[datensicherheit.de, 17.06.2025] Der aktuelle „Internet Crime Report“ des FBI zeigt auf, dass Phishing nach wie vor die häufigste Form der Internet-Kriminalität in den USA ist – demnach mit über 193.000 Beschwerden allein im letzten Jahr, 2024. Besorgniserregender als der Umfang der Angriffe erscheint jedoch die Veränderung der Taktik: „Die heutigen Angriffe sind sauberer, überzeugender und darauf ausgelegt, unter dem Radar zu fliegen.“ Die Cybersecurity-Experten von ZeroBounce verfolgen die neuesten Entwicklungen im Bereich Phishing und haben wenig bekannte Taktiken identifiziert, welche selbst erfahrene Benutzer oft übersehen. Im Folgenden sind die wichtigsten Bedrohungen dargestellt – und auch Hinweise, wie Profis diesen stets einen Schritt voraus sein können.

Das Aufkommen linklosen Phishings

Phishing-E-Mails ohne Links, ohne Anhänge – nur eine kurze, scheinbar harmlose Nachricht wie „Haben Sie Zeit für einen kurzen Anruf?“ oder „Können Sie mir bei dieser Aufgabe helfen?“… Diese Nachrichten sind so konzipiert, dass sie die Filter vollständig umgehen und einen Echtzeit-Betrug per Telefon oder Antwort auslösen.

„Die Menschen sind darauf trainiert, verdächtige Links zu erkennen, aber die Angreifer haben sich darauf eingestellt, indem sie diese ganz entfernen“, erläutert Vlad Cristescu, „Head of Cybersecurity“ bei ZeroBounce. Er führt aus: „Sobald Sie geantwortet haben, geben sich diese weiter als Kollege oder Führungskraft aus. Wenn Ihnen etwas seltsam vorkommt, antworten Sie nicht direkt: Vergewissern Sie sich über einen anderen Kanal, bevor Sie sich in die Kommunikation einbringen!“

Wiederholte Login-Anfragen als Hilfe von der IT-Abteilung getarnt

Angreifer überschwemmen Benutzer mit Push-Benachrichtigungen zur Multi-Faktor-Authentifizierung (MFA), nachdem sie die Anmeldedaten gestohlen haben, und schicken Ihnen dann eine E-Mail, in der sie sich als IT-Support ausgeben und sie auffordern, „nur eine zu genehmigen“, um die Warnungen zu beenden.

„Dies ist eher psychologische Kriegsführung als technische Trickserei“, so Cristescu und erläutert: „Es nutzt die Frustration und das Vertrauen der Benutzer in die IT aus. Wenn Sie mehrere MFA-Aufforderungen erhalten, die Sie nicht initiiert haben, ist das keine Störung, sondern ein Angriff. Halten Sie inne, lassen Sie es nicht zu und melden Sie es sofort!“

HTML-Anhänge, die sich als sichere Portale ausgeben

Einige Phishing-E-Mails verstecken ihre Nutzdaten in einem einfachen HTML-Anhang, der sich in Ihrem Browser öffnet und einen Anmeldebildschirm imitiert. Diese Anhänge sind besonders trügerisch, weil sie wie Rechnungen, freigegebene Dokumente oder sichere Benachrichtigungen aussehen.

„Die Benutzer denken: ‚Es ist nur eine HTML-Datei, was kann sie schon anrichten?‘“, bemerkt Cristescu. Aber ein Klick könne eine geklonte Anmeldeseite öffnen, welche die Anmeldedaten sofort abfängt. Er rät: „Unternehmen sollten HTML-Anhänge auf das Notwendigste beschränken, und Benutzer sollten unbekannte HTML-Dateien genauso behandeln wie einen verdächtigen Link – öffnen Sie ihn nur, wenn Sie sich des Absenders absolut sicher sind!“

Phishing durch Kalender-Einladungen

Angreifer verschicken jetzt Besprechungsanfragen mit bösartigen Links, welche in die Einladung oder die Schaltfläche „Beitreten“ eingebettet sind. Diese Einladungen werden direkt mit Kalendern synchronisiert und bleiben oft unhinterfragt. „Kalender-Einladungen haben diese eingebaute Glaubwürdigkeit – sie werden in der Regel nicht so genau geprüft wie E-Mails“, warnt Cristescu.

„Wenn Sie jedoch Besprechungsanfragen von unbekannten Absendern oder vage Veranstaltungstitel wie ,Synchronisierung’ oder ,Projektbesprechung’ erhalten, sollten Sie diese genauso behandeln wie Phishing-E-Mails: Deaktivieren Sie nach Möglichkeit die automatische Annahme und überprüfen Sie jede Einladung manuell, bevor Sie darauf klicken!“

Größtes Risiko ist heute Selbstüberschätzung

Modernes Phishing sei strategisch – je mehr es wie ein normales Geschäft aussieht, desto gefährlicher werde es. „Das größte Risiko ist heute Selbstüberschätzung“, unterstreicht Cristescu. Er gibt abschließend zu bedenken: „Egal, wie erfahren Sie sind, wenn Sie aufhören zu hinterfragen, was in Ihrem Posteingang – oder in Ihrem Kalender – landet, sind Sie angreifbar!“

Das eigene Bewusstsein müsse sich genauso schnell weiterentwickeln wie die Bedrohungen. „Überprüfen Sie immer die E-Mail-Adresse des Absenders, vergewissern Sie sich, dass jeder Link, auf den Sie klicken, mit der legitimen Domäne übereinstimmt, und achten Sie auf subtile Warnsignale wie Rechtschreibfehler oder ungewöhnliche Formatierungen!“ Diese kleinen Kontrollen könnten den Unterschied ausmachen, „ob man sicher bleibt oder auf einen gut gemachten Betrug hereinfällt“.

Weitere Informationen zum Thema:

zero bounce
Accurate, fast and secure email validation service

FBI, 23.04.2025
FBI Releases Annual Internet Crime Report

FBI, INTERNET CRIME COMPLAINT CENTER, 23.04.2025
Federal Bureau of Investigation / Internet Crime Report 2024

datensicherheit.de, 15.06.2025
Angeblicher Copyrightverstoß: Phishing-Angriffskampagne bedroht europäische Content-Kreatoren / Ein „cybereason“-Blog-Beitrag meldet neue Phishing-Kampagne, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

[datensicherheit.de, 15.06.2025] Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf einen „cybereason“-Blog-Beitrag ein, welcher von einer neuen Phishing-Kampagne berichtet, deren Initiatoren es auf die Systeme und Daten europäischer Content-Kreatoren abgesehen haben. Opfer der Kampagne erhalten demnach teils stark personalisierte Phishing-E-Mails, in denen ihnen Urheberrechtsverletzungen vorgeworfen werden: „Geraten sie in Panik und klicken auf Dokumente, die angeblich weitergehende Informationen enthalten, laden sie sich – unbemerkt von ihren Sicherheitstools – die Infostealer-Malware ,Rhadamanthys’ auf ihr System.“

Foto: KnowBe4

Dr. Martin J. Krämer betont: Sämtliche Mitarbeiter müssten in die Lage versetzt werden, die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen!

Phishing-Mail bietet vermeintlich weiterführende Informationen über Link an

An Professionalität mangele es den Angreifern, „die vor allem in Mittel- und Osteuropa zu agieren scheinen“, nicht: „Getarnt als angebliche juristische Mitarbeiter der Rechtsabteilung eines Unternehmens versenden sie per E-Mail offiziell klingende Anschreiben an ihre Opfer, in denen sie ihnen vorwerfen, dass sie in ihrer Arbeit ein Urheberrecht des betreffenden Unternehmens verletzt hätten.“

Weiterführende Informationen seien über einen Link abrufbar. Krämer warnt: „Klicken die Content-Kreatoren auf diesen, werden sie über eine angemietete Domain auf einen Dienst wie ,Dropbox’, ,Discord’ oder ,Mediafire’ weitergeleitet. Dort befinden sich dann, in aller Regel, ein legitimer PDF-Reader, ein PDF-Dokument – zur Täuschung des Opfers – und eine bösartige ,Dynamic Link Library’ (DLL).“ Klickt das Opfer dann auf das Dokument, um es zu öffnen, nutzten die Angreifer das DLL-Ladeverhalten des legitimen PDF-Readers aus, um heimlich, verborgen vor den Sicherheitstools ihres Opfers, bösartigen Code zur Ausführung zu bringen – in diesem Fall die Infostealer-Malware „Rhadamanthys“ auf dem Rechner ihres Opfers zu installieren.

Phishing-Opfer Freelancer als Einfallstor zu ganzen Unternehmensnetzwerken

„Rhadamanthys“ ermögliche es ihnen dann, unterschiedliche Arten von gespeicherten Anmeldeinformationen und sensible Daten zu sammeln und aus dem System ihres Opfers zu exfiltrieren – „ohne, dass dieses hiervon etwas mitbekommt“. Ziel dieser Kampagne seien aber nicht allein die Daten der Content-Kreatoren:

„Auch die Daten der Unternehmen, die deren Dienste als Freelancer in Anspruch nehmen, liegen im Fokus.“ Häufig erhielten Content-Kreatoren als Externe für ihre Arbeit Zugang zu Unternehmensnetzwerken oder Zugangsdaten. „Das wissen die Angreifer!“ Gelingt es ihnen, die Systeme der Freelancer zu kompromittieren, könnten sie deren Konten als Einstieg nutzen, um tief in die Systeme der Unternehmen vorzustoßen – unentdeckt von deren Sicherheitstools und -Teams.

Phishing und Spear Phishing Ansatzpunkte mit größten Erfolgschancen für Cyberkriminelle

Diese aufgedeckte Kampagne zeige einmal mehr, wie wichtig es ist, dass Unternehmen sämtliche Mitarbeiter – auch die Externen – in ihre Maßnahmen zur Anhebung des Sicherheitsbewusstseins mit einbeziehen. Phishing und sogenanntes Spear Phishing seien nach wie vor die Ansatzpunkte mit den größten Erfolgschancen für Cyberkriminelle.

„Wollen Unternehmen sich effektiv vor Cyberangriffen schützen, haben sie dementsprechend hier als erstes anzusetzen“, so Krämer. Sämtliche Mitarbeiter – also auch die Externen – müssten in die Lage versetzt werden, „noch die subtilsten Anzeichen von Phishing, Spear Phishing und Social Engineering zu erkennen – bevor es zu spät ist“.

Weitere Informationen zum Thema:

cybereason, Cybereason Security Services Team
Copyright Phishing Lures Leading to Rhadamanthys Stealer Now Targeting Europe

malpedia
Rhadamanthys

datensicherheit.de, 03.06.2025
Security Awareness Trainings: Dringender Bedarf angesichts zunehmender Cyberbedrohungen in Europa – insbesondere Phishing / Der „2025 Phishing by Industry Benchmarking Report“ von KnowBe4 zeigt einen Rückgang des „European Phish-prone Percentage“ auf fünf Prozent nach zwölf Monaten Sicherheitsschulungen

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

[datensicherheit.de, 07.06.2025] Die Verbraucherzentrale NRW geht in ihrer aktuellen Stellungnahme auf Angriffe ein, welche jeden Tag millionenfach über das E-Mail-Postfach erfolgen: „Unbekannte verschicken Nachrichten mit dem Ziel, ins Online-Banking einzubrechen. Die Zahl dieser Straftaten steigt seit vielen Jahren kontinuierlich an. Der Schaden ist immens, die Betrugsmaschen werden stetig aktualisiert und verfeinert.“ Die Verbraucherzentrale NRW führt seit 2010 mit dem „Phishing-Radar“ eine eigene Statistik darüber. „Alleine im Jahr 2024 haben uns Menschen mehr als 400.000 E-Mails gemeldet“, berichtet Ralf Scherfling, Finanz- und Phishing-Experte der Verbraucherzentrale NRW.

BKA-Erkenntnisse spiegeln sich bei aktuellen Zahlen der Verbraucherzentrale NRW wider

Scherfling führt weiter aus: „In diesem Jahr sind bis Ende April bereits bereits mehr als 140.000 E-Mails eingegangen. Die Erkenntnisse des Bundeskriminalamts spiegeln sich also bei unseren aktuellen Zahlen wider.“ Scherfling gibt Tipps, wie man die neuesten Phishing-Trends erkennt, und was man tun sollte, falls man betroffen ist: „Wichtig ist vor allem, schnell, aber planvoll zu reagieren!“

• Betrügerische Nachrichten, ob per E-Mail, SMS oder Brief, seien teils in fremder Sprache oder fehlerhafter Übersetzung verfasst. Vielfach fehle auch die direkte Anrede, dann heiße es zum Beispiel „Sehr geehrter Kunde“ oder „Sehr geehrte Nutzerin“. Mittlerweile gebe es aber leider viele gut gemachte betrügerische Nachrichten mit persönlicher Anrede und in fehlerfreiem Deutsch. „Oft ist ein Link enthalten, der zu einer Internetseite führt, die der eines echten Anbieters täuschend ähnlich sieht. Man wird – meist verbunden mit einer kurzen Frist – verbal unter Druck gesetzt, den Link anzuklicken und sensible persönliche Daten einzugeben. Bei Nichtbeachtung wird mit schwerwiegenden Konsequenzen gedroht, wie der Sperrung der Kreditkarte oder des Zugangs zum Online-Banking.“

Man sollte generell sparsam mit den persönlichen Daten umgehen und die eigenen Sicherheitssysteme wie Virenschutzprogramm, Betriebssystem und Internetbrowser stets auf dem neuesten Stand halten. Wichtig, so Scherfling: „Gegenüber unerwarteten Nachrichten ein gesundes Misstrauen zeigen, Anhänge nicht öffnen, nicht auf angebotene Links klicken und auch nicht auf die E-Mail antworten!“ Wer sich nicht sicher ist, ob eine Nachricht echt ist, sollte am besten direkt beim genannten Anbieter nachfragen. Man könne sich auch wie gewohnt in sein Online-Banking einloggen, um zu prüfen, ob die gleiche Nachricht im eigenen Postfach dort auch vorhanden ist. „Ist dies nicht der Fall, liegt ein Betrugsversuch vor!“

Geldinstitute erfragen Zugangsdaten wie PIN oder TAN niemals telefonisch oder per E-Mail

Die Wahl eines sicheren Verfahrens sei für das Online-Banking wichtig, weil es immer wieder Angriffen von Kriminellen ausgesetzt sei. Diese suchten Sicherheitslücken in der Technik und setzten auf Fehler im menschlichen Verhalten.

• Persönliche Daten wie PIN oder TAN sollte man immer nur nach einer ordentlichen Prüfung eingeben, sonst übergibt man schlimmstenfalls den Tätern ungewollt die Verfügungsgewalt über sein Konto und ermöglicht ihnen, eine digitale Karte auf einem fremden Gerät zu hinterlegen.

Scherfling betont: „Geldinstitute erfragen Zugangsdaten wie PIN oder TAN niemals telefonisch oder per E-Mail. Damit ein unautorisierter Zugriff nicht erst nach Wochen auffällt, sollte man regelmäßig im Online-Banking den Kontostand kontrollieren.“ Der schlimmste Fall wäre ein leergeräumtes Konto oder Betroffene, die ihren Bankzugang nicht mehr aufrufen können.

Wenn der Zugang zum Konto nicht funktioniert, könnte ein Cyberangriff vorliegen

Wenn der Zugang zum Konto nicht funktioniert, sollte man einmal erneut in Ruhe das Passwort eingeben. „Erscheint erneut eine Fehlermeldung, spricht viel dafür, dass das Konto gehackt wurde. Es ist ratsam, dann zu testen, ob das Einloggen über ein anderes Gerät möglich ist.“

• In solchen Fällen könnte das erste Gerät mit Schadsoftware infiziert sein. Auf diesem Gerät sollte dringend ein Virenscan durchgeführt werden und es vorerst nicht mehr für Online-Banking genutzt werden.

Ferner sollte man überlegen, sicherheitshalber die Zugangsdaten und das Passwort zu ändern und, falls nötig, neue Anmeldedaten direkt bei Anbieter anzufordern. Dies sollte man mit einem Gerät tun, bei dem man kontrolliert hat, dass es frei von Schadprogrammen ist.

Wenn Dritte Zugang zum Konto hatten, sofort Bank und Polizei informieren

Betroffene sollten ihr Konto beziehungsweise die Karte sofort sperren lassen und Strafanzeige bei der Polizei stellen. Bei nicht autorisierten Überweisungen müsse die Empfängerbank informiert und die Erstattung schriftlich bei der eigenen Bank eingefordert werden.

• Banken müssten nicht autorisierte Zahlungen erstatten, sofern sie keine grobe Fahrlässigkeit der Kunden nachweisen könnten.

„Wenn die Bank die Erstattung verweigert, sollte man eine Schlichtungsstelle einschalten oder rechtliche Schritte über die Verbraucherzentrale oder mit einem Anwalt prüfen.“

Auch Telekommunikationsfirmen, Streaming- oder Paketdienste werden von Cyberkriminellen für Betrugs missbraucht

Persönliche Daten könnten nicht nur beim Online-Banking abgegriffen werden, sondern auch im Namen anderer Anbieter. Dies betreffe beispielsweise Zahlungsdienstleister wie PayPal oder auch Onlinehändler wie Amazon oder Anzeigenportale.

• Aber auch Telekommunikationsfirmen, Streaming- oder Paketdienste würden von Cyberkriminellen immer wieder für neue Betrugsmaschen genutzt. „Gerade die Tatsache, dass bei diesen nicht überall die Zwei-Faktor-Authentifizierung verpflichtend ist, macht diese Option für Betrüger attraktiv.“

Die sensiblen persönlichen Daten könnten sie dann für zielgerichtete Folgeattacken nutzen, um an weitere Daten zu kommen und letztlich das Konto zu übernehmen oder im Rahmen einer Transaktion dieses zu leeren.

Weitere Informationen zum Thema:

verbraucherzentrale NRW
Kontobetrug: Die Bank warf Ihnen grobe Fahrlässigkeit vor? Melden Sie uns Ihren Fall! / Sie sind Opfer von Kontobetrug geworden und Ihre Bank will den Schaden nicht ersetzen, weil Sie angeblich nicht vorsichtig genug waren? Unterstützen Sie uns, indem Sie uns Ihren Fall schildern – damit wir uns für Ihre Rechte einsetzen können!

verbraucherzentrale NRW, 03.06.2025
Phishing-Radar: Aktuelle Warnungen / Hier zeigen wir kontinuierlich aktuelle Betrugsversuche, die uns über unser Phishing-Radar erreichen.

verbraucherzentrale NRW, 03.04.2025
Schutz vor Betrug: Tipps für sicheres Onlinebanking / Onlinebanking ist immer wieder den Angriffen von Kriminellen ausgesetzt. Daher ist die Wahl eines möglichst sicheren TAN-Verfahrens sehr wichtig. Wir erklären und bewerten die gängigen Methoden.

verbraucherzentrale NRW, 04.02.2025
Phishing-Mails: Woran Sie sie erkennen und worauf Sie achten müssen / Es vergeht kein Tag, an dem Online-Kriminelle keine E-Mails mit gefährlichen Links oder Anhängen verschicken. Ziel: Sich Ihre Zugangsinformationen und persönlichen Daten zu beschaffen. Viele dieser E-Mails sehen täuschend echt aus. Es gibt aber Anzeichen, an denen Sie betrügerische E-Mails erkennen.

datensicherheit.de, 21.05.2025
Abgriff persönlicher Daten: Phishing-Welle attackiert Steuerzahler in Deutschland / Gefälschte E-Mails im Umlauf – angeblich vom Bundeszentralamt für Steuern, Finanzamt oder „ELSTER“-Portal

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 15.03.2025
Phishing-Angriffe in Deutschland nehmen stark zu / BioCatch-Studie untersucht Trends in der Finanzkriminalität und deren Opfer

[datensicherheit.de, 03.06.2025] KnowBe4 hat seinen „Phishing by Industry Benchmarking Report 2025“ veröffentlicht. Der misst demnach den „Phish-Prone Percentage“ (PPP) einer Organisation – „also den Prozentsatz der Mitarbeiter, die wahrscheinlich auf Social-Engineering- oder Phishing-Angriffe hereinfallen“. Damit soll Aufschluss über deren allgemeine Anfälligkeit für Phishing-Bedrohungen gegeben werden. „Der diesjährige Bericht ergab einen Basis-PPP von 32,5 Prozent in Europa, was dem globalen Durchschnitt von 33,1 Prozent entspricht.“

Foto: KnowBe4

Dr. Martin J. Krämer zur Ausgestaltung von Sicherheitsschulungen: Unternehmen müssen über das bloße Abhaken von „Compliance“-Kästchen hinausgehen!

Zwischen März 2024 und März 2025 Anstieg der Phishing-Angriffe um 68 Prozent festgestellt

Diese Ergebnisse unterstrichen die anhaltende Notwendigkeit nachhaltiger Schulungen zum Sicherheitsbewusstsein, da sich der PPP-Wert in Europa im Vergleich zum Vorjahr, 2024, nur minimal verbessert habe. Angesichts des weltweit starken Anstiegs von Phishing-Bedrohungen sei dies ein „besorgniserregender Trend“.

• So habe „KnowBe4 Defend“ zwischen März 2024 und März 2025 einen Anstieg der Phishing-Angriffe um 68 Prozent festgestellt, doch die Anfälligkeit der Mitarbeiter für Phishing in Europa verbessere sich nur langsam.

Der Rückgang des PPP-Wertes nach der Durchführung von Schulungen in Europa – auf 20,7 Prozent innerhalb von drei Monaten und auf fünf Prozent innerhalb von zwölf Monaten – zeige jedoch, dass effektive „Security Awareness Trainings“ funktionierten und dass ein kontinuierliches Risikomanagement entscheidend sei.

Weltweit 67,7 Millionen Phishing-Simulationen bei 14,5 Millionen Benutzern aus 62.400 Unternehmen analysiert

KnowBe4 hat nach eigenen Angaben weltweit 67,7 Millionen Phishing-Simulationen bei 14,5 Millionen Benutzern aus 62.400 Unternehmen analysiert. Der Basis-PPP (32,5 Prozent für Europa) spiegele die Anfälligkeit einer Organisation für Phishing vor einer KnowBe4-Schulung wider.

• Die Mitarbeiter durchliefen anschließend die „Security Awareness Trainings“ von KnowBe4 mit simulierten Phishing-Angriffen. Anschließend werde der PPP nach 90 Tagen und erneut nach mehr als einem Jahr kontinuierlicher Schulungen neu berechnet, um die Wirksamkeit dieses Programms zu quantifizieren.

Weitere wichtige Erkenntnisse aus dem aktuellen KnowBe4-Bericht:

• „Der etablierte PPP-Benchmark setzt den Standard für Unternehmen in Europa mit einem Ausgangswert von 32 Prozent, 20 Prozent nach 90 Tagen und 5 Prozent nach mehr als einem Jahr Schulung.“
• „Im Vergleich zu den PPPs für 2024 blieb die Leistung in allen kleinen, mittleren und großen Unternehmen nahezu unverändert.“
• „Cybersicherheit muss Menschen, Prozesse und Technologien umfassen, um das Risiko, Opfer von ,Social Engineering’ zu werden, wirksam zu verringern.“

Phishing-Angriffe entwickeln sich rasant weiter – Unternehmen müssen dies bei ihren Sicherheitsschulungen berücksichtigen

„Da sich Phishing-Angriffe rasant weiterentwickeln, müssen Unternehmen in Europa sicherstellen, dass ihre Schulungen zum Sicherheitsbewusstsein personalisiert, relevant und anpassungsfähig sind“, betont Dr. Martin Krämer, „Security Awareness Advocate“ bei KnowBe4 EMEA.

• Er führt weiter aus: „Angesichts neuer Vorschriften wie der Netz- und Infrastruktur-Sicherheitsrichtlinie (NIS2) und des EU-Künstlicher-Intelligenz-Gesetzes (EU AI Act), die die Anforderungen an Cybersicherheitsschulungen erhöhen, ist es von entscheidender Bedeutung, dass Unternehmen über das bloße Abhaken von Compliance-Kästchen hinausgehen.“

Effektive Schulungen müssten Mitarbeiter in die Lage versetzen, reale Bedrohungen, einschließlich KI-gesteuerter Betrugsversuche und geopolitisch motivierter Angriffe, zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

KnowBe4, 14.05.2025
KnowBe4 Phishing Benchmarking Report Phishing Europe 2025

datensicherheit.de, 21.05.2025
Abgriff persönlicher Daten: Phishing-Welle attackiert Steuerzahler in Deutschland / Gefälschte E-Mails im Umlauf – angeblich vom Bundeszentralamt für Steuern, Finanzamt oder „ELSTER“-Portal

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

datensicherheit.de, 28.04.2025
Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1 / Laut „Guardio’s Brand Phishing Report for Q1 2025“ ist die unter Gamern beliebte Vertriebs-Plattform „STEAM“ stark ins Vsiier Cyber-Krimineller geraten

[datensicherheit.de, 25.10.2025] Kürzlich hat der Cyberversicherungsanbieter Coalition seinen neuesten jährlichen „Cyber Claims Report“ vorgelegt. „Dessen Kernaussage: Die Mehrheit der Cyberversicherungsansprüche des Jahres 2024 resultierte aus der Kompromittierung von Geschäfts-E-Mail-Betrug und Überweisungsbetrug“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. 60 Prozent der Cyberversicherungsansprüche, so der Report, entfielen auf sogenannte BEC-Angriffe („Business Email Compromise“) und 29 Prozent hatten einen FTF-Angriff („Funds Transfer Fraud“) zur Folge. „Unternehmen rät der Report, das Sicherheitsbewusstsein ihrer Mitarbeiter zu stärken. Ein Punkt, in dem man ihm nur Recht geben kann“, so Krämer, ließen sich doch BEC- und FTF-Angriffe in aller Regel auf eine Schwachstelle zurückführen – nämlich die Anfälligkeit der Belegschaft für Phishing- bzw. Spear-Phishing-Angriffe. Unternehmen sollten also ihren Mitarbeitern helfen, die subtilen Anzeichen von Phishing rechtzeitig zu erkennen – bevor es zu spät ist.

Foto: KnowBe4

Dr. Martin J. Krämer warnt: Angreifer gehen beim Phishing und Spear-Phishing immer professioneller vor – sie passen sich an und wissen um die Trainingsinhalte für Cybersicherheit vergangener Jahre

„Business Email Compromise“ eine ausgeklügelte Form der Cyberkriminalität

Krämer erläutert: „,Business Email Compromise’ (BEC), ist eine ausgeklügelte Form der Cyberkriminalität, bei der Angreifer Personen innerhalb einer Organisation zu manipulieren und zu bestimmten Handlungen zu bewegen suchen – in aller Regel zu Geldüberweisungen und zur Offenlegung sensibler Unternehmensdaten.“

Ausgangspunkt solcher Angriffe seien in aller Regel Phishing- und Spear-Phishing-Angriffe. Angreifer sammelten so Informationen über die Unternehmensstruktur, Schlüsselpersonen und Geschäftsprozesse, um dann überzeugende, personalisierte Fake-E-Mails für einen BEC- oder gleich einen FTF-Angriff zu erstellen.

Typische Opfer: Unternehmen, deren Belegschaft nur über geringes Cybersicherheitsbewusstsein verfügen

„Der Report hält fest, dass der Schaden der BEC-Angriffe 2024 um 23 Prozent zugenommen hat. Durchschnittlich liegt er mittlerweile bei umgerechnet rund 31.000 Euro. Erklären lässt sich dieser Anstieg, so der Report, zumindest zum Teil durch die gestiegenen Kosten für Rechtsberatungen, Maßnahmen zur Schadensbegrenzung und zur Wiederherstellung.“ Immerhin: Die Häufigkeit von FTF-Angriffen sei 2024 um zwei Prozent gesunken, die Schadenshöhe um 46 Prozent – allerdings auch nach einem Allzeithoch im Jahr 2023.

Der Bericht hält fest, dass Unternehmen, deren Belegschaft nur über ein geringes Cybersicherheitsbewusstsein verfügen, prädestiniert dafür seien, Opfer von Phishing- und Spear-Phishing-Angriffen zu werden. „Er rät Unternehmen deshalb, die eigenen Mitarbeiter über Taktiken, Strategien und Tools von Bedrohungsakteuren aufzuklären, ihnen beizubringen, wie man solche Angriffe erkennt und vermeidet – zum Beispiel unter Zuhilfenahme von Schulungen und Phishing-Simulationen.“

Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit „Crowdsourcing“

Krämer unterstreicht: „Ein Rat, der nur zu unterstützen ist!“ Allerdings genügten mittlerweile traditionelle Schulungen und Trainings allein nicht mehr. Angreifer gingen beim Phishing und Spear-Phishing immer professioneller vor, passten sich an, wüssten um die Inhalte der Trainings der vergangenen Jahre. „Unternehmen können und müssen dem etwas entgegensetzen!“

Sie müssten ihre Cybersicherheit weiter ausbauen – auch und gerade im Bereich intelligenter Anti-Phishing-Technologien. „Moderne Anti-Phishing-E-Mail-Tools kombinieren KI mit ,Crowdsourcing’, um neueste Zero Day-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren.“ Im Gegensatz zu herkömmlichen Tools, könnten sie potenzielle Phishing-E-Mails ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und möglicher Social-Engineering-Taktiken. „Daneben werden Unternehmen aber auch fortschrittliche Schulungen und Trainings zum Einsatz bringen müssen.“

Weitere Informationen zum Thema:

Coalition, Robert Jones, 08.05.2025
Insights from Coalition’s 2025 Cyber Claims Report

datensicherheit.de, 10.04.2025
BEC-Angreifer: Beuteforderungen verdoppelten sich innerhalb eines Quartals / Waren es im 3. Quartal 2024 durchschnittlich rund 60.000 Euro, so fordern Cyber-Kriminelle per BEC im 4. Quartal 2024 bereits etwa 120.000 Euro

datensicherheit.de, 05.03.2025
Spear Phishing-Angriffe: OT-Systeme der Fertigungsbranche am häufigsten betroffen / „Spear Phishing“-E-Mails werden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung auffordern

datensicherheit.de, 02.09.2021
Weltweite Zunahme der BEC-Attacken / Erfolgreicher BEC-Angriff kann für Unternehmen zu Schäden in Millionenhöhe führen

datensicherheit.de, 20.12.2018
Spear Phishing: Hilfsorganisation verlor eine Million US-Dollar / Angriff über kompromittiertes E-Mail-Konto eines Mitarbeiters

[datensicherheit.de, 21.05.2025] Die Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH meldet, dass derzeit „eine gefährliche Welle von Phishing-Attacken“ auf Steuerzahler in Deutschland zielt: „Betrüger verschicken massenhaft gefälschte E-Mails, die aussehen, als kämen sie vom Bundeszentralamt für Steuern (BZSt), dem Finanzamt oder dem ,ELSTER’-Portal.“ Ziel ist es offensichtlich, darüber sensible persönliche Daten wie Steuer- oder Kontonummern abzugreifen oder Zahlungen zu erzwingen. Die Verbraucherkanzlei Dr. Stoll & Sauer warnt daher „eindringlich vor dieser neuen Betrugsmasche“. Der Schaden für die Verbraucher könne enorm sein.

Kostenlose Ersteinschätzung für von Datenlecks betroffene Verbraucher

Diese Attacken zeigten zudem, wie wichtig es ist, seine Daten gut zu schützen, – und wer Opfer eines Datenlecks ist, sollte zügig seine Ansprüche auf Schadensersatz auch für die Zukunft sichern.

• Dr. Stoll & Sauer bietet von Datenlecks betroffenen Verbrauchern eine kostenlose Ersteinschätzung im „Datenleck-Online-Check“ an.

„Unsere Kanzlei hat beim ,facebook’-Datenleck Schadensersatzsummen von bis zu 3.000 Euro pro Person durchgesetzt und gehört zu den führenden Verbraucherkanzleien Deutschlands.“

Persönliche Daten als Beute: So funktioniert die Phishing-Masche beim Thema Steuern

Die gefälschten E-Mails wirken demnach täuschend authentisch: Sie tragen Absender wie „info [at] bzst-zahlungsfrist [dot] com“ oder „news [at] elsta [dot] de“ und enthalten Hinweise auf angebliche Steuererstattungen oder überfällige Zahlungen. Oft werde Druck aufgebaut – mit Fristen, Strafgebühren oder der Androhung von Vollstreckungsmaßnahmen.

Typische Merkmale solcher Phishing-Mails:

• gefälschte Absender und offizielle Logos
• PDF-Anhänge scheinbar mit Steuerbescheiden
• Links zu täuschend echten, aber gefälschten Websites (z.B. „ELSTER“)
• Formulare zur Eingabe von Steuer-ID, Kontonummer oder Kreditkarteninformationen

Im schlimmsten Fall drohten:

• Identitätsdiebstahl (z.B. Anmeldung auf Steuerportalen im Namen des Opfers)
• unberechtigte Kontoabbuchungen oder Kreditkarten-Missbrauch
• Manipulation steuerlicher Daten
• langfristige Überwachung durch Cyberkriminelle

Rechtslage bei Datenlecks: Schadensersatz auch ohne finanziellen Schaden

Oft gelangten Phishing-Täter an persönliche Daten durch frühere Datenlecks – zum Beispiel bei „facebook“, Mastercard oder Mobilfunkanbietern. „Doch auch wenn Betroffene (noch) keinen finanziellen Verlust erlitten haben, bestehen rechtliche Ansprüche.“

• Europäischer Gerichtshof (EuGH): Schon der unbefugte Abfluss personenbezogener Daten könne einen ersatzfähigen Schaden darstellen. Kontrollverlust, emotionaler Stress oder die bloße Gefahr eines Missbrauchs reichten aus.
• Bundesgerichtshof (BGH): In seinem Urteil vom November 2024 zum „facebook“-Datenleck stellte der BGH klar: Auch bei bloßem Datenabfluss bestehe ein Anspruch auf immateriellen Schadensersatz – mit Entschädigungssummen von 1.000 € oder mehr.

Die Kanzlei Dr. Stoll & Sauer hat nach eigenen Angaben bereits erfolgreich Schadensersatz gegen Unternehmen wie Meta, Mastercard und Samsung durchgesetzt. „Über den ,Datenleck-Online-Check’ prüfen wir unverbindlich, ob und in welcher Höhe ein Anspruch besteht.“

Datensicherheit bedroht: Arten von Cyber-Angriffen auf Verbraucher

Phishing ist nur eine von vielen Bedrohungen, denen sich Verbraucher heute ausgesetzt sehen. „Hier ein Überblick über die häufigsten Maschen – mit Beispielen aus der Praxis:“

• Phishing (E-Mail): Gefälschte E-Mails von Banken oder Behörden fordern zur Eingabe persönlicher Daten auf. Als Beispiel: Gefälschte Finanzamt-Mails verweisen auf angebliche Rückerstattungen – wer klickt, landet auf einer falschen „ELSTER“-Seite.
• Smishing (SMS): Phishing per SMS-Nachricht mit Links zu gefälschten Webseiten. Als Beispiel: Eine angebliche DHL-Benachrichtigung fordert zur Paketverfolgung auf – und fragt persönliche Daten ab.
• Vishing (Telefon): Betrüger rufen als angebliche Support-Mitarbeiter an. Als Beispiel: Vermeintlich meldet sich „Microsoft“ wegen eines Virus-Befalls – tatsächlich wird ein Fernwartungstool installiert.
• Malware / „Trojaner“: Schadsoftware gelangt über Anhänge oder Downloads auf den Rechner. Als Beispiel: Eine gefälschte Rechnung im Anhang installiert beim Öffnen einen „Trojaner“.
• „Fake Shops“: Scheinbar echte Onlineshops locken mit Billigangeboten. Als Beispiel: Sneaker zu 70 Prozent Rabatt – Ware wird bezahlt, aber nie geliefert.
• Identitätsdiebstahl: Gestohlene Daten werden genutzt, um Verträge oder Konten zu eröffnen. Als Beispiel: Nach einem Datenleck wird ein Mobilfunkvertrag im Namen des Opfers abgeschlossen.
• „Credential Stuffing“: Gestohlene Zugangsdaten werden bei anderen Portalen ausprobiert. Als Beispiel: E-Mail und Passwort aus einem Datenleck funktionieren auch bei „PayPal“ – das Konto wird übernommen.

Schutz der eigenen Daten vor Steuer-Cyberkriminellen

Verbraucher werden von E-Mails, SMS-Nachrichten und Anrufen aktuell regelrecht bombardiert. Die Kanzlei Dr. Stoll & Sauer gibt Tipps, wie sich das Worst-Case-Szenario verhindern lässt:

• Seien Sie misstrauisch bei E-Mails mit Zeitdruck („Letzte Mahnung“, „Frist läuft heute ab“)!
• Klicken Sie nicht auf Links oder Anhänge unbekannter Absender!
• Rufen Sie „ELSTER“ oder Steuerportale immer direkt über den Browser auf!
• Prüfen Sie Absenderadressen sorgfältig – kleine Tippfehler sind verdächtig!
• Geben Sie keine sensiblen Daten per E-Mail oder SMS-Nachricht weiter!
• Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA) bei Banken und Steuerportalen!
• Verdächtige Steuer-Phishing-Mails melden an: report [at] bzst [dot] bund [dot] de und phishing [at] bsi [dot] bund [dot] de.

Wer von einem Datenleck betroffen ist, sollte handeln: „Unsere Kanzlei bietet eine kostenlose rechtliche Ersteinschätzung im ,Datenleck-Online-Check’ an.“ Gemeinsam werde dann geprüft, ob ein Anspruch auf Schadensersatz besteht – „und wie Sie Ihre Daten schützen und sich gegen Missbrauch zur Wehr setzen können“. Achtung: „Sind sensible personenbezogene Daten im Internet öffentlich einsehbar, kann eine Phishing-Attacke den Verbraucher auch Jahre später treffen. Das Internet vergisst nichts!“

Weitere Informationen zum Thema:

Dr. Stoll & Sauer Rechtsanwaltsgesellschaft mbH
Kostenlose Ersteinschätzung von unseren Datenleck-Anwälten direkt online abrufen

datensicherheit.de, 28.01.2025
Cyber-Kriminelle in der Schweiz werfen Köder aus: Versand gefälschter E-Mails des Finanzamts / Proofpoint hat alarmierende Zunahme von Cyber-Kampagnen und bösartigen Domains festgestellt

datensicherheit.de, 25.04.2018
Identitätsdiebstahl: Die unterschätzte Gefahr mit weitreichenden Folgen / Cylance gibt zwölf Tipps für bereits und für potenziell Betroffene

datensicherheit.de, 02.07.2012
G DATA warnt vor neuer Betrugskampagne per E-Mail: Cyber-Kriminelle tarnen sich als Finanzämter / Datendiebstahl statt angeblicher Steuerrückerstattung

[datensicherheit.de, 08.05.2025] KnowBe4 hat am 8. Mai 2025 seinen Phishing-Bericht für das erste Quartal 2025 veröffentlicht. „Die Ergebnisse dieses Quartals zeigen die betrügerischsten E-Mail-Betreffzeilen, auf die Benutzer in Phishing-Simulationen klicken, und machen deutlich, dass E-Mails mit HR- und IT-Bezug mehr als 60 Prozent der am häufigsten angeklickten Phishing-E-Mails ausmachen.“ Alle Daten in diesem Bericht seien der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar 2025 und dem 31. März 2025 entnommen worden.

Foto: KnowBe4

Stu Sjouwermans Empfehlung angesichts der Phishing-Gefahr: Unternehmen müssen darauf reagieren, indem sie eine Sicherheitskultur fördern!

Phishing-E-Mails nach wie vor eines der am weitesten verbreiteten Instrumente für Cyber-Angriffe

„Der ,KnowBe4 Phishing Report Q1 2025‘ zeigt, dass die meisten Misserfolge bei der Nachahmung interner Nachrichten, z.B. aus der Personal- oder IT-Abteilung, verzeichnet wurden. Überwältigende 60,7 Prozent der angeklickten Simulationen bezogen sich auf ein internes Team und 49,7 Prozent speziell auf die Personalabteilung.“

• Obwohl sich die Techniken böswilliger Akteure weiterentwickelt hätten, gehörten Phishing-E-Mails nach wie vor zu den am weitesten verbreiteten Instrumenten für Cyber-Angriffe. Cyber-Kriminelle nutzten diese Schwachstelle aus, indem sie täuschend echt aussehende Phishing-E-Mails erstellten.

Diese folgten aktuellen Trends und nutzten menschliche Emotionen aus, um Dringlichkeit vorzutäuschen und die Empfänger dazu zu bringen, auf bösartige Links zu klicken oder schädliche Anhänge zu öffnen. Zu den am häufigsten gemeldeten Themen gehörten „zoom“-Clips von Managern, HR-Schulungsberichte und E-Mail-Server-Warnungen.

Anhaltende Bedrohung durch in E-Mails eingebettete Phishing-Links

Der Bericht unterstreicht die anhaltende Bedrohung durch in E-Mails eingebettete Phishing-Links, welche nach wie vor eine Hauptangriffstaktik darstellen. Die Analyse zeige, dass die Befragten eher auf Links klickten, „die sich auf interne Themen beziehen oder sich als bekannte Marken ausgeben (61,6%), wobei 68,6 Prozent Domain-Spoofing beinhalten“.

• Unternehmen seien besonders anfällig für die Marken-Landingpages von Microsoft, „LinkedIn“ und „Google“, welche zu den drei erfolgreichsten Phishing-Zielen für Login-Daten gehörten.

Der Bericht zeige auch die anhaltende Anfälligkeit der Menschen für Phishing-E-Mails mit QR-Codes: „Die drei am häufigsten gescannten QR-Codes in den Simulationen waren: eine neue Richtlinie der Personalabteilung zu Drogen und Alkohol (14,7%), ein ,DocuSign’ zur Überprüfung und Unterzeichnung (13,7%) und eine ,Happy Birthday’-Nachricht von ,Workday’ (12,7%).“ Bei Kampagnen, die auf Anhängen basieren, seien PDF-Dateien (53%), HTML-Dateien (28,5%) und „Word“-Dateien (18,5%) am häufigsten geöffnet worden.

Angesichts der Phishing-Bedrohung sollten Mitarbeiter befugt sein, verdächtige Kommunikation zu überprüfen, selbst wenn diese vom Management zu stammen scheint

„Es ist offensichtlich, dass die Angreifer wissen, dass Mitarbeiter darauf konditioniert sind, schnell auf Nachrichten zu reagieren, die scheinbar von der Personal- oder IT-Abteilung stammen, und dass sie Markeninhalten von Plattformen wie Microsoft, ,LinkedIn’ und ,Google’ vertrauen, die sie täglich nutzen“, kommentiert Stu Sjouwerman, „CEO“ von KnowBe4.

• Er führt hierzu aus: „Die psychologische Raffinesse, die hinter diesen Angriffen steckt, zeigt, warum das menschliche Risikomanagement im Mittelpunkt der Cyber-Sicherheitsstrategie stehen muss!“

Abschließend rät er: „Unternehmen müssen darauf reagieren, indem sie eine Sicherheitskultur fördern, die eine gesunde Skepsis und Überprüfungsgewohnheiten unterstützt, bei denen sich die Mitarbeiter befugt fühlen, verdächtige Kommunikation zu überprüfen, selbst wenn diese vom Management oder von wichtigen internen Abteilungen zu kommen scheint.“

Weitere Informationen zum Thema:

KnowBe4, 31.03.2025
What Makes People Click? / Top-clicked Phishing Tests | Jan – March 2025

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

datensicherheit.de, 15.03.2025
Phishing-Angriffe in Deutschland nehmen stark zu / BioCatch-Studie untersucht Trends in der Finanzkriminalität und deren Opfer

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten / Agentenbasierte KI-Modelle sind eine spezielle Form Künstlicher Intelligenz (KI), bei der diese in Form vieler autonomer Einheiten operieren

[datensicherheit.de, 07.05.2025] In der heutigen digitalen Welt verlassen sich viele Nutzer offenbar auf große Web-Plattformen wie z.B. „Google“, wenn es um Sicherheit und Vertrauenswürdigkeit geht. „Doch genau dieses Vertrauen machen sich Cyber-Kriminelle zunehmend zunutze!“, warnt Melissa Bischoping, „Head of Security Research“ bei Tanium, in ihrer aktuellen Stellungnahme. Eine neue Methode mache nämlich aktuell dem Weltkonzern Google zu schaffen: „Täuschend echte E-Mails, die angeblich von ,no-reply [at] google [dot] com’ stammen und eine offizielle Vorladung oder dringende Benachrichtigung vortäuschen.“

Foto: Tanium

Melissa Bischoping rät zu robuster Multi-Faktor-Authentifizierung (MFA)

Cyber-kriminelle Nutzung legitim wirkender „Google“-Funktionen

Was auf den ersten Blick legitim wirkt, entpuppt sich bei genauerem Hinsehen demnach „als raffinierte Phishing-Falle“ – mit gravierenden Folgen für die Nutzer. Bischoping führt hierzu aus: „Bei diesen Angriffen werden legitim wirkende ,Google’-Funktionen genutzt, um manipulierte E-Mails zu versenden, die einige herkömmliche Überprüfungen umgehen. Außerdem werden Google-Sites verwendet, um gefälschte Seiten zu hosten und Anmeldedaten zu sammeln.“

Solche E-Mails nutzten eine „OAuth“-Anwendung in Kombination mit einer kreativen „DKIM“-Umgehungslösung, um genau die Sicherheitsvorkehrungen auszuschalten, die vor dieser Art von Phishing-Versuchen schützen sollten. Was diese Taktik laut Bischoping besonders gefährlich macht, ist nicht nur die technische Raffinesse, sondern auch die gezielte Nutzung vertrauenswürdiger Dienste, um sowohl Nutzer als auch Erkennungswerkzeuge zu umgehen.

Einige Komponenten solcher Angriffe mittlerweile von Google behoben

Einige Komponenten dieses Angriffs seien zwar neu – und mittlerweile von Google behoben worden – doch Angriffe, die vertrauenswürdige Unternehmensdienste ausnutzen, sind keine Einzelfälle. Immer mehr Angreifer entschieden sich bewusst dafür, Web-Dienste mit legitimen Anwendungsfälle in Unternehmen zu missbrauchen. „Dies unterstreicht den Trend, dass Angreifer mit zunehmender Leistungsfähigkeit der Erkennungstools nach Möglichkeiten suchen, diese vollständig zu umgehen, anstatt sie mit teuren ,Exploits’ zu überlisten.“

Sie konzentrierten sich auf die „Tools“, Websites und Funktionen, welche Unternehmen in ihrer täglichen Arbeit verwenden. Indem sie sich in den normalen Datenverkehr einfügten und davon ausgingen, dass ein typischer Empfänger eine vertrauenswürdige Domain wie etwa „google.com“ nicht genauer unter die Lupe nehme, erzielten Angreifer eine hohe Erfolgsquote, ohne nennenswerte Investitionen in neue TTPs (Trusted Third Parties) tätigen zu müssen.

„Google“-Beispiel sollte Unternehmen zu mehrschichtigen Abwehrmaßnahmen inkl. Schulung der Benutzer motivieren

„Wie können Unternehmen also in Zukunft damit umgehen? Mehrschichtige Abwehrmaßnahmen und die Schulung der Benutzer sollten immer priorisiert werden!“ Schulungen zur Sensibilisierung sollten mit der Bedrohungslage Schritt halten und sowohl neue als auch weiterhin wirksame Techniken behandeln.

Bischoping rät abschließend: „Gleichzeitig sind technische Schutzmaßnahmen wie ,Link-Sandboxing’ und die Erkennung von Anomalien in heruntergeladenen Inhalten zur Suche nach Ausreißern und potenziellen Indikatoren für die frühzeitige Erkennung und Vertiefung der Verteidigungsebenen von entscheidender Bedeutung.“ Wie immer sei eine robuste Multi-Faktor-Authentifizierung (MFA) unerlässlich, da der Diebstahl und Missbrauch von Anmeldedaten auch weiterhin ein attraktives Ziel bleiben werde.

Weitere Informationen zum Thema:

datensicherheit.de, 26.04.2025
Phishing-Angriffe: Cyber-Kriminelle missbrauchen zunehmend Google Drive / KnowBe4-Forscher „Threat Labs“ haben einen deutlichen Anstieg der über „Google Drive“ verübten Phishing-Angriffe für den Januar 2025 festgestellt

datensicherheit.de, 03.04.2025
Google Play Store: Hunderte bösartige Apps aufgespürt / Bedrohliche Apps mehr als 60 Millionen Mal von „Android“-Nutzern heruntergeladen

datensicherheit.de, 22.01.2021
Check Point: Microsoft und DHL führen im Brand Phishing Report Q4 2020 / Berichte der Sicherheitsforscher des Unternehmens zeigen, dass Cyber-Kriminelle aktuell für Phishing am häufigsten den Tech-Riesen Microsoft und die Spedition DHL imitieren / Geschuldet ist dies der Zunahme von Fernzugriffen im Homeoffice und Online-Shopping.

datensicherheit.de, 20.10.2020
Brand Phishing Report: Microsoft Top-Köder für Phishing / Im dritten Quartal 2020 gelangte Microsoft auf Platz 1 der Top-10

[datensicherheit.de, 05.05.2025] Laut einer aktuellen Stellungnahme von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, hat KnowBe4 vor Kurzem unter Teilnehmern von Anti-Phishing-Trainings und -Tests eine internationale Umfrage durchgeführt: „Befragt wurden Mitarbeiter aus europäischen, nordamerikanischen und afrikanischen Unternehmen. Rund 90 Prozent gaben an, Phishing-Tests für sinnvoll zu halten. Knapp 91 Prozent erklärten, dass die Tests ihr Bewusstsein für das Risiko von Phishing-Angriffen erhöht hätten.“

Foto: KnowBe4

Dr. Martin J. Krämer: Einige spezialisierte Anbieter haben mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot

Zahlreiche Vorurteile über Phishing-Tests im Umlauf

Nach wie vor seien zahlreiche Vorurteile über Phishing-Tests im Umlauf, welche deren Sinnhaftigkeit in Frage stellten. „Es wird bezweifelt, dass die Tests das Risikobewusstsein der Teilnehmer erhöhen, sie zu den richtigen Schlussfolgerungen befähigen“, berichtet Krämer. Sie würden gar solche Tests mehrheitlich ablehnen, da sie nicht ausreichend an ihrem konkreten Arbeitsalltag orientiert seien, die tatsächlichen digitalen Risiken gar nicht oder nur zum Teil realistisch wiedergeben würden.

Entsprechend könne das Gelernte von Teilnehmern kaum konkret angewandt werden. „Und schließlich stünde der Fortbildungsgedanke zu selten im Fokus der Tests, fehle es am erforderlichen Support, mangele es an Nachbearbeitungsmöglichkeiten, für den Fall, dass ein Teilnehmer einmal auf einen Phishing-Test hereinfallen sollte.“ Letztlich werde kaum dazugelernt.

Tests konnten indes durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent senken

Krämer kommentiert: „Dass diese Vorurteile größtenteils unbegründet sind, zeigen nun die Ergebnisse der jüngsten Umfrage von KnowBe4. Bereits Phishing-Testdaten aus dem ,KnowBe4 Phishing Benchmarking-Report’ von 2024 hatten anschaulich demonstriert, dass regelmäßige Tests und Schulungen eine erhebliche Wirkung entfalten können.“ Innerhalb eines Trainings- und Testzyklus von nur einem Jahr, so der Report, sinke die durchschnittliche Phishing-Klickrate von 34,3 auf 4,6 Prozent – „ein Rückgang um sage und schreibe 86 Prozent“.

Krämer führt weiter aus: „Dass Mitarbeiter dies zu schätzen wissen, die Tests befürworten und nicht ablehnen, zeigen die Ergebnisse der jüngsten KnowBe4-Befragung. Länder- und branchenübergreifend gaben über 90 Prozent aller Mitarbeiter an, die Phishing-Tests an ihren Unternehmen als relevant für die Stärkung ihres eigenen Phishing-Risikobewusstseins zu sehen.“

Zahlreiche Verbesserungen von Phishing-Tests in den vergangenen Jahren stärken Motivation

Auch der bemängelte fehlende Bildungsgedanke sei in den vergangenen Jahren weitgehend ausgemerzt worden. „Im Durchschnitt erhalten mittlerweile knapp 70 Prozent aller Mitarbeiter im Fall eines gescheiterten Phishing-Tests Nachschulungen – wobei die Zahlen in den USA mit 85 Prozent deutlich besser, in Frankreich mit erst knapp 57 Prozent deutlich schlechter liegen.“

Dies hänge nicht zuletzt auch mit den zahlreichen Verbesserungen von Phishing-Tests in den vergangenen Jahren zusammen. Moderne Phishing-Trainings, -Schulungen und -Tests ließen sich mittels Künstlicher Intelligenz (KI) mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen. Einige auf Anti-Phishing spezialisierte Anbieter hätten mittlerweile auch moderne Anti-Phishing-E-Mail-Filter im Angebot. Sie kombinierten KI mit „Crowdsourcing“, um so selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können. „Im Gegensatz zu herkömmlichen Lösungen, können diese alle Elemente einer E-Mail ganzheitlich analysieren – einschließlich der Domäne des Absenders, des Inhalts und der Social-Engineering-Taktiken.“

Weitere Informationen zum Thema:

KnowBe4, 2024
PHISHING BY INDUSTRY BENCHMARKING REPORT / 2024 EDITION

datensicherheit.de, 09.04.2025
Neue Mitarbeiter: Vom Sicherheitsrisiko zum Verfechter der betrieblichen Cyber-Sicherheitsstrategie / Miro Mitrovic gibt vier Tipps für Unternehmen beim Onboarding neuer Mitarbeiter zur Integration in die eigene Cyber-Verteidigung

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 15.07.2023
KnowBe4 warnt: Hälfte der E-Mails laut Phishing-Tests HR-bezogen / KnowBe4 hat globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht

[datensicherheit.de, 04.05.2025] Aufgrund zunehmender Phishing-Angriffe hat auch Sophos noch eine Stellungnahme zum „World Password Day 2025“ abgegeben – dabei schwingt ebenfalls die Erwartung mit, dass dieser am 1. Mai 2025 begangene Tag der letzte gewesen sein könnte, denn wenn es nach Chester Wisniewski, „Director“ und „Global Field CISO“ bei Sophos, geht, könnte dieser Tag obsolet werden.

Für die meisten Einzelpersonen Verwendung von Passkeys der einfachste Ansatz

Wissensbasierte Multi-Faktor-Authentifizierung (MFA) wie sechsstellige Codes per SMS oder in Apps oder Push-Benachrichtigungen griffen angesichts der Raffinesse heutiger Cyber-Krimineller zu kurz. Wisniewski führt aus: „Der nächste Schritt heißt phishing-resistente MFA wie ,FIDO2‘ und Passkeys. Diese Technologien sind insgesamt simpler zu handhaben und es ist schwieriger, sie versehentlich an Angreifer weiterzugeben.“ Für die meisten Einzelpersonen sei die Verwendung von Passkeys der einfachste Ansatz, da diese Technologie in der Mehrheit der mobilen Geräte und Desktop-Browsern, Passwortmanagern und Betriebssystemen integriert sei.

Für Hochsicherheitsumgebungen werde die Verwendung sogenannter Smartcards oder Hardware-Tokens empfohlen, welche mit einer PIN oder einem biometrischen Merkmal entsperrt werden müssten. „Für die meisten von uns sind Passkeys, die mit den biometrischen Daten unserer Geräte entsperrt werden, die naheliegende und einfache Art der Authentifizierung.“ Die Authentifizierung an PC oder mobilen Geräten mit eigenem Fingerabdruck oder „Gesichtsabdruck“ werde den Nutzer in Sekundenschnelle sicher bei seinen Sozialen Medien, Finanzinstituten oder E-Mail-Konten anmelden, ohne dass er sich mit Passwörtern herumschlagen muss.

Tipps für ein sichereres Passwort, solange Wechsel zu anderer Strategie noch nicht erfolgt

Für diejenigen, die den Wechsel zu Tokens und Passkeys aber noch nicht vollzogen haben, hier drei nützliche, schnell umzusetzende Sophos-Tipps für ein sichereres Passwort:

1. Jede Seite mit einem eigenen Log-In benötige ein eigenes Passwort. „Das kann mit kleinen Veränderungen wie Zahlen, Sonderzeichen, etc. gelingen.“
2. „Ein Passwort am besten ,anreichern’, sprich: Man wählt ein Grundwort und addiert Zahlen, Sonderzeichen und Großbuchstaben dazu.“ Noch besser wäre eine Kombination aus Buchstaben, Zahlen und Sonderzeichen ohne Wortbedeutung. Das könne man sich natürlich unmöglich alles merken, daher:
3. Einen bewährten Passwortmanager nutzen, welcher wie ein Hausmeister alle Schlüssel parat habe. „Hier muss sich der Nutzer nur ein Generalpasswort ausdenken und merken.“

Weitere Informationen zum Thema:

datensicherheit.de, 02.05.2025
World Password Day sollte überflüssig werden – in einer von Passwörtern befreiten Zukunft / Menschliches Verhalten bei der Auswahl der Passwörter kann mit Hilfe von KI und Rechenleistung ausgenutzt werden

datensicherheit.de, 03.02.2025
Change your Password Day 2025 mahnt: Höchste Zeit für Passkeys und Multi-Faktor-Authentifizierung / Die durchschnittliche Person verwaltet rund 100 Passwörter und verwendet daher zumeist unsichere Umgehungslösungen

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr