[datensicherheit.de, 15.06.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf einen „cybereason“-Blog-Beitrag ein, welcher von einer neuen Phishing-Kampagne berichtet, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben. Opfer der Kampagne erhalten demnach teils stark personalisierte Phishing-E-Mails, in denen ihnen Urheberrechtsverletzungen vorgeworfen werden: „Geraten sie in Panik und klicken auf Dokumente, die angeblich weitergehende Informationen enthalten, laden sie sich – unbemerkt von ihren Sicherheitstools – die Infostealer-Malware ,Rhadamanthys’ auf ihr System.“

Foto: KnowBe4

Dr. Martin J. Krämer betont: Sämtliche Mitarbeiter müssten in die Lage versetzt werden, die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen!

Phishing-Mail bietet vermeintlich weiterführende Informationen über Link an

An Professionalität mangele es den Angreifern, „die vor allem in Mittel- und Osteuropa zu agieren scheinen“, nicht: „Getarnt als angebliche juristische Mitarbeiter der Rechtsabteilung eines Unternehmens versenden sie per E-Mail offiziell klingende Anschreiben an ihre Opfer, in denen sie ihnen vorwerfen, dass sie in ihrer Arbeit ein Urheberrecht des betreffenden Unternehmens verletzt hätten.“

Weiterführende Informationen seien über einen Link abrufbar. Krämer warnt: „Klicken die Content-Kreatoren auf diesen, werden sie über eine angemietete Domain auf einen Dienst wie ,Dropbox’, ,Discord’ oder ,Mediafire’ weitergeleitet. Dort befinden sich dann, in aller Regel, ein legitimer PDF-Reader, ein PDF-Dokument – zur Täuschung des Opfers – und eine bösartige ,Dynamic Link Library’ (DLL).“ Klickt das Opfer dann auf das Dokument, um es zu öffnen, nutzten die Angreifer das DLL-Ladeverhalten des legitimen PDF-Readers aus, um heimlich, verborgen vor den Sicherheitstools ihres Opfers, bösartigen Code zur Ausführung zu bringen – in diesem Fall die Infostealer-Malware „Rhadamanthys“ auf dem Rechner ihres Opfers zu installieren.

Phishing-Opfer Freelancer als Einfallstor zu ganzen Unternehmensnetzwerken

„Rhadamanthys“ ermögliche es ihnen dann, unterschiedliche Arten von gespeicherten Anmeldeinformationen und sensible Daten zu sammeln und aus dem System ihres Opfers zu exfiltrieren – „ohne, dass dieses hiervon etwas mitbekommt“. Ziel dieser Kampagne seien aber nicht allein die Daten der Content-Kreatoren:

„Auch die Daten der Unternehmen, die deren Dienste als Freelancer in Anspruch nehmen, liegen im Fokus.“ Häufig erhielten Content-Kreatoren als Externe für ihre Arbeit Zugang zu Unternehmensnetzwerken oder Zugangsdaten. „Das wissen die Angreifer!“ Gelingt es ihnen, die Systeme der Freelancer zu kompromittieren, könnten sie deren Konten als Einstieg nutzen, um tief in die Systeme der Unternehmen vorzustoßen – unentdeckt von deren Sicherheitstools und -Teams.

Phishing und Spear Phishing Ansatzpunkte mit größten Erfolgschancen für Cyberkriminelle

Diese aufgedeckte Kampagne zeige einmal mehr, wie wichtig es ist, dass Unternehmen sämtliche Mitarbeiter – auch die Externen – in ihre Maßnahmen zur Anhebung des Sicherheitsbewusstseins mit einbeziehen. Phishing und sogenanntes Spear Phishing seien nach wie vor die Ansatzpunkte mit den größten Erfolgschancen für Cyberkriminelle.

„Wollen Unternehmen sich effektiv vor Cyberangriffen schützen, haben sie dementsprechend hier als erstes anzusetzen“, so Krämer. Sämtliche Mitarbeiter – also auch die Externen – müssten in die Lage versetzt werden, „noch die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen – bevor es zu spät ist“.

Weitere Informationen zum Thema:

cybereason, Cybereason Security Services Team
Copyright Phishing Lures Leading to Rhadamanthys Stealer Now Targeting Europe

malpedia
Rhadamanthys

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

[datensicherheit.de, 03.06.2025] KnowBe4 hat seinen „Phishing by Industry Benchmarking Report 2025“ veröffentlicht. Der misst demnach den „Phish-Prone Percentage“ (PPP) einer Organisation – „also den Prozentsatz der Mitarbeiter, die wahrscheinlich auf Social-Engineering- oder Phishing-Angriffe hereinfallen“. Damit soll Aufschluss über deren allgemeine Anfälligkeit für Phishing-Bedrohungen gegeben werden. „Der diesjährige Bericht ergab einen Basis-PPP von 32,5 Prozent in Europa, was dem globalen Durchschnitt von 33,1 Prozent entspricht.“

Foto: KnowBe4

Dr. Martin J. Krämer zur Ausgestaltung von Sicherheitsschulungen: Unternehmen müssen über das bloße Abhaken von „Compliance“-Kästchen hinausgehen!

Zwischen März 2024 und März 2025 Anstieg der Phishing-Angriffe um 68 Prozent festgestellt

Diese Ergebnisse unterstrichen die anhaltende Notwendigkeit nachhaltiger Schulungen zum Sicherheitsbewusstsein, da sich der PPP-Wert in Europa im Vergleich zum Vorjahr, 2024, nur minimal verbessert habe. Angesichts des weltweit starken Anstiegs von Phishing-Bedrohungen sei dies ein „besorgniserregender Trend“.

• So habe „KnowBe4 Defend“ zwischen März 2024 und März 2025 einen Anstieg der Phishing-Angriffe um 68 Prozent festgestellt, doch die Anfälligkeit der Mitarbeiter für Phishing in Europa verbessere sich nur langsam.

Der Rückgang des PPP-Wertes nach der Durchführung von Schulungen in Europa – auf 20,7 Prozent innerhalb von drei Monaten und auf fünf Prozent innerhalb von zwölf Monaten – zeige jedoch, dass effektive „Security Awareness Trainings“ funktionierten und dass ein kontinuierliches Risikomanagement entscheidend sei.

Weltweit 67,7 Millionen Phishing-Simulationen bei 14,5 Millionen Benutzern aus 62.400 Unternehmen analysiert

KnowBe4 hat nach eigenen Angaben weltweit 67,7 Millionen Phishing-Simulationen bei 14,5 Millionen Benutzern aus 62.400 Unternehmen analysiert. Der Basis-PPP (32,5 Prozent für Europa) spiegele die Anfälligkeit einer Organisation für Phishing vor einer KnowBe4-Schulung wider.

• Die Mitarbeiter durchliefen anschließend die „Security Awareness Trainings“ von KnowBe4 mit simulierten Phishing-Angriffen. Anschließend werde der PPP nach 90 Tagen und erneut nach mehr als einem Jahr kontinuierlicher Schulungen neu berechnet, um die Wirksamkeit dieses Programms zu quantifizieren.

Weitere wichtige Erkenntnisse aus dem aktuellen KnowBe4-Bericht:

• „Der etablierte PPP-Benchmark setzt den Standard für Unternehmen in Europa mit einem Ausgangswert von 32 Prozent, 20 Prozent nach 90 Tagen und 5 Prozent nach mehr als einem Jahr Schulung.“
• „Im Vergleich zu den PPPs für 2024 blieb die Leistung in allen kleinen, mittleren und großen Unternehmen nahezu unverändert.“
• „Cybersicherheit muss Menschen, Prozesse und Technologien umfassen, um das Risiko, Opfer von ,Social Engineering’ zu werden, wirksam zu verringern.“

Phishing-Angriffe entwickeln sich rasant weiter – Unternehmen müssen dies bei ihren Sicherheitsschulungen berücksichtigen

„Da sich Phishing-Angriffe rasant weiterentwickeln, müssen Unternehmen in Europa sicherstellen, dass ihre Schulungen zum Sicherheitsbewusstsein personalisiert, relevant und anpassungsfähig sind“, betont Dr. Martin Krämer, „Security Awareness Advocate“ bei KnowBe4 EMEA.

• Er führt weiter aus: „Angesichts neuer Vorschriften wie der Netz- und Infrastruktur-Sicherheitsrichtlinie (NIS2) und des EU-Künstlicher-Intelligenz-Gesetzes (EU AI Act), die die Anforderungen an Cybersicherheitsschulungen erhöhen, ist es von entscheidender Bedeutung, dass Unternehmen über das bloße Abhaken von Compliance-Kästchen hinausgehen.“

Effektive Schulungen müssten Mitarbeiter in die Lage versetzen, reale Bedrohungen, einschließlich KI-gesteuerter Betrugsversuche und geopolitisch motivierter Angriffe, zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

KnowBe4, 14.05.2025
KnowBe4 Phishing Benchmarking Report Phishing Europe 2025

datensicherheit.de, 21.05.2025
Abgriff persönlicher Daten: Phishing-Welle attackiert Steuerzahler in Deutschland / Gefälschte E-Mails im Umlauf – angeblich vom Bundeszentralamt für Steuern, Finanzamt oder „ELSTER“-Portal

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

datensicherheit.de, 28.04.2025
Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1 / Laut „Guardio’s Brand Phishing Report for Q1 2025“ ist die unter Gamern beliebte Vertriebs-Plattform „STEAM“ stark ins Vsiier Cyber-Krimineller geraten

[datensicherheit.de, 25.10.2025] Kürzlich hat der Cyberversicherungsanbieter Coalition seinen neuesten jährlichen „Cyber Claims Report“ vorgelegt. „Dessen Kernaussage: Die Mehrheit der Cyberversicherungsansprüche des Jahres 2024 resultierte aus der Kompromittierung von Geschäfts-E-Mail-Betrug und Überweisungsbetrug“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. 60 Prozent der Cyberversicherungsansprüche, so der Report, entfielen auf sogenannte BEC-Angriffe („Business Email Compromise“) und 29 Prozent hatten einen FTF-Angriff („Funds Transfer Fraud“) zur Folge. „Unternehmen rät der Report, das Sicherheitsbewusstsein ihrer Mitarbeiter zu stärken. Ein Punkt, in dem man ihm nur Recht geben kann“, so Krämer, ließen sich doch BEC- und FTF-Angriffe in aller Regel auf eine Schwachstelle zurückführen – nämlich die Anfälligkeit der Belegschaft für Phishing- bzw. Spear-Phishing-Angriffe. Unternehmen sollten also ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Angreifer gehen beim Phishing und Spear-Phishing immer professioneller vor – sie passen sich an und wissen um die Trainingsinhalte für Cybersicherheit vergangener Jahre

„Business Email Compromise“ eine ausgeklügelte Form der Cyberkriminalität

Krämer erläutert: „,Business Email Compromise’ (BEC), ist eine ausgeklügelte Form der Cyberkriminalität, bei der Angreifer Personen innerhalb einer Organisation zu manipulieren und zu bestimmten Handlungen zu bewegen suchen – in aller Regel zu Geldüberweisungen und zur Offenlegung sensibler Unternehmensdaten.“

Ausgangspunkt solcher Angriffe seien in aller Regel Phishing- und Spear-Phishing-Angriffe. Angreifer sammelten so Informationen über die Unternehmensstruktur, Schlüsselpersonen und Geschäftsprozesse, um dann überzeugende, personalisierte Fake-E-Mails für einen BEC- oder gleich einen FTF-Angriff zu erstellen.

Typische Opfer: Unternehmen, deren Belegschaft nur über geringes Cybersicherheitsbewusstsein verfügen

„Der Report hält fest, dass der Schaden der BEC-Angriffe 2024 um 23 Prozent zugenommen hat. Durchschnittlich liegt er mittlerweile bei umgerechnet rund 31.000 Euro. Erklären lässt sich dieser Anstieg, so der Report, zumindest zum Teil durch die gestiegenen Kosten für Rechtsberatungen, Maßnahmen zur Schadensbegrenzung und zur Wiederherstellung.“ Immerhin: Die Häufigkeit von FTF-Angriffen sei 2024 um zwei Prozent gesunken, die Schadenshöhe um 46 Prozent – allerdings auch nach einem Allzeithoch im Jahr 2023.

Der Bericht hält fest, dass Unternehmen, deren Belegschaft nur über ein geringes Cybersicherheitsbewusstsein verfügen, prädestiniert dafür seien, Opfer von Phishing- und Spear-Phishing-Angriffen zu werden. „Er rät Unternehmen deshalb, die eigenen Mitarbeiter über Taktiken, Strategien und Tools von Bedrohungsakteuren aufzuklären, ihnen beizubringen, wie man solche Angriffe erkennt und vermeidet – zum Beispiel unter Zuhilfenahme von Schulungen und Phishing-Simulationen.“

Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit „Crowdsourcing“

Krämer unterstreicht: „Ein Rat, der nur zu unterstützen ist!“ Allerdings genügten mittlerweile traditionelle Schulungen und Trainings allein nicht mehr. Angreifer gingen beim Phishing und Spear-Phishing immer professioneller vor, passten sich an, wüssten um die Inhalte der Trainings der vergangenen Jahre. „Unternehmen können und müssen dem etwas entgegensetzen!“

Sie müssten ihre Cybersicherheit weiter ausbauen – auch und gerade im Bereich intelligenter Anti-Phishing-Technologien. „Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit ,Crowdsourcing’, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren.“ Im Gegensatz zu herkömmlichen Tools, könnten sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social-Engineering-Taktiken. „Daneben werden Unternehmen aber auch fortschrittliche Schulungen und Trainings zum Einsatz bringen müssen.“

Weitere Informationen zum Thema:

Coalition, Robert Jones, 08.05.2025
Insights from Coalition’s 2025 Cyber Claims Report

datensicherheit.de, 10.04.2025
BEC-Angreifer: Beuteforderungen verdoppelten sich innerhalb eines Quartals / Waren es im 3. Quartal 2024 durchschnittlich rund 60.000 Euro, so fordern Cyber-Kriminelle per BEC im 4. Quartal 2024 bereits etwa 120.000 Euro

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 02.09.2021
Weltweite Zunahme der BEC-Attacken / Erfolgreicher BEC-Angriff kann für Unternehmen zu Schäden in Millionenhöhe führen

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar / Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters

[datensicherheit.de, 21.05.2025] „Eine aktuelle Betrugsmasche, bei der sich die Angreifer als der Telekommunikationsanbieter Xfinity ausgeben, hat aufgezeigt, wie leicht Angreifer Kundenservicesysteme ausnutzen können, um ahnungslose Opfer zu täuschen“, so Dr. Martin Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Mit überzeugenden Kenntnissen über Rechnungs- und Kontodaten lockten die Betrüger Nutzer in Prepaid-Geschenkkarten-Fallen – und agierten dabei oberflächlich betrachtet völlig legitim.

Foto: KnowBe4

Dr. Martin Krämer kommentiert Xfinity-Missbrauch: Vertrauen basiert zunehmend auf Daten – wenn diese jedoch zu leicht zugänglich sind, wird das Vertrauen selbst zur Schwachstelle!

Xfinity-Betrug: Opfer erhielten unaufgefordert Nachrichten mit Rabatt-Versprechen

Die größere Sorge gehe jedoch über diesen konkreten Vorfall hinaus: „Es ist die strukturelle Schwachstelle in der Art und Weise, wie viele Dienstleister die Kundenauthentifizierung handhaben.“ Wenn Rechnungsdaten und persönliche Kontoinformationen mit wenig mehr als einer Telefonnummer oder Adresse abgerufen werden können, erhalten Betrüger dadurch „ein mächtiges Werkzeug für immer raffiniertere Social-Engineering-Methoden“.

Bei dem Xfinity-Betrug erhielten die Opfer demnach unaufgefordert Nachrichten, in denen ihnen Rabatte auf zukünftige Rechnungen versprochen wurden. Krämer berichtet: „Die Nachrichten verwiesen sie auf eine Telefonnummer, die scheinbar zu Xfinity gehörte. Der Betrug war raffiniert: Wartemusik, professionelle Sprachaufnahmen und Skripte, die die Sprache des Unternehmens imitierten, vermittelten einen Eindruck von Authentizität.“

Betrüger konnten konkrete, genaue Xfinity-Rechnungsinformationen angeben

Was die Opfer letztendlich überzeugt habe, sei die Fähigkeit der Betrüger gewesen, konkrete, genaue Rechnungsinformationen anzugeben – wie beispielsweise den Betrag der letzten Rechnung oder die Angabe von Familienmitgliedern, welche über das Konto abgerechnet werden.

„In einem Fall wurde das Opfer aufgefordert, anstehende Rechnungen über ,Target’-Geschenkkarten zu bezahlen, angeblich im Rahmen einer markenübergreifenden Werbeaktion.“ Nach der Zahlung sei auf dem Konto des Opfers kurzzeitig ein Saldo von null angezeigt worden – „bevor die betrügerische Zahlung unvermeidlich zurückgewiesen wurde“.

Hauptgrund für Betrugsfälle wie z.B. bei Xfinity nicht unbedingt eine gehackte Kundendatenbank…

Der Hauptgrund für diese Betrugsfälle sei nicht unbedingt eine gehackte Kundendatenbank, sondern die unsichere Gestaltung vieler telefonbasierter Kundendienstsysteme. „In Tests, die von einem besorgten Nutzer durchgeführt wurden, gab das automatisierte System von Comcast nach nur minimaler Überprüfung – einer Telefonnummer und einer Anschrift – Kontostände aus und akzeptierte Zahlungsaufforderungen.“

Da Telefonnummern leicht gefälscht werden könnten und grundlegende personenbezogene Daten oft öffentlich zugänglich seien oder über Datenbroker gefunden werden könnten, „können Betrüger diese Systeme ohne tiefgreifende technische Kenntnisse oder Sicherheitsverletzungen ausnutzen“. Diese niedrige Hürde mache es einfacher denn je, sich mit gerade genug Details als Unternehmen auszugeben, um glaubwürdig zu sein.

Wenn Bequemlichkeit Sicherheit untergräbt: Xfinity kein Einzelfall

Diese Betrugsfälle verdeutlichen laut Krämer den Konflikt zwischen Komfort und Sicherheit: „Automatisierte Systeme sollen Reibungsverluste für Benutzer reduzieren – doch dieser Komfort geht oft auf Kosten unzureichender Identitätsprüfungen. Wenn grundlegende Kontodaten mit minimaler Überprüfung zugänglich sind, werden Angreifer diese weiterhin ausnutzen, um Vertrauen aufzubauen und Opfer zu manipulieren.“

Dies sei kein Einzelfall von Xfinity. Viele Unternehmen aus verschiedenen Branchen verließen sich auf ähnliche Identitätsabläufe, „was bedeutet, dass dieses Problem – und sein Missbrauchspotenzial – wahrscheinlich weitaus verbreiteter ist, als ein einzelner Vorfall vermuten lässt“.

Betrugsfall bei Xfinity unterstreicht Notwendigkeit, Zugriff auf Kontoinformationen zu überdenken

Der Betrugsfall bei Xfinity unterstreiche, dass Unternehmen neu bewerten müssten, wie leicht auf Kontoinformationen zugegriffen werden kann. Eine strengere Identitätsprüfung sollte eine Grundvoraussetzung sein, keine Hürde. Gleichzeitig müssten Verbraucher weiterhin vorsichtig sein, wenn sie unaufgefordert Angebote erhalten – „selbst wenn der Anrufer Dinge zu wissen scheint, die nur das ,echte, Unternehmen wissen sollte“.

Abschließend betont Krämer: „Vertrauen basiert zunehmend auf Daten. Wenn diese Daten jedoch zu leicht zugänglich sind, wird das Vertrauen selbst zur Schwachstelle!“ Umso wichtiger sei es, auch Nutzer gezielt für digitale Risiken zu sensibilisieren. Gut strukturierte Schulungen zum Sicherheitsbewusstsein – etwa im privaten oder beruflichen Umfeld – könnten entscheidend dazu beitragen, potenzielle Betrugsversuche frühzeitig zu erkennen und wirkungsvoll abzuwehren.

Weitere Informationen zum Thema:

xfinity
Comcast Resources for Fraud and Identity Theft Resolution

xfinity, Xfinity Community Forum, 08.02.2025
Xfinity Target Promotion Scam

xfinity, Xfinity Community Forum, 12.01.2025
Heads up – scam „Xfinity“ emails on the rise

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

[datensicherheit.de, 05.05.2025] Laut einer aktuellen Stellungnahme von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, hat KnowBe4 vor Kurzem unter Teilnehmern von Anti-Phishing-Trainings und -Tests eine internationale Umfrage durchgeführt: „Befragt wurden Mitarbeiter aus europäischen, nordamerikanischen und afrikanischen Unternehmen. Rund 90 Prozent gaben an, Phishing-Tests für sinnvoll zu halten. Knapp 91 Prozent erklärten, dass die Tests ihr Bewusstsein für das Risiko von Phishing-Angriffen erhöht hätten.“

Foto: KnowBe4

Dr. Martin J. Krämer: Einige spezialisierte Anbieter haben mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot

Zahlreiche Vorurteile über Phishing-Tests im Umlauf

Nach wie vor seien zahlreiche Vorurteile über Phishing-Tests im Umlauf, welche deren Sinnhaftigkeit in Frage stellten. „Es wird bezweifelt, dass die Tests das Risikobewusstsein der Teilnehmer erhöhen, sie zu den richtigen Schlussfolgerungen befähigen“, berichtet Krämer. Sie würden gar solche Tests mehrheitlich ablehnen, da sie nicht ausreichend an ihrem konkreten Arbeitsalltag orientiert seien, die tatsächlichen digitalen Risiken gar nicht oder nur zum Teil realistisch wiedergeben würden.

Entsprechend könne das Gelernte von Teilnehmern kaum konkret angewandt werden. „Und schließlich stünde der Fortbildungsgedanke zu selten im Fokus der Tests, fehle es am erforderlichen Support, mangele es an Nachbearbeitungsmöglichkeiten, für den Fall, dass ein Teilnehmer einmal auf einen Phishing-Test hereinfallen sollte.“ Letztlich werde kaum dazugelernt.

Tests konnten indes durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent senken

Krämer kommentiert: „Dass diese Vorurteile größtenteils unbegründet sind, zeigen nun die Ergebnisse der jüngsten Umfrage von KnowBe4. Bereits Phishing-Testdaten aus dem ,KnowBe4 Phishing Benchmarking-Report’ von 2024 hatten anschaulich demonstriert, dass regelmäßige Tests und Schulungen eine erhebliche Wirkung entfalten können.“ Innerhalb eines Trainings- und Testzyklus von nur einem Jahr, so der Report, sinke die durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent – „ein Rückgang um sage und schreibe 86 Prozent“.

Krämer führt weiter aus: „Dass Mitarbeiter dies zu schätzen wissen, die Tests befürworten und nicht ablehnen, zeigen die Ergebnisse der jüngsten KnowBe4-Befragung. Länder- und branchenübergreifend gaben über 90 Prozent aller Mitarbeiter an, die Phishing-Tests an ihren Unternehmen als relevant für die Stärkung ihres eigenen Phishing-Risikobewusstseins zu sehen.“

Zahlreiche Verbesserungen von Phishing-Tests in den vergangenen Jahren stärken Motivation

Auch der bemängelte fehlende Bildungsgedanke sei in den vergangenen Jahren weitgehend ausgemerzt worden. „Im Durchschnitt erhalten mittlerweile knapp 70 Prozent aller Mitarbeiter im Fall eines gescheiterten Phishing-Tests Nachschulungen – wobei die Zahlen in den USA mit 85 Prozent deutlich besser, in Frankreich mit erst knapp 57 Prozent deutlich schlechter liegen.“

Dies hänge nicht zuletzt auch mit den zahlreichen Verbesserungen von Phishing-Tests in den vergangenen Jahren zusammen. Moderne Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI) mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Einige auf Anti-Phishing spezialisierte Anbieter hätten mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot. Sie kombinierten KI mit „Crowdsourcing“, um so selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können. „Im Gegensatz zu herkömmlichen Lösungen, können diese alle Elemente einer E-Mail ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und der Social-Engineering-Taktiken.“

Weitere Informationen zum Thema:

KnowBe4, 2024
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

datensicherheit.de, 09.04.2025
Neue Mitarbeiter: Vom Sicherheitsrisiko zum Verfechter der betrieblichen Cyber-Sicherheitsstrategie / Miro Mitrovic gibt vier Tipps für Unternehmen beim Onboarding neuer Mitarbeiter zur Integration in die eigene Cyber-Verteidigung

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 15.07.2023
KnowBe4 warnt: Hälfte der E-Mails laut Phishing-Tests HR-bezogen / KnowBe4 hat globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht

[datensicherheit.de, 28.04.2025] Mitte April 2025 wurde ein neuer „Brand Phishing Report“ vorgestellt, welcher die beliebtesten Phishing-Angriffsziele Cyber-Krimineller im ersten Quartal 2025 zusammengetragen hat. „Das Ergebnis: Erstmalig ist die unter Gamern beliebte Vertriebs-Plattform ,STEAM’ auf dem ersten Platz gelandet – mit deutlichem Abstand vor Microsoft, Facebook/Meta, Roblox und SunPass“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner Stellungnahme.

Foto: KnowBe4

Dr. Martin J. Krämer: Mit traditionellen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen…

Phishing-Angriffe und „Social Engineering“-Taktiken, um an „STEAM“-Konten von „Counter Strike“-Spielern zu gelangen

Bereits im vergangenen Jahr – 2024 – sei in zahlreichen Medien über den rasanten Anstieg von Phishing-Angriffen auf die Online-Gaming-Plattform berichtet worden – damals vor allem in Zusammenhang mit Angriffen auf die Spieler seines Topsellers „Counter Strike 2“. Krämer führt aus: „Der Grund: Auf dem Marktplatz von ,STEAM’ können Spieler mit den ,Skins’ von ,Counter Strike’-Waffen Handel treiben. Einige ,Skins’ sind selten, können dem richtigen Käufer leicht hundert oder auch tausend Euro wert sein.“

Eine lohnende Beute also für Cyber-Kriminelle! Um an die „STEAM“-Konten von „Counter Strike“-Spielern zu gelangen, setzten diese auf Phishing-Angriffe und „Social Engineering“-Taktiken. „Sie versandten Fake-,STEAM’-Einladungen zu einer Abstimmung über ,Counter Strike’-Teams – versehen mit einem Link. Klickten ihre Opfer auf diesen, gelangten sie zu einer als ,STEAM’-Website getarnten Phishing-Webseite, wo sie dann aufgefordert wurden, ihre ,STEAM’-Credentials einzugeben.“

Unternehmen sollten reagieren: Starke Anstieg der Phishing-Angriffe auf „STEAM“ kein rein privates Problem

Im vorliegenden Frühjahrsbericht 2025 zeige sich nun, dass in den vergangenen Monaten die Intensität der Angriffe nicht etwa nachgelassen habe – sondern sogar noch zugenommen. „Mittlerweile werden Nutzer kontaktiert, um sie vor angeblichen Kontoproblemen zu warnen. Eine Zahlung sei fehlgeschlagen, verdächtige Anmeldeversuche seien unternommen worden. Oder ihnen werden günstige Angebote unterbreitet. Sie hätten einen ,STEAM’-Gutschein gewonnen oder eine für sie vorgesehene ,STEAM’-Sonderaktion stehe unmittelbar bevor. Nur ein Klick, und ein Geschenk sei ihnen sicher.“ Das Ziel der Fake-,STEAM’-Nachrichten sei dabei immer dasselbe: „Die Opfer sollen einen Link anklicken, um dann auf einer angeblichen ,STEAM’-Website ihre Anmeldedaten einzugeben.“

Krämer warnt: „Nun ist der starke Anstieg der Phishing-Angriffe auf ,STEAM’ kein Problem, das Gamer allein beunruhigen sollte. Unternehmen sollte die stetige Zunahme von Angriffskampagnen auf Plattformen, die viele ihrer Mitarbeiter in ihrem Alltag nutzen, mindestens ebenso bedenklich stimmen!“ Schließlich ließen sich aktive Spieler doch mittlerweile in praktisch jeder Belegschaft finden.

„STEAM“-Kunden in der Belegschaft könnten Ansatzpunkt für Cyber-Angriffe werden

Häufig landen erbeutete Kontodaten aus Phishing-Kampagnen im sogenannten Darknet, werden an interessierte Cyber-Kriminelle weiterveräußert, denen sie dann als Ausgangspunkt für neue Phishing- und Social Engineering-Angriffe – nun vielleicht auf die Mitarbeiterkonten eines Unternehmens – dienen. „Entsprechend wichtig ist es, dass Arbeitgeber hier mehr tun, sich stärker proaktiv einschalten, die Anti-Phishing-Maßnahmen für ihre Belegschaft ausbauen!“

Krämer betont abschließend: „Mit traditionellen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings werden sie dabei nicht weit kommen. Dazu ist die Anpassungsfähigkeit der Angreifer an die Strategien und Taktiken der Verteidiger mittlerweile einfach zu hoch.“ Man müsse strukturierter, umfassender und kontinuierlicher vorgehen. „Sie müssen die ,Human Risks’, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen!“

Weitere Informationen zum Thema:

Guardio, 03.04.2025
Steam Tops Q1 2025 Most Imitated Brands, Followed by Surge in Toll Pass Scams

datensicherheit.de, 22.01.2025
Gamer geraten ins Phishing-Fadenkreuz / Phishing-Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

datensicherheit.de, 19.08.2011
Cyber-Kriminelle nehmen Gamer mit 2,4 Millionen Schadprogrammen aufs Korn / Schwarzmarkt für Verkauf virtueller Spielgegenstände

[datensicherheit.de, 26.04.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, berichtet in seiner aktuellen Stellungnahme, dass Forscher der „KnowBe4-Threat Labs“ einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt haben: „Cyber-Kriminelle laden mit bösartigen Links versehene PDFs auf ,Google Drive’ hoch und teilen diese dann mit den von ihnen anvisierten Opfern. Die von Google beim Teilen des Dokuments automatisch versandte E-Mail-Benachrichtigung, das auf ,Drive’ ein Dokument zur Bearbeitung für sie bereit liegt, kann den E-Mail-Schutz vieler Opfer problemlos überwinden. Klicken diese dann auf einen der Links im PDF, werden sie auf eine seriös erscheinende Fake-Landingpage weitergeleitet.“ Tatsächlich handele es sich aber um eine Phishing-Website, mit der die Angreifer dann die Anmeldedaten und das Geld ihrer Opfer zu erbeuten versuchten.

Foto: KnowBe4

Dr. Martin J. Krämer: Um Phishing wirklich wirksam zu bekämpfen, müssten Unternehmen neben fortschrittlichen Technologien auch fortschrittliche Schulungen und Trainings zum Einsatz bringen!

Google erscheint seriös – Phishing-Angriff wird oft nicht erkannt

Zunächst registrierten die Angreifer hierzu eine Domain, erstellten sich dann über diese beim „Google Workspace“ ein Nutzerkonto. „Anschließend laden sie bei ,Google Drive’ eine PDF-Datei mit serös aussehendem Inhalt – und versehen mit bösartigen Links – hoch, aktivieren die ,Share’-Funktion und geben die E-Mail-Adressen der von ihnen ausgewählten Opfer ein.“ Google – und eben nicht die Angreifer – sendet den Opfern demnach dann eine Benachrichtigung über die Dateifreigabe samt Einwahllink zu.

Krämer warnt: „Dadurch, dass die Benachrichtigungs-E-Mail von Google, einer legitimen E-Mail-Adresse stammt, werden die E-Mail-Sicherheitsmaßnahmen der Opfer, wie die signatur- und reputationsbasierte Erkennung in ,Microsoft 365‘ und ,Secure E-Mail Gateways’ (SEGs), in aller Regel ausgetrickst. Und da die Opfer der Herkunft einer Google-Mail in aller Regel Vertrauen schenken, öffnen viele das PDF und klicken auf einen der bösartigen Links.“

Phishing-Raffinesse: Umleitung zu seriös erscheinender Fake-Landingpage

Um ihre Erfolgsaussichten hierbei weiter zu erhöhen, setzten viele Angreifer zudem auf Social-Engineering-Techniken, täuschten Wichtigkeit und Dringlichkeit vor. Meist brächten sie hierzu Themen wie Sicherheitsanforderungen, die Verlängerung, Entsperrung oder Bestätigung eines Nutzerkontos oder die Aktualisierung oder Bestätigung von Rechnungsdaten zur Sprache – sowohl im Betreff der Google-Mail als auch im PDF selbst.

Krämer führt weiter aus: „Wenn ihre Opfer dann auf einen der im PDF eingebetteten Links klicken, werden sie auf eine seriös erscheinende Fake-Landingpage weitergeleitet. Auf dieser Seite werden sie dann in aller Regel aufgefordert, ihre Anmeldedaten einzugeben, um das vermeintliche Dokument ansehen zu können. In einer anderen Kampagne wurden die Opfer sogar zu Fake-Finanzportalen weitergeleitet, auf denen sie dann zur Überweisung von Geld aufgefordert wurden.“

Unternehmen sollten intelligenten Anti-Phishing-Technologien zur Stärkung ihrer Cyber-Sicherheit mehr Bedeutung beimessen

Dass Angreifer zunehmend auf legitime Domains setzten, um „SEGs“ auszutricksen, habe das „Threat Labs“-Team von KnowBe4 schon vor geraumer Zeit festgestellt. Der neueste KnowBe4-Bericht über Phishing-Bedrohungstrends zeige hier einen rasanten Anstieg um sage und schreibe 67,4 Prozent. „Vor allem Plattformen wie ,DocuSign’, ,PayPal’, ,Microsoft’, ,Google Drive’ und ,Salesforce’ haben sich unter Cyber-Kriminellen mittlerweile zu beliebten Ausgangsbasen für Phishing-Angriffe entwickelt.“

Die Recherchen des „KnowBe4-Threat Labs“ zeigten, dass Unternehmen intelligenten Anti-Phishing-Technologien beim Ausbau ihrer Cyber-Sicherheit mehr Bedeutung beimessen müssen:

• Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit „Crowdsourcing“, um so selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abzuwehren.
• Im Gegensatz zu herkömmlichen Lösungen könnten diese alle Elemente einer E-Mail ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und der Social-Engineering-Taktiken.

Um Phishing wirksam zu bekämpfen, müssen Unternehmen auch fortschrittliche Schulungen und Trainings anbieten

„Das allein reicht aber auch noch nicht!“, gibt Krämer zu bedenken. Um Phishing wirklich wirksam zu bekämpfen, müssten Unternehmen neben fortschrittlichen Technologien auch fortschrittliche Schulungen und Trainings zum Einsatz bringen: „Sie müssen ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist.“

Moderne Phishing-Trainings, -Schulungen und -Tests ließen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Mit solchen und ähnlichen Lösungen sei es Unternehmen möglich, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihre „Human Risks“ zurückzufahren.

Weitere Informationen zum Thema:

KnowBe4, 2025
Report: 2025 Phishing Threat Trends Report

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 31.03.2025
PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA / Neue Version des Standards in Kraft getreten

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

datensicherheit.de, 15.03.2025
Phishing-Angriffe in Deutschland nehmen stark zu / BioCatch-Studie untersucht Trends in der Finanzkriminalität und deren Opfer

datensicherheit.de, 11.03.2025
Cyberkriminalität im Alltag: Phishing-Angriffe über gefälschte SMS / Gefälschte Zahlungsaufforderungen für Parkverstöße

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

[datensicherheit.de, 16.04.2025] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, auf das Inkrafttreten der EU-Verordnung DORA („Digital Operational Resilience Act“) ein – nun wird demnach deutlich: „Cyber-Sicherheit ist längst kein technisches Randthema mehr, sondern elementarer Bestandteil der Finanzstabilität! Was bislang oft als nationale Aufgabe gehandhabt wurde, erhält nun einen verbindlichen, europäischen Rahmen – ein Novum, das weit über die Finanzbranche hinaus Signalwirkung entfaltet.“

Foto: KnowBe4

Dr. Martin J. Krämer rät dem Finanzsektor zu gelebter Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und regelmäßigen Schulungen

DORA greift dort, wo Finanzinstitute besonders angreifbar sind

„DORA greift dort, wo Finanzinstitute besonders angreifbar sind – bei ihrer wachsenden Abhängigkeit von digitalen Systemen und externen Dienstleistern.“ Diese Verordnung verlange weitreichende Maßnahmen in fünf zentralen Bereichen:

1. dem IKT-Risikomanagement,
2. dem Vorfallmanagement,
3. der operativen Resilienzprüfung,
4. dem Drittparteienrisiko sowie dem
5. Informationsaustausch.

Insbesondere Letzteres sei bemerkenswert – denn der Austausch über Cyber-Bedrohungen innerhalb der Branche werde erstmals ausdrücklich gefördert.

Viele Finanz-Unternehmen nutzen DORA-Einführung als Katalysator

Ein zentrales Element sei das Management von Drittanbieter-Risiken: Banken, Versicherungen und Kapitalverwaltungsgesellschaften müssten künftig deutlich striktere Prüfungen ihrer IT-Dienstleister vornehmen – insbesondere „Cloud“-Anbieter gerieten in den Fokus. Verträge müssten angepasst, Risiken regelmäßig bewertet und Notfallpläne etabliert werden. Krämer betont: „Diese Anforderungen führen dazu, dass sich die Anbieterlandschaft verändern wird: Nur wer robuste Sicherheitsstandards nachweisen kann, wird sich langfristig behaupten.“

Gleichzeitig werde auch das unternehmensinterne Krisenmanagement neu ausgerichtet. Unternehmen müssten sicherstellen, „dass sie Vorfälle schnell erkennen, koordinieren und wirksam bewältigen können“. Dies erfordere eine stärkere Verzahnung zwischen IT, Risiko- und Compliance-Funktionen sowie den jeweiligen Fachabteilungen. Viele Unternehmen nutzten die Einführung von DORA daher als Katalysator, um bestehende „Silostrukturen“ aufzubrechen und Sicherheitsprozesse ganzheitlicher aufzustellen.

Es geht um den Aufbau einer neuen digitalen Risikokultur der Finanzbranche

Doch der gesetzliche Rahmen allein reiche nicht: „DORA fordert mehr als nur eine formale Erfüllung technischer Vorgaben – es geht um den Aufbau einer neuen digitalen Risikokultur.“ Dazu gehörten regelmäßige Schulungen, klare Kommunikationswege im Krisenfall, eine transparente Fehlerkultur und die Bereitschaft, aus Sicherheitsvorfällen zu lernen. „Der Wandel beginnt also nicht bei der Technik, sondern im Denken!“

Nicht zuletzt werde sichtbar, wo die EU offensichtlich noch Nachholbedarf hat: „Die Umsetzung verläuft national sehr unterschiedlich – mit weitreichenden Folgen für international tätige Finanzunternehmen.“ Während Länder wie Deutschland, die Niederlande oder Luxemburg proaktiv handelten und konkrete Leitlinien erlassen hätten, blieben andere Mitgliedstaaten hinter den Erwartungen zurück. Dies berge die Gefahr „regulatorischer Unwucht“ und begünstige sogenannte Arbitrage-Effekte – also das gezielte Ausweichen in Länder mit laxerer Aufsicht.

EU-Rahmenwerke sollen Unternehmen Orientierung und Verbindlichkeit bieten – insbesondere in Kritischen Sektoren wie dem Finanzwesen

Mit DORA und der parallel wirkenden NIS2-Richtlinie etabliere Europa wichtige Rahmenwerke, welche Unternehmen Orientierung und Verbindlichkeit geben sollten – insbesondere in Kritischen Sektoren wie dem Finanzwesen. „Doch Regelwerke allein schaffen noch keine Sicherheit!“

Entscheidend sei, dass Unternehmen den Geist dieser Vorschriften verinnerlichten, unterstreicht Krämer zum Abschluss und rät zu einer gelebten Sicherheitskultur, klaren Zuständigkeiten, transparenten Prozessen und nicht zuletzt zu regelmäßige Schulungen, um das Sicherheitsbewusstsein aller Mitarbeiter stärken. „Nur so lässt sich die digitale Resilienz erreichen, die Europa in Zeiten wachsender Cyber-Bedrohungen dringend braucht!“

Weitere Informationen zum Thema:

BaFin Bundesanstalt für Finanzdienstleistungsaufsicht, 09.04.2025
DORA – Digital Operational Resilience Act

datensicherheit.de, 13.04.2025
DORA-Frist vom 14. und dem 28. April 2025: Lieferkettensicherheit als Herausforderung / DORA-Registrierungspflicht umfasst nicht nur die Meldung an die BaFin, sondern auch noch umfassende Prüfpflichten – von der Risikoanalyse bis hin zur Auditfähigkeit

datensicherheit.de, 17.03.2025
DORA in der Praxis: Stolpersteine und Empfehlungen für Unternehmen / Die Verordnung der EU soll die Cyberresilienz des Finanzsektors durch einheitliche und verbindliche Vorgaben verbessern

datensicherheit.de, 06.02.2025
Finanzsektor: Herausforderungen und zugleich Chancen durch DORA / Zahlreiche Unternehmen im Finanzsektor benutzen veraltete IT-Systeme, die nicht in der Lage sind, den hohen DORA-Anforderungen zu genügen

datensicherheit.de, 21.01.2025
DORA: Europas neue Cyber-Sicherheitsverordnung stellt nicht nur den Finanzsektor vor Herausforderungen / Selbst Unternehmen außerhalb der EU fallen unter DORA, wenn sie Dienstleistungen für EU-Finanzunternehmen erbringen

datensicherheit.de, 16.01.2025
DORA zwingt Finanzinstitute zum Handeln, um operative Widerstandsfähigkeit zu sichern / DORA-Ziel ist es, den Finanzsektor besser vor den ständig wachsenden Cyber-Bedrohungen zu schützen

[datensicherheit.de, 10.04.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf den vor Kurzem von der Anti-Phishing Working Group (APWG) vorgelegten Phishing-Report für das vierte Quartal 2024 ein. Demnach hat sich im Vergleich zu den vorangegangenen Monaten die Zahl der ermittelten Phishing-Angriffe noch einmal deutlich erhöht – „auf annähernd eine Million Angriffe pro Quartal“. Erneut gestiegen sei auch der durchschnittliche Geldbetrag, den Cyber-Kriminelle bei einem BEC-Angriff mittlerweile von ihren Opfern für sich reklamieren: „Er hat sich verdoppelt – von umgerechnet rund 60.000 Euro in Q3 auf umgerechnet rund 120.000 Euro in Q4.“

Foto: KnowBe4

Dr. Martin J. Krämer: Menschliche Risiken sollten kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden!

Fast die Hälfte der BEC-Angreifer drängt Opfer zu Erwerb und Weitergabe von Geschenkkarten sowie deren Buchstaben-/Zahlen-Codes

Bei einem Angriff per „Business eMail Compromise“ (BEC) geben sich Cyber-Kriminelle als Mitarbeiter, Lieferanten oder eine andere vertrauenswürdige Partei aus und versuchen dann, über Fake-Business-E-Mails – daher der Name – ihre Opfer dazu zu bewegen, Geld, Informationen oder auch andere „Assets“ an sie weiterzuleiten. „Dabei bringen sie in aller Regel Phishing-, ,Spear Phishing’- und ,Social Engineering’-Taktiken zum Einsatz!“

• Die zentrale Strategie der Angreifer im vierten Quartal 2024 – wie schon im dritten Quartal zuvor – sei es gewesen, ihre Opfer zum Erwerb und zur Weitergabe von Geschenkkarten und deren Buchstaben-/Zahlen-Codes zu überreden. „49 Prozent der BEC-Angreifer gingen nach diesem Schema vor.“ 
• Weitere zwölf Prozent hätten versucht, ihre Opfer zum Erwerb und zur Weiterleitung von „Krypto-Währungen“ zu überreden. „Ein deutlicher Anstieg: In Q3 hatten es nur 2,7 Prozent der Angreifer auf digitale Währungen abgesehen.“ 
• Einen Kreditbetrug hätten vier Prozent der BEC-Angriffe zum Ziel gehabt. „Ein BEC-Kreditbetrug ist eine Art von Vorschussbetrug, bei dem sich ein Betrüger als Kreditgeber ausgibt, um Opfern eine zinsgünstige Finanzierung unterhalb des Marktniveaus anzubieten – allerdings nur nach der Begleichung einer Reihe von ‚Gebühren‘, die im Voraus zu entrichten sind.“ 
• 3,3 Prozent der BEC-Betrugsversuche schließlich hätten eine Erpressung zum Gegenstand gehabt. „Die Angreifer gaben sich hier als Vertreter einer nationalen Strafverfolgungsbehörde aus. In den E-Mail-Nachrichten wurde dann zum Beispiel behauptet, dass das Opfer wegen Kindesmissbrauchs gesucht werde und eine Geldstrafe zu entrichten habe.“ Andernfalls drohe die sofortige Verhaftung.

Kommunikation der BEC-Angreifer erfolgt über E-Mails – bevorzugt über „Gmail“

Die Kommunikation der BEC-Angreifer erfolge, wie der Name schon sagt, über E-Mails. „Gmail“ sei im vierten Quartal 2024 der bei weitem beliebteste Webmail-Service gewesen, welche Cyber-Kriminelle für ihre BEC-Angriffe nutzten. „81 Prozent der Angriffe wurden hierüber geführt. Weit abgeschlagen, auf Platz 2, landete Microsofts ,Webmail’, über das lediglich zehn Prozent der E-Mail-basierten BEC-Angriffe geführt wurden.“

• Der Phishing-Report zeigt laut Krämer: BEC-Angriffe nehmen quali- wie quantitativ immer weiter zu. Zunehmend fänden beim BEC Strategien und Taktiken Anwendung, wie man sie schon länger von regulären Phishing-, „Spear Phishing“- und „Social Engineering“-Angriffen kenne – mit wachsendem Erfolg.

Unternehmen würden deshalb nicht umhinkommen, hier mehr zu tun. „Sie müssen ihren Mitarbeitern sicherere E-Mail-Lösungen für ihre Business-Kommunikation bereitstellen und Anstrengungen unternehmen, das Bewusstsein für die im Internet lauernden Sicherheitsrisiken innerhalb der gesamten Belegschaft weiter anzuheben.“ Hierzu müssten sie strukturierter, umfassender und kontinuierlicher vorgehen als bisher.

Menschliche Risiken gilt es zu managen, um Mitarbeiter auf BEC-Angriffe vorzubereiten

„Sie werden die ,Human Risks’, die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen müssen“. Menschliche Risiken sollten – genau wie die technischen ja auch – kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden.

„Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen.“ Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit „Crowdsourcing“, um so selbst neueste Zero-Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – „so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen“. Mit solchen und ähnlichen Lösungen werde es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen wie BEC zu machen und ihre „Human Risks“ erfolgreich zu reduzieren.

Weitere Informationen zum Thema:

APWG, 19.03.2025
PHISHING ACTIVITY TRENDS REPORT 4th Quarter 2024 / Unifying the Global Response To Cybercrime / Activity October-December-September 2024

datensicherheit.de, 02.09.2021
Weltweite Zunahme der BEC-Attacken / Erfolgreicher BEC-Angriff kann für Unternehmen zu Schäden in Millionenhöhe führen

datensicherheit.de, 03.06.2020
BEC: Cyberkriminelle kapern Banküberweisungen / Kriminelle Hacker spähen Firmen gezielt aus und fälschen Identitäten um Überweisungen umzuleiten

datensicherheit.de, 03.12.2019
BEC-Attacken bevorzugt an Werktagen / Barracuda publiziert aktuellen Report „Spear Phishing: Top Threats and Trends“

datensicherheit.de, 25.03.2019
Dreister BEC-Betrug: Schaden von 170.000 US-Dollar / Zwei Verteidigungsunternehmen und eine Universität in den USA betroffen

datensicherheit.de, 18.07.2018
BEC und EAC Fraud: Schäden in Milliardenhöhe / Unternehmen sind Angriffen nicht schutzlos ausgeliefert

[datensicherheit.de, 03.04.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf einen kürzlich erschienenen Blog-Beitrag von Bitdefender-Forschern ein: Es soll Cyber-Kriminellen in den vergangenen neun Monaten gelungen sein, mindestens 331 bösartige Apps im „Google Play Store“ zu platzieren. Demnach sind diese Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen worden. Die Sicherheitsmaßnahmen von „Android 13“ hätten die bösartigen Anwendungen dabei problemlos umschifft. Einige der Apps hätten dann Spam auf den Bildschirmen ihrer Opfer erscheinen lassen, andere sogar Phishing-Angriffe unterstützt. „Das Besondere daran: Die bösartigen Apps können ohne Aktivierung durch den Nutzer starten und ohne dessen Kenntnis im Hintergrund operieren.“ Krämer warnt: „Die Kampagne scheint immer noch aktiv zu sein!“

Foto: KnowBe4

Dr. Martin J. Krämer: Nachdem eine bösartige App heruntergeladen worden ist, kann sie ohne Aktivität des Nutzers von selbst starten!

Bösartige Apps erstmals im dritten Quartal 2024 festgestellt

Erstmals seien die bösartigen Apps im dritten Quartal des vergangenen Jahres, 2024, festgestellt worden. Im Verlauf ihrer Untersuchung und Analyse habe sich gezeigt, „dass einige von ihnen bereits längere Zeit im ,App Store’ zum Download bereitgestanden hatten – allerdings ohne bösartige Nutzlast“. Diese sei erst später, zu Beginn des 3. Quartals 2024, per Update hinzugefügt worden.

„Von außen geben sich die Anwendungen unscheinbar – als QR-Scanner, Haushaltsplaner oder auch als Health-Care-Anwendung. Nachdem eine bösartige App heruntergeladen worden ist, kann sie ohne Aktivität des Nutzers von selbst starten und im Hintergrund, ohne Anzeige des Symbols der Launcher-Aktivität, operieren – obwohl dies auf ,Android 13‘ eigentlich gar nicht möglich sein sollte.“ Ohne also, dass der Nutzer es ihnen erlaubt hat, sollen die Apps dann kontinuierlich Werbung (Spam) im Vollbildmodus dargestellt, einige Apps auch Bedienelemente eingeblendet und versucht haben, Nutzer dazu zu bewegen, sogenannte Credentials und Kreditkarteninformationen preiszugeben.

Unter Umgehung bestehender Schutzmaßnahmen bösartige Apps hochgeladen

Schon häufiger ist der „Google Play Store“ zum Ziel Cyber-Krimineller geworden. Unter Umgehung der bestehenden Schutzmaßnahmen versuchen sie, bösartige Apps hochzuladen. „In aller Regel gelingt es Google rasch, solche Apps aus dem Verkehr zu ziehen“, so Krämer. Indes lernten die Kriminellen aber hinzu. „Es scheint, dass es ihnen zunehmend gelingt, ihre Strategien und Taktiken anzupassen.“

Wie die Forscher von Bitdefender in ihrem Beitrag feststellen, genügt es deshalb längst nicht mehr, sich allein auf denjenigen Schutz zu verlassen, der Anwendern standardmäßig auf „Android“-Geräten und im „Google Play Store“ zur Verfügung steht. Endverbraucher und Unternehmen müssten somit mehr tun. „Phishing- und Spear Phishing-Kampagnen werden immer breiter gestreut, sind immer häufiger auch Teil von Malware-Kampagnen. Das Risiko, Opfer eines solchen Angriffs zu werden, es steigt und steigt.“

Nicht die App ist per se das Problem – sondern der „Faktor Mensch“

Hiergegen mit einfachen Anti-Phishing- und Anti-Social-Engineering-Schulungen und -Trainings vorzugehen, falle zunehmend schwer. „Immer häufiger gelingt es den Angreifern, die Strategien und Taktiken der Verteidiger zu durchschauen. Sie passen ihre Kampagnen an Standard-Schulungen und -Trainings an. Unternehmen müssen deshalb mehr tun.“

Sie müssten strukturierter, umfassender, kontinuierlicher vorgehen und die „Human Risks“, also die Risiken, denen ihre Unternehmens-IT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt ist, umfassend und kontinuierlich in den Blick nehmen und systematisch zu managen beginnen. „Menschliche Risiken müssen, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden“, betont Krämer.

Aktueller App-Vorfall gemahnt daran, Mitarbeiter zur besten Verteidigung gegen Cyber-Bedrohungen zu motivieren

„Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren, zugeschnitten auf die individuellen Schwachstellen jedes einzelnen Mitarbeiters, und automatisiert – eben kontinuierlich – zum Einsatz bringen.“

Moderne Anti-Phishing-E-Mail-Lösungen kombinierten KI mit „Crowdsourcing“, um so selbst neueste Zero-Day-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – „so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen“. Mit solchen und ähnlichen Lösungen werde es Unternehmen gelingen, ihre Mitarbeiter zu ihrer besten Verteidigung gegen Cyber-Bedrohungen zu machen und ihre „Human Risks“ zu reduzieren.

Weitere Informationen zum Thema:

Bitdefender, Alecsandru Cătălin Daj & Adina Mateescu & Albert Endre-Laszlo & Alex Baciu & Elena Flondor, 18.03.2025
Hundreds of Malicious Google Play-Hosted Apps Bypassed Android 13 Security With Ease

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 22.09.2022
Kaspersky identifiziert schädliche Kampagne im Google Play Store / Trojaner Harly imitierte laut Kaspersky über 190 legitime Apps und abonnierte Nutzer für kostenpflichtige Dienste

datensicherheit.de, 08.09.2021
Malwarebytes-Warnung: Spionage und Stalking über Google Play Store / Malwarebytes-Sicherheitsexperte Pieter Arntz entdeckte per Zufall potenziell bedrohliche Überwachungsmöglichkeit

datensicherheit.de, 25.04.2019
Google Play Store: Sechs gefährliche Apps mussten entfernt werden / Check Point meldet Missbrauch der Zugriffsrechte und betrügerische Werbung