[datensicherheit.de, 27.03.2026] Am 25. März 2026 meldeten die „Bitdefender Labs“, dass opportunistisch agierende Cyberkriminelle den gegenwärtigen USA-Iran-Israel-Konflikt für Phishing-Mail-Kampagnen ausnutzen. So stellten sie eine Zunahme von Phishing-Mails zu geschäftlichen Vorgängen vor dem Hintergrund der aktuellen Eskalation fest: Seit dem 28. Februar 2026, dem Beginn der Auseinandersetzungen zwischen den USA und Israel mit dem Iran, ist demnach ein deutlicher Anstieg von Malware-Kampagnen in der Region am Persischen Golf zu verzeichnen: „Im Schnitt wuchs dabei das Volumen von E-Mail-Phishing um mehr als 130 Prozent im Vergleich zum Aufkommen vor dem Beginn der kriegerischen Eskalation.“

Golfregion als Umschlagplatz für Finanzen und Kraftstoffe im Malware-Visier

Die Inhalte dieser eher opportunistisch motivierten E-Mails bezögen sich häufig auf geschäftliche Abläufe wie Rechnungen, Verträgen, finanzielle Angelegenheiten und Lieferungen.

• „Die Phishing-Kampagnen lassen sich in diesem Stadium des Konflikts keiner Gruppierung mit staatlichem Hintergrund zuschreiben.“

Die sogenannte Golfregion sei durch ihre Rolle als Umschlagplatz für Finanzen und Kraftstoffe sowie als Schaltzentrale für globale wirtschaftliche Netzwerke, Projekte und internationalen Handel ein attraktives Ziel für cyberkriminelle Trittbrettfahrer.

Hacker können kurzfristig Malware-Kampagnen an aktuelle Ereignisse in einer Region anpassen

Das Aufkommen bösartiger Korrespondenzen habe an Spitzentagen das Volumen vor Beginn der Auseinandersetzungen um das Vierfache überschritten. Dieser schnelle Anstieg beweise, wie Hacker kurzfristig ihre Kampagnen zum Ausspielen von Malware an aktuelle Ereignisse in einer Region anpassen könnten.

• Dabei nutzten sie opportunistisch auch geschäftliche Themen als Aufhänger: „Es geht scheinbar darum, Kredite zu genehmigen, Garantien einzuhalten oder finanziellen Arrangements zuzustimmen.“

Weitere Anlässe für die Trittbrettfahrer seien Nachrichten über ausbleibende Lieferungen. Hacker würden dann mit hoher Dringlichkeit um ein Tracking oder Aktionen zur Freigabe der Ware bitten.

Ausspielen der Malware über angebliche Rechnungen als infizierte Anhänge

Hacker nutzten dabei verschiedene Angriffstechniken wie etwa „Java“-basierte Remote-Access-Trojaner (etwa der „STRRAT“-Familie) oder mehrstufige Fileless-Angriffe mit „PowerShell“.

• Das Ausspielen der Malware erfolge in den analysierten Fällen über angebliche Rechnungen als infizierte Anhänge. In anderen Fällen zeige die Malware eine graphische Nutzeroberfläche an, welche das schädliche „Tool“ als legitime „Java“-Utility oder als Software-Tool tarne.

Eine persistente, dauerhafte Präsenz im Opfersystem sichere sich die Malware, indem sie einen alle dreißig Minuten auszuführenden Task „Skype“ anlege. In anderen Beispielen platzierten Hacker ihre Malware im Autostart-Ordner, so dass die Schadsoftware mit jedem Hochfahren des Rechners ihre Tätigkeit neu aufnehme.

Tipps für Unternehmen zum Schutz vor Malware-Angriffen

Nutzer können sich laut „Bitdefender Labs“ schützen, indem sie

• unerwartete Anhänge kritisch prüfen,
• E-Mail-Anhängen nicht aufgrund formaler Kriterien, wie einer legitimen Dateierweiterung (.eml, .jar, .rar oder etwa .hta), vertrauen,
• Zip-Archive von unbekannten Quellen nicht akzeptieren,
• Links vor dem Klicken überprüfen,
• finanzielle und rechtliche Anfragen unabhängig überprüfen sowie
• ihre IT regelmäßig aktualisieren und Lösungen zur Cybersicherheit nutzen.

Weitere Informationen zum Thema:

Bitdefender
Auf Vertrauen gebaut. Mit Sicherheit bewährt.

Bitdefender, Alina BÎZGĂ, 25.03.2026
War in the Middle East Triggers Surge in Phishing and Malware Campaigns Targeting Gulf Countries

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

[datensicherheit.de, 21.03.2026] Zimperiums aktueller Sicherheitsreport über Mobile-Banking hat demnach 34 Malware-Familien identifiziert, welche 1.243 Apps für Bank-, Finanz- und „Kryptogeld“-Geschäfte in 90 Ländern kompromittieren – diese neue Sicherheitsstudie zeige, dass Mobile-Banking-Apps die größte Gefahr für Finanzbetrug seien. So verbreite sich in Deutschland die neue Schadsoftware „Crocodilus“ besonders schnell – dieser „Android“-Banking-Trojaner habe sich auf die Geräteübernahme, Raub von Bankdaten und den Diebstahl von „Kryptowährungen“ spezialisiert.

Abbildung: Zimperium

„2026 Banking Heist Report“: Dokumentation einer gewachsenen Bedrohungslandschaft, welche klassische Verteidigungsmechanismen grundlegend aushebelt

Bedrohungsakteure entwickeln Angriffskampagnen kontinuierlich weiter

Im Laufe des Jahres 2025 habe das „zLabs“-Team von Zimperium 34 aktive Malware-Familien identifiziert, welche mobile Anwendungen von 1.243 Finanzinstitute in 90 Ländern gefährdeten.

• Die Zahl der mit „Android“-Malware gesteuerten Finanztransaktionen sei im Jahresvergleich um 67 Prozent gestiegen. Zimperium-Sicherheitsforscher sehen darin „keine isolierten Vorfälle“, sondern stufen solche Aktivitäten als „Bestandteil ausgeklügelter und skalierbarer Kampagnen“ ein.

Bedrohungsakteure entwickelten ihre Angriffskampagnen kontinuierlich weiter, um App-Sicherheitskontrollen zu umgehen und betroffene Organisationen sowie ihre Kunden zu schädigen.

