[datensicherheit.de, 25.04.2026] Kriegerische Auseinandersetzungen veränderten nicht nur geopolitische Kräfteverhältnisse, sondern schafften auch ein Klima der Unsicherheit bei Unternehmen auf der ganzen Welt, welche Cyberkriminelle systematisch für ihre Zwecke instrumentalisierten. „Die militärische Eskalation im Nahen Osten zeigt einmal mehr, wie schnell und wie koordiniert Hacker auf weltpolitische Ereignisse reagieren, um ihre Social-Engineering-Kampagnen anzupassen“, so Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in einer aktuellen Stellungnahme. Für Unternehmen bedeutet dies demnach, dass sich die Bedrohungslage in direkter Wechselwirkung mit dem aktuellen Nachrichtengeschehen entwickelt. Befeuert durch den Einsatz Künstlicher Intelligenz (KI) erreichten diese Phishing-Angriffe mittlerweile eine beispiellose Geschwindigkeit und qualitative Präzision.

Foto: KnowBe4

Dr. Martin J. Krämer: Nachrichten, die unmittelbaren Handlungsbedarf suggerieren, etwa zur Freigabe von Zahlungen oder zur sofortigen Prüfung von Dokumenten, sollten als Warnsignal gewertet werden!

Krisen als Verstärker der Wirksamkeit von „Social Engineering“ für Hacker

Angriffe auf die menschliche Entscheidungsebene entfalteten besonders dann Wirkung, „wenn sich das Opfer in einem Zustand erhöhter Anspannung oder Ablenkung befindet“.

• Weltweite Krisen wie Pandemien, Naturkatastrophen oder bewaffnete Konflikte dienten Kriminellen daher regelmäßig als Rahmen, um Dringlichkeit zu simulieren, Vertrauen zu erschleichen und Sicherheitsmechanismen zu umgehen.

„Aktuelle Beobachtungen aus der Region zeigen, dass sich dieses Muster im Zuge des Nahost-Konflikts erneut bestätigt“, warnt Krämer.

Deutlicher Anstieg der Hacker-Angriffsaktivität

Untersuchungen des Cybersicherheitsunternehmens Bitdefender belegten einen signifikanten Anstieg gezielter Phishing-Aktivitäten nach Beginn der militärischen Auseinandersetzungen: „In den Wochen nach den ersten US-israelischen Angriffen auf iranisches Territorium Ende Februar 2026 verzeichneten die Forscher einen Anstieg manipulierter E-Mails in den Golfstaaten um rund 130 Prozent, wobei die Spitzenwerte zeitweise das Vierfache des üblichen Niveaus erreichten.“

• Die Analyse zeige, dass es sich dabei nicht um vereinzelte opportunistische Aktionen handele, sondern um koordinierte, dynamisch angepasste Kampagnen. Angreifer reagierten in Echtzeit auf die sich verändernde Nachrichtenlage und nutzten die wirtschaftlichen Störungen, insbesondere im regionalen Schifffahrts- und Handelsverkehr, als glaubwürdige Tarnung.

Als Köder dienten vor allem geschäftlich relevante Formate wie Rechnungen, Verträge, Bankdokumente und Lieferbenachrichtigungen. „Während staatlich gesteuerte Akteure in der Region ebenfalls aktiv sind, geht Bitdefender davon aus, dass der überwiegende Teil des Anstiegs auf finanziell motivierte Kriminelle zurückzuführen ist.“

Empfehlungen für Unternehmen und Anwender zur Abwehr von Hacker-Angriffen

Organisationen sollten ihre Mitarbeiter gezielt für krisenbedingte Social-Engineering-Angriffe sensibilisieren. Unerwartete Anhänge, auch von vermeintlich vertrauten Absendern, sollten grundsätzlich mit Vorsicht behandelt und im Zweifel über einen unabhängigen Kanal verifiziert werden. Dateiformate wie „.eml“, „.jar“, „.rar“ oder „.hta“ seien dabei ebenso als potenziell gefährlich einzustufen wie klassische ausführbare Dateien.

• „Komprimierte Archive aus unbekannten Quellen gelten als besonders verbreiteter Umgehungsvektor für Sicherheitsfilter.“

Krämer führt aus: „Nachrichten, die unmittelbaren Handlungsbedarf suggerieren, etwa zur Freigabe von Zahlungen oder zur sofortigen Prüfung von Dokumenten, sollten als Warnsignal gewertet werden!“ Vor dem Öffnen von Links empfiehlt sich demnach die Überprüfung der tatsächlichen Zieladresse. Finanzielle oder rechtlich relevante Anfragen sollten stets über offizielle, unabhängige Kanäle bestätigt werden.

Hacker-Angriff zielen zunehmend auf persönliche Konten

Dass sich diese Entwicklung längst nicht mehr auf Unternehmenssysteme beschränke, belege ein prominenter Vorfall aus den USA: „Eine dem Iran zugerechnete Gruppierung drang in ein privates E-Mail-Konto von FBI-Direktor Kash Patel ein und veröffentlichte daraus stammende Fotos und Dokumente.“

• Die Realität sei, dass Angreifer zunehmend persönliche Konten ins Visier nähmen – mit dem Ziel der Rufschädigung und potenziell auch der Erpressung. Der Schutz von Führungskräften und exponierten Mitarbeitern müsse daher konsequent über den beruflichen Kontext hinausgedacht werden.

Krämers Fazit: „Unternehmen sind gut beraten, ihre Sicherheitsstrategie um eine kontinuierliche, realitätsnahe Sensibilisierung aller Mitarbeitenden zu ergänzen, die sowohl berufliche als auch private digitale Verhaltensweisen einbezieht: Nur wer das menschliche Urteilsvermögen als integralen Bestandteil der Cyber-Verteidigung begreift, kann auch in der aktuellen Bedrohungslandschