[datensicherheit.de, 17.01.2026] Dr. Martin Krämer, „CISO Advisor“ bei KnowBe4, führt in seiner aktuellen Stellungnahme aus, dass Kleine und Mittlere Unternehmen (KMU) demnach zunehmend von Cybervorfällen betroffen sind und auf Künstliche Intelligenz (KI) gestütztes „Social Engineering“ externe Angriffe deutlich effektiver macht. Laut einem aktuellen Bericht hätten 81 Prozent der KMU einen schädlichen Vorfall verzeichnet und 38 Prozent danach ihre Preise erhöht – dies unterstreiche die wirtschaftlichen und gesellschaftlichen Folgen von Cyberattacken auf den Mittelstand.

Foto: KnowBe4

Dr. Martin Krämer: Cyberangriffe sollen nicht nur erkannt, sondern auch organisatorisch abgefangen werden!

Zunahme des Missbrauchs KI-gestützter „Social Engineering“-Methoden

„Kleine und mittlere Unternehmen werden immer häufiger Ziel von Cyberangriffen. Sicherheits und Datenvorfälle sind für viele KMU inzwischen kein Ausnahmefall mehr, sondern ein Risiko, das im Alltag mitläuft“, so Krämer.

• Ein aktueller Bericht vom Identity Theft Resource Center zeige dies deutlich: 81 Prozent der KMU hätten im vergangenen Jahr – 2025 – einen Sicherheitsvorfall gehabt und 38 Prozent danach ihre Preise erhöht, um die Folgen abzufedern.

„Auffällig ist zudem, dass sich die Ursachen verschieben. Statt böswilliger Insider stehen häufiger externe Angreifer hinter den Vorfällen.“ Gleichzeitig setzten diese zunehmend auf KI-gestützte „Social Engineering“-Methoden.

Wesentlicher Effekt cyberkrimineller KI-Nutzung Entwicklung liegt in steigender Qualität täuschender Inhalte

Ein wesentlicher Effekt dieser Entwicklung liege in der steigenden Qualität täuschender Inhalte. Klassische Warnsignale wie Tippfehler, holprige Formulierungen oder offensichtlich unpassende Tonalität verlören an Aussagekraft.

• Angriffe könnten dadurch glaubwürdiger wirken, sich stärker an Kommunikationsstile anpassen und in größerem Maßstab ausgespielt werden.

Krämer warnt: „Der Vorteil, den Insider bislang durch ihre Kenntnis interner Prozesse, Hierarchien und Gepflogenheiten hatten, lässt sich so zunehmend auch von externen Akteuren nachbilden.“

Wirtschaftlichen Folgen solcher mittels KI inszenierter Vorfälle ebenfalls spürbar

Für Unternehmen bedeutet das laut Krämer vor allem eines: „,Security Awareness’ muss sich weiterentwickeln! Schulungen, die primär auf offensichtliche Merkmale von Phishing und Betrugsversuchen setzen, reichen in diesem Umfeld weniger aus. Der Fokus sollte stärker auf Verifikation, klaren Freigabeprozessen und der Fähigkeit liegen, ungewöhnliche oder besonders dringliche Anfragen konsequent zu prüfen.“

• Auch Hinweise auf KI-generierte Inhalte könnten eine Rolle spielen, etwa subtile visuelle Artefakte bei manipulierten Videos, fehlende emotionale Nuancen bei geklonten Stimmen oder eine auffällig perfekte Sprache in E-Mails.

Die wirtschaftlichen Folgen solcher Vorfälle seien ebenfalls spürbar: „Ein Teil der betroffenen Unternehmen sieht sich gezwungen, die Preise zu erhöhen, um die Kosten der Vorfälle abzufedern.“

KMU im cyberkriminellen KI-Visier unter operativem und finanziellem Druck

Die ernste Bedrohungslage und das immer professioneller werdende „Social Engineering“ erhöhten für KMU den operativen und finanziellen Druck. Neben unmittelbaren Kosten für Schadensbegrenzung, Wiederanlauf und Kommunikation könnten Folgewirkungen wie Preisanpassungen zum Faktor werden und die Wettbewerbsfähigkeit belasten.

• Gleichzeitig steige das Risiko, dass täuschend echte Inhalte interne Abläufe aushebeln könnten, etwa durch vermeintlich dringende Anfragen oder glaubwürdig wirkende Freigaben.

Krämers Fazit: „Für KMU wird damit entscheidend, ,Security Awareness’, Verifikationsroutinen und klare Prozessregeln so auszubauen, dass Angriffe nicht nur erkannt, sondern auch organisatorisch abgefangen werden!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Infosecurity Magazine, Phil Muncaster, 11.12.2025
“Cyber Tax” Warning as Two-Fifths of SMBs Raise Prices After Breach

datensicherheit.de, 11.01.2026
KMU-Fitness für NIS-2: Universität Paderborn bietet Online-Tool und Lernplattform zur Stärkung der Cybersicherheit / NIS-2 als die überarbeitete EU-Richtlinie von 2022 betrifft nun ca. 30.000 Unternehmen aus 18 Sektoren – von Gesundheit über Transport bis Telekommunikation

datensicherheit.de, 24.12.2025
Cloud-Nutzung: Auswege für KMU aus dem Dilemma der Datensouveränität / Mit „Hyperkonvergenter Infrastruktur“ können KMU einfacher und kostengünstiger „Hybrid Clouds“ aufbauen – und so garantieren, dass ihre kritischen Daten jederzeit am richtigen Ort zugänglich sind

datensicherheit.de, 06.11.2025
Fast ein Viertel der KMU-Chefetage ignoriert Geschäftsrelevanz der Cybersicherheit / 23 Prozent der IT-Führungskräfte deutscher KMU sprechen ihrem „C-Level“ das Verständnis für die geschäftliche Relevanz ihrer betrieblichen Cybersicherheit ab

[datensicherheit.de, 08.12.2025] „Vor Kurzem hat Entrust seinen neuen jährlichen ,Identity Fraud Report’ vorgestellt. In ihm warnt das Unternehmen vor einem signifikanten Anstieg von Deepfake-Angriffen“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Sowohl quanti- als auch qualitativ hätten auf Künstlicher Intelligenz (KI) basierende Betrugsfälle 2025 merklich zugelegt. Bei jedem fünften von ihnen werde mittlerweile auf Deepfakes gesetzt. Allein die Zahl gefälschter Selfies sei 2025 um 58 Prozent gestiegen. Am effektivsten – da umfassendsten – könne der Einsatz eines modernen „Human Risk Management“-Systems helfen. Dessen Phishing-Trainings, -Schulungen und -Tests ließen sich mittels KI mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen, um Mitarbeiter wie KI-Agenten zu stärken.

Foto: KnowBe4

Dr. Martin J. Krämer: Will man die eigenen Systeme erfolgreich vor Betrug – auch und gerade vor Deepfakes – absichern, muss man dem „Faktor Mensch“ auch weiterhin eine zentrale Rolle innerhalb der eigenen IT-Sicherheit zuweisen!

Immer schneller, unkomplizierter – und mit einer stetig steigenden Erfolgsquote – werden Deepfake-Angriffe umgesetzt

Eine zentrale Ursache laut Krämer: „Immer mehr KI-Plattformen drängen auf den freien Markt, die missbraucht werden können. Und immer mehr bösartige ‚Kits‘ sind im ,Darknet’ erhältlich, mit denen sich auch komplexe Deepfake-Angriffe realisieren lassen.“

• Realistisch wirkende Fake-Medieninhalte, egal ob nun Video, Audio oder Text, ließen sich mittlerweile auch von Laien weitgehend problemlos erstellen. Immer schneller, unkomplizierter – und mit einer stetig steigenden Erfolgsquote – könnten sie Deepfake-Angriffe realisieren. Längst fluteten ihre Deepfakes das Netz. „Der erwähnte 58-prozentige Anstieg von Fake-Selfies, er kommt nicht von ungefähr.“

Vor allem „Injection“-Angriffe hätten 2025 noch einmal kräftig zugelegt – im Vergleich zum Vorjahr um sage und schreibe 40 Prozent. „Bei einem ,Injection’-Angriff nutzt ein Angreifer eine Sicherheitslücke, um bösartigen Code in eine Anwendung einzuschleusen.“ Typischerweise über unzureichend validierte Benutzereingabefelder, um die beabsichtigte Logik der Anwendung zu manipulieren und sich unautorisierten Zugriff auf Daten oder ein System zu verschaffen.

In zwei „Injection“-Angriffsszenarien kommen Deepfakes mittlerweile verstärkt zum Einsatz:

1. „Video/Media-Injection“ (als ,Injection’-Angriff auf das Authentifizierungssystem)
   Angreifer schleusten hierbei einen Deepfake-Inhalt (Video, Audio oder Bild) in den Datenstrom eines Systems ein, welches diesen Inhalt dann als „echt“ interpretiere.
   Das Hauptziel des Angriffs sei die Umgehung biometrischer Verifizierungssysteme und anderer digitaler Kontrollen.
2. „Adversarial Injection“ (als „Injection“-Angriff auf das Detektionssystem)
   Angreifer fügten hierzu einem Deepfake-Inhalt „unsichtbare“ Störungen (Perturbationen) bei, um einen Deepfake-Detektor (ein KI-Modell, das Fälschungen erkennen soll) gezielt zu täuschen.
   Ziel sei es, den Detektor dazu zu bringen, dass er den gefälschten Inhalt als echt einstuft.

„Faktor Mensch“ von zentraler Bedeutung bei Deepfake-Abwehr

Der Bericht zeige: „Unternehmen sollten sich, wenn es um Betrugsprävention geht, nicht zu sehr auf ihre technischen Sicherheitslösungen verlassen!“ Längst hätten Angreifer begonnen, eben diese ins Visier zu nehmen.

• „Will man die eigenen Systeme erfolgreich vor Betrug – auch und gerade vor Deepfakes – absichern, will man eigene Risiken nachhaltig reduzieren, muss man dem ,Faktor Mensch’ auch weiterhin eine zentrale Rolle innerhalb der eigenen IT-Sicherheit zuweisen – und die eigenen Mitarbeiter entsprechend schulen“, betont Krämer.

Er rät daher:

• „Trainieren Sie Ihre Mitarbeiter darin, verdächtige Aktivitäten, die auf einen Deepfake-Angriff schließen lassen, zu erkennen!“
• „Vermitteln Sie ihnen das erforderliche Bewusstsein, so dass sie sich ein Bild von der steigenden Qualität und den spezifischen Risiken von Deepfakes (Video, Audio, Bild) machen können!“
• „Vermitteln Sie klare Verhaltensregeln zum Umgang mit verdächtigen Inhalten und zur Prüfung kritischer Anfragen (zum Beispiel von Zahlungsanweisungen)!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

ENTRUST
Identity Fraud Report: Explore the Latest in Global Fraud Intelligence / Fraudsters follow opportunity, and people remain one of the most vulnerable links in the chain. In 2025, we saw social engineering and coercion pose an increasing threat to identity verification, especially during the onboarding process.

datensicherheit.de, 14.10.2025
KI-basierte Betrugsmethoden: Wenn Deepfakes zur Waffe werden / Künstliche Intelligenz (KI) wird zunehmend zur Waffe in den Händen von Kriminellen. Während wir noch über die Chancen der Digitalisierung diskutieren, nutzen Betrüger bereits hoch entwickelte KI-Tools, um perfekte Fälschungen zu erstellen, die selbst Experten täuschen können und eine Herausforderung für Ermittler und Unternehmen darstellen

datensicherheit.de, 22.09.2025
Deepfakes in Echtzeit ab 30 US-Dollar im Darknet angeboten / Kaspersky-Experten vom „Global Research and Analysis Team“ (GReAT) haben in Untergrundforen Anzeigen entdeckt, die Echtzeit-Deepfakes für Video und Audio günstig anbieten

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 17.08.2025
Deepfakes 2025: Zuvor KI-Spielerei und heute bedrohliches Hacker-Tool / Marco Eggerling warnt anhand jüngster Fälle von Cyberangriffen mittels Deepfakes, dass diese auf KI basierene Technologie zum neuen Standardwerkzeug für Hacker geworden ist

datensicherheit.de, 14.07.2025
KI-Waffe Deepfake: Betrug, Identitätsdiebstahl und Angriffe auf Unternehmen / Ein neuer Bericht von Trend Micro zeigt Methoden hinter deepfake-gestützter Cyberkriminalität auf

[datensicherheit.de, 02.12.2025] „Vor einigen Tagen wurde ein neuer Bericht über mobile Bedrohungen, Betrugsmaschen und Phishing-Aktivitäten während der Einkaufssaison rund um ,Black Friday’ und Weihnachten veröffentlicht“, meldet Dr. Martin J. Krämer, „CISO-Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme zur Adventszeit 2025. Das Ergebnis: „Phishing-Kampagnen, die auf mobile Endgeräte abzielen, nehmen in den Wochen vor und nach den großen Feiertagen um ein Vierfaches zu.“ Betrügerische E-Mails und Mobilnachrichten imitierten dabei bevorzugt bekannte Marken und Online-Händler, darunter „amazon“ und „eBay“.

Foto: KnowBe4

Dr. Martin J. Krämer: Unternehmen benötigen einen strukturierten, umfassenden und kontinuierlichen Ansatz für das Management digitaler Risiken!

Phishing-Angriffe in mehreren Schritten

Cyberkriminelle nehmen demnach allerdings nicht nur Online-Shops ins Visier – sie nutzten systematisch die gesamte Transaktionskette der Verbraucher aus. Gefälschte Nachrichten gäben vor, von Zahlungsabwicklern, digitalen Geldbörsen oder Versanddiensten zu stammen.

• „Der Zeitpunkt richtet sich nach dem Kauf, der Zahlung und der Lieferung. Auf diese Weise wirkt die Kommunikation während des gesamten Prozesses legitim.“

In der Regel führten Angreifer ihre kriminellen Operationen in mehreren Schritten durch. Der Ablauf könnte wie folgt aussehen: „Zuerst eine Nachricht über eine fehlgeschlagene Zahlung, dann eine Versandaktualisierung mit einem Tracking-Link, dann eine Aufforderung zur Überprüfung der Kontodaten.“

Im Visier der Phishing-Betrugskampagnen nicht nur Verbraucher – auch Unternehmen gefährdet

Bei jedem Schritt würden die Benutzer aufgefordert, gewisse Informationen wie Anmeldedaten, Zahlungsdaten, Einmalcodes oder Lieferbestätigungen einzugeben. Dieser Ansatz erschwere es Benutzern, die betrügerischen Aktivitäten als solche zu erkennen, und erhöhe die Erfolgsquote der Phishing-Attacken, da viele Menschen in der Shopping-Saison derartige Nachrichten erwarteten.

• Krämer betont und warnt: „Im Visier der Betrugskampagnen sind aber nicht nur die Verbraucher. Sind Angreifer erstmals erfolgreich bei der Infiltration der Geräte und Konten von Einzelpersonen, so schaffen sie im gleichen Zug oft auch einen ersten Zugang zu Unternehmensumgebungen.“

Mitarbeiter erhielten dann Shopping- und Versandnachrichten auch auf Firmengeräten oder privaten Geräten, welche sie zusätzlich beruflich nutzen. Ein unachtsamer Klick auf einen Link könne dann Single-Sign-On-Anmeldedaten offenlegen oder mobile Malware installieren, „die eine Brücke zwischen privaten und geschäftlichen IT-Umgebungen schlägt“.

Phishing-Attacken starten durchaus auch mit SMS-Nachricht oder Benachrichtigungen einer Messaging-App

Die Cyberkriminellen tarnten sich oft hinter falschen Identitäten und gäben sich z.B. als Lieferanten oder Mitarbeiter im Versand aus. „Das ermöglicht es ihnen, die mobile Kommunikation in der Lieferkette zu kompromittieren. Gefälschte Lieferportale und Zahlungsseiten ermöglichen Rechnungsmanipulationen, Warenumleitungen, Finanzbetrug oder Datendiebstahl.“

• Was Organisationen und Nutzer häufig nicht auf dem Schirm hätten: In vielen Fällen sei der Eintrittspunkt ins System keine E-Mail, sondern beispielsweise eine SMS-Nachricht oder eine Benachrichtigung in einer Messaging-App.

Eine einfache Anti-Phishing-Schulung einmal im Jahr reiche in Anbetracht dieser Bedrohungslage nicht aus. „Unternehmen benötigen einen strukturierten, umfassenden und kontinuierlichen Ansatz für das Management digitaler Risiken und die Förderung des Sicherheitsbewusstseins der Belegschaft.“

Nutzer und Organisationen besser gegen Phishing schützen

Um den Risiken entgegenzuwirken, müssten Organisationen sowohl technische als auch organisatorische Sicherheitsvorkehrungen verstärken. Moderne KI-gestützte „Security Awareness Trainings“ stellten einen wichtigen Baustein dar, „denn sie helfen Mitarbeitern dabei, betrügerische Nachrichten über verschiedene Kanäle hinweg zu erkennen, darunter SMS-Nachrichten und mobile Apps“.

• Sicherheitslösungen zur Bedrohungserkennung auf Mobilgeräten, die Filterung verdächtiger Links, Phishing-resistente Authentifizierung und klare Regeln für die Nutzung privater Geräte im beruflichen Kontext schafften zusätzliche Schutzebenen.

Dabei gilt laut Krämer: „Wenn Sicherheitsmaßnahmen einfach zu befolgen und an das Alltagsverhalten der Mitarbeitenden angepasst werden, fällt es Mitarbeitenden leichter, souverän und schnell auf ungewöhnliche Nachrichten zu reagieren und zu einer insgesamt sichereren Umgebung beitragen.“ So blieben Nutzer und Organisationen besser geschützt – auch im Umfeld der kommenden Feiertage.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer / Recent Posts

ZIMPERIUM, Ignacio Montamat & Santiago Rodriguez, 2025
The Mobile Shopping Report / From Carts to Credentials: Inside the Holiday Surge of Mobile Threats

datensicherheit.de, 22.12.2023
Insbesondere zu Weihnachten: Vorsicht vor Phishing-Betrügereien / Cyber-Kriminelle missbrauchen Attraktivität bekannter Marken für Phishing-Attacken

datensicherheit.de, 04.12.2023
Hacker missbrauchen Weihnachtszeit: ESET warnt vor fiesen Phishing-Kampagnen / Gefälschte SMS-Nachrichten der Hacker fordern zur Datenpreisgabe und Installation von Malware auf

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

[datensicherheit.de, 08.10.2025] „Sicherheitsforscher warnen vor einer gezielten Welle von ,Spear Phishing’-Angriffen, die insbesondere Führungskräfte und leitende Angestellte in verschiedenen Branchen ins Visier nehmen“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Die Angreifer tarnen ihre Nachrichten demnach als Benachrichtigungen zur Freigabe von „OneDrive“-Dokumenten und versehen sie mit Betreffzeilen wie „Gehaltsänderung“ oder „FIN_SALARY“.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen, für das „Human Risk Management“ Sicherheitsbewusstsein als festen Bestandteil der Unternehmenskultur zu verankern

Klick auf „Spaer Phishing“-Link führt Empfänger auf täuschend echt gestaltete Anmeldeseite

Krämer erläutert: „Ein Klick auf den enthaltenen Link führt die Empfänger auf eine täuschend echt gestaltete Anmeldeseite von ,Microsoft Office’ beziehungsweise ,OneDrive’.“

Er führt weiter aus: „Dort werden die Zugangsdaten abgefragt, die dann den Angreifern in die Hände fallen. Laut den Forschern erhöhen personalisierte Details – etwa der Name des Empfängers oder konkrete Unternehmensinformationen – zusätzlich die Glaubwürdigkeit dieser Mails.“

Wirksamkeit von Phishing-Filtern wird deutlich gemindert

Eine Besonderheit der Kampagne sei der Einsatz manipulierter Schaltflächentexte, mit denen die Angreifer Erkennungssysteme umgehen könnten. So erscheine für Anwender im Hellmodus lediglich das Wort „Öffnen“, während die dahinterliegenden Zeichenfolgen unsichtbar blieben.

Im Dunkelmodus jedoch träten Zufallskombinationen wie „twPOpenHuxv“ oder „gQShareojxYI“ zutage. Dadurch würden Schlüsselbegriffe wie „Öffnen“ und „Teilen“ aufgebrochen, was die Wirksamkeit von Filtern, die auf regulären Zeichenfolgen beruhten, deutlich reduziere.

Handlungsempfehlungen für Unternehmen zur Abwehr solcher „Spear Phishung“-Angriffe:

• Sensibilisierung von Führungskräften und Assistenten
  Besonders exponierte Zielgruppen sollten über die aktuelle Kampagne informiert sein. Realistische Betreffzeilen und personalisierte Daten steigerten die Überzeugungskraft der Angriffe erheblich.
• Skepsis bei unerwarteten Dokumenten
  Mitarbeiter sollten stets vorsichtig sein, wenn sie Links oder Dateien zu Personal- oder Gehaltsangelegenheiten erhalten – insbesondere von externen Absendern.
• Klare Meldewege für verdächtige E-Mails
  Unternehmen sollten sicherstellen, dass auffällige Nachrichten schnell an die Sicherheitsabteilung weitergeleitet werden, um Gegenmaßnahmen zeitnah einzuleiten.
• Gezielte Schulungen
  Auch Assistenten der Geschäftsleitung und enge Kollegen seien bevorzugte Ziele. Sie benötigten dieselbe Aufmerksamkeit in „Awareness“-Trainings wie Führungskräfte selbst.

Aktuelle „Spear Phishing“-Angriffswelle verdeutlicht Missbrauch psychologischer Hebel und vertraulicher Informationen

Diese aktuelle Angriffswelle verdeutliche, wie stark Cyberkriminelle psychologische Hebel und vertrauliche Informationen einsetzten, um Vertrauen zu erschleichen. Für das „Human Risk Management“ ergebe sich daraus die Notwendigkeit, Sicherheitsbewusstsein als festen Bestandteil der Unternehmenskultur zu verankern.

„Neben technischen Abwehrmaßnahmen spielt dabei die kontinuierliche Sensibilisierung aller Mitarbeitenden – insbesondere in Personal- und Managementfunktionen – eine entscheidende Rolle“, gibt Krämer abschließend zu bedenken.

Weitere Informationen zum Thema:

knowbe4
Ein Boost für Ihre Sicherheitskultur

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar / Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters

datensicherheit.de, 18.08.2016
CEO-Fraud, Whaling und Spearphishing bisher fast nicht zu unterbinden / „Hornetsecurity Advanced Threat Protection“ soll nun das Einfallstor E-Mail für hochkomplexe und ausgeklügelte Angriffe schließen

[datensicherheit.de, 28.09.2025] „Bereits seit mehreren Monaten – so eine aktuelle Recherche von SentinelOne und Validin – machen Hacker mit einer neuen Variante der ,Contagious Interview’-Angriffskampagne von sich reden“, berichtet Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Arbeitssuchende der „Kryptowährungs“-Branche werden demnach „mit Fake-Stellenannoncen in Fake-Bewerbungsgespräche gelockt“, um dann – im Laufe des angeblichen Bewerbungsverfahrens – dazu verleitet zu werden, sich Malware auf ihre Systeme herunterzuladen. Effektiv helfen könne hierbei nur ein modernes „Human Risk Management“.

Foto: KnowBe4

Dr. Martin J. Krämer gibt zu bedenken: Statt auf „Kryptowährungen“ könnten sich Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren…

Fake-Stellenausschreibungen: Vor allem Marketing- und Finanzdienstmitarbeiter vor zwei Jahre betroffen

Die applizierte Malware ermögliche es den Angreifern dann, auf die Systeme ihrer Opfer zuzugreifen, Daten einzusehen und – „hier liegt derzeit ihr Angriffsschwerpunkt“ – „Kryptowährungen“ zu stehlen. Allein für den Zeitraum zwischen Januar und März 2025 hätten SentinelOne und Validin über 230 solcher Vorfälle registrieren können. „Die tatsächliche Zahl der Opfer dürfte noch einmal deutlich höher liegen. Auch Reuters hat bereits über die neue Kampagne berichtet“, so Krämer.

• Krämer blickt zurück: „Erstmals wurde die Cybersicherheitsszene vor knapp zwei Jahren auf ,Contagious Interview’-Kampagnen aufmerksam. Die Angriffe zielten auf High-End-Mitarbeiter, die mit dem Gedanken spielten, ihren Arbeitgeber zu wechseln.“ Vor allem Marketing- und Finanzdienstmitarbeiter seien dabei betroffen gewesen.

Der damalige Köder der Cyberkriminellen: „Fake-Stellenausschreibungen für interessante und lukrative Posten, wie Portfolio-Manager, Investmentmanager und Senior-Produktmanager, bei bekannten digitalen Finanz-Unternehmen, wie Archblock, Robinhood und eToro.“

„ClickFake“-Interviews basieren auf Social-Engineering-Technik namens „ClickFix“

Die aktuelle „Contagious Interview“-Kampagne, auch als „ClickFake“-Interview bezeichnet, setze eben auf eine Social-Engineering-Technik namens „ClickFix“: „Das anvisierte Opfer erhält eine Einladung zur Teilnahme an einem Bewerbungsverfahren und wird auf eine Lock-Website weitergeleitet, auf der es aufgefordert wird, an einer Kompetenzbewertung teilzunehmen.“

• Im Laufe der Prüfung erscheine dann auf dem Bildschirm des Bewerbers eine Fake-Fehlermeldung. „Das Opfer wird gebeten, mehrere Befehlszeilen zu kopieren und einzufügen – oftmals unter Verwendung von Dienstprogrammen wie ,curl’ – um ein angebliches Update von einem separaten Server herunterzuladen und auszuführen.“ Tatsächlich handele es sich hierbei aber um Malware, welche das Opfer dann unwissentlich installiere und aktiviere.

Eine Möglichkeit, die Aktivitäten der Angreifer einzudämmen, bestehe darin, deren Angriffs-Infrastruktur, die Fake-Bewerbungsseiten, abzustellen. Jedoch hätten die Experten von SentinelOne und Validin in ihrer Untersuchung festgestellt, dass die Angreifer über ausreichende Mittel verfügten, blockierte Infrastruktur rasch – „zu rasch“ – durch neue ersetzen können.

Zur Eindämmung der Bedrohung durch Fake-Stellenangebote den „Faktor Mensch“ adressieren

Krämer führt aus: „Aus diesem Grund raten die Experten, bei den Maßnahmen zur Eindämmung der Bedrohung, den ,Faktor Mensch’ nicht zu vernachlässigen. Dem kann nur zugestimmt werden!“ Das Sicherheitsbewusstsein der eigenen Mitarbeiter sei eine zentrale Größe im Kampf gegen Phishing- und „Spear Phishing“-Kampagnen wie diese.

• Der neue „ClickFix“-Phishing-Ansatz stelle ein ernsthaftes Sicherheitsrisiko dar – und das nicht allein für Beschäftigte der Krypto-Branche. Leicht könne die Angriffstechnik auch auf andere Branchen ausgedehnt werden, könnten Hochqualifizierte der unterschiedlichsten Industrien in den Angriffsfokus genommen werden.

Abschließend warnt Krämer: „Statt auf ,Kryptowährungen’ können sich die Angreifer auch auf Informationen, etwa auf Unternehmensgeheimnisse, konzentrieren, oder versuchen, über einen Mitarbeiter, der noch in einem Unternehmen arbeitet – sich aber bereits aktiv nach einem neuen Job umsieht – die IT-Systeme seines derzeitigen Arbeitgebers unter Kontrolle zu bekommen.“

Weitere Informationen zum Thema:

knowbe4
What is KnowBe4?

knowbe4, KnowBe4 Team, 18.09.2025
North Korean Hackers Target Job Seekers With ClickFix Attacks

knowbe4
KnowBe4 News und Wissenswertes: Dr. Martin J. Krämer / Recent Posts

IO sekoia blog, Amaury G. & Coline Chavane & Felix Aimé & Sekoia TDR, 31.03.2025
From Contagious to ClickFake Interview: Lazarus leveraging the ClickFix tactic

datensicherheit.de, 30.08.2025
Task Scams: Trend Micro warnt vor digitalem Job-Betrug / Aktuelle Forschungsergebnisse von Trend Micro künden von einer globalen Schattenindustrie mit „gamifizierten“ Betrugsplattformen, Fake-Websites und Missbrauch von „Krypto-Währungen“

datensicherheit.de, 28.07.2025
Cyberkriminelle missbrauchen Remote Management Tools für Attacken auf Jobsucher / „Remote Management Tools“ können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen

datensicherheit.de, 26.07.2024
Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick / Anna Collard erläutert Betrugsversuche bei der Jobsuche in Sozialen Medien und entsprechende Warnsignale

datensicherheit.de, 28.04.2021
LinkedIn: Malware-Verbreitung über falsche Jobangebote / Cyber-Krimielle nutzen LinkedIn derzeit vermehrt für Phishing-Kampagnen

datensicherheit.de, 15.05.2019
Spam-Attacken: Jobsuchende im Visier / Laut neuem KASPERSKY-Report erhalten deutsche Nutzer die meisten Spam-Mails mit gefährlichen Anhängen oder Links

[datensicherheit.de, 06.09.2025] „Vor Kurzem hat ReliaQuest einen beachtenswerten Bericht zur aktuellen Entwicklung am ,cyberkriminellen Arbeitsmarkt’ vorgelegt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. So habe sich zwischen 2024 und 2025 die Zahl der dortigen „Stellenangebote“ mehr als verdoppelt. Vor allem Cyberkriminelle mit Expertise im Bereich „Social Engineering“ seien gefragt – und solche, welche Künstliche Intelligenz (KI) für „Social Engineering“-Angriffe, zum Beispiel für sogenannte Deepfake-Attacken, nutzbar machten. Für die Zukunft lasse dies „nichts Gutes“ erahnen.