Zentrale Ergebnisse der aktuellen Zimperium-Studie im Überblick:

• In Deutschland seien insgesamt 48 Malware-Familien aufgespürt worden – die Malware-Familie „Crocodilus“ stelle dabei eine neue Gefahr dar. Diese mobile Schadsoftware nutze „Blackout“-Modi, welche „Android“-Mobilgeräte im ausgeschalteten Zustand anzeigten, während tatsächlich heimlich Geldüberweisungen durchgeführt würden.
• Die meisten Mobilangriffe in Europa erfolgten über ausgeklügelte 2FA-Bypass-Tools wie „Teabot“ und „Godfather“.
• Hauptangriffsziel seien die USA: Dort gebe es weltweit die meisten attackierten Finanz-Apps – mittlerweile würden 162 Banking- und Fintech-Apps ins Visier genommen.
• „TsarBot“, „CopyBara“ und „Hook“: Diese drei Malware-Familien zusammen visierten mehr als 60 Prozent der weltweit untersuchten Banking- und Fintech-Apps an.
• Nach dem Betrug ist vor der Erpressung: In jedem zweiten Fall verfügten die analysierten Malware-Familien auch über Möglichkeiten zur finanziellen Erpressung – beispielsweise mit Ransomware-Funktionen zur Verschlüsselung aller Daten eines infizierten Endgeräts.

Foto: Zimperium

Krishna Vishnubhotla: KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war

Weiterentwicklung der Mobile-Banking-Malware kann zu vollständiger Kontrolle über mobile Gerät führen

Der nun vorliegende „2026 Banking Heist Report“ dokumentiert laut Zimperium „eine gewachsene Bedrohungslandschaft, die klassische Verteidigungsmechanismen grundlegend aushebelt“. Die Ergebnisse verdeutlichten, dass Betrug nicht erst auf dem Server, sondern bereits auf mobilen Endgeräten beginne. Finanzinstitute könnten skalierbare Betrugsversuche verhindern und gesetzliche Sicherheitsregularien einhalten, „indem sie Mobil-Apps gegen ,Reverse Engineering’ härten, die Laufzeit-Integrität sicherstellen und Geräterisiken analysieren“.

• „KI-Technologien beschleunigen die Entwicklung von Schadsoftware, die zuvor hochqualifizierten Angreifer vorbehalten war. Die enorme Weiterentwicklung von Mobile-Banking-Malware bedeutet, dass nicht nur Passwörter gestohlen, sondern die vollständige Kontrolle über ein Gerät erreicht werden kann“, erläutert Krishna Vishnubhotla, „Vice President of Product Strategy“ bei Zimperium.

Abschließend gibt er warnend zu bedenken: „Moderne Banktrojaner fangen Authentifizierungscodes und Telefonate ab und verbergen sich vor Sicherheitssystemen. Sie täuschen legitime Online-Banking-Verbindungen vor, die weder auf Kunden- noch Bankseite verdächtig wirken. Wird der Betrug entdeckt, ist es bereits zu spät!“

Weitere Informationen zum Thema:

Zimperium
The World Leader in Mobile Device & Application Security

ZIMPERIUM
Krishna Vishnubhotla / Mobile App Security Expert

Zimperium
2026 Mobile Banking Heist Report

datensicherheit.de, 29.11.2025
Sturnus: Android-Banking-Trojaner eine weitere gefährliche Eskalation beim Mobil-Betrug / „Sturnus“ führt vor Augen, dass Ende-zu-Ende-Verschlüsselung Daten zwar während der Übertragung schützt – aber kein kompromittiertes Gerät

datensicherheit.de, 28.09.2023
Zanubis: Banking-Trojaner tarnt sich laut Kaspersky-Warnung als legitime App / Kaspersky deckt neue Bedrohungen gegen Krypto-Wallets auf

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

[datensicherheit.de, 15.03.2026] Thomas Sonne, „Channel Sales Director“ bei Outpost24, warnt in seiner aktuellen Stellungnahme vor „gefährlichen ,Easter Eggs’ im Postfach“ – auch die bevorstehenden Osterfeiertage bedeuten für viele Unternehmen wieder eine reduzierte Besetzung. Sonne gibt zu bedenken: „Projektabschlüsse vor dem langen Wochenende, Abwesenheitsnotizen im E-Mail-Postfach und der gedankliche Wechsel in den Urlaubsmodus sorgen für eine veränderte Aufmerksamkeitsspanne.“ Genau diese Kombination nutzten nun Cyberkriminelle gezielt aus: Phishing-Kampagnen rund um Feiertage gehörten seit Jahren zu den effektivsten Methoden, um Zugangsdaten abzugreifen oder Schadsoftware in Unternehmensnetze einzuschleusen.

Feiertags- bzw. Urlaubsmodus als Einfallstor für Phishing-Attacken

Besonders kurz vor Feiertagen steige das Aufkommen täuschend echter E-Mails deutlich an. „Dringende Zahlungsfreigaben oder Passwort-Resets wirken in Stresssituationen besonders glaubwürdig“, warnt Sonne.

• Gleichzeitig fehle Personal, um bei Rückfragen zur Verfügung zu stehen – Verantwortliche seien dann bereits im Urlaub oder nur eingeschränkt erreichbar.

„Diese Kombination sorgt dafür, dass Mitarbeiter eher auf manipulierte Links klicken oder Anhänge unbedacht öffnen!“

Phishing öffnet Zugänge – verdächtige Aktivitäten bleiben häufiger unentdeckt

„Ein erfolgreicher Phishing-Angriff endet selten mit dem bloßen Abfluss einzelner Daten. Häufig nutzen Angreifer die abgefangenen Zugangsdaten als Einstiegspunkt für weiterführende Angriffe.“

• Wiederverwendete oder einfache Passwörter ermöglichten zudem, sich unbemerkt im Netzwerk zu bewegen – oft über Tage oder Wochen hinweg.

Problematisch sei dabei, dass kompromittierte Zugangsdaten nicht immer sofort auffielen: Während der Feiertage blieben ungewöhnliche Login-Versuche oder verdächtige Aktivitäten häufiger unentdeckt.

Technische Schutzmaßnahmen gegen Phishing notwendig – doch der Mensch muss mitwirken

Sonne führt aus: „Moderne Sicherheitslösungen erkennen viele Phishing-Versuche automatisiert. Dennoch bleibt der Mensch ein entscheidender Faktor. Kurz vor Feiertagen sinkt die Aufmerksamkeit, und dieser Faktor lässt sich technisch nur begrenzt kompensieren.“

Entscheidend sei ein Zusammenspiel aus technischen Kontrollen, klaren Prozessen und einer realistischen Einschätzung typischer Angriffsszenarien.

Dazu zählten unter anderem:

• mehrstufige Authentifizierungsverfahren für kritische Systeme
• regelmäßige Überprüfung kompromittierter Zugangsdaten
• Sensibilisierung für saisonale Phishing-Muster

Feiertage in Cyberabwehr-Strategie einbinden, um Phishing und Folge-Attacken abzuwehren

Cyberangriffe orientierten sich zunehmend an menschlichen Routinen – Feiertage eingeschlossen. Unternehmen, welche Sicherheitsstrategien auch auf solche Zeiträume ausrichteten, reduzierten ihr Risiko erheblich.

• „Gerade Ostern, Weihnachten oder die Sommerferien sind planbare Stress- und Abwesenheitsphasen, die sich gezielt absichern lassen!“, so Sonnes Fazit.

Auch in „Awareness“-Trainings im Alltag oder als „Reminder“ vor solchen Feiertagen sollten diese Themen noch einmal explizit aufgenommen werden.

Weitere Informationen zum Thema:

Outpost24
Volle Transparenz. Klare Prioritäten. Professionelle Sicherheit. / Behalten Sie Ihre Angriffsfläche kontinuierlich im Blick und erhalten Sie verwertbare Informationen, um schneller auf gezielte Bedrohungen gegen Ihre Organisation zu reagieren.

heise business services, Experten
Thomas Sonne / Channel Sales Director DACH, Outpost24

datensicherheit.de, 22.12.2025
Phishing-Hochsaison Weihnachten – Bitdefender-Analyse zu E-Mail-Spam / Jede zweite E-Mail mit Bezug auf Weihnachten bzw. den Weihnachtsurlaub ist bösartig – Deutschland als Adressaten- und Absenderland spielt eine nicht ganz unbedeutende Rolle

datensicherheit.de, 24.10.2025
Trick and Threat: Halloween auch in Deutschland Köder für saisonalen Internetbetrug / Deutschland laut Bitdefender-Telemetrie auf Rang 2 als Zielland für Spambetrug – 63 Prozent des Spams mit „Halloween“-Bezug sind bösartig und beabsichtigen, Malware zu implementieren oder Zugangsdaten oder Geld zu stehlen

datensicherheit.de, 05.08.2025
Ferienzeit als Hochsaison für Angreifer – DNS kann bei pre-emptive Security und Zero Trust für Entlastung sorgen / Da nahezu die gesamte Kommunikation über das „Domain Name System“ (DNS) läuft, ist es der ideale Ansatzpunkt für eine Sicherheitslösung

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten / Agentenbasierte KI-Modelle sind eine spezielle Form Künstlicher Intelligenz (KI), bei der diese in Form vieler autonomer Einheiten operieren

datensicherheit.de, 28.06.2024
Betrugs-Hochsaison während der Sommerferien: KnowBe4 warnt und gibt Sicherheitstipps / Cyber-Kriminelle sind unerbittlich und missbrauchen oft entspannte Ferienstimmung

[datensicherheit.de, 10.03.2026] Acronis hat ein aktuelles „Cyberthreats Update“ veröffentlicht, welches demnach ein differenziertes Bild der Cyberbedrohungslage im Januar 2026 zeichnet: „Die Zahl blockierter schädlicher URLs stieg gegenüber Dezember 2025 um 35,6 Prozent, während die Zahl erkannter Malware-Angriffe am Endpunkt auf rund 1,7 Millionen zurückging, nach 2,3 Millionen im Dezember 2025.“ Das „Acronis Cyberthreats Update“ stellt monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“ (TRU) zur Verfügung, damit Unternehmen und Privatpersonen sich vor den sich ständig weiterentwickelnden Sicherheitsherausforderungen schützen können.

Foto: Acronis

Markus Fritz rät Unternehmen, ihre Schutzmaßnahmen regelmäßig zu überprüfen und auf mehrschichtige Ansätze zu setzen

„Mirai“ gehört erneut zu aktivsten Malware-Bedrohungen

Acronis-Lösungen hätten im Januar 2026 mit einem Anstieg von 35,6 Prozent deutlich mehr schädliche URLs als im Vormonat blockiert. Gleichzeitig sei die Zahl der am Endpunkt blockierten Malware-Dateien auf rund 1,7 Millionen erheblich zurückgegangen – nach 2,3 Millionen im Dezember. Auch die Anzahl öffentlich gemeldeter Datenschutzverletzungen sei mit 723 im Januar gegenüber 820 im Vormonat rückläufig.

• Auch im Januar 2026 habe „Mirai“ erneut zu den aktivsten Malware-Bedrohungen gehört. Diese seit Jahren bekannte IoT-Schadsoftware bleibe ein fester Bestandteil der Bedrohungslandschaft. Ebenfalls stark vertreten gewesen seien „XWorm“ und „AsyncRAT“ – zwei „Tools“, welche laut Acronis häufig für Fernzugriff und Datendiebstahl eingesetzt werden und in einer Reihe aktiver Angriffskampagnen auftauchen.

Unter den Ransomware-Gruppen sei „Qilin“ mit 102 bekannten Opfern am aktivsten, gefolgt von „Cl0p“ mit 79 und „0apt“ mit 71 dokumentierten Fällen.

Weitere Erkenntnisse der „Acronis Threat Research Unit“:

• Der Anteil der Acronis-Nutzer mit mindestens einer blockierten Malware-Bedrohung am Endpunkt sei im Januar 2026 leicht um 0,03 Prozentpunkte auf 3,7 Prozent gestiegen.
• In Deutschland habe die normalisierte Erkennungsrate für schädliche URLs im Januar 2026 bei 9,8 Prozent gelegen und damit geringfügig über dem Wert von 9,7 Prozent im Dezember 2025. Unter den in der Auswertung berücksichtigten Fokus-Ländern habe Deutschland damit Platz 3 belegt.
• Palästina habe mit 54,1 Prozent der betroffenen Nutzer die höchste Malware-Erkennungsrate weltweit verzeichnet – mit großem Abstand vor Sri Lanka mit 18,8 Prozent und Bangladesch mit 17,3 Prozent.

Positive Signale, doch keine Entwarnung: Weiterhin hohe Aktivität im Malware-Bedrohungsumfeld

„Die Telemetriedaten für Januar liefern ein gemischtes Bild“, berichtet Markus Fritz, „General Manager DACH“ bei Acronis. Er führt weiter aus: „Der Rückgang bei den Malware-Erkennungen ist ein positives Signal, gleichzeitig zeigt der kleine Anstieg beim Anteil betroffener Nutzer um 0,03 Prozentpunkte, dass sich der im vergangenen Jahr beobachtete rückläufige Trend nicht eindeutig fortsetzt.“

• Dass zudem mehr schädliche URLs blockiert worden seien, unterstreiche die weiterhin hohe Aktivität im Bedrohungsumfeld. Gruppen wie „Qilin“ und „Cl0p“ blieben aktiv, und bekannte Schadsoftware wie „Mirai“ sei nach wie vor präsent.

Seine Empfehlung: „Unternehmen sollten ihre Schutzmaßnahmen daher regelmäßig überprüfen und auf mehrschichtige Ansätze setzen, die verhaltens- und KI-basierte Erkennungsmethoden kombinieren!“

Acronis-Tipps zum Schutz vor aktuellen Malware-Bedrohungen:

• Starke, einzigartige Passwörter zusammen mit einem Passwortmanager verwenden!
• Einen verschlüsselten „Cloud“-Storage für vertrauliche Dateien nutzen!
• Eine robuste Sicherheitslösung (wie z.B. „Acronis Cyber Protect Cloud“) nutzen, welche einen umfassenden Schutz durch verhaltens-, KI- und ML-basierte Erkennungen sowie Anti-Ransomware-Heuristiken bietet!
• Automatisierte Wiederherstellung von verschlüsselten oder manipulierten Dateien (z.B. mittels „Acronis Cyber Protect Cloud“) einführen!
• „Advanced eMail Security“ und URL-Filterung nutzen, welche zusätzlichen Schutz vor Bedrohungen wie Phishing und anderen Social-Engineering-Techniken bieten!
• Patch-Management nutzen, um Software stets auf dem neuesten Stand zu halten!
• Signierte Installationsdateien nicht nur auf ihre Signatur, sondern auch auf enthaltene Konfigurationsdaten prüfen!
• Fernzugriffssoftware kritisch überprüfen und ihre Nutzung auf das notwendige Maß beschränken!

Weitere Informationen zum Thema:

Acronis
Die Vereinheitlichung von Data Protection und Cyber Security, um alle Daten, Applikationen und Systeme zu schützen / Acronis ist ein globales Technologie-Unternehmen mit Hauptsitzen in der Schweiz

TRU Acronis Threat Research Unit, 18.02.2026
Acronis Cyberthreats Update: The Acronis Cyberthreats Update covers current cyberthreat activity and trends, as observed by Acronis Threat Research Unit (TRU) and Acronis sensors. Figures presented here were gathered in January 2026 and reflect threats that Acronis detected, as well as news stories from the public domain.

IT-BUSINESS, Margrit Lingner, 12.06.2024
Neuer General Manager DACH bei Acronis Markus Fritz ist DACH-Chef von Acronis

Bundesamt für Sicherheit in der Informationstechnik
Mirai

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

datensicherheit.de, 04.10.2025
Qilin-Gruppe dominiert: Ransomware-Angriffe auf deutsche Industrie nehmen zu / „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri und verweist auf die „Dragos Industrial Ransomware Analysis Q2 2025“

[datensicherheit.de, 05.03.2026] Quasi kostenlos Software aus inoffiziellen Quellen zu beziehen, mag auf den ersten Blick harmlos erscheinen, aber für Unternehmen kann sie schnell zum ernsthaften Sicherheitsproblem werden: „Barracuda Managed XDR“ hat demnach im vergangenen Monat mehrere Fälle identifiziert, in denen Mitarbeiter versucht haben, nicht lizenzierte Software auf ihren Arbeitsgeräten zu installieren. Barracuda-Expertin Laila Mubashar, erörtert in ihrer aktuellen Stellungnahme Maßnahmen zur Prävention und Absicherung.

Raubkopien bzw. gecrackte Versionen von Software enthalten häufig schädliche Inhalte

Mubashar berichtet: „,Barracuda Managed XDR’ konnte im vergangenen Monat mehrere Fälle identifizieren, in denen Mitarbeitende in Unternehmen versucht haben, raubkopierte oder gecrackte Versionen von Software auf ihren Arbeitsgeräten zu installieren.“

• Die Ergebnisse hat Barracuda in einem aktuellen Report beschrieben, welcher die Warnsignale hervorhebt, auf die geachtet werden sollte.

Raubkopien (d.h. illegal kopierte) und gecrackte (somit manipulierte) Versionen von Software enthielten häufig schädliche Inhalte und könnten zu Malware- und Ransomware-Infektionen, Diebstahl von Anmeldedaten, „Krypto-Mining“, Session-Hijacking, Software-Kompromittierung und weiteren Risiken führen. „Illegale Software kann zudem nicht wie legitime Software gepatcht und aktualisiert werden, so dass vorhandene Sicherheitslücken bestehen bleiben!“, warnt Mubashar.

Von Barracuda identifizierte Anzeichen für illegale Software-Aktivitäten:

• Neue oder unerwartete ausführbare Dateien
  Im vergangenen Monat habe das „Security Operations Center“ (SOC) von Barracuda wiederholt drei Arten verdächtiger ausführbarer Dateien identifiziert – „activate.exe“, „activate.x86.exe“ und „activate.x64.exe“. Dabei handele es sich um generische Dateinamen, welche nicht zu einer bestimmten Art von Malware gehörten, sondern gewählt worden seien, um legitim zu klingen und normal zu erscheinen. Diese tauchten häufig in raubkopierten bzw. gecrackten Software-Paketen, Phishing-Anhängen, gefälschten Software-Installationsprogrammen und ähnlichen Quellen auf.
• Ausführbare Dateien, welche in für Nutzer zugänglichen Ordnern gespeichert sind
  Diese verdächtigen „activate.exe“-Dateien tauchten an für Nutzer zugänglichen Orten auf, beispielsweise in ihren „Downloads“-Ordnern.
• Dateiausführung unmittelbar nach Browser-Aktivitäten
  Die Dateien – oftmals große, passwortgeschützte ZIP-Dateien – würden unmittelbar nach Browser-Aktivitäten, beispielsweise in „Chrome“ oder „Microsoft Edge“, manuell ausgeführt, häufig über „explorer.exe“.
• Nutzerinteraktion
  Raubkopien oder gecrackte Software erforderten manuelle Benutzerinteraktion, um die Software – und damit auch die schädliche Nutzlast – zu installieren und zu aktivieren. Manuelle Aktivitäten im Zusammenhang mit einem Software-Download seien üblicherweise ein Anzeichen für die Nutzung illegaler Software.
• Weitere Warnsignale
  Diese umfassten das Vorhandensein von Anleitungsdateien im Software-Paket, welche bei automatisierten Malware-Infektionen üblicherweise nicht vorhanden seien, sowie Versuche, Lizenzprüfungen zu umgehen.

Unternehmen sollten konsequent nur explizit genehmigte Software auf Arbeitsgeräten erlauben

Alle o.g. identifizierten Fälle seien vom „Barracuda Managed XDR“-SOC neutralisiert worden, bevor sie sich dauerhaft im System hätten festsetzen können. Mubashar führt aus: „Mitarbeitende, die kostenlose, inoffizielle oder nicht lizenzierte Software auf ihre Arbeitsgeräte herunterladen, stellen ein erhebliches Sicherheitsrisiko dar, da diese zum Einfallstor für schwerwiegende Sicherheitsvorfälle werden können!“

Unternehmen müssten daher dringend Schutzmaßnahmen ergreifen, um ihre Mitarbeiter auch vor sich selbst zu schützen. Ein Fokus sollte dabei auf fortschrittlichen, rund um die Uhr verfügbaren Sicherheitslösungen, limitierten Berechtigungen und Nutzerschulungen liegen. Um eben Mitarbeiter und „Assets“ bestmöglich vor durch Raubkopien oder gecrackte Software verursachten Risiken zu schützen, könnten Unternehmen verschiedene Maßnahmen ergreifen:

• Unbekannte oder nicht autorisierte ausführbare Dateien in Echtzeit blockieren!
• Lokale Administratorrechte beschränken und eine Genehmigung für alle Software-Installationen verlangen!
• Nur genehmigte Software auf Arbeitsgeräten erlauben!
• „Downloads“- und temporäre Ordner auf ausführbare Dateien hin überprüfen!
• Richtlinien zur akzeptablen Nutzung einführen und Nutzerschulungen zur Sensibilisierung und Vermeidung von risikoreichem Verhalten durchführen!

Weitere Informationen zum Thema:

Barracuda
Barracuda ist ein führendes Cybersicherheitsunternehmen, das vollständigen Schutz vor komplexen Bedrohungen bietet

Barracuda
Laila Mubashar

Barracuda, Laila Mubashar, 04.03.2026
Threat Spotlight: The business risks of pirate software / Employees downloading illegal versions of software risk data breaches and more as most comes loaded with malware.

datensicherheit.de, 24.09.2025
Workarounds und Schatten-IT: Streben nach Produktivität kann Sicherheitsrisiko erhöhen / Wenn Mitarbeiter Wege finden, Arbeit schneller oder besser zu erledigen, die Bearbeitung von Zugriffsanfragen durch die IT-Abteilung aber zu lange dauert oder zu kompliziert ist, dann finden diese oftmals „kreative“, gleichwohl potenziell gefährliche Lösungen, um trotzdem weiterarbeiten zu können

datensicherheit.de, 16.11.2022
Schatten-IT verhindern: Datensicherheit und Nutzerfreundlichkeit in Einklang bringen / Durch geeignete IT-Lösungsangebote für Mitarbeiter die Verwendung illegaler Software reduzieren und die Datensicherheit stärken

datensicherheit.de, 01.12.2020
NetMotion: Die Top-5 der Schatten-IT in Unternehmen / 62 Prozent der mobilen Mitarbeiter nutzen Schatten-IT

[datensicherheit.de, 28.02.2026] ESET meldet in eigener Sache: „Die beste IT-Sicherheit kommt aus der EU!“ Zu diesem Ergebnis kommen demnach Tester der Stiftung Warentest. „In der aktuellen Ausgabe des Magazins hat die ,ESET HOME Security Essential’ unter insgesamt 16 getesteten Lösungen für ,Windows’ einen Spitzenplatz erreicht.“ Die Ergebnisse sprächen eine klare Sprache: Mit der Note 1,4 („sehr gut“) liege dieses Lösungspaket auf dem ersten Platz. Besonders die Performanz und die Handhabung hätten die Tester überzeugt.

Schutzwirkung der ESET-Lösung gegen Malware und Phishing

„Der Testsieg bei Stiftung Warentest bestätigt unser konstantes Streben nach technischer Perfektion in der IT-Sicherheit“, kommentiert Juraj Malcho, „Chief Technology Officer“ von ESET.

• Er unterstreicht: „Unser Ziel ist es, Nutzern und Unternehmen auf der ganzen Welt den bestmöglichen Schutz zu bieten – ganz ohne unnötige Komplexität. Dass unsere Bemühungen nun ausgezeichnet werden, macht uns besonders stolz.“

Besonders überzeugt seien die unabhängigen Tester der Stiftung Warentest von der sehr hohen Schutzwirkung gegen Schadsoftware und Phishing sowie der geringen Systembelastung. Features wie der eingebaute abgesicherte Browser schützten die Online-Aktivitäten von Nutzern.

Auch ESET-Preispolitik gewürdigt

Auch die Preispolitik habe bei den Testern gepunktet: Im Gegensatz zu anderen Herstellern gebe es bei den „ESET HOME Security“-Lösungen keine versteckten Preiserhöhungen bei Verlängerungen.

• Während einige Anbieter Neukunden mit geringen Kosten für das erste Jahr lockten und im Folgejahr die Preise kräftig anzögen, sehe ESET von solchen Praktiken ab.

„In unserer Preispolitik gibt es für Nutzer keine bösen Überraschungen“, so Stefan Heitkamp, „Director of Retail, Etail & OEM Partnerships“ bei ESET. Er führt aus:„Im Gegensatz zu vielen Mitbewerbern setzen wir auf umfassende Transparenz bei allem, was wir tun – vom exzellenten Datenschutz bis hin zu einer verständlichen Preisgestaltung.“

Deutschsprachige ESET-Support durch eigene Mitarbeiter in Jena

Auch in der IT-Sicherheit gebe es bei Herstellern nichts kostenlos, so auch das Ergebnis der Stiftung Warentest. Viele Anbieter nutzten ihre Gratisversionen, um kostenpflichtige Lösungen und Funktionen zu bewerben. Die Tester schreiben dazu: „In den Gratisversionen spielen sie dann häufig Werbung für kostenpflichtige Zusatzfunktionen aus.“

• Nutzer von Gratis-Tools müssten im Ernstfall oder bei Problemen einen KI-Chatbot, ein Forum oder einen FAQ-Artikel befragen. Indes warteten meist nur bezahlte IT-Sicherheitslösungen mit einem echten menschlichen Support auf.

Eben genau dies könnten ESET-Kunden erwarten: „Im Vergleich zu vielen Mitbewerbern bieten wir unseren Kunden deutschsprachigen Support an, den wir mit eigenen Mitarbeitern in Jena realisieren“, ergänzt Heitkamp.

ESET-Selbstverpflichtung: IT-Sicherheit aus der EU in der Spitzenklasse

Der vorliegende Produkttest zeige: „ESETs IT-Sicherheit ist in technischer Hinsicht ausgezeichnet.“ Darüber hinaus setze ESET als europäischer Hersteller auf höchste Datenschutzstandards und innovative Schutztechnologien.

• Organisationen und Anwender könnten sich darauf verlassen, dass sie mit ESET-Lösungen nicht nur leistungsstarke Sicherheit erhielten, sondern auch eine bedingungslose Gesetzeskonformität. Dank „No-Backdoor“-Garantie enthielten die Produkte zudem keine verborgenen „Hintertüren“.

Der aktuelle Testsieg bestätige ESETs Engagement für europäische IT-Sicherheit. „Wer ein ausgezeichnetes, leistungsstarkes und kosteneffektives IT-Security-Paket sucht, wird bei ESET HOME Security Lösungen fündig.“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

Stiftung Warentest, 26.02.2026
ESET Home Security Essential

eseT
eseT HOME Security edition 2026: Rundum-Schutz für Ihr digitales Leben / Für Windows, macOS, Android und iOS…

datensicherheit.de, 25.02.2026
Digital Independence Day: Emanzipation mittels Cybersecurity „Made in EU“ / Am 1. März 2026 findet wieder der europäische „Digital Independence Day“ (DI.Day) statt – er soll auf die Abhängigkeit von außereuropäischen Tech-Lösungen hinweisen und zugleich europäische Alternativen aufzeigen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 09.09.2025
„Made in EU“ strategischer Erfolgsfaktor für IT-Sicherheit bei Unternehmen, Behörden und KRITIS / Wer IT-Systeme zuverlässig schützen will, muss sicher sein, auf welche Technologien er sich rechtlich, technisch und strategisch verlassen kann

[datensicherheit.de, 26.02.2026] Sicherheitsforscher von „Check Point Research“ (CPR) haben eine neue Forschungsanalyse veröffentlicht, welche auf KI-Assistenten als verdeckte Befehls- und Kontrollkanäle sowie KI-gesteuerte Malware fokussiert. Diese stehen demnach für einen Wendepunkt im modernen Cyberrisiko – mit Auswirkungen auf alle Branchen, welche die Einführung Künstlicher Intelligenz (KI) vorantreiben. In dieser neuen Realität seien KI-Sicherheit und Unternehmenssicherheit untrennbar miteinander verbunden – und Unternehmen müssten sicherstellen, dass die beschleunigte Einführung von KI nicht versehentlich Schwachstellen schafft, welche Angreifer ausnutzen könnten.

