetzt

datensicherheit.de, 18.11.2024
Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet / Verbraucherkanzlei Dr. Stoll & Sauer bietet Tibber-Kunden Prüfung möglicher Ansprüche auf Schadensersatz

datensicherheit.de, 25.07.2024
Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich / Preise können je nach Qualität des jeweiligen Botnets auf bis zu 10.000 US-Dollar steigen

datensicherheit.de, 23.07.2022
HP: Gestohlene Zugangsdaten im DarkWeb günstiger als ein Döner / Laut neuer Studie von HP Wolf Security sind Cyber-Kriminelle bemüht, ihre Untergrund-Ökonomie zu professionalisieren

[datensicherheit.de, 18.06.2025] „Im Kampf gegen Cyberkriminelle können es sich Unternehmen nicht leisten, auf der Stelle zu treten!“, betont Andreas Müller, „Vice President Enterprise Sales CE“ bei Delinea, in seiner aktuellen Stellungnahme und führt aus, „warum sie insbesondere ihre Ransomware-Abwehr überdenken müssen und was es für den Schutz gegen die Cybererpresser braucht“.

Foto: Delinea

Andreas Müller prognostiziert: Das Thema „Agentic AI“ im Security-Bereich wird zunehmend an Bedeutung gewinnen

Betrüger veräußern Anmeldedaten im DarkWeb und treiben so das Wachstum des Ransomware-Marktes

Die Anzahl erfolgreicher Cyberangriffe gehe erneut durch die Decke, so der Bitkom. Demnach ist der Anteil der betroffenen Unternehmen im Jahr 2024 von 72 auf 81 Prozent gestiegen. Bei etwa einem Drittel (31%) davon habe Ransomware den größten Schaden angerichtet (2023: 23%).

• Müller erörtert, was den Erfolg von Ransomware-Angriffen begünstigt: „Wer über die Anmeldedaten von Personen aus einem Unternehmen verfügt, kann sich in der Regel ganz einfach im System anmelden und sich frei bewegen – sofern keine zusätzlichen Sicherheitsmechanismen wie Multifaktor-Authentifizierung oder eingeschränkte Zugriffsprivilegien aktiv sind.“

Für ein zusätzliches „Taschengeld“ verkauften viele Betrüger die Anmeldedaten im sogenannten DarkWeb, was zum Wachstum des Ransomware-Marktes beitrage (Initial Access Broker).

„Ransomware-as-a-Service“ als erfolgreiches Geschäftsmodell

Bekannt als „Ransomware-as-a-Service“-Modell böten kriminelle Gruppen und Einzelgänger darüber hinaus sowohl ihre Dienste als auch ihre „Tools“ gegen Zahlung im DarkWeb an. Damit könnten sogar Cybercrime-Laien ohne nennenswerte Hacking-Skills Unternehmen erpressen.

• „Ein weiteres rentables Geschäftsmodell bildet ,Double Extortion’ – also die doppelte Erpressung: zunächst durch Datenverschlüsselung und anschließend durch Veröffentlichung oder Verkauf der Daten an Höchstbietende.“

„And last, but not least“, so Müller: Cyberkriminellen stehe – wie allen anderen auch – die Welt zu neuen Technologien offen. Mithilfe von KI steigerten sie zum Beispiel die Erfolgsrate ihrer Phishing-Kampagnen, „indem sie damit unter anderem die Inhalte glaubwürdiger gestalten“.

Schwachstellen in IT-Abteilungen begünstigen Ransomware-Angriffe

Es gebe verschiedene Faktoren, welche es Cyberkriminellen unter günstigen Umständen besonders leicht machten, Unternehmen „Ransomware unterzujubeln und sich dadurch sensible Daten unter den Nagel zu reißen“. Diese Schwachstellen erklärten, „wieso Angriffe so häufig und erfolgreich sind und warum Unternehmen lange unter den Folgen von Ransomware-Attacken leiden müssen“.

1. Schwachstelle: Die Bereitschaft, nachzugeben
   Über die Hälfte der Unternehmen hätten sich laut einer aktuellen Studie gegen die allgemein bekannten Handlungsempfehlungen entschieden und das verlangte Lösegeld mit der Aussicht gezahlt, den Wiederherstellungsprozess zu beschleunigen.
   „Allerdings haben sie es mit Kriminellen zu tun, die nicht immer ihr Wort halten. 26 Prozent, die sich auf die Forderungen eingelassen haben, erhielten ihre Daten nicht zurück.“
   Somit gebe es keine Garantie, dass Angreifer die verschlüsselten Systeme und Daten wieder freigeben, geschweige denn darauf verzichten, ihre Ausbeute im DarkWeb zu Geld zu machen.
2. Schwachstelle: Alleiniges Vertrauen in die Basics
   Wenn es um Cybersicherheit geht, setzten sehr viele Unternehmen auf diese vier Top-Maßnahmen: regelmäßige Updates, Backups sensibler Daten, vorgeschriebene Passworthygiene sowie Anwendungskontrollen.
   „Robustere Mechanismen wie Identity- und Access-Management sucht man hier vergeblich.“
   So hilfreich die aufgezählten Maßnahmen auch seien – die steigende Anzahl von Ransomware-Opfern beweise, dass sie allein nicht ausreichten, um sich wirksam gegen Phishing-Angriffe und Datendiebstahl zu schützen.
3. Schwachstelle: Verschobener Fokus
   Auch wenn es in vielen Unternehmen an fortschrittlicheren Sicherheitsmaßnahmen fehle, seien die meisten von ihnen (90%) zumindest teilweise auf den Ernstfall vorbereitet.
   Dieser Anteil verfüge nach eigenen Aussagen nämlich über Incident-Response- und Backup-Pläne. Allerdings zeigten die Umfrageergebnisse auch hierbei, dass die Konzepte mit hoher Wahrscheinlichkeit ihre Lücken hätten.
   „Denn 75 Prozent der Unternehmen benötigten im Schnitt zwei Wochen, um sich von einem Ransomware-Angriff zu erholen und ihre Ressourcen wiederherzustellen. Lediglich 18 Prozent schafften das innerhalb von 24 Stunden.“
4. Schwachstelle: Reaktion statt Prävention
   „So lange es Sicherheitslücken gibt und Opfer bereitwillig das Lösegeld zahlen, bleibt die Bedrohung bestehen.“
   Gleichzeitig vergrößere sich aufgrund technologischer Innovationen die Angriffsfläche in Unternehmen, „was Cyberkriminellen in die Karten spielt und den Schutz vor Datendiebstahl verkompliziert“.
   Dies mache eine präventive, proaktive und mehrschichtige Abwehrstrategie unerlässlich, welche grundlegende und fortschrittliche Sicherheitsmaßnahmen sowie Incident-Response- und Recovery-Pläne miteinander verbindet.

Wissen erforderlich, welche Mitarbeiter und Geräte sich aktuell im Netzwerk befinden

„Dazu gehören zum einen die wichtigen Basics wie risikobasiertes Patching, regelmäßige Backups, Anwendungskontrollen, aber auch Security-Awareness-Schulungen für alle Mitarbeitenden.“

• Zum anderen spiele das Thema Access- und Identity-Management eine essenzielle Rolle. In diesem Kontext bildeten „Privileged Access Management“, „Least Privilege“, „Governance“ und „Zero Trust“ den Hauptbestandteil einer robusten Sicherheitsstrategie.

Denn nur wer ganz genau weiß, welche Mitarbeiter und Geräte sich im Netzwerk befinden und ihnen nur ein Mindestmaß an Privilegien zuschreibt, könne das Risiko durch ungewollte Dritte minimieren.

Einsatz von KI-Technologien zur zusätzlichen Stärkung der Ransomware-Abwehr

Der Einsatz von KI-Technologien könne die Ransomware-Abwehr zusätzlich stärken. Dabei gehe es vor allem darum, potenzielle Bedrohungen und aktive Angriffe so schnell wie möglich aufzudecken. „Dafür eignet sich ein KI-gestütztes Sicherheitssystem besonders gut, da es Unmengen an Daten durchgehend analysieren und Ausschau nach verdächtigen Mustern und Abweichungen halten kann (Indicators of Compromise).“

• Neben Bedrohungsdaten könne es auch nach Verhaltensauffälligkeiten, unerwartet überprivilegierten Identitäten und nach verdächtigen Inhalten in E-Mails – sowohl im Text als auch im Anhang – suchen.

Künftig werde zudem das Thema „Agentic AI“ im Security-Bereich zunehmend an Bedeutung gewinnen, „da ein solches System autonom Aufgaben wie ,Threat Hunting’ und ,Intelligent Policy Authorization’ übernehmen kann und somit bereits stark unterbesetzte und unterbudgetierte IT-Teams noch mehr entlastet“.

Weitere Informationen zum Thema:

DELINEA, 2025
REPORT: 2025 State of Ransomware Report / Adapting with agility to a fast-changing threat landscape

bitkom, 28.08.2024
Wirtschaftsschutz 2024 / Dr. Ralf Wintergerst, Bitkom-Präsident

datensicherheit.de, 08.06.2025
Jährlich droht die Ransomware: eco fordert konsequente Cyberresilienz-Strategien / Laut „Bundeslagebild Cybercrime 2024“ des BKA bleibt Ransomware die größte Bedrohung für Unternehmen und KRITIS

datensicherheit.de, 14.05.2025
Ransomware Reloaded: 2025 droht das bisher gefährlichste Jahr zu werden / „Ransomware war noch nie so aggressiv, anpassungsfähig oder trügerisch!“, warnt Marco Eggerling in seinem Kommentar zum diesjährigen „Anti-Ransomware-Tag“

datensicherheit.de, 12.05.2025
Internationaler Anti-Ransomware-Tag: KnowBe4 prognostiziert agentenbasierte KI-Ransomware als neuen Angriffsvektor / In naher Zukunft ist mit dem Auftreten einer neuen Art von Ransomware, welche agentenbasierte KI für schnellere und effektivere Angriffe nutzt, zu rechnen – diese wird voraussichtlich zu einer neuen Bedrohung werden

[datensicherheit.de, 23.07.2022] Laut der neuen Studie von HP Wolf Security setzen Cyber-Kriminelle auf „Dispute Resolution Services“, Lieferanten-Bürgschaften und Treuhand-Zahlungen, um im Kontext einer gut organisierten Untergrund-Ökonomie „fair“ anmutende Geschäfte zu gewährleisten.

The Evolution of Cybercrime: HP Inc. publiziert neue Studie

Die HP Inc. hat die Studie „The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back – an HP Wolf Security Report“ veröffentlicht.

Sie belegt demnach, dass die Cyber-Kriminalität durch sogenannte „Plug-and-Play“-Malware-Kits aktuell im Aufwind ist – Cyber-Attacken seien damit einfacher durchführbar als jemals zuvor. Cyber-Konsortien setzten dabei bei Angriffen auf die Unterstützung von Amateur-Hackern und gefährdeten so unsere Online-Welt.