Foto: KnowBe4

Dr. Martin J. Krämer: Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von „Social Engineering“ zu erkennen – bevor es zu spät ist!

„Untergrund-Arbeitsmarkt“ boomt und professionalisiert sich

Um sich einen Überblick über die derzeitige Lage und aktuelle Entwicklungen am „cyberkriminellen Arbeitsmarkt“ zu verschaffen, hat demnach ein Team von RealiaQuest zwischen dem 1. Januar 2023 und dem 31. Juli 2025 das DarkWeb nach kriminellen Stellenanzeigen durchforstet und diese analysiert.

• Ihrem Fazit nach haben sich von 2024 bis 2025 die Gesuche in bekannten Cyberkriminellen-Foren wie „Exploit“ und „RAMP“ mehr als verdoppelt. Auch in diesem Jahr – 2025 – habe die Zahl der Anzeigen zugenommen – „sogar so rasant, dass der Vorjahreswert bereits im Juli überschritten wurde“.

Der „Underground-Arbeitsmarkt“ boome nicht nur – er professionalisiere sich auch. „Ganze 87 Prozent der Stellenanzeigen stammen mittlerweile von kriminellen ‚Personalvermittlern‘, die im DarkWeb für ihre kriminellen Klienten nach kriminellen Technikern mit hochspezialisierten Angriffsfähigkeiten – vor allem im Bereich ,Social Engineering’ – suchen.“ Der Trend sei klar: „Cyberkriminalität wird immer organisierter, spezialisierter und effizienter!“

„Social Engineering“-Wissen nebst KI-Fertigkeiten zunehmend gefragt

Neben „Social Engineering“ seien vor allem KI-Fertigkeiten zunehmend gefragt. Seit dem dritten Quartal 2024 habe sich hierbei ein deutlicher Anstieg der Gesuche bemerkbar gemacht. „Dabei geht es längst nicht mehr allein um die ‚simple‘ Erstellung von Malware. Mittlerweile werden KI-Experten rekrutiert, um Angriffsoperationen als Ganzes zu automatisieren“, betont Krämer. KI ermögliche schnellere, skalierbarere Operationen – bei einem deutlich niedrigeren Ressourceneinsatz.

• Auch und gerade im Bereich der „Deepfake“-Technologien, in denen KI und „Social Engineering“ immer häufiger zusammenkämen, sei mit einem Anstieg der Angriffe fest zu rechnen. „Bereits heute ist die Nachfrage nach erfahrenen ,Social Engineers’ relativ hoch – und damit kostspielig.“

Krämer warnt: „In den kommenden Monaten und Jahren werden KI-gestützte ,Deepfake’-Technologien sich für viele Cyberkriminellen zu einer echten kostengünstigen Alternative entwickeln.“ Es sei deshalb in jedem Fall davon auszugehen, dass „Social Engineering“-Angriffe, ob nun mit menschlicher oder maschineller Expertenunterstützung, weiter zunehmen würden.

Tipps zur Begegnung der Bedrohungslage im Bereich „Social Engineering“

Um für die wachsende Bedrohungslage im Bereich „Social Engineering“ gerüstet zu sein, rät ReliaQuest Unternehmen zu

• einem risikobasierten Sicherheitskonzept, bei dem regelmäßig die meistgefährdeten und hochwertigsten Vermögenswerte sowie potenziellen Angriffsvektoren identifiziert und hinsichtlich ihrer jeweiligen Risikolagen priorisiert werden
• einem professionellen Schwachstellen-Management (inklusive regelmäßiger Scans und Reportings)
• professionellen Schulungen und Tests der gesamten Belegschaft zum Thema „Social Engineering“ – alle Mitarbeiter müssten in die Lage versetzt werden, „Social Engineering“-Taktiken, auch Phishing- und „Spear Phishing“-Versuche, rechtzeitig zu erkennen, nicht darauf hereinzufallen und den zuständigen Sicherheitsteams zu melden

Nur so würden Unternehmen sich eine wachsame Belegschaft aufbauen können, „die unerwünschten Manipulationsversuchen wirksam widerstehen kann“.

Krämer kommentiert abschließend: „Dem kann nur zugestimmt werden. Die gesamte Belegschaft muss in die Lage versetzt werden, noch die subtilsten Anzeichen von ,Social Engineering’, von Phishing und ,Spear Phishing’ zu erkennen – bevor es zu spät ist!“ Der zunehmende KI-Einsatz auf Seiten Cyberkrimineller lasse diese Notwendigkeit nur noch weiter an Bedeutung gewinnen.

Weitere Informationen zum Thema:

knowbe4
About Us: KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

RELIAQUEST, ReliaQuest Threat Research Team, 21.08.2025
Threat Spotlight | Cybercrime Is Hiring: Recruiting AI, IoT, and Cloud Experts to Fuel Future Campaigns

datensicherheit.de, 10.08.2025
Social Engineering laut Unit 42 Haupteinfallstor 2025 / In mehr als einem Drittel der über 700 analysierten Fälle weltweit nutzten Angreifer „Social Engineering“ als Einstieg – also den gezielten Versuch, Opfer durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware / Ein zentrale Herausforderung für Sicherheitsteam ist der Umstand, dass sich Unternehmen zu oft auf Drittanbieter verlassen, um wichtige Sicherheitsfunktionen wie Identitäts- und Zugriffskontrolle bereitzustellen. Infolgedessen ist es schwierig, schnelle taktische Änderungen zur Bekämpfung aktueller Bedrohungen vorzunehmen.

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

[datensicherheit.de, 26.08.2025] „Viele IT- und Sicherheitsverantwortliche denken beim Thema E-Mail-Sicherheit vor allem an Phishing und ähnliche Gefahren in Verbindung mit dem Diebstahl von Zugangsdaten durch Cyberkriminelle. Aber zunehmend rücken auch bislang weniger beachtete Funktionen von E-Mail-Software wie ,Outlook’ in den Fokus der Diskussion“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Er warnt in diesem Zusammenhang: „E-Mail-Regeln, Formulare und Mailfluss-Konnektoren können manipuliert werden und bergen ein ernstzunehmendes Risiko für Unternehmen, die Dienste wie ,Microsoft 365‘ nutzen.“ Angreifer können demnach die genannten Funktionen, welche eigentlich für die legitime Automatisierung und Steuerung des E-Mail-Verkehrs gedacht seien, ausnutzen, um dauerhaft und unbemerkt auf kompromittierte Konten zuzugreifen. Fälle wie die kritische Sicherheitslücke im „Outlook“-Modul „OLE“ (Object Linking and Embedding), vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) Anfang des Jahres 2025 warnte, häuften sich und zeigten die potenziellen Gefahren im „Microsoft-365-Ökosystem“ auf.

Foto: KnowBe4

Dr. Martin J. Krämer: Häufung kritischer Sicherheitslücken zeigt potenzielle Gefahren im „Microsoft-365-Ökosystem“ auf

Angreifer zielen auf Zugangsdaten für „Microsoft 365“-Konten

Krämer führt aus: „Erhält ein Angreifer die Zugangsdaten eines ,Microsoft 365‘-Kontos – etwa durch Phishing, ,Credential Stuffing’ oder das Abfangen eines Einmal-Passworts für die Multi-Faktor-Authentifizierung (MFA) – kann er Regeln in der E-Mail-Software, benutzerdefinierte ,Outlook’-Formulare oder Nachrichtenfluss-Konnektoren einrichten.“

• E-Mail-Regeln und Formulare ermöglichten es, in „Outlook“ Nachrichten automatisch weiterzuleiten, zu löschen oder zu verändern. Bei missbräuchlicher Nutzung könnten damit unter anderem betrügerische Aktivitäten verschleiert und Daten entwendet werden.

„Konnektoren, die serverseitig in ,Microsoft Exchange Online’ arbeiten, steuern den E-Mail-Verkehr zwischen ,Exchange Online’ und anderen Systemen. Angreifer können diese so konfigurieren, dass E-Mails über fremde Server umgeleitet, Absenderangaben verändert oder Antworten auf eigene Domains umgeleitet werden.“ Da diese Konfigurationen in der „Cloud“ gespeichert würden, blieben sie auch nach Passwortänderungen, einer Neueinrichtung der MFA oder einer Neuinstallation des E-Mail-Clients bestehen. „Sie werden nur entdeckt, wenn gezielt danach gesucht wird.“

Sicherheitsverantwortliche kennen oft ausnutzbare Funktionen in „Microsoft 365“ nicht

Angreifer durchsuchten nach der Anmeldung eines kompromittierten Kontos das Postfach nach geschäftlich relevanten Inhalten – beispielsweise offenen Rechnungen. Anschließend richteten sie Regeln oder „Connectors“ ein, um die betroffene Kommunikation abzufangen und zu manipulieren, etwa indem legitime Zahlungsanweisungen durch gefälschte ersetzt würden.

• „Antworten der Empfänger werden häufig so umgeleitet, dass sie den Kontoinhaber nicht erreichen. Dadurch kann der Angriff über Tage oder Wochen unbemerkt bleiben.“ Selbst ansonsten technisch gut geschützte Unternehmen und deren Sicherheitsverantwortliche könnten so hinters Licht geführt werden, was erhebliche finanziellen Schäden zur Folge haben könne.

Die zunehmende Ausnutzung von Mailfluss-Konnektoren durch Cyberkriminelle hänge auch damit zusammen, dass viele Organisationen sich der Gefahr schlicht nicht bewusst seien. „Sicherheitsverantwortliche wissen nicht immer, dass diese Funktionen standardmäßig in ,Microsoft 365‘ verfügbar sind“, erläutert Krämer. Besonders kritisch seien Fälle, in denen einzelne Mitarbeiter ohne die nötigen Sicherheitskenntnisse sowohl Nutzer- als auch Administratorrechte besitzen.

Gewissenhafte Überprüfung der „Microsoft 365“-Funktionen, kombiniert mit starker Authentifizierung und regelmäßigen Schulungen, empfohlen

Zunächst müssten Unternehmen und Sicherheitsteams ein Bewusstsein dafür entwickeln, dass diese Funktionen existieren und missbraucht werden könnten. Administratoren sollten regelmäßig sowohl „Outlook“-Regeln und -Formulare als auch Mailfluss-Konnektoren im „Microsoft 365 Admin Center“ prüfen und sicherstellen, „dass alle Einträge legitim und erforderlich sind“.

• Auch die eingesetzten Authentifizierungsmethoden sollten möglichst resistent gegen Phishing sein. Krämer regt an: „So sorgt zum Beispiel der Einsatz von ,FIDO2‘-Sicherheitsschlüsseln oder Passkeys anstelle leicht abfangbarer Einmal-Passwörter für mehr Sicherheit. Beim Einsatz von Security-Lösungen gilt, dass sie so eingerichtet werden sollten, dass bei der Erstellung oder Änderung von Regeln, Formularen und ,Connectors’ innerhalb der E-Mail-Software sofort eine Warnmeldung erfolgt.“

Neben der Notwendigkeit, Mitarbeiter zu schulen und über die Gefahren aufzuklären, gelte es für Sicherheitsteams auch, auffällige Muster im ausgehenden E-Mail-Verkehr oder Unstimmigkeiten bei Absenderinformationen zeitnah zu untersuchen. Krämers Fazit: „Die gewissenhafte Überprüfung der ,Microsoft 365‘-Funktionen, kombiniert mit dem Einsatz starker Authentifizierung und regelmäßigen Security-Schulungen für Mitarbeitende, kann das Risiko einer langfristigen und unbemerkten Kontoübernahme in ,Microsoft 365‘ deutlich reduzieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

Bundesamt für Sicherheit in der Informationstechnik, 14.01.2025
Version 1.0: Microsoft Windows – Kritische Schwachstelle in Windows OLE

t3n digital pioneers, Ann-Catherin Karg, 26.01.2025
Outlook-User aufgepasst: BSI warnt vor Schadsoftware, die beim Öffnen von E-Mails zuschlägt / Das Bundesamt für Sicherheit in der Informationstechnik warnt vor einer besonders gefährlichen Schadsoftware, die allein durch das Öffnen einer E-Mail aktiviert wird. Doch es gibt einen Schutz.

datensicherheit.de, 31.07.2025
Microsoft 365 im Visier: Cyberkriminelle knacken MFA / Online-Kriminalität entwickelt sich stetig fort. Angreifern ist es mittels raffinierten Täuschungsmanövern gelungen Multi-Faktor-Authentifizierungen auszuhebeln.

datensicherheit.de, 12.08.2021
Studie zum Sicherheitsniveau bei E-Mail-Kommunikation und Einsatz von Microsoft 365 / Laut Hornetsecurity-Umfrage eins von vier Unternehmen mit mindestens einer E-Mail-Sicherheitslücke

datensicherheit.de, 15.04.2019
https://www.datensicherheit.de/hackerangriff-outlook-com-schwachstelle-privileged-account

[datensicherheit.de, 20.08.2025] „Vor wenigen Tagen hat das Better Business Bureau (BBB) eine Warnung vor einer neuen Betrugswelle ausgesprochen“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Demnach erhalten seit geraumer Zeit immer mehr sogenannte Influencer und hochkarätige Mitarbeiter von Unternehmen Fake-Einladungen zu einem Auftritt als Gast in einem populären Podcast. „Tatsächlich handelt es sich aber um eine abgewandelte Form des ,Tech Support’-Betrugs!“, warnt Krämer. Die Angreifer versuchten, sich Zugriff auf die „Social Media“-Accounts und Desktops ihrer Opfer zu verschaffen, um dann deren Konten zu infiltrieren, zu blockieren und Daten zu entwenden.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Betrüger locken u.a. „Influencer“ damit an, dass man sogar für den zeitlichen Aufwand eine finanzielle Entschädigung gewähren könnte

Köder für Opfer: Angeblich auch einige bekannte Prominente oder „Influencer“ in der Sendung zu Gast

Krämer berichtet: „Zu Beginn des Angriffs erhalten die Opfer eine E-Mail – angeblich vom Management-Team einer beliebten Podcast-Reihe. Sie werden eingeladen, als Gast in einer Sendung aufzutreten. Häufig werden sie damit gelockt, dass auch einige bekannte Prominente oder ,Influencer’ in der Sendung zu Gast sein würden.“

• Das Opfer, seine Geschichte, seine Erfahrungen und seine Erkenntnisse würden thematisch perfekt in die angepeilte Episode passen. Das Publikum würde sich sehr für ihre Perspektive interessieren. Man sei sogar bereit und in der Lage, sie, als teilnehmende Gäste, für den zeitlichen Aufwand finanziell zu entschädigen.

Sobald ein Opfer seine Teilnahme zusagt, werde es gebeten – im Vorfeld des Podcasts – an einem virtuellen oder telefonischen Meeting teilzunehmen. „Denn vor der Sendung, so das Fake-Management-Team, müssten die technischen Geräte des Gastes – Mikrofon, Kopfhörer und Kamera – ausgiebig auf ,Herz und Nieren’ geprüft werden.“

Nicht nur „Influencer“ im Visier – sondern eben auch und gerade Fach- und Führungskräfte von Unternehmen

Während solcher Tests täuschten die Angreifer dann technische Probleme vor oder erklärten, komplexere Änderungen an den Einstellungen vornehmen zu müssen. „Hierzu müsste das Opfer ihnen vorübergehend Zugriff auf sein ,Social Media’-Konto oder den Desktop gewähren – zum Beispiel über eine Fernzugriffssoftware.“

• Erteilen ihnen die Opfer die Zugriffsrechte, könnten die Kriminellen ihre Systeme infiltrieren, die Opfer aus ihren Konten aussperren, Passwörter stehlen und sogar versuchen, weitere Konten zu übernehmen.

Problematisch sei an dieser Betrugsmasche vor allem, dass es die Täter längst nicht nur auf „Influencer“ abgesehen hätten, sondern eben auch und gerade auf Fach- und Führungskräfte von Unternehmen. Deren Mitarbeiter-Accounts bildeten eine ideale Ausgangsbasis, um – unbemerkt von der IT-Sicherheit der Unternehmen – tief in deren Systeme vorzustoßen. Dies sei im Prinzip der klassische Tech-Support-Betrug.

Das BBB rät zu folgenden präventiven Maßnahmen:

• Bei Einladungen per E-Mail mit seltsamer Formatierung und Sprache Vorsicht walten lassen!
• Stets die E-Mail-Adresse der Organisation, die eine Einladung verschickt hat, auf ihre Richtigkeit prüfen!
• Vorsichtig sein, wenn eine unbekannte Person oder Organisation Geld anbietet!
• Niemals einem Fremden die Kontrolle über Computer oder Konten übertragen!

Viele Cyberkriminelle haben Social-Engineering-Künste über die Jahre perfektioniert

„Doch Vorsicht will gelernt sein. Viele Cyberkriminelle haben ihre Social-Engineering-Künste über die Jahre perfektioniert“, so Krämer. Um hierbei effektiv gegenzusteuern, müssten die Cybersicherheitsverantwortlichen von Unternehmen der gesamten Belegschaft Schulungen und Trainings zur Anhebung des -bewusstseins anbieten.

• Diese sollten mit den aktuellen Entwicklungen in den Bereichen „Social Engineering“ und Phishing Schritt halten. Effektiv helfen könne hierbei ein modernes „Human Risk Management“ (HRM).

HRM-Anti-Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI) mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. „Moderne Anti-Phishing-E-Mail-Technologien kombinieren KI mit ,Crowdsourcing’, um neueste ,Zero Day’-Bedrohungen aufzuspüren und zu neutralisieren.“ Es gelte, über die gesamte Belegschaft hinweg „Human Risks“ eines Unternehmens zurückzudrängen und die eigenen Mitarbeiter zur besten Verteidigungslinie im Kampf gegen Cyberbedrohungen zu machen.

Weitere Informationen zum Thema:

BBB Better Business Bureau
BBB Business Scam Alert: Podcast impostors target influencers and businesses

knowbe4
What is KnowBe4?

knowbe4
KnowBe4 News und Wissenswertes / Dr. Martin J. Krämer

knowbe4, Security Awareness Training Blog, Roger Grimes, 20.11.2024
Beware of Fake Tech Support Scams

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 10.08.2025
Social Engineering laut Unit 42 Haupteinfallstor 2025 / In mehr als einem Drittel der über 700 analysierten Fälle weltweit nutzten Angreifer „Social Engineering“ als Einstieg – also den gezielten Versuch, Opfer durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 19.12.2023
Gefährliche Post: Schutz vor Phishing-Attacken über Social Media / Es sollten technische Maßnahmen ergriffen und Aufklärungsarbeit betrieben werden

[datensicherheit.de, 28.07.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, hebt in seiner aktuellen Stellungnahme hervor, dass sich Phishing zu einem der gefährlichsten Einfallstore moderner Cyberkriminalität entwickelt hat – und hierbei sei vor allem eines bewiesen worden: Anpassungsfähigkeit. „Wo Unternehmen auf ausgereifte Schutzmaßnahmen wie ,Secure eMail Gateways’ (SEGs) setzen, nutzen Angreifer gezielt deren Schwächen aus. Die Angriffsmethoden werden immer raffinierter und dynamischer – deshalb ist jetzt an der Zeit ist, über neue Verteidigungsstrategien nachzudenken“, gibt Krämer zu bedenken.

Foto: KnowBe4

Dr. Martin J. Krämer rät zu Kombination aus intelligenter Prävention und menschlicher Wachsamkeit zur Phishing-Abwehr

Wie Phishing-Angreifer SEGs raffiniert überlisten

Cyberkriminelle gingen strategisch vor: Sie analysierten die Funktionsweise von SEGs genau und entwickelten ihre Kampagnen so, „dass sie Prüfmechanismen umgehen“. Dabei ließen sich vier zentrale Taktiken erkennen, welche sich teils ergänzten und immer schwerer abzuwehren seien:

1. Zeitlich verzögerte „Payloads“
   „Eine bewährte Methode besteht darin, dass schädliche Inhalte nicht sofort nach E-Mail-Zustellung aktiv sind“, berichtet Krämer. Beispielsweise enthielten Phishing-Mails Links, welche erst Stunden später zu bösartigen Webseiten führten, oder Dateien, deren Schadcode sich erst nach dem Download entfalte. Da SEGs E-Mails primär beim Empfang scannten, bleibe diese Bedrohung unentdeckt.
2. Nutzung legitimer Plattformen
   Angreifer nutzten bewusst bekannte und vertrauenswürdige Dienste wie „Microsoft SharePoint“, „OneDrive“ oder „Google Docs“, um darin ihre Schadlinks zu verbergen. Diese Taktik nutze die gute Reputation solcher Domains, um von SEGs nicht blockiert zu werden – obwohl sich die schädliche Komponente hinter scheinbar harmlosen URLs verberge.
3. „Social Engineering“ ohne klassische Malware
   Gerade Angriffe per „Business eMail Compromise“ (BEC) zeigten, „wie wirkungsvoll Phishing ohne technische Signaturen sein kann“. Krämer erläutert: „Die Angreifer geben sich als Vorgesetzte oder Geschäftspartner aus und bewegen Mitarbeitende dazu, sensible Informationen preiszugeben oder Zahlungen auszulösen – ganz ohne Anhang oder auffälligen Link.“
4. Phishing nur mit Text ohne URLs oder Anhänge
   Manche Angriffe kämen völlig ohne Links oder Anhänge aus und imitierten seriöse interne Kommunikation – etwa durch täuschend echte Rechnungen oder Lieferanweisungen. Da diese E-Mails keinerlei auffällige Indikatoren enthielten, erschienen sie für klassische Gateway-Lösungen als „unkritisch“ und gelangten so problemlos zum Empfänger.