Foto: Check Point

Eli Smadja rät Unternehmen, agentenbasierte KI-Funktionen zu nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren sowie böswillige Kommunikationsversuche zu blockieren

Malware-Entwicklung von statischer, signaturbasierter Logik hin zu KI-gesteuerten Implantaten

KI-Assistenten wie z.B. „Microsoft Copilot“ und „Grok“ unterstützten Webbrowsing- oder URL-Abruf-Funktionen. Sie könnten als verdeckte C2-Proxys missbraucht werden, so dass Malware Daten mit der Infrastruktur des Angreifers austauschen könne, während sie sich nahtlos in den normalen KI-Datenverkehr des Unternehmens einfüge.

• Malware gehe von statischer, signaturbasierter Logik zu KI-gesteuerten Implantaten über, welche in der Lage seien, Entscheidungen in Echtzeit zu treffen – darunter die Einstufung von Opfern, die Priorisierung von Dateien, die Auswahl von Befehlen, die Umgehung von „Sandboxes“ und die Anpassung von Taktiken während des Betriebs. Zusammen zeigten diese Erkenntnisse eine Zukunft, in der KI nicht mehr nur den Angreifer unterstütze, „sondern Teil seiner Infrastruktur ist“.

Eli Smadja, CPR-Leiter, erläutert hierzu: „KI wird nicht nur in alltägliche Geschäftsabläufe integriert, sondern genauso wird sie auch in die Abläufe von Angreifern integriert. Angreifer benötigen keine hochentwickelte Infrastruktur mehr, sondern lediglich Zugang zu allgemein vertrauenswürdigen KI-Diensten.“

KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal

Um also sicher zu bleiben, müssten Unternehmen den KI-Datenverkehr mit derselben Sorgfalt überwachen wie jeden anderen risikoreichen Kanal, strengere Kontrollen für KI-gestützte Funktionen durchsetzen und Sicherheitsmaßnahmen ergreifen, „die nicht nur verstehen, was KI tut, sondern auch warum“.

• Smadja legt nahe: „Dazu sollten sie agentenbasierte KI-Funktionen nutzen, um den Datenverkehr zu und von KI-Diensten zu überprüfen und zu kontextualisieren und böswillige Kommunikationsversuche zu blockieren, bevor sie als verdeckte Kanäle missbraucht werden können.“

Zentrale aktuelle CPR-Erkenntnisse:

• KI-Assistenten können als heimliche C2-Relays missbraucht werden
  Angreifer könnten KI-Assistenten dazu veranlassen, von Angreifern kontrollierte URLs abzurufen und eingebettete Befehle zurückzugeben – ohne API-Schlüssel oder Benutzerkonten –, wodurch Malware die Kommunikation innerhalb des legitimen KI-Datenverkehrs verbergen könne.
• Anonymer KI-Webzugriff macht herkömmliche Kill-Switches überflüssig
  Wenn keine Konten oder Schlüssel erforderlich sind, könnten sich Verteidiger nicht auf herkömmliche Mechanismen zum Abschalten verlassen; der Datenverkehr sehe identisch aus wie bei der alltäglichen KI-Nutzung.
• Malware wird adaptiv und promptgesteuert und nutzt KI als Remote-Gehirn
  Zukünftige AID-Malware könne die Entscheidungsfindung an KI-Modelle auslagern, das Verhalten über infizierte Hosts hinweg dynamisch anpassen und während eines Eindringens dynamische Anweisungen erhalten – wodurch Angriffe schwieriger vorherzusagen, zu erkennen und zu analysieren seien.
• KI wird Targeting, Datendiebstahl und Ransomware-Operationen beschleunigen
  Anstatt alles zu verschlüsseln, könnte KI-gesteuerte Ransomware bald nur noch hochwertige „Assets“ identifizieren und mit minimal beobachtbarer Aktivität agieren – wodurch sich das Zeitfenster für die Erkennung von Minuten auf Sekunden verkürze.
• KI-Datenverkehr wirde zu einem blinden Fleck für Unternehmen
  Wenn Unternehmen KI in ihre alltäglichen Arbeitsabläufe integrierten, verließen sich Angreifer zunehmend auf dieselben Dienste, da sie wüssten, dass dieser Datenverkehr erlaubt, vertrauenswürdig und selten überprüft sei.

KI-Tools könnten Teil der Angriffsfläche werden

KI-Tools würden schnell Teil der Angriffsfläche, da sie sich in den legitimen Datenverkehr einfügten – „und in einigen Fällen sogar Teil der Angriffsinfrastruktur selbst werden“. KI-gestützte Kommunikation werde oft als vertrauenswürdig angesehen, sei weit verbreitet und werde selten überprüft, was Angreifern die Möglichkeit gebe, sich im alltäglichen KI-Datenverkehr zu verstecken, so dass sie mit herkömmlichen Erkennungsmethoden nicht ohne Weiteres entdeckt werden könnten.

• Für Unternehmen bedeute dies, dass Bereiche mit KI nun als hochwertige und risikoreiche Ausgangspunkte behandelt werden müssten, wobei der KI-Datenverkehr überprüft und kontextualisiert werden müsse, anstatt ihn als standardmäßig sicheren Datenverkehr zu betrachten, „der denselben Kontrollen unterliegt wie jeder andere kritische Kommunikationskanal“.

Gleichzeitig verändere die Entwicklung hin zu KI-gesteuerter Malware grundlegend die Art und Weise, wie Verteidiger über Cyberbedrohungen denken müssten. Da diese Implantate sich auf KI-Modelle stützen könnten, um Hosts zu triagieren, Ziele auszuwählen, ihr Verhalten anzupassen und beobachtbare Aktivitäten zu minimieren, verlören Verteidigungskontrollen, die auf Signaturen, volumenbasierten Schwellenwerten oder Sandbox-Triggern basierten, erheblich an Wirksamkeit, insbesondere da Malware-Verhalten adaptiv und kontextsensitiv werde.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH
ABOUT US: Check Point Research provides leading cyber threat intelligence to Check Point Software customers and the greater intelligence community. The research team collects and analyzes global cyber attack data stored on ThreatCloud to keep hackers at bay, while ensuring all Check Point products are updated with the latest protections…

Linkedin
Eli Smadja – Check Point, CP<R>, Research Group Manager

cp<r> CHECK POINT RESEARCH, 17.02.2026
AI in the Middle: Turning Web-Based AI Services into C2 Proxies & The Future Of AI Driven Attacks

datensicherheit.de, 28.01.2026
KI-Agenten und IT-Sicherheit: Zwei Seiten einer Medaille / Für viele Unternehmen steht derzeit die Frage im Raum, ob KI-Agenten auch in sensiblen Bereichen wie der Cybersicherheit eingesetzt werden sollen. Während stetig wachsende Bedrohungen, Überlastung von Mitarbeitern und Fachkräftemangel dafür sprechen, gibt es auch große Vorbehalte. Um Entscheidungen von KI-Assistenten nachvollziehen zu können, sind Sichtbarkeit im Netzwerk und eine zuverlässige Datengrundlage oberste Priorität. Auf der anderen Seite könnten Unternehmen überdies von böswilligen Agenten angegriffen werden – auch hier hilft nur, genau hinzusehen.