Für diese Studie habe das „Threat Team“ von HP Wolf Security eng mit Forensic Pathways zusammengearbeitet, einem Zusammenschluss von weltweit führenden Forensik-Experten. Im Zeitraum von drei Monaten habe das Team das DarkWeb untersucht: „Dabei wurden mehr als 35 Millionen cyber-kriminelle Marktplätze und Forenbeiträge gescannt und analysiert. Ziel der Untersuchung war es, zu verstehen, wie Cyber-Kriminelle arbeiten, Vertrauen gewinnen und eine Reputation aufbauen.“

Zu den wichtigsten Erkenntnissen gehören laut HP:

Malware ist günstig und leicht verfügbar
Mehr als drei Viertel (76%) der gelisteten Malware-Anzeigen und 91 Prozent der „Exploits“ (darunter versteht sich Code, der Angreifern über Software-Fehler die Kontrolle über Systeme verschafft) würden für weniger als zehn US-Dollar verkauft.
Die durchschnittlichen Kosten für kompromittierte „Remote Desktop Protocol“-Anmelde-Informationen lägen bei gerade einmal fünf US-Dollar. Anbieter verkauften ihre Produkte in Paketen, mit „Plug-and-Play“-Malware-Kits, „Malware-as-a-Service“, Tutorials und Mentoren-Diensten.
Auch mit geringen Kenntnissen und Erfahrungen seien Cyber-Kriminelle so in der Lage, komplexe technische Angriffe durchzuführen – tatsächlich seien aktuell nur zwei bis drei Prozent der Bedrohungsakteure erfahrene Programmierer.

Ironie der „Ehre unter Cyber-Dieben“
Ähnlich wie im legalen Online-Handel seien Vertrauen und Reputation ironischerweise wesentliche Bestandteile des cyber-kriminellen Handels: 77 Prozent der analysierten cyber-kriminellen Marktplätze verlangten eine Verkäufer-Bürgschaft – dahinter verberge sich eine Art Verkaufslizenz – welche bis zu 3.000 US-Dollar kosten könne.
Davon nutzten 85 Prozent Treuhand-Zahlungen und 92 Prozent verfügten über einen externen „Dispute Resolution Service“.
Darüber hinaus biete jeder Marktplatz Bewertungen von Verkäufern an. Cyber-Kriminelle versuchten zudem, den Strafverfolgungsbehörden einen Schritt voraus zu sein: Sie nähmen ihre Reputation bzw. ihre Bewertung von einer Website mit zur nächsten. Dies sei möglich, da die durchschnittliche Lebensdauer einer „Tor“-Website im DarkNet gerade einmal 55 Tage betrage.

Beliebte Software verschafft Cyber-Kriminellen Fuß in der Tür
Cyber-Kriminelle konzentrierten sich darauf, Lücken in Software zu finden. Über diese Lücken seien sie in der Lage, einen „Fuß in die Tür“ zu bekommen und die Kontrolle über Systeme zu übernehmen.
Dabei nähmen sie besonders bekannte Schwachstellen in beliebter Software ins Visier, darunter etwa das „Windows“-Betriebssystem, „Microsoft Office“ oder Web-Content-Management-Systeme sowie Web- und Mail-Server.
Kits, die Schwachstellen in Nischensystemen ausnutzten, erzielten dabei die höchsten Preise (in der Regel zwischen 1.000 und 4.000 US-Dollar). „Zero Days“ (Schwachstellen, die noch nicht öffentlich bekannt sind) würden auf DarkWeb-Märkten für Zehntausende von US-Dollar gehandelt.

Senior Malware Analyst der HP Inc. warnt: Cyber-Krimineller zu sein immer einfacher

„Leider war es noch nie so einfach, ein Cyber-Krimineller zu sein“, so der Autor des Berichts, Alex Holland, „Senior Malware Analyst“ bei HP Inc. Komplexe Angriffe hätten bisher spezielle Fähigkeiten, Kenntnisse und Ressourcen erfordert. Jetzt seien die Technologie und die entsprechende Ausbildung günstiger als ein Döner zu haben.

„Und unabhängig davon, ob es um die Preisgabe von Unternehmens- und Kundendaten, um Lieferverzögerungen oder sogar um die Absage eines Krankenhausaufenthalts geht – die explosionsartige Zunahme der Internetkriminalität betrifft uns alle“, unterstreicht Holland.

Im Mittelpunkt stehe Ransomware. Diese habe ein „neues Ökosystem von Cyber-Kriminellen“ geschaffen, welches kleinere Akteure mit einem Teil des Gewinns belohne. „So entsteht eine Art Fabrik für Cyber-Kriminalität. Diese produziert Angriffe, die sehr schwer abzuwehren sind, und nimmt genau die Unternehmen ins Fadenkreuz, auf die wir uns alle verlassen.“

HP hat sich mit Gremium von Experten aus Cybersecurity und Wissenschaft beraten

Darüber hinaus habe HP sich mit einem Gremium von Experten aus dem Bereich Cybersecurity und Wissenschaft beraten – darunter der ehemalige „Black Hat“-Hacker Michael – „Mafia Boy“ – Calce und der Kriminologe Dr. Mike McGuire.

Ziel sei es gewesen, die Entwicklung der Cyber-Kriminalität zu verstehen und herauszufinden, wie Unternehmen sich besser gegen die Bedrohungen von heute und morgen zu schützen.

Die Experten rufen Organisationen nach HP-Angaben dazu auf, sich künftig auf zerstörerische „Data Denial Attacks“ sowie Cyber-Kampagnen und Cyber-Kriminelle einstellen müssen, welche bei ihren Angriffen Technologien wie Künstliche Intelligenz (KI) einsetzen würden.

Um sich vor aktuellen und zukünftigen Bedrohungen zu schützen, sollten Firmen folgende HP-Tipps beachten:

Grundlagen beherrschen und Cyber-Kriminellen damit weniger Chancen zum Angriff bieten
Unternehmen sollten „Best Practices“ wie Multi-Faktor-Authentifizierung und Patch-Management nutzen sowie die Angriffsfläche für die wichtigsten Angriffsvektoren reduzieren. Dazu gehörten E-Mail, Web-Browsing und Dateidownloads. Sogenannte Selbstheilende Hardware erhöhe darüber hinaus die Widerstandsfähigkeit.

Konzentration darauf, das Spiel zu gewinnen
Organisationen sollten stets mit dem schlimmstmöglichen Szenario planen. Darüber hinaus sollten Firmen Risiken, die von Mitarbeitern und Partnern ausgehen, begrenzen, etwa mithilfe von Prozessen zur Überprüfung der Sicherheit von Zulieferern und zur Aufklärung der Mitarbeiter zum Thema „Social Engineering“. Unternehmen müssten prozessorientiert agieren und Reaktionen auf Angriffe trainieren – auf diese Weise könnten sie Attacken und einhergehende Probleme schneller erkennen und seien in der Lage, Verbesserungen vorzunehmen und sich besser vorzubereiten.

Cyberkriminalität ist ein Mannschaftssport
Das gelte indes auch für die Cybersecurity: Unternehmen sollten ihre Mitarbeiter zum Austausch über Bedrohungen und Erkenntnisse motivieren. Darüber hinaus empfehle es sich, auf Bedrohungsdaten zurückzugreifen und proaktiv offene Diskussionen in Untergrundforen zu beobachten. Die Zusammenarbeit mit Sicherheitsdiensten von Drittanbietern unterstütze dabei, Schwachstellen und kritische Risiken aufzudecken, die behoben werden müssten.

HP legt Unternehmen nahe, Widerstandsfähigkeit zu verbessern und möglichst viele gängige Angriffswege auszuschalten

„Wir alle müssen mehr tun, um die wachsende Cyber-Kriminalität zu bekämpfen“, betont Dr. Ian Pratt, „Global Head of Security for Personal Systems“ bei HP Inc. Für den Einzelnen bedeute dies, dass er sich des Themas bewusst werden müsse. Die meisten Angriffe begännen mit einem einzigen Mausklick. Dr. Pratt: „Daher ist es immer wichtig, dass man erst nachdenkt, bevor man klickt. Noch besser ist es natürlich, sich ein Sicherheitsnetz zuzulegen, indem man Technologien implementiert, die die Auswirkungen ebensolcher Klicks reduzieren und wiederherstellen.“

Für Unternehmen sei es wichtig, ihre Widerstandsfähigkeit zu verbessern und so viele gängige Angriffswege wie möglich auszuschalten, denn Cyber-Kriminelle studierten zum Beispiel Patches, sobald sie veröffentlicht werden, und nutzten sie aus, „bevor Unternehmen sie gepatcht haben“. Daher sei eine schnellere Patch-Verwaltung von entscheidender Bedeutung.

