[datensicherheit.de, 27.12.2025] Aktuelle Kaspersky-Analysen haben demnach eine neue Infostealer-Malware namens „Stealka“ entdeckt, welche „Windows“-Rechner ins Visier nimmt, um sensible Informationen zu stehlen – darunter Login-Daten, Passwörter, Bankkartendaten sowie Informationen aus „Kryptowährungs-Wallets“. Neben Deutschland hätten die Cybersicherheitsexperten bei Kaspersky Angriffsversuche auch in der Türkei, Brasilien, Russland und Indien registriert.

Abbildung: Kaspersky

Eine Fake-Website als „Stealka“-Quelle

Kaspersky warnt vor manueller Ausführung – welche die Malware aktiviert

„Stealka“ tarne sich als raubkopierte Software (beispielsweise „Aktivatoren“) oder als Modifikationen, „Cheats und Cracks“ für Spiele. Sie verbreite sich über Web-Plattformen wie „GitHub“ und „SourceForge“ sowie über schädliche Webseiten der Angreifer, welche teils – vermutlich mithilfe von KI-Tools – täuschend echt wirkten und teilweise Gaming-Inhalte als Köder einsetzten.

• Besonders perfide sei, dass um Betroffene in falscher Sicherheit zu wiegen, einer der untersuchten Fake-Inhalte vorgegeben habe, die infizierte Datei vor dem Herunterladen mit einer Sicherheitslösung zu scannen. Kaspersky warnt: „Sobald ein Nutzer diese manuell ausführt, wird die Malware aktiviert!“

Technisch basiere „Stealka“ auf der Malware „Rabbit Stealer“, welche vertrauliche Informationen wie Zugangs- und Zahlungsdaten sowie Systeminformationen wie Betriebssystemversion, installierte Anwendungen und laufende Prozesse sammeln könne. Während „Rabbit Stealer“ diese Daten vor allem aus installierten Browsern auslese, verfüge „Stealka“ über weitere Funktionen und könne unter anderem Screenshots erstellen sowie in einigen Fällen einen sogenannten Kryptominer auf den infizierten Rechner herunterladen.

Kaspersky gibt Empfehlungen zum Schutz vor Info-Stealern wie z.B. „Stealka“

Artem Ushkov, Cybersicherheitsexperte bei Kaspersky, kommentiert: „,Stealka’ beschränkt sich nicht auf Browser-Daten. Die Malware greift auch vertrauliche Informationen aus weiteren Quellen ab – darunter ,Kryptowährungs-Wallets’, Instant-Messaging-Apps, E-Mail-Clients, sowie Notiz- und Gaming-Apps.“

• Zudem könnten Cyberkriminelle bereits gestohlene Daten wie Zugangsdaten nutzen, um die Malware zu verbreiten. „Konkret fanden wir Hinweise darauf, dass die Angreifer in einem Fall den ,Stealer’ über ein kompromittiertes Konto in eine Spiele-Modifikation hochgeladen haben, die auf einer spezialisierten Webseite gehostet wurde“, berichtet Ushkov.

Kaspersky-Empfehlungen zum Schutz vor Info-Stealern:

• Programme und Spiele-Modifikationen ausschließlich aus offiziellen Online-Stores oder von vertrauenswürdigen Herstellerseiten herunterladen!
• Zwei-Faktor-Authentifizierung (2FA) für Bank- und Krypto-Konten aktivieren, um Kontoübernahmen zu erschweren.
• Eine verlässliche Sicherheitslösung einsetzen, welche Dateien automatisch auf Bedrohungen prüft (beispielsweise „Kaspersky Premium“).

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

kaspersky daily, Artem Ushkov, 18.12.2025
Stealka stealer: the new face of game cheats, mods, and cracks / We’ve identified a new infostealer named Stealka, which masquerades as pirated software and game mods. It targets data stored inside browsers, locally installed applications, and crypto wallets.

SECURELIST by Kaspersky
Artem Ushkov

datensicherheit.de, 22.08.2022
GitHub-Verzeichnisse: Cyber-Angriff unterstreicht Bedrohlichkeit von Supply-Chain-Attacken / Anfang August 2022 Cyber-Attacke auf Tausende GitHub-Verzeichnisse – und damit die gesamte Software-Lieferkette

datensicherheit.de, 11.12.2020
Steam: Schwerwiegende Sicherheitslücken auf Gaming-Plattform / Hacker hätten die Rechner anderer Spieler auf Steam übernehmen oder sogar komplette Third-Party-Server lahmlegen können

datensicherheit.de, 23.10.2020
Gaming: Breit angelegte Cyber-Attacken / Akamai-Report rund um das Thema Gaming enthüllt anhaltende Angriffe auf Spieler und Produzenten von Videospielen

datensicherheit.de, 29.08.2020
Entwicklerfehler: Medizinische Daten aus der Cloud auf GitHub durchgesickert / VECTRA kommentiert Sicherheitsrisiken durch Cloud-Nutzung im Gesundheitswesen

[datensicherheit.de, 11.12.2025] Die „IT-Defense“ findet 2026 bereits zum 23. Mal statt und zählt zu den größten internationalen Konferenzen zum Thema IT-Sicherheit in Deutschland. Das Programm soll erklärtermaßen stets eine Mischung aus sehr technischen Vorträgen, strategischen Präsentationen und unterhaltsamen Referaten rund um das Thema IT-Sicherheit sein. Zugleich flankieren hochwertige Abendveranstaltungen einen Austausch mit den Referenten und anderen Teilnehmern. So werden sich nun einige der weltweit bekanntesten IT-Security-Experten, Hacker und Buchautoren vom 4. bis 6. Februar 2026 wieder auf der „IT-Defense“, diesmal in Würzburg, treffen, um über aktuelle IT-Sicherheitsthemen und neue Forschungsergebnisse zu referieren.

Abbildung: cirosec GmbH

Die „IT-Defense 2026“ findet im Maritim Hotel in Würzburg direkt am Mainufer, mit Blick auf die Festung Marienberg, statt

IT-Security-Experte Sami Laiho hält Keynote am ersten Konferenztag

Abermals werden Referenten, welche sich national bzw. international einen Namen gemacht haben, aktuelle Forschungsergebnisse vorstellen, auf Sicherheitsrisiken durch Künstliche Intelligenz (KI) eingehen und viel Gesprächsstoff für anregende Diskussionen bieten.

• So wird z.B. der weltweit renommierte IT-Security-Experte Sami Laiho in seiner Keynote am ersten Tag auf den „Cyberwar zwischen Russland und finnischen Unternehmen“ eingehen. Des Weiteren präsentiert der Forscher Csaba Fitzl neueste Möglichkeiten zur Absicherung von „macOS“, Joerg Heidrich setzt sich intensiv mit Anforderungen an die IT-Sicherheit im „AI Act“ auseinander und Candid Wüest gibt einen Ausblick auf AI-Schadsoftware.

Zum Abschluss des Tages werden Ermittler Daniel Lorch und Staatsanwalt Mirko Heim über die Zusammenarbeit von Kriminalpolizei und Staatsanwaltschaft aus dem „Nähkästchen“ plaudern.

An beiden Kongresstagen aktuelle Fragen der IT-Sicherheit in der Diskussion

Die Keynote am zweiten Konferenztag hält Chris Wysopal, welcher demnach zu den Veteranen der IT-Sicherheit gezählt wird: Er skizziert die Probleme, die Generative KI für Unternehmen erzeugt – und wie man ihnen begegnen muss. Thorsten Lodderstedt und Paul Bastian geben Einblicke zur „EUDI-Wallet“ in Deutschland und der cirosec-Berater Leon Schmidt stellt den Malware-Baukasten „Allpacka“ vor.