[datensicherheit.de, 09.02.2026] Das „Unit 42“-Team von Palo Alto Networks hat nach eigenen Angaben eine neue, als „TGR-STA-1030“ bezeichnete Cyberspionage-Gruppe identifiziert. Die Aktivitäten dieser Gruppe werden demnach als „Shadow Campaigns“ bezeichnet. Die Angriffe erfolgten primär durch gezielte Phishing-Kampagnen mit Ködern zu angeblichen Ministeriums-Umstrukturierungen sowie durch Ausnutzung bekannter Schwachstellen:

Kompromittierung erfolgt mittels spezialisierter Malware

Zur Kompromittierung setze die Gruppe spezialisierte Malware ein, darunter „Diaoyu Loader“ und den neuen „Linux“-Kernel-Rootkit „ShadowGuard“.

Die „Unit 42“ arbeitet mit Branchenpartnern und Regierungsbehörden zusammen, um betroffene Organisationen zu benachrichtigen und umfassende Abwehrmaßnahmen gegen diese Bedrohung zu implementieren.

Die wichtigsten aktuellen Erkenntnisse der „Unit 42“:

1. Hauptziele der Angriffe
   Die Gruppe ziele primär auf Regierungsministerien und -behörden ab, darunter fünf nationale Strafverfolgungs-/Grenzschutzbehörden, drei Finanzministerien sowie Behörden mit Zuständigkeiten für Wirtschaft, Handel, natürliche Ressourcen und diplomatische Angelegenheiten.
2. Bedrohung in Europa
   Die Gruppe habe gezielte Aufklärungsaktivitäten gegen deutsche Regierungsinfrastruktur (über 490 IP-Adressen) sowie gegen EU-Infrastruktur (über 600 IP-Adressen) durchgeführt und insgesamt nachweislich Regierungsstellen in acht europäischen Ländern kompromittiert.
3. Globaler Umfang
   Etwa jedes fünfte Land weltweit sei im vergangenen Jahr – 2025 – von kritischen Sicherheitsverletzungen durch diese Gruppe betroffen gewesen – es habe bestätigte Kompromittierungen von Regierungs- und kritischen Infrastrukturorganisationen in 37 Ländern gegeben.

Weitere Informationen zum Thema:

paloalto NETWORKS
Über uns: Wir arbeiten unermüdlich für eine Welt, in der jeder Tag ein bisschen sicherer ist als der Tag zuvor

UNIT 42
Unit 42: Intelligence driven, response ready…

UNIT42, 05.02.2026
Nation-State Cyberattacks / The Shadow Campaigns: Uncovering Global Espionage

datensicherheit.de, 30.10.2025
Vermeintliche Behörden als Köder: SANS Institute warnt vor Zunahme überzeugender Betrugsfälle und erläutert -taktiken / Betrüger verwenden ausgeklügelte Taktiken, um Opfer dazu zu bringen, ihnen Zugriff auf ihre privaten digitalen Geräte und Bankkonten zu gewähren oder auch direkt Geld zu überweisen

datensicherheit.de, 04.11.2024
Cyber-Schwachstellen von Alarmierungsbehörden und Außenministerien aufgedeckt / Informatiker aus Dresden, Fairfax und Hamburg präsentieren systematisches Cyber-Sicherheitsmodell

[datensicherheit.de, 05.02.2026] Zwar seien die Zeiten, in denen generische und öffentlich bekannte Malware Cyberkriminelle einfach zum Erfolg führte, lange vorbei – zumindest bei solchen Unternehmen, welche sich entsprechend schützen: Moderne Erkennungs- und Reaktionslösungen wie „Endpoint Detection and Response“ (EDR) erschwerten den Angreifern das Leben. Doch nutzten Hacker mittlerweile regelmäßig „individuelles ,Tooling’, eigene Mechanismen zum versteckten Laden und Packen von Malware sowie diverse weitere Kniffe, um diese modernen Erkennungslösungen zu umgehen“, so Leon Schmidt, Berater bei cirosec auf der „IT-DEFENSE 2026“. Demnach ist die Simulation solcher motivierten, fortschrittlichen und kompetenten Angreifergruppen, welche Unternehmen über unterschiedliche Vektoren angreifen, häufig ein Thema bei „Red Team“-Assessments: Für ein professionelles „Red Team“ sei es somit zentrale Aufgabe, sich dieser Techniken zu bedienen sowie Malware auch zeiteffizient an spontane Situationen anzupassen.

Foto: Dirk PinnowLeon Schmidt: Korrekter Einsatz von offensivem „Tooling“ ist nicht trivial!

„Allpacka“ ermöglicht allen „Red Team“-Mitgliedern, ihr gesamtes Arsenal an Malware-Komponenten auszuschöpfen

„Dafür haben wir bei cirosec eine eigene Lösung entwickelt, die den Alltag unseres Red-Teams vereinfacht – unseren Malware-Baukasten ,Allpacka’“, berichtet Schmidt. Er erläutert die zugrundeliegende Idee: „Jeder einzelne Arbeitsschritt, vom Kompilieren, Obfuskieren, Packen bis hin zur plattformspezifischen Anpassung der Malware, wird durch kombinierbare Module abstrahiert.“

• Durch die Verkettung dieser Module entstehe ein sogenanntes Rezept, welches vom „Allpacka Chefkoch“ „zubereitet“ und am Ende als individuelle Malware „serviert“ werde.

Das primäre Ziel von „Allpacka“ sei vor allem gewesen, einen hohen Automatisierungsgrad zu erreichen. Zusätzlich ermögliche dieser Ansatz allen „Red Team“-Mitgliedern, ihr gesamtes Arsenal an Malware-Komponenten auszuschöpfen, ohne mit der internen Funktionsweise der jeweiligen Komponente im Detail vertraut zu sein. Durch die Kapselung der Komponenten in „Allpacka“-Module könne sich jedes Mitglied ganz auf sein Spezialgebiet konzentrieren und trotzdem vom Know-how der anderen profitieren.

Malware-Demonstration: „Rezept“ zur heimlichen Erstellung von Screenshots vom Opfer-Computer

Schmidt erläuterte in seinem Vortrag, wie sie „Allpacka“ konzipiert und aufgebaut haben – „wie das System unter der Haube und in Aktion funktioniert und was wir dabei über Modularität, Sicherheit und gelebte Standards gelernt haben“.

• Es gehe um automatisierbare, offensive Infragestellung der IT-Sicherheit. Im Grunde sei es ein ständiges „Katz-und-Maus“-Spiel zwischen „Angreifer“ und „Verteidiger“ – diesen Umstand gelte es durch eine geeignete Simulation zu vermitteln und zu trainieren.

Schmidt betonte, dass die Gesamt-Kompetenz einer „Red Team“-Gruppe im Prinzip als Synergie einzelner Spezialgebiete aufzufassen sei. „Allpacka“ (von „All-Packer“ abgeleitet) könne dazu dienen, Innentäter-Analysen durchzuspielen. Als Demonstration führte er vor, wie ein „Rezept“ zur heimlichen Erstellung von Screenshots von einem als Opfer aufgefassten „Windows“-Computer aussehen würde.

Weitere Informationen zum Thema:

IT DEFENSE
IT-DEFENSE – 4.-6. Februar 2026 in Würzburg

cirosec
IT-Sicherheit. Beratung. Pentesting. Incident Response. / Wir sind ein spezialisiertes Unternehmen mit Fokus auf Informationssicherheit, führen Penetrationstests und Red Teamings durch, unterstützen unsere Kunden bei der Incident Response und beraten sie im deutschsprachigen Raum bei Fragen der Informations- und IT-Sicherheit.

IT DEFENSE
Leon Schmidt

WIKIPEDIA
Red Team

datensicherheit.de, 04.02.2026
IT-DEFENSE: Ausgebuchte 20. Auflage in Würzburg gestartet / 2003 wurde das Kongressformat der „IT-DEFENSE“ mit der Überzeugung gestartet, frei von Sponsoring und Werbung hochkarätige Fachbeiträge anzubieten

[datensicherheit.de, 27.12.2025] Aktuelle Kaspersky-Analysen haben demnach eine neue Infostealer-Malware namens „Stealka“ entdeckt, welche „Windows“-Rechner ins Visier nimmt, um sensible Informationen zu stehlen – darunter Login-Daten, Passwörter, Bankkartendaten sowie Informationen aus „Kryptowährungs-Wallets“. Neben Deutschland hätten die Cybersicherheitsexperten bei Kaspersky Angriffsversuche auch in der Türkei, Brasilien, Russland und Indien registriert.

Abbildung: Kaspersky

Eine Fake-Website als „Stealka“-Quelle

Kaspersky warnt vor manueller Ausführung – welche die Malware aktiviert

„Stealka“ tarne sich als raubkopierte Software (beispielsweise „Aktivatoren“) oder als Modifikationen, „Cheats und Cracks“ für Spiele. Sie verbreite sich über Web-Plattformen wie „GitHub“ und „SourceForge“ sowie über schädliche Webseiten der Angreifer, welche teils – vermutlich mithilfe von KI-Tools – täuschend echt wirkten und teilweise Gaming-Inhalte als Köder einsetzten.

• Besonders perfide sei, dass um Betroffene in falscher Sicherheit zu wiegen, einer der untersuchten Fake-Inhalte vorgegeben habe, die infizierte Datei vor dem Herunterladen mit einer Sicherheitslösung zu scannen. Kaspersky warnt: „Sobald ein Nutzer diese manuell ausführt, wird die Malware aktiviert!“

Technisch basiere „Stealka“ auf der Malware „Rabbit Stealer“, welche vertrauliche Informationen wie Zugangs- und Zahlungsdaten sowie Systeminformationen wie Betriebssystemversion, installierte Anwendungen und laufende Prozesse sammeln könne. Während „Rabbit Stealer“ diese Daten vor allem aus installierten Browsern auslese, verfüge „Stealka“ über weitere Funktionen und könne unter anderem Screenshots erstellen sowie in einigen Fällen einen sogenannten Kryptominer auf den infizierten Rechner herunterladen.

Kaspersky gibt Empfehlungen zum Schutz vor Info-Stealern wie z.B. „Stealka“

Artem Ushkov, Cybersicherheitsexperte bei Kaspersky, kommentiert: „,Stealka’ beschränkt sich nicht auf Browser-Daten. Die Malware greift auch vertrauliche Informationen aus weiteren Quellen ab – darunter ,Kryptowährungs-Wallets’, Instant-Messaging-Apps, E-Mail-Clients, sowie Notiz- und Gaming-Apps.“

• Zudem könnten Cyberkriminelle bereits gestohlene Daten wie Zugangsdaten nutzen, um die Malware zu verbreiten. „Konkret fanden wir Hinweise darauf, dass die Angreifer in einem Fall den ,Stealer’ über ein kompromittiertes Konto in eine Spiele-Modifikation hochgeladen haben, die auf einer spezialisierten Webseite gehostet wurde“, berichtet Ushkov.

Kaspersky-Empfehlungen zum Schutz vor Info-Stealern:

• Programme und Spiele-Modifikationen ausschließlich aus offiziellen Online-Stores oder von vertrauenswürdigen Herstellerseiten herunterladen!
• Zwei-Faktor-Authentifizierung (2FA) für Bank- und Krypto-Konten aktivieren, um Kontoübernahmen zu erschweren.
• Eine verlässliche Sicherheitslösung einsetzen, welche Dateien automatisch auf Bedrohungen prüft (beispielsweise „Kaspersky Premium“).

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

kaspersky daily, Artem Ushkov, 18.12.2025
Stealka stealer: the new face of game cheats, mods, and cracks / We’ve identified a new infostealer named Stealka, which masquerades as pirated software and game mods. It targets data stored inside browsers, locally installed applications, and crypto wallets.

SECURELIST by Kaspersky
Artem Ushkov

datensicherheit.de, 22.08.2022
GitHub-Verzeichnisse: Cyber-Angriff unterstreicht Bedrohlichkeit von Supply-Chain-Attacken / Anfang August 2022 Cyber-Attacke auf Tausende GitHub-Verzeichnisse – und damit die gesamte Software-Lieferkette

datensicherheit.de, 11.12.2020
Steam: Schwerwiegende Sicherheitslücken auf Gaming-Plattform / Hacker hätten die Rechner anderer Spieler auf Steam übernehmen oder sogar komplette Third-Party-Server lahmlegen können

datensicherheit.de, 23.10.2020
Gaming: Breit angelegte Cyber-Attacken / Akamai-Report rund um das Thema Gaming enthüllt anhaltende Angriffe auf Spieler und Produzenten von Videospielen

datensicherheit.de, 29.08.2020
Entwicklerfehler: Medizinische Daten aus der Cloud auf GitHub durchgesickert / VECTRA kommentiert Sicherheitsrisiken durch Cloud-Nutzung im Gesundheitswesen