Klassischer Perimeter-Ansatz zur Phishing-Abwehr reicht nicht mehr aus

Diese o.g. gezielten Techniken zeigten deutlich: „Der klassische Perimeter-Ansatz, bei dem E-Mails beim Eingang geprüft und dann freigegeben werden, reicht heute nicht mehr aus. Angreifer denken mit – und sind leider oft einen Schritt voraus.“

• Wirksamen Schutz böten heute nur „cloud“-basierte, KI-gestützte Sicherheitslösungen, welche weit über die einmalige Prüfung beim E-Mail-Eingang hinausgingen. Diese analysierten Inhalte und Kommunikationsverhalten, würden untypische Muster erkennen, sich dynamisch an neue Angriffstechniken anpassen und reagierten in Echtzeit auf verdächtige Aktivitäten.

Doch Technologie allein reiche nicht aus. „Ebenso wichtig ist es, Mitarbeitende gezielt und kontinuierlich zu schulen – etwa im Erkennen manipulierter Inhalte, gefälschter Absender oder ungewöhnlicher Formulierungen“, unterstreicht Krämer und führt abschließend aus: „Nur wenn intelligente Prävention mit menschlicher Wachsamkeit kombiniert wird, entsteht eine wirksame Verteidigung gegen die ausgeklügelten Phishing-Angriffe!“

Weitere Informationen zum Thema:

datensicherheit.de, 22.07.2025
Phishing-Simulationen: Falsche interne E-Mails erzielen bei KnowBe4-Untersuchung die meisten Klicks / Der nun vorliegende „KnowBe4 Q2 Phishing Simulation Roundup Report 2025“ unterstreicht die anhaltende Anfälligkeit von Mitarbeitern für bösartige E-Mails, welche vertraut wirken

datensicherheit.de, 17.06.2025
Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA / Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

[datensicherheit.de, 18.07.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, betont in seiner aktuellen Stellungnahme, dass sogenanntes Social Engineering weiterhin eine der häufigsten Techniken ist, welche von cyberkriminellen Akteuren eingesetzt werden und verweist in diesem Zusammenhang auf den Bericht „Steal, deal and repeat: How cybercriminals trade and exploit your data“ von EUROPOL. „Initial Access Broker“ konzentrieren sich demnach zunehmend darauf, solche Techniken zu nutzen, um gültige Zugangsdaten für die Systeme ihrer Opfer zu erhalten.

Foto: KnowBe4

Dr. Martin J. Krämer empfiehlt Kombination intelligenter Erkennungstechnologie mit Sicherheitsschulungen in Unternehmen zum Schutz vor „Social Engineering“-Angriffen

Ransomware-Akteure missbrauchen beispielsweise Zugangsdaten für Remote-Dienste

Ein solcher Erstzugang könne in der Folge von cyberkriminellen Akteuren auf vielfältige Weise genutzt werden. Ransomware-Gruppen und ihre Partner nutzten beispielsweise häufig Zugangsdaten für Remote-Dienste, um Unternehmensnetzwerke zu kompromittieren.

Dies könne zu Daten-Exfiltration und -Verschlüsselung führen. „Der Bericht warnt zudem vor einer Zunahme von ,Infostealer’-Malware, die es Kriminellen ermöglicht, Informationen zu sammeln, die für zukünftige Angriffe genutzt werden können“, berichtet Krämer.

Manipulierte Suchergebnisse im Internet, um Nutzer auf Malware-Websites zu lenken

Phishing-Techniken seien der Hauptvektor für die Verbreitung von „Infostealern“. Die Cyberkriminellen nutzten dazu eine Vielzahl von Methoden – darunter das Versenden von E-Mails, Textnachrichten oder Nachrichten in Sozialen Medien:

„Sie enthalten bösartige Anhänge oder URLs und schleusen Malware in das System der Opfer. Bösartige Websites werden auch über Suchmaschinenwerbung und Suchmaschinenoptimierung verbreitet.“ Im letzteren Fall manipulierten die Cyberkriminellen die Suchergebnisse im Internet, um die Nutzer auf Websites mit Malware zu führen.

KI-Tools steigern Effektivität von „Social Engineering-“Angriffen

Der vorliegende EUROPOL-Bericht stelle außerdem fest, dass KI-Tools die Effektivität von „Social Engineering-“Angriffen erhöhten, da sie es Bedrohungsakteuren ermöglichten, auf einfache Weise überzeugende Köder zu entwickeln. Die Wirksamkeit vieler der oben genannten „Social Engineering“-Techniken wurde laut EUROPOL-Forschern durch die breitere Anwendung von LLMs (Large Language Models) und anderen Formen Generativer KI (GenKI) verbessert.

Phishing-Texte und -Skripte, die so generiert werden, dass sie die Sprache und die kulturellen Nuancen des Standorts der Opfer berücksichtigen, könnten die Wirksamkeit von Kampagnen sogar noch verbessern. Krämer warnt abschließend: „Jüngste Untersuchungen zu diesem Thema zeigen, dass Phishing-Nachrichten, die von LLMs generiert werden, eine deutlich höhere Klickrate erzielen als solche, die wahrscheinlich von Menschen geschrieben wurden.“ Er rät daher dringend: „In Kombination mit intelligenter Erkennungstechnologie können Sicherheitsschulungen Unternehmen einen wichtigen Schutz vor ,Social Engineering’-Angriffen bieten!“

Weitere Informationen zum Thema:

EUROPOL
Steal, Deal, Repeat: Cybercriminals cash in on your data / Europol’s latest cybercrime threat assessment exposes the booming black market for stolen data

EUROPOL, 12.06.2025
Steal, deal and repeat: How cybercriminals trade and exploit your data / Internet Organised Crime Threat Assessment (IOCTA) 2025

KnowBe4
Strengthen Your Security Culture

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks / Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe

datensicherheit.de, 05.03.2018
Einfallstor Mensch: Social Engineering als oft unterschätzter Risikofaktor im Unternehmen / Cyber-Kriminelle beeinflussen mit Raffinesse Mitarbeiter und dringen so in das Firmennetzwerk ein

datensicherheit.de, 25.09.2012
Angriffe auf Unternehmensnetze: Cyber-Kriminelle betreiben verstärkt Social Engineering / FireEye stellt Report mit solchen Begriffe vor, die häufig als Köder in E-Mails eingesetzt werden