• Die Abschluss-Keynote soll John Stoner halten, welcher sich mit der Einstellung, Entwicklung und Zusammenarbeit in Cybersecurity-Teams auseinandersetzt. Diese und weitere bekannte Forscher und IT-Sicherheitsprofis werden an den zwei Kongresstagen aktuelle Fragen der IT-Sicherheit diskutieren sowie Einblicke in Strategien und Sicherheitskonzepte geben.

Am dritten Tag der Veranstaltung sind wieder Gesprächsrunden („Round Tables“) geplant – dort sollen die Teilnehmer die Möglichkeit haben, detaillierte Gespräche mit den Referenten zu führen und Einzelthemen zu vertiefen.

Vor der „IT-Defense 2026“ verschiedene Trainings im Angebot (Restplätze)

Zusätzlich finden an den Tagen vor der eigentlichen „IT-Defense 2026“ verschiedene Trainings statt: Dazu gehören die eintägigen Veranstaltungen „Incident Handling & Response“ von cirosec und „Master Class Physical Security“ von Barry Wels sowie die beiden zweitägigen Schulungen „Zero Trust Architecture as an Enabler“ von Sami Laiho sowie „Adversary Tactics: Detection“ von Luke Peine und Jared Atkinson.

Die Konferenz ist laut Angaben der Veranstalterin, der cirosec GmbH, bereits seit Mitte November 2025 ausgebucht. Es können jedoch noch die eintägigen bzw. zweitägigen Schulungen vorab gebucht werden.

„IT-Defense 2026“
Veranstalterin: cirosec GmbH
Kostenpflichtige Veranstaltungen – nur noch Trainings verfügbar – Anmeldung erforderlich
4. bis 6. Februar 2026 in Würzburg, Maritim Hotel

Weitere Informationen zum Thema:

IT-DEFENSE – 4.-6. Februar 2026 in Würzburg
Der außergewöhnliche IT-Sicherheitskongress mit hochkarätigen, internationalen Referenten findet nun schon zum 23. Mal statt

IT-DEFENSE – 4.-6. Februar 2026 in Würzburg
Trainings

IT-DEFENSE – 4.-6. Februar 2026 in Würzburg
Location: Maritim Hotel Würzburg

cirosec
SECURITY / IT-Sicherheit. Beratung. Pentesting. Incident Response.

datensicherheit.de, 06.02.2020
IT-DEFENSE 2020: Grenzenlosigkeit als Chance und Risiko / Internet-Pionier Dr. Paul Vixie warnt vor unerwünschten Nebenwirkungen des globalen Internetworkings

datensicherheit.de, 05.02.2020
IT-DEFENSE 2020: Auftakt mit dem Faktor Mensch / IT-Sicherheitsexperten sollten sich von Marketing-Methoden inspirieren lassen

[datensicherheit.de, 09.12.2025] Laut einer aktuellen Warnung von Keeper Security ist eine neue „Android“-Malware-Familie in russischsprachigen Cybercrime-Foren aufgetaucht und „wirbt“ mit einer vollständigen Geräteübernahme sowie Betrug in Echtzeit. Diese unter dem Namen „Albiriox“ bekannte Malware ist demnach so entwickelt, dass sie „On-Device Fraud“ (ODF) unterstützt und angeblich bereits mehr als 400 Banking- und „Krypto-Währungs“-Apps weltweit ins Visier nimmt. Darren Guccione, CEO und Mitbegründer von Keeper Security, rät daher zur kontinuierlichen Überwachung nach geleakten Zugangsdaten, ungewöhnlichem mobilen Zugriff auf privilegierte Konten und anderen identitätszentrierten Anomalien.

Foto: Keeper Security

Darren Guccione empfiehlt „Privileged Access Management“ (PAM), „Least Privilege“-Prinzipien, Passwort-Lifecycle-Kontrollen, segmentierte Netzwerke und adaptive Multi-Faktor-Authentifizierung (MFA)

Missbrauch risikoreicher „Android’-Berechtigungen“, um Bildschirm zu beobachten, Aktivitäten abzufangen und Transaktionen auszuführen

Mittels Kombination einer vollständigen Geräteübernahme sowie Manipulationen in Echtzeit direkt auf einem Gerät umgehe „Albiriox“ traditionelle Sicherheitskontrollen und sei damit eine weitere deutliche Eskalation digitaler Betrugsmethoden.

• „Die schnelle Verbreitung über den ,Malware-as-a-Service’-Markt zeigt, wie rasant heute hochentwickelte Fähigkeiten, die früher nur fortgeschrittene Cyberkriminelle besaßen, nun auch weniger versierten Bedrohungsakteuren zur Verfügung stehen“, erläutert Guccione. Diese „Demokratisierung bösartiger Tools“ sollte die Sicherheitsverantwortlichen in den Unternehmen durchaus beunruhigen.

Frühe Analysen zeigten, dass „Albiriox“ speziell für „On-Device Fraud“ entwickelt worden sei. „Es zielt auf Hunderte Finanz- und Krypto-Apps ab und missbraucht risikoreiche ,Android’-Berechtigungen, um den Bildschirm zu beobachten, Aktivitäten abzufangen und Transaktionen auszuführen.“

Unternehmen sollten sich in erster Linie auf mobile „Android“-Endgeräte konzentrieren

Besonders trickreich laut Guccione: „Entsprechende Warnungen werden unterdrückt. Das alles ist jedoch nicht die Folge eines Versagens der Sicherheitsmechanismen von Banking- oder Krypto-Apps, sondern die Folge dessen, dass ein Gerät kompromittiert wurde und dann im Auftrag des Angreifers agiert.“

• Unternehmen sollten sich deshalb in erster Linie auf die mobilen Endgeräte konzentrieren – diese seien zugleich die wichtigsten, aber auch riskantesten „Assets“. Deshalb sollten die Organisationen eine starke Geräte-Attestierung durchsetzen, App-Installationen einschränken und Barrierefreiheits-, „Overlay“- und Fernsteuerungsberechtigungen blockieren, sofern diese nicht ausdrücklich erforderlich sind.

„Privileged Access Management“ (PAM), „Least Privilege“-Prinzipien, Passwort-Lifecycle-Kontrollen, segmentierte Netzwerke und adaptive Multi-Faktor-Authentifizierung (MFA) begrenzten die Auswirkungen im Falle eines Angriffs.

Verhaltensmuster erkennen, welche für moderne „Android“-Malware typisch sind

Ratsam sei auch, dass Nutzer das „Sideloading“ von Apps vermieden, Berechtigungen sorgfältig prüften und unerwartete Aufforderungen oder Zugriffsanfragen als mögliche Warnsignale für eine Kompromittierung betrachteten.

• „Vor dem Hintergrund, dass ,MaaS-Ökosysteme’ wachsen, benötigen Organisationen mobilfokussierte ,Threat Intelligence’, die Verhaltensmuster erkennt, die für moderne ,Android’-Malware typisch sind – etwa verdächtige Authentifizierungsmuster und Hinweise auf kompromittierte Zugangsdaten“, rät Guccione.

Die kontinuierliche Überwachung nach geleakten Zugangsdaten, ungewöhnlichem mobilen Zugriff auf privilegierte Konten und anderen identitätszentrierten Anomalien könne frühzeitig warnen und die Auswirkungen eines Gerätekompromittierung reduzieren.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Darren Guccione / Aktuelle Artikel von Darren

CHIP, Sebastian Feurer, 07.12.2025
Android-Nutzer in Gefahr: Gefährliche Malware kann sogar Bank-Konten plündern

NETZWELT, Gerrit Gerbig, 05.12.2025
AKTUELLE BETRUGSWARNUNGEN: Unsichtbarer Android-Trojaner: „Albiriox“ leert euer Bankkonto

t3n digital pioneers, Christian Bernhard, 05.12.2025
Neue Android-Malware hat es auf eure Kontodaten abgesehen…

datensicherheit.de, 29.11.2025
Sturnus: Android-Banking-Trojaner eine weitere gefährliche Eskalation beim Mobil-Betrug / „Sturnus“ führt vor Augen, dass Ende-zu-Ende-Verschlüsselung Daten zwar während der Übertragung schützt – aber kein kompromittiertes Gerät

datensicherheit.de, 15.08.2025
LumaSpy: Android-Spyware als Bedrohung für Privatpersonen und Unternehmen / Durch diese „Android“-Spyware werden auch Unternehmen schwerwiegenden Bedrohungen ausgesetzt – da private Geräte manchmal auch Zugriff auf deren Systeme und Daten bieten

datensicherheit.de, 15.07.2025
Zimperium-Warnung vor Konfety-Malware: Angriffe auf Android-Mobilgeräte mittels neuer Variante / Zimperium-Sicherheitsexperten haben eine neue Variante der „Konfety“-Malware aufgedeckt, welche sich der Entdeckung auf „Android“-Endgeräten raffiniert entzieht

datensicherheit.de, 07.07.2025
Android-Smartphones: Bedrohungen nehmen sprunghaft zu / Sicherheitsforscher von Malwarebytes haben im ersten Halbjahr 2025 eine Zunahme von Malware für „Android“-Geräte um 151 Prozent festgestellt

[datensicherheit.de, 29.11.2025] Auch die G DATA CyberDefense AG wirft bereits einen Blick in das neue Jahr, 2026, und geht auf Basis der aktuellen Einschätzung hauseigener Experten von erhöhtem Missbrauch Künstlicher Intelligenz (KI), Fachkräftemangel und zunehmendem Druck zur Digitalen Souveränität als prägende Herausforderungen an IT-Security-Verantwortliche aus. Der Ausblick zeigt demnach, dass KI Schadcode umschreibt und die Zahl der Angriffe auf Unternehmen durch eigene Angestellte steigt. Die gute Nachricht sei: „Der Anteil von Lösegeldzahlungen geht zurück, weil Firmen resilienter sind und über funktionierende Backups verfügen.“

Foto: G DATA CyberDefense AG

Tim Berghoff: Für eine wirkungsvolle Cyberabwehr braucht es eine dauerhafte Überwachung der Infrastruktur durch fachkundiges und erfahrenes Personal, um eine Kompromittierung frühzeitig zu erkennen!

Cyberkriminelle nutzen künftig KI-Tools, um Code zu manipulieren

Die Lage der IT-Sicherheit bleibe also auch im nächsten Jahr angespannt. Nach Einschätzung von G DATA CyberDefense nutzen Cyberkriminelle künftig KI-Tools, um Code von einer Programmiersprache in eine andere umzuschreiben.

• So werde die Anzahl an Malware zunehmen, welche etwa mit „Rust“ erstellt wird. Auf diesem Weg verschleierten sie Schadsoftware vor signaturbasierten Erkennungsverfahren.

Um sich vor derartigen Attacken zu schützen, brauche es somit Sicherheitssysteme, welche verhaltensbasiert arbeiten. Auffällig sei dabei, dass zurzeit der Anteil „fehlerhafter“ Schadsoftware stark steige, weil unerfahrene Malware-Autoren KI unreflektiert einsetzten und die Ergebnisse nicht überprüften.

KI senkt Einstiegshürde für Cyberkriminelle drastisch

„Künstliche Intelligenz senkt die Einstiegshürde für Cyberkriminelle drastisch. Insbesondere Menschen mit wenig technischem Verständnis und hoher krimineller Energie steigen gerade in den Markt ein. Sie richten erheblichen Schaden an“, berichtet Tim Berghoff, „Security Evangelist“ bei der G DATA CyberDefense AG. Er betont: „Für eine wirkungsvolle Cyberabwehr braucht es eine dauerhafte Überwachung der Infrastruktur durch fachkundiges und erfahrenes Personal, um eine Kompromittierung frühzeitig zu erkennen!“

• 2026 sei zudem mit einer Zunahme von „Innentäterschaften“ durch unzufriedene oder überforderte Mitarbeiter zu rechnen. Aktuelle Fälle zeigten, dass gerade Angestellte mit einer langjährigen Betriebszugehörigkeit im Falle einer Kündigung danach trachteten, den ehemaligen Arbeitgeber schädigen. Motive für dieses Verhalten seien meist Frustration, Generationenkonflikte und mangelnde Weiterbildungsmöglichkeiten.

Bedingt durch immer neue Entwicklungen und sich ändernde „Best Practices“ falle es einigen Administratoren bisweilen schwer, Schritt zu halten und sich von altbewährten und nicht mehr zeitgemäßen Praktiken zu lösen. Die hieraus resultierende Dynamik berge Potenzial für schwer lösbare Konflikte, Ressentiments und Spannungen.

Digitale Souveränität und regulatorische Komplexität laut G Data zentrale Herausforderungen

Der in diesem Jahr, 2025, eingeschlagene Weg zur Stärkung der digitalen europäischen Souveränität werde sich auch 2026 fortsetzen. Treiber dieser Entwicklung bleibe die anhaltend schwierige geopolitische Lage, welche Unternehmen und staatliche Organisation vor die Frage stelle, wie sie die Abhängigkeit von außereuropäischen Technologien reduzieren können.

• Es sei davon auszugehen, dass sich in diesem Zusammenhang der Trend zu mehr IT-Outsourcing verstärke. Dabei würden Verantwortliche europäischen Lösungen den Vorzug geben.

„Der Wunsch nach digitaler Eigenständigkeit ist groß, die strukturellen Voraussetzungen fehlen jedoch“, kommentiert Berghoff und erläutert: „Wir müssen IT-Sicherheit als gesamtstaatliche Aufgabe verstehen und bundeseinheitliche Maßnahmen umsetzen, um aktuelle Vorgaben schnell umzusetzen! Cyberkriminelle warten nicht.“

Fachkräftemangel – G DATA rät zur Ausbildung angehender IT-Security-Fachleute

Trotz zunehmender Sicherheitsanforderungen sei zurzeit ein Rückgang offener IT-Stellen zu erkennen. Ein Grund für diese Entwicklung sei die aktuelle konjunkturelle Unsicherheit.

• Aber um langfristig die bestehende Personallücke zu schließen, sei ein weiterer Ansatz das verstärkte Ausbilden von IT-Security-Fachleuten.

Auch ein eigenständiger Ausbildungsberuf zum „Fachinformatiker für IT-Sicherheit“ könne dazu beitragen, den Personalmangel zu reduzieren. Entsprechende Projekte seien bereits gestartet.

G DATA benennt weitere IT-Security-Trends, welchen sich die Verantwortlichen stellen sollten:

• „Social Engineering“ mit Suchmaschinen
  Mittels KI bildeten Cyberkriminelle Webseiten nach und platzierten ihre Fälschungen durch „SEO-Poisoning“ in den „Google“-Ergebnissen vor den echten Web-Präsenzen. Nutzer würden dann unbemerkt Schadsoftware von einer vermeintlich vertrauenswürdigen Quelle herunterladen.
• Angreifer machen mehr Tempo
  Die Zeit zwischen initialem Erstzugang bis zur Verschlüsselung reduziere sich von Monaten auf zwei bis drei Wochen. Ein Grund dafür sei das verbesserte Abwehrverhalten. Unternehmen könnten Angriffsversuche früher erkennen und entsprechende Gegenmaßnahmen einleiten.
• Steigende Resilienz – weniger Profit
  Die Zahl der Lösegeldzahlungen werde weiter sinken, weil mehr Unternehmen über funktionierende Back-ups verfügten und verschlüsselte Daten wiederherstellen könnten.

Hacker-Abwehr: G DATA unterstreicht Bedeutung der Technik einerseits und „Awareness“ andererseits

In den kommenden Monaten werden Cyberangriffe laut Berghoff dynamischer, da Cyberkriminelle neue Technologien schnell adaptierten und Angriffsmethoden verfeinerten.

• Seine optimistische Prognose: „Allerdings werden Unternehmen lernfähiger und robuster.“

Abschließend gibt er zu bedenken: „Um im Wettlauf gegen Täter nicht den Anschluss zu verlieren, müssen Unternehmen und staatliche Organisationen zeitgemäße Lösungen sowie Fachleute mit Know-how einsetzen!“

Weitere Informationen zum Thema:

G DATA CyberDefense
IT-Sicherheit vom Erfinder des Antivirus

G DATA CyberDefense
Tim Berghoff – Security Evangelist

datensicherheit.de, 24.11.2025
Digitale Souveränität Europas als neuer Mega-Trend / Europäische Entscheidungsträger setzen sich im Kontext Digitaler Souveränität mit Abhängigkeiten, Datenschutz und den Möglichkeiten auseinander, wie sie in Zeiten größerer Unsicherheit mehr Transparenz in ihre digitalen Infrastrukturen integrieren können

datensicherheit.de, 20.11.2025
KI-Risiken und Regulierung: BeyondTrust verkündet IT-Security-Prognosen für 2026 / BeyondTrust-Experten rechnen mit einer rapide steigenden Anzahl an KI-Angriffen, hoher Gefahr für die Identitätssicherheit und der Einführung digitaler Zölle

datensicherheit.de, 09.08.2025
Bitkom: Weiterhin fehlen mehr als 100.000 IT-Fachkräfte in Deutschland / Der Bitkom kommentiert die von Bitkom Research im Auftrag des Digitalverbands telefonisch durchgeführte repräsentative Umfrage in Unternehmen ab drei Beschäftigten in Deutschland

datensicherheit.de, 27.04.2020
Datensicherheit: Angriffe durch Innentäter kommen teuer zu stehen / Erkannte Schwachstellen können budgetschonender behoben werden als IT-Katastrophen

[datensicherheit.de, 06.11.2025] QR-Codes (QRC) sind sicherlich praktisch, erlauben eine schnelle Reaktion – und sind längst alltäglich, ob im Restaurant, bei digitaler Außenwerbung oder auf einem Flyer. Doch was viele nicht wissen: Hinter dem scheinbar harmlosen Quadratmuster kann sich eine neue Betrugsmasche verbergen: „Quishing“ nennt sich diese cyberkriminelle Methode, bei der QRC manipuliert werden, um an persönliche Daten zu gelangen oder Schadsoftware einzuschleusen. Alina Gedde, Digitalexpertin bei ERGO, geht in ihrer aktuellen Stellungnahme auf diese Bedrohung ein, beschreibt deren Funktion und mögliche Schutzmaßnahmen:

Quelle: ERGO Group

QRC auf dem Smartphone: Bei seriöser Quelle praktisch – im Dienste Cyberkrimineller bedrohlich

Cyberkriminelle bringen gefälschte oder manipulierte QRC in Umlauf

Vermeintlich von der Bank stammende Phishing-E-Mails oder gefälschte Nachrichten seien den meisten Menschen inzwischen wohl ein Begriff. Aber Gedde warnt vor einer fortentwickelten Taktik: „Seit einiger Zeit kursiert eine neue Betrugsmasche, das sogenannte Quishing!“

• Dabei verwenden Cyberkriminelle gefälschte oder manipulierte QRC, um an sensible, persönliche Daten zu gelangen oder Schadsoftware zu verbreiten. Dieser Begriff ist ein sogenanntes Kofferwort aus „QRC“ (Quick Response Code) und „Phishing“ und beschreibt somit eine Form des Phishing-Angriffs eben per QRC

„Das perfide am Quishing ist, dass im Gegensatz zu schädlichen Links wie in einer E-Mail, QR-Codes nicht automatisch von Antiviren-Software geprüft werden können“, warnt die ERGO-Expertin.

Foto: ERGO Group

Alina Gedde: Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren…

Wer gefährlichen Code scannt, gelangt auf eine täuschend echt gestaltete Fake-Webseite

Quishing beginne immer mit einem scheinbar harmlosen QRC. Betrüger platzierten diesen z.B. auf Plakaten, in E-Mails, in Briefen oder an öffentlichen Orten. „Wer den Code scannt, gelangt nicht auf eine seriöse Webseite, sondern auf eine täuschend echt gestaltete Fälschung!“

• Dort fordere die heimtückische Webseite zur Eingabe von Passwörtern, Zahlungsinformationen oder persönlichen Angaben auf. „In manchen Fällen startet nach dem Scan sogar sofort ein schädlicher Download, der das Smartphone infiziert.“

Besonders begehrt seien Zugangsdaten zum Online-Banking oder zu E-Mail-Konten, Kreditkarteninformationen, Bankverbindungen oder persönliche Daten wie Name, Adresse, Geburtsdatum oder Telefonnummer. „Gefälschte QR-Codes versprechen zum Beispiel den Zugang zu einer Paketverfolgung, das Abhören einer Sprachnachricht oder schnelles Bezahlen, etwa an einem Parkautomaten“, so Gedde.

Quishing-Alarmsignal: Abfrage von Passwörtern, Zahlungsinformationen oder persönlichen Daten

Unerwartete QR-Codes auf Aufklebern, Zetteln oder Plakaten, besonders an ungewöhnlichen Orten oder über bereits vorhandene Codes geklebt, sollten sofort misstrauisch machen.

• „Auch E-Mails oder SMS mit QR-Codes, die einen fragwürdigen Absender haben oder dringendes Handeln verlangen, gehören zu den typischen Warnzeichen“, hebt Gedde hervor.

Nach dem Scan seien eine fehlende HTTPS-Verschlüsselung oder eine ungewöhnliche Internetadresse mit Tippfehlern oder unbekannten Domains Indizien für einen Betrug. Spätestens dann, wenn eine Webseite direkt nach Passwörtern, Zahlungsinformationen oder persönlichen Daten fragt, bestehe „akute Gefahr“.

Scan nur von QRC aus vertrauenswürdigen Quellen empfohlen

Am sichersten bleibe der Scan von QR-Codes aus vertrauenswürdigen Quellen wie offiziellen Webseiten oder bekannten Unternehmen. „Viele Scanner bieten eine Vorschau der Zieladresse an. Sieht sie ungewöhnlich aus, sollten Betroffene vorsichtig sein.“

• Vor jeder Eingabe lohne sich ein genauer Blick auf die Adresse im Browser: Nur eine korrekte Domain mit HTTPS-Verschlüsselung sei vertrauenswürdig. Persönliche Daten wie Logins oder Zahlungsangaben gehörten niemals auf Seiten, bei denen Zweifel bestehen.