Viele der häufigsten Bedrohungskategorien – etwa solche, die über E-Mail und das Internet übertragen werden – könnten durch Techniken wie die Eindämmung und Isolierung von Bedrohungen vollständig neutralisiert werden. Zum Abschluss seines Kommentars hebt Dr. Pratt hervor: „Dadurch lässt sich die Angriffsfläche eines Unternehmens erheblich reduzieren – und dies unabhängig davon, ob die Schwachstellen gepatcht sind oder nicht.“

Weitere Informationen zum Thema:

hp, HP Wolf Security, 21.07.2022
The Evolution of Cybercrime: Why the Dark Web is Supercharging the Threat Landscape and How to Fight Back

[datensicherheit.de, 08.07.2020] Laut einem aktuellen Report von Digital Shadows über Zugangsdaten haben sich bedenkliche Ausmaße geleakter Login-Daten im Zusammenhang mit Kontoübernahmen (ATO) gezeigt: Die „Threat Intelligence-Experten“ haben demnach mehr als 15 Milliarden Benutzername-Passwort-Kombinationen gefunden, welche auf cyber-kriminellen Marktplätzen gehandelt werden – viele davon im DarkWeb. Damit sei die Zahl der gestohlenen und offengelegten Zugangsdaten seit 2018 um rund 300 Prozent gestiegen. Die kompromittierten Daten stammten aus mehr als 100.000 unterschiedlichen Verstößen gegen Datenschutzbestimmungen, Cyber-Hacks und anderen Datenleaks. Insgesamt fünf Milliarden der aufgedeckten Login-Daten seien als „unique“ eingestuft und würden damit erstmals und einmalig auf einem Marktplatz zum Verkauf angeboten.

Abbildung: Digital Shadows

Durchschnittspreise für Zugangsdaten Januar-Juni 2020

Untergrund-Markt für Zugansdaten: Von Bankkonten bis hin zu Streaming-Diensten

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen und Passwörter von diversen Kundenaccounts – angefangen bei Bankkonten bis hin zu Streamingdiensten wie „Netflix“ oder „Spotify“. Viele der Kontodaten seien kostenlos auf einschlägigen Foren erhältlich oder würden zu Spottpreisen verkauft – durchschnittlich koste der Zugang zu einem Konto 13,68 Euro.
Bei Konten von Banken, Bezahldiensten und anderen Finanzdienstleistern, die bei einem erfolgreichen Zugriff mit einem höheren Gewinn winkten, liege der Preis mit 62,86 Euro deutlich höher. Über dem Durchschnittspreis lägen auch Zugangsdaten für Antivirenprogramme mit 19,21 Euro. Für unter zehn Euro könnten Cyber-Kriminelle auf fremde Konten bei Streaming-Diensten, Social-Media-Profilen, virtuellen privaten Netzwerke (VPNs) und Webseiten mit pornographischen Inhalten zugreifen.

Missbrauch von Zugangsdaten für Phishing, Social Engineering, Extortion oder Infiltrieren von Netzwerken

„Allein in den letzten 18 Monaten hat das ,Photon Research Team‘ von Digital Shadows etwa 27,3 Millionen Benutzer-Passwort-Kombinationen bei unseren Kunden identifiziert“, berichtet Stefan Bange, „Country Manager DACH“ bei Digital Shadows. Natürlich folge nicht auf jedes geleakte Login auch ein erfolgreicher Cyber-Angriff.
Trotzdem enthielten viele dieser Konten personenbezogene und sehr sensible Informationen, welche von Cyber-Kriminellen ausgenutzt werden könnten – sei es für Phishing, Social Engineering, Extortion oder das Infiltrieren des Netzwerks. Das Risiko für den Einzelnen sei groß, aber auch Organisationen und Unternehmen seien direkt und indirekt über ihre Mitarbeiter und Kunden betroffen, warnt Bange.

2 Millionen Sätze von Zugangsdaten im Kontext von Schlüsselabteilungen in Unternehmen gefunden

Die Analysten hätten insgesamt zwei Millionen E-Mail-Adressen und Benutzernamen gefunden, welche mit Schlüsselabteilungen von Unternehmen (z.B. „Buchhaltung“, „Controlling“) in Verbindung stünden. Darüber hinaus entdeckte Digital Shadows nach eigenen Angaben zum Verkauf stehende „Domain Admins“, welche je nach Unternehmensgröße und Branche einen Preis zwischen 500 und 120.000 Euro erzielten.
Inwiefern diese sicherheitskritischen Zugangsdaten aktuell und valide sind, lasse sich schwer beurteilen. Auf der Liste der „Domain Admins“ fänden sich jedoch sowohl große Konzerne und sogenannte Global Player als auch unterschiedliche staatliche Behörden und Regierungsstellen.

As-a-Service: Mieten von Zugangsdaten als Dienstleistung

„Die Wahrheit ist, dass es für Cyber-Kriminelle noch nie so einfach war, das Konto von Anwendern zu hacken. Brute-Force-Cracking-Tools und ,Account Checker‘ sind im DarkWeb schon ab vier Euro erhältlich. Zudem beobachten wir seit geraumer Zeit eine Zunahme von sogenannten ,as-a-Service‘-Angeboten, bei denen Kriminelle gar nicht mehr selbst tätig werden müssen, sondern sich den Zugang zu einem Konto und damit die Identität des Anwenders für weniger als zehn Euro einfach mieten können“, führt Bange aus.
Multi-Faktor-Authentifizierung (MFA) mache ATO-Angriffe zwar schwieriger, aber nicht unmöglich. Bange: „Hier sehen wir immer wieder neue Methoden, die 2FA umgehen und auf cyberkriminellen Foren diskutiert und gehandelt werden.“

Sicherheitsmaßnahmen und „Threat Intelligence“ zum Schutz der Zugansdaten

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen. Dazu gehört laut Digital Shadows:

• Monitoring von Zugangsdaten von Mitarbeitern (z.B. über „HaveIBeenPwned“) sowie das Einrichten von Alerts, die über aktuellen Daten-Hacks informieren.
• Monitoring des Unternehmens- und Markennamens in gängigen Foren: „Google Alerts“ beispielsweise könnten – richtig konfiguriert – Indikatoren für drohende ATO-Versuche liefern.
• Monitoring von Zugangsdaten von Kunden.
• Umfassende Abdeckung von Quellen im OpenWeb, DeepWeb und DarkWeb: In Code-Repositories wie „GitHub“ beispielsweise fänden sich öffentlich zugängliche technische Daten, die von Cyber-Kriminellen ausgenutzt werden könnten – darunter Authentifizierungsschlüssel, hartcodierte Passwörter, „Code Snippets“ oder API-Schlüssel.
• Implementierung einer Online-Firewall für Web-Anwendungen. Kommerzielle und Open-Source-Firewalls (wie z.B. „ModSecurity“), könnten helfen, Angriffe auf Zugangsdaten zu identifizieren und zu blockieren.
• Sicherheitsbewusstsein bei Anwendern schärfen, um das Nutzen der unternehmenseigenen E-Mail für private Konten und die Wiederverwendung von Passwörtern zu unterbinden.
• Beobachten von „Credential Stuffing Tools“: Einige Lösungen seien mittlerweile in der Lage, sogenannte CAPTCHAs zu umgehen.
• Implementierung von Multi-Faktor-Authentifizierung ohne SMS-Token: Dabei gelte es, zwischen der höheren Sicherheit durch „2FA“ und eventuellen Reibungen sowie Kosten abzuwägen.

Weitere Informationen zum Thema:

digital shadows_
From Exposure to Takeover: The 15 billion stolen credentials allowing account takeovers

digital shadows_
Two-Factor in Review: A technical assessment of the most popular mitigation for ATO attacks

datensicherheit.de, 29.04.2019
Zum Welt-Passwort-Tag: In drei Schritten zu sicheren Zugangsdaten

datensicherheit.de, 05.10.2018
12,5 Millionen E-Mail-Archivdateien frei zugänglich im Netz

[datensicherheit.de, 27.06.2020] Das Forscherteam der Lucy Security AG hat nach eigenen Angaben einen Hacker-Angriff „mit globalen Ausmaßen und Millionen von potenziell betroffenen Privatpersonen“ aufgedeckt – unter den im „Darknet“ veröffentlichten Informationen seien Benutzernamen, vollständige Namen, Telefonnummern, gehashte und nicht gehashte Passwörter, IP- und E-Mail-Adressen, physische Adressen und andere Informationen zu finden.

Hacker offerieren erbeutete Datenbanken im Darkweb

„Ein Boutique-Hotel in Kathmandu, ein Tutorial-Blog über ,Raspberry Pi‘, ein Fotograf aus Chelsea oder ein EMS-Dienstleister“ – weltweit seien 945 Websites gehackt worden, darunter zahlreiche aus Europa.
Archivierte SQL-Dateien, die von diesen Websites gestohlen worden seien, würden im Darknet angeboten – „mit zig Millionen potenziellen Opfern“. Zu den sensiblen Informationen gehörten Benutzernamen, vollständige Namen, Telefonnummern, gehashte und nicht gehashte Passwörter, IP- und E-Mail-Adressen, physische Adressen und andere Informationen.

Verschiedene Hacker attackierten die betroffenen Websites

Am 1. Juni 2020 bzw. am 10. Juni 2020 wurden demnach „zwei Datenbanken mit insgesamt ca. 150 GB an entpackten SQL-Dateien veröffentlicht“. Offenbar seien alle betroffenen Websites von verschiedenen Akteuren gehackt worden.
Dies sei schon alarmierend genug, könnte aber erst der Anfang sein: „Die Entität, die die Datenbanken im Darknet zusammengetragen und veröffentlicht hat, behauptet, diese so genannten ,privaten‘ Datenbanken gesammelt zu haben, ohne selbst gehackt zu haben“ – aber sie behauptet laut Lucy Security auch, noch mehr solcher Datenbanken zu besitzen, welche sie veröffentlichen oder an den Meistbietenden verkaufen möchte.

Hacker orientierten sich am Alexa-Ranking der Websites

Die Websites seien nach ihrem „Alexa“-Ranking ins Visier genommen worden – sie hätten alle weniger als eine Million Besucher. Laut der von Lucy Security durchgeführten Analyse „handelt es sich um eine völlig neue Bedrohung“ und keine der Datenbanken sei der Öffentlichkeit zuvor bekannt gewesen.
Die durchgesickerten Datenbanken, ganze SQL-Dumps der fraglichen Websites aus der Zeit zwischen 2017 und 2020, enthielten bis zu 14 Millionen mögliche Opfer. Zu den betroffenen Websites gehörten 14 Regierungsstandorte in der Ukraine, in Israel, in Großbritannien, in Belarus, in Russland, im Libanons, in Ruanda, in Pakistan und in Kirgisistan.

Weitere Informationen zum Thema:

datensicherheit.de, 19.05.2020
Hacker-Angriff auf Easyjet