„Wer zusätzlich aktuelle Sicherheitssoftware auf dem Smartphone nutzt und wichtige Webseiten lieber manuell eingibt, reduziert das Risiko deutlich“, gibt Gedde zu bedenken.

ERGO-Tipps zum richtigen Verhalten im Verdachtsfall beim QRC-Scan

Taucht beim Scannen ein ungutes Gefühl auf, gelte sofort: Stoppen und keine Daten mehr eingeben!

• „Wer bereits sensible Informationen preisgegeben hat, sollte unverzüglich Passwörter ändern und die Bank oder den betroffenen Dienst informieren. Auch eine Meldung bei Polizei oder Verbraucherzentrale bietet Schutz vor weiterem Schaden“, rät Gedde.

Im Anschluss lohne sich ein gründlicher Check des Smartphones, um Schadsoftware oder unerwünschte Apps zu finden und zu entfernen.

Weitere Informationen zum Thema:

ERGO A Munich Re company
Portrait ERGO Group / Wir sind ERGO.

ERGO A Munich Re company
Alina Gedde

Linkedin
Alina Gedde

datensicherheit.de, 14.08.2025
Quishing: Neue QRC-Betrugsmasche aus den USA könnte bald auch Deutschland erreichen / Unaufgefordert versenden Betrüger Postpakete an ihre Opfer – statt mit Namen und Adresse des Absenders versehen sie ihre Sendungen mit einem QRC, der auf eine getarnte Phishing-Website weitergeleitet oder einen gut getarnten Malware-Download wird initiiert

datensicherheit.de, 08.11.2024
Sophos X-Ops analysieren Cyber-Attacken per Quishing / „Quishing“ (Phishing mit QR-Codes) offensichtlich ein Cybercrime-Trend mit zunehmender Bedeutung

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

[datensicherheit.de, 24.10.2025] Die Zeit vor „Halloween“ ist offenbar auch in Deutschland wieder einmal Zeit für saisonale Phishing- und Scam-Kampagnen: Eine Analyse der „Bitdefender Labs“ zeigt demnach, dass Deutschland ein wichtiger Schauplatz sowohl als Empfänger- als auch als Absenderland ist. Die Taktiken der Cyberkriminellen seien komplex und für eine schnelle Verbreitung mittels Online-Ads konzipiert. Augenmaß und Abwehrtools könnten aber Nutzern helfen, eine Vielzahl von Betrugsversuchen rasch zu erkennen.

Abbildung: Bitdefender

„Bitdefender Labs“-Analyse 2025: Zielländer für „Halloween“-Spam

Betreffzeilen mit „Halloween“-Bezug sollten Verbraucher zur Vorsicht mahnen

Die „Bitdefender Labs“ haben anhand ihrer Telemetrie in der Zeit vom 15. September bis zum 15. Oktober 2025 einen globalen Anstieg von Phishing- und Scam-Aktivitäten mit Bezug auf „Halloween“ verzeichnen können.

• „73 Prozent der Angriffe zielten auf Mailboxen in den USA. Deutschland lag mit 13 Prozent weltweit auf Rang 2 – mit deutlichem Abstand zu anderen Ländern.“

Die Cyberkriminellen hätten hierzulande mit Betreffzeilen wie „Exklusive Amazon-Prämie“ oder „Ihre Chance, ein brandneues Halloweenkostüm zu kreieren!“ geworben. Eine Kampagne in Tschechien habe Anzeigen zu angeblichen Rabattaktionen des Schuhhändlers Deichmann genutzt.

Verborgenes Netz von „Halloween“-Anzeigen bei Meta-Plattformen „facebook“ und „Instagram“

Experten der „Bitdefender Labs“ hätten zudem ein verborgenes Netz von „Halloween“-Anzeigen über die Meta-Plattformen „facebook“ und „Instagram“ entdeckt: „Hier erwarben die Betrüger gesponsorte Anzeigenplatzierungen für ihre betrügerischen Angebote oder sogar mit direktem Link auf Malware.“

• Eine der wichtigsten Taktiken, um Malware zu vertreiben, seien gesponserte Anzeigen in Sozialen Medien, welche sich als Werbeangebote tarnten.

Nutzer gelangten, wie in solchen Kampagnen üblich, auf kompromittierten Links und sollten dort persönliche Informationen und Kontodaten eingeben. Manche Kampagnen lockten auf Abo-Fallen.

Scheinbar banale Angriffe im „Halloween“-Kontext komplex und anspruchsvoll

Einige Kampagnen hätten sich gezielt an Besitzer von „Krypto-Währungen“ gerichtet. Viele Infektionsketten seien komplex und anspruchsvoll, um Browser-Cookies, Authentifikation-Token oder Daten für Krpto-Wallets zu stehlen. Die Konnektivität der Malware mit den Command-and-Control-Servern (C2) ermögliche das Update neuer bösartiger Module für Datenexfiltration und persistenten Zugang.

• Malware zeichne sich durch Tarnmechanismen, häufige Updates der Codes und das Erkennen von Sandboxing-Verfahren aus. In letzterem Fall bemerke die Malware Abwehrtechnologien und spiele dann etwa anstatt der kompromittierten Seiten harmlose Links aus.

Nutzer könnten mit sicherheitsbewusstem Augenmaß viele Gefahren vermeiden: „So sollten sie saisonale Links zu Belohnungen, Rabatten und Giveaways nicht anklicken!“ Ein Überprüfen der Absender-Domain und der URLs könne bösartige Angebote enttarnen. Nutzer sollten keine Downloads von Online-Anzeigen starten: „Einzelhändler oder Verkaufsplattformen gehen in der Regel nicht so vor.“ Lösungen zu Anti-Spam und Echtzeit-Schutz blockierten zudem Phishing, gefälschte Seiten und Malware-Payload. Kostenlose KI-Tools (wie z.B. „Bitdefender Scamio“) überprüften verdächtige Links, E-Mails und Screenshots.

Weitere Informationen zum Thema:

Bitdefender
Bitdefender Labs

Bitdefender, Alina BÎZGĂ, 23.102.205
Trick or Treat: Bitdefender Labs Uncovers Halloween Scams Flooding Inboxes and Feeds

Bitdefender
Bitdefender Scamio: Der KI-Betrugsdetektor der nächsten Generation

datensicherheit.de, 15.11.2024
Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet / Hochzeit des Kaufens und Schenkens sei auch die Hochzeit des Online-Betrugs, warnt Proofpoint

datensicherheit.de, 31.10.2012
Saures statt Süßes zu Halloween: Kommerzielle Spam-Kampagnen zum Datendiebstahl / 70 % des Halloween-Spams möchte Online-Shopper in die Irre führen

[datensicherheit.de, 18.10.2025] „Bei 80 Prozent aller Cyberangriffe im vergangenen Jahr versuchten die Täter, Daten zu stehlen; bei über der Hälfte dieser Fälle ging es ihnen dabei darum, durch Erpressung oder Ransomware Geld zu erbeuten. Um pure Spionage handelte es sich dabei in nur rund vier Prozent aller Angriffe…“ Dies sind einige der Erkenntnisse des „Microsoft Digital Defense Report 2025“, für den 34.000 Sicherheitsexperten von Microsoft täglich 100 Milliarden Signale analysiert und millionenfache Versuche des Identitätsdiebstahls durch Malware und Phishing gestoppt hätten. Deutschland sei dabei ganz besonders im Visier: Im ersten Halbjahr 2025 habe es laut Microsoft-Daten weltweit an vierter Stelle der von Cyberaktivitäten betroffenen Länder gelegen.

KI als Dual-Use-Werkzeug

Von den in Europa betroffenen Nutzern lebten 11,1 Prozent in Deutschland. „Russland hat Microsoft-Erkenntnissen zufolge die Zahl der Angriffe auf Deutschland und andere NATO-Staaten um 25 Prozent erhöht.“

• Der „Microsoft Digital Defense Report“ dokumentiert demnach, dass Angreifer immer öfter Werkzeuge Künstlicher Intelligenz (KI-Tools) einsetzten, um Sicherheitslücken zu finden, Malware zu verbessern und Phishing-Angriffe raffinierter zu gestalten.

Microsoft zeigt gleichzeitig, „dass KI auch die beste Verteidigung gegen diese Angriffe ist, denn herkömmliche Maßnahmen reichen nicht mehr aus, um Organisationen und Einzelpersonen zu schützen“. KI sei mittlerweile ein wichtiges Instrument, um Sicherheitslücken zu schließen und Phishing-Versuche abzuwehren.

Kritische Infrastruktur bevorzugt im Visier Cyberkrimineller

Cyberkriminelle konzentrierten sich dabei oft auf Organisationen der Kritischen Infrastruktur (KRITIS) – wie zum Beispiel Krankenhäuser, Forschungseinrichtungen und Kommunalverwaltungen, welche oft knappe Budgets für die Cyberverteidigung hätten, mit veralteter Software arbeiteten – aber sich Störungen eben nicht leisten könnten.

• Obwohl die meisten Cyberangreifer professionelle Kriminelle seien, weiteten auch staatliche Akteure ihre Angriffe aus, sowohl zur Spionage und Sabotage (China, Iran, Russland), als auch um Geld zu machen (Nordkorea).

In ihrem aktuellen Blogpost kommentiert Amy Hogan-Burney, „Corporate Vice President, Customer Security & Trust“ bei Microsoft die aktuelle Bedrohungslage. Den ausführliche „Microsoft Digital Defense Report“ steht auf Englisch) online zur Verfügung.

Weitere Informationen zum Thema:

Microsoft, Corporate Responsibility
Microsoft Digital Defense Report 2025 / This year’s Microsoft Digital Defense Report (MDDR) showcases the scale and sophistication of today’s cyber threats, the impact of emerging technologies on those threats, and the strategies that leaders, governments, and defenders can use to defend against them.

Microsoft, The Official Microsoft Blog
Author: Amy Hogan-Burney / VP, Customer Security & Trust

Microsoft, Source EMEA
Company News: Erpressung und Ransomware sind für mehr als die Hälfte aller Cyberangriffe verantwortlich

datensicherheit.de, 15.10.2025
Große Lücke zwischen Ausgaben und Schäden kennzeichnet Lage der IT-Sicherheit in Deutschland / Trotz steigender IT-Sicherheitsausgaben von 11,1 Milliarden Euro verursacht Cyberkriminalität der deutschen Wirtschaft jährlich Schäden von über 200 Milliarden Euro

datensicherheit.de, 15.10.2025
Digitalbetrug: Jeder vierte Verbraucher in Deutschland bereits Opfer / Ping Identity hat seinen aktuellen Report „Consumer Survey 2025“ vorgestellt – demnach war bereits ein Viertel der Verbraucher in Deutschland von digitalem Betrug betroffen

datensicherheit.de, 11.07.2025
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten / Fast die Hälfte der Befragten gibt an, im letzten Jahr Opfer eines Betrugs geworden zu sein

[datensicherheit.de, 28.09.2025] „Bereits seit mehreren Monaten – so eine aktuelle Recherche von SentinelOne und Validin – machen Hacker mit einer neuen Variante der ,Contagious Interview’-Angriffskampagne von sich reden“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Arbeitssuchende der „Kryptowährungs“-Branche werden demnach „mit Fake-Stellenannoncen in Fake-Bewerbungsgespräche gelockt“, um dann – im Laufe des angeblichen Bewerbungsverfahrens – dazu verleitet zu werden, sich Malware auf ihre Systeme herunterzuladen. Effektiv helfen könne hierbei nur ein modernes „Human Risk Management“.

Foto: KnowBe4

Dr. Martin J. Krämer gibt zu bedenken: Statt auf „Kryptowährungen“ könnten sich Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren…

Fake-Stellenausschreibungen: Vor allem Marketing- und Finanzdienstmitarbeiter vor zwei Jahre betroffen

Die applizierte Malware ermögliche es den Angreifern dann, auf die Systeme ihrer Opfer zuzugreifen, Daten einzusehen und – „hier liegt derzeit ihr Angriffsschwerpunkt“ – „Kryptowährungen“ zu stehlen. Allein für den Zeitraum zwischen Januar und März 2025 hätten SentinelOne und Validin über 230 solcher Vorfälle registrieren können. „Die tatsächliche Zahl der Opfer dürfte noch einmal deutlich höher liegen. Auch Reuters hat bereits über die neue Kampagne berichtet“, so Krämer.

• Krämer blickt zurück: „Erstmals wurde die Cybersicherheitsszene vor knapp zwei Jahren auf ,Contagious Interview’-Kampagnen aufmerksam. Die Angriffe zielten auf High-End-Mitarbeiter, die mit dem Gedanken spielten, ihren Arbeitgeber zu wechseln.“ Vor allem Marketing- und Finanzdienstmitarbeiter seien dabei betroffen gewesen.

Der damalige Köder der Cyberkriminellen: „Fake-Stellenausschreibungen für interessante und lukrative Posten, wie Portfolio-Manager, Investmentmanager und Senior-Produktmanager, bei bekannten digitalen Finanz-Unternehmen, wie Archblock, Robinhood und eToro.“

„ClickFake“-Interviews basieren auf Social-Engineering-Technik namens „ClickFix“

Die aktuelle „Contagious Interview“-Kampagne, auch als „ClickFake“-Interview bezeichnet, setze eben auf eine Social-Engineering-Technik namens „ClickFix“: „Das anvisierte Opfer erhält eine Einladung zur Teilnahme an einem Bewerbungsverfahren und wird auf eine Lock-Website weitergeleitet, auf der es aufgefordert wird, an einer Kompetenzbewertung teilzunehmen.“

• Im Laufe der Prüfung erscheine dann auf dem Bildschirm des Bewerbers eine Fake-Fehlermeldung. „Das Opfer wird gebeten, mehrere Befehlszeilen zu kopieren und einzufügen – oftmals unter Verwendung von Dienstprogrammen wie ,curl’ – um ein angebliches Update von einem separaten Server herunterzuladen und auszuführen.“ Tatsächlich handele es sich hierbei aber um Malware, welche das Opfer dann unwissentlich installiere und aktiviere.

Eine Möglichkeit, die Aktivitäten der Angreifer einzudämmen, bestehe darin, deren Angriffs-Infrastruktur, die Fake-Bewerbungsseiten, abzustellen. Jedoch hätten die Experten von SentinelOne und Validin in ihrer Untersuchung festgestellt, dass die Angreifer über ausreichende Mittel verfügten, blockierte Infrastruktur rasch – „zu rasch“ – durch neue ersetzen können.

Zur Eindämmung der Bedrohung durch Fake-Stellenangebote den „Faktor Mensch“ adressieren

Krämer führt aus: „Aus diesem Grund raten die Experten, bei den Maßnahmen zur Eindämmung der Bedrohung, den ,Faktor Mensch’ nicht zu vernachlässigen. Dem kann nur zugestimmt werden!“ Das Sicherheitsbewusstsein der eigenen Mitarbeiter sei eine zentrale Größe im Kampf gegen Phishing- und „Spear Phishing“-Kampagnen wie diese.

• Der neue „ClickFix“-Phishing-Ansatz stelle ein ernsthaftes Sicherheitsrisiko dar – und das nicht allein für Beschäftigte der Krypto-Branche. Leicht könne die Angriffstechnik auch auf andere Branchen ausgedehnt werden, könnten Hochqualifizierte der unterschiedlichsten Industrien in den Angriffsfokus genommen werden.

Abschließend warnt Krämer: „Statt auf ,Kryptowährungen’ können sich die Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren, oder versuchen, über einen Mitarbeiter, der noch in einem Unternehmen arbeitet – sich aber bereits aktiv nach einem neuen Job umsieht – die IT-Systeme seines derzeitigen Arbeitgebers unter Kontrolle zu bekommen.“

Weitere Informationen zum Thema:

knowbe4
What is KnowBe4?

knowbe4, KnowBe4 Team, 18.09.2025
North Korean Hackers Target Job Seekers With ClickFix Attacks

knowbe4
KnowBe4 News und Wissenswertes: Dr. Martin J. Krämer / Recent Posts

IO sekoia blog, Amaury G. & Coline Chavane & Felix Aimé & Sekoia TDR, 31.03.2025
From Contagious to ClickFake Interview: Lazarus leveraging the ClickFix tactic

datensicherheit.de, 30.08.2025
Task Scams: Trend Micro warnt vor digitalem Job-Betrug / Aktuelle Forschungsergebnisse von Trend Micro künden von einer globalen Schattenindustrie mit „gamifizierten“ Betrugsplattformen, Fake-Websites und Missbrauch von „Krypto-Währungen“

datensicherheit.de, 28.07.2025
Cyberkriminelle missbrauchen Remote Management Tools für Attacken auf Jobsucher / „Remote Management Tools“ können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen

datensicherheit.de, 26.07.2024
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick / Anna Collard erläutert Betrugsversuche bei der Jobsuche in Sozialen Medien und entsprechende Warnsignale

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

datensicherheit.de, 15.05.2019
Spam-Attacken: Jobsuchende im Visier / Laut neuem KASPERSKY-Report erhalten deutsche Nutzer die meisten Spam-Mails mit gefährlichen Anhängen oder Links

[datensicherheit.de, 19.09.2025] Offensichtlich bleibt die globale Cyberbedrohungslage weltweit weiterhin angespannt – laut dem aktuellen „Acronis Cyberthreats Update September 2025“ jedenfalls ist die Anzahl der blockierten schädlichen URLs auf Endpunkten im August 2025 im Vergleich zum Vormonat, Juli, um 20,6 Prozent gestiegen – „insgesamt waren es mehr als 13,8 Millionen“. Auch die Zahl der erkannten Malware-Angriffe sei gegenüber dem Vormonat um 9,2 Prozent gestiegen, „während mehr als 490 Datenschutzverletzungen gemeldet wurden“. In Deutschland habe der Anteil der Acronis-Nutzer mit erkannter Malware im August 2025 bei 5,8 Prozent – und damit über dem globalen Durchschnitt von 5,3 Prozent – gelegen. Die Schweiz sei mit einem Anteil von 4,4 Prozent ähnlich stark betroffen gewesen wie im Juli 2025 (4,3%) und jeweils unter dem globalen Durchschnitt geblieben.

Abbildung: ACRONIS / TRU

„Acronis Cyberthreats Update“: Zentrale Erkenntnisse zum August 2025

Monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“

Das „Acronis Cyberthreats Update“ stellt demnach monatlich aktuelle Erkenntnisse zur Bedrohungslage sowie Einschätzungen der Experten der „Acronis Threat Research Unit“ (TRU) zur Verfügung, „damit Unternehmen und Privatpersonen sich vor den sich ständig weiterentwickelnden Sicherheitsherausforderungen schützen können“.

• Dabei hätten Acronis-Lösungen mehr als 13,8 Millionen schädliche URLs blockiert, was einem deutlichen Anstieg um 20,6 Prozent gegenüber dem Vormonat (11,4 Millionen) entspreche. Auch der Anteil erkannter Malware auf Endpunkten habe im Vergleich zum Juli 2025 zugenommen – um 9,2 Prozent auf über 520.000 Aktivitäten im August.

Besonders aktiv seien die Malware-Varianten „Lumma“, „Agent Tesla“ und „Xworm“ gewesen. „Im Bereich Ransomware traten vor allem die Gruppen ,Quilin’ (87 bekannte Angriffe), ,Akira’ (56) und ,Warlock’ (31) in Erscheinung.“ Zudem seien Nutzer weltweit mit Datenschutzverletzungen konfrontiert gewesen – mit mehr als 490 gemeldeten Fällen jedoch etwas weniger als im Vormonat (515).

Weitere Erkenntnisse laut aktuellem „Acronis Cyberthreats Update“

• Insgesamt sei Malware im August 2025 bei 5,3 Prozent der Acronis-Kunden blockiert worden.
• In Deutschland habe die Malware-Erkennungsrate im August 2025 mit 5,8 Prozent über dem weltweiten Durchschnitt gelegen – die Schweiz sei hingegen auf einen Wert von 4,4 Prozent gekommen.
• Am häufigsten sei Malware in Peru, Indien und Bulgarien erkannt und blockiert worden.

„Die Analyse für August zeigt einen deutlichen Anstieg schädlicher URLs“, kommentiert Markus Fritz, „General Manager DACH“ bei Acronis. Er führt hierzu weiter aus: „Solche Entwicklungen verdeutlichen die Notwendigkeit ganzheitlicher Schutzmechanismen vor bekannten und unbekannten Bedrohungen. ,Acronis Cyber Protect Cloud’ schützt Unternehmen mit einem mehrschichtigen Ansatz, der verhaltensbasierte Erkennung, KI-gestützte Methoden und Anti-Ransomware-Heuristiken kombiniert.“

Acronis-Tipps zum Schutz vor aktuellen Bedrohungen:

• Regelmäßig Passwörter ändern!
• Einen verschlüsselten „Cloud“-Storage für vertrauliche Dateien nutzen!
• Eine robuste Sicherheitslösung (wie z.B. „Acronis Cyber Protect Cloud“) nutzen, welche einen umfassenden Schutz durch verhaltens-, KI- und ML-basierte Erkennungen sowie Antiransomware-Heuristiken bietet!
• Automatisierte Wiederherstellung von verschlüsselten oder manipulierten Dateien (z.B. durch „Acronis Cyber Protect Cloud“) einführen!
• „Advanced eMail Security“ und URL-Filterung nutzen, um zusätzlichen Schutz vor Bedrohungen wie Phishing und anderen Social-Engineering-Techniken zu erlangen!
• Patch-Management nutzen, um Software stets auf dem neuesten Stand zu halten!
• Signierte Installationsdateien nicht nur auf ihre Signatur, sondern auch auf enthaltene Konfigurationsdaten prüfen!
• Fernzugriffssoftware kritisch überprüfen und Nutzung auf das notwendige Maß beschränken!

Weitere Informationen zum Thema:

TRU
About TRU Security / Intelligence-driven cyberthreat research and reporting / Empowering IT teams with cybersecurity Insights

TRU Acronis Threat Research Unit, Alexander Ivanyuk & Irina Artioli, 11.09.2025
Acronis Cyberthreats Update, September 2025

IT-BUSINESS, 12.06.2024
Neuer General Manager DACH bei Acronis / Markus Fritz ist DACH-Chef von Acronis

datensicherheit.de, 01.06.2025
Laut Acronis-Erkenntnissen mehr Malware und weniger Ransomware in Deutschland / Acronis-Telemetrie weist auf veränderte Angriffsmuster in Deutschland hin – Bedrohungslage durch Cyberangriffe 2024 strukturell verändert

[datensicherheit.de, 03.09.2025] Sicherheitsexperten von Proofpoint haben nach eigenen Angaben in den letzten Monaten eine deutliche Zunahme von Angriffskampagnen festgestellt, welche auf „Stealerium“ basieren – einem 2022 auf „GitHub“ – veröffentlichten sogenannten Info-Stealer auf Open-Source-Basis. Solche ein frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht – könne zwar Sicherheitsforschern helfen, werde indes auch von Cyberkriminellen missbraucht, angepasst und weiterentwickelt. Dadurch entstehen offenkundig zahlreiche, schwerer zu erkennende Varianten. Neben „Stealerium“ selbst gebe es weitere Malware mit erheblichem Überschneidungen im Code – insbesondere „Phantom Stealer“ und „Warp Stealer“. Proofpoint fasst diese demnach unter dem Oberbegriff „Stealerium“ zusammen.

Abbildung: ds-Screenshot von Website „GitHub“ (03.09.2025)

„Stealerium“ als frei zugänglicher Schadcode – offiziell „nur zu Bildungszwecken“ veröffentlicht

Aufleben der Angriffe: „Stealerium“ im Mai 2025 wieder verstärkt bei E-Mail-Bedrohungsdaten aufgetaucht

Nach einer Phase geringer Aktivität hätten Proofpoint-Experten „Stealerium“ im Mai 2025 wieder verstärkt in ihren E-Mail-Bedrohungsdaten finden können. Auslöser sei eine Kampagne der Gruppe „TA2715“ gewesen – kurz darauf sei „TA2536“ gefolgt. „In den Monaten bis August 2025 wurden weitere Kampagnen mit unterschiedlichen Täuschungsmethoden und Dateiformaten entdeckt. Die Größenordnung reichte von einigen Hundert bis zu zehntausenden E-Mails pro Angriffswelle.“

• Die Angreifer hätten unterschiedlichste Themen als Köder genutzt – darunter fingierte Zahlungsaufforderungen, Gerichtsvorladungen, Spendenquittungen und das Thema „Hochzeit“. Die Absender hätten bei den Angriffen Banken, NGOs, Gerichte oder Dokumentendienstleister imitiert. In den Betreffzeilen sei auf eine vermeintliche Dringlichkeit bzw. finanzielle Relevanz verwiesen worden.

Technisch seien komprimierte EXE-Dateien, „JavaScript“- und „VBScript“-Dateien, ISO- und IMG-Images sowie ACE-Archive zum Einsatz gekommen. „Beispiele sind eine ,TA2715‘-Kampagne vom 5. Mai 2025 mit einer mutmaßlichen Angebotsanfrage einer kanadischen Wohltätigkeitsorganisation oder eine ,Xerox Scan’-Mail.“ Auch juristische Drohungen mit angeblichen Gerichtsterminen seien genutzt worden, um Opfer zum Klicken zu verleiten.

„Stealerium“ ist in „.NET“ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen

Nach der Ausführung sammele „Stealerium“ zunächst WLAN-Profile und Informationen zu nahegelegenen Netzwerken – teils ergänzt durch „PowerShell“-Befehle zur Manipulation von „Windows Defender“ und geplanten Tasks, um sich dauerhaft im System festzusetzen. Manche Varianten missbrauchten die „Remote Debugging“-Funktion von „Chrome“, um Browser-Sicherheitsmechanismen zu umgehen und sensible Daten wie „Cookies“ oder Passwörter zu stehlen.

• „,Stealerium’ ist in ,.NET’ geschrieben und verfügt über umfangreiche Datendiebstahl-Funktionen. Die Exfiltration erfolgt über verschiedene Wege – am häufigsten per SMTP, daneben über ,Discord-Webhooks’, die ,Telegram’-API, den Filehosting-Dienst ,Gofile’ und die Chat-Plattform ,Zulip’.“ Kostenlose „Cloud“-Dienste wie „Gofile“ erleichterten den unauffälligen Abfluss großer Datenmengen. „Zulip“ sei in den untersuchten Kampagnen zwar nicht aktiv genutzt worden, sei aber als Option vorhanden.

Die „Stealerium“-Malware sei hochgradig konfigurierbar. Die Konfiguration enthalte „C2“- und Exfiltrationsparameter sowie Listen mit Diensten, etwa bestimmter Banken. Teile seien per „AES“ verschlüsselt. „Stealerium“ nutze zahlreiche Anti-Analyse-Techniken: Startverzögerungen, Abgleich von Systemparametern mit Blocklisten, Erkennung bestimmter Prozesse und Dienste, Anti-Emulation und Selbstlöschung bei Verdacht. „Bemerkenswert ist die Fähigkeit, aktuelle Blocklisten dynamisch aus öffentlichen ,GitHub’-Repositories nachzuladen.“

„Phantom Stealer“ als Variante derselben Bedrohung

„Phantom Stealer“ habe große Teile des Codes mit „Stealerium“ gemeinsam und unterscheide sich vor allem in der Art der Datenübertragung. „Manche Samples enthalten Verweise auf beide Namen, was auf Code-Recycling hindeutet.“ Auch „Warp Stealer“ weise deutliche Überschneidungen auf. „Proofpoint behandelt diese Familien als Varianten derselben Bedrohung, solange keine wesentlichen funktionalen Unterschiede bestehen.“

• Die Aktivitäten zwischen Mai und Juli 2025 zeigten, dass „Stealerium“ und seine Varianten weiterhin aktiv in Angriffen eingesetzt würden. Die Kombination aus offenem Quellcode, breiter Funktionspalette und flexiblen Exfiltrationswegen mache sie zu einer ernstzunehmenden Bedrohung. Organisationen sollten auf verdächtige Systembefehle, ungewöhnliche „PowerShell“-Nutzung zur Manipulation von „Defender“-Einstellungen und „headless“ „Chrome“-Prozesse achten.

Ebenso sei es ratsam, ausgehenden Datenverkehr zu überwachen und Verbindungen zu nicht autorisierten Diensten wie „Discord“, „Telegram“ oder „Gofile“ zu blockieren. Nur durch technische Erkennung, Netzwerküberwachung und Sensibilisierung der Mitarbeiter lasse sich das Risiko durch diese vielseitige Schadsoftware wirksam senken.

Weitere Informationen zum Thema:

proofpoint
What Sets Us Apart: Email, social media, and mobile devices are the tools of your trade—and for cyber criminals, the tools of attack. Proofpoint protects your people, data and brand against advanced threats and compliance risks.

proofpoint, Rob Kinner & Kyle Cucci & The Proofpoint Threat Research Team, 03.09.2025
Not Safe for Work: Tracking and Investigating Stealerium and Phantom Infostealers

datensicherheit.de, 28.07.2025
Lumma Stealer back in CyberSpace – als neue, verbesserte Version / „Lumma“ hatte lange als eine der gefährlichsten und beliebtesten Schadsoftwares zum Stehlen von Zugangsdaten gegolten

datensicherheit.de, 23.06.2025
Amatera Stealer: Neue Bedrohung aus dem Netz umgeht moderne Sicherheitslösungen / Der „Amatera Stealer“, ein neuer hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, warnt Proofpoint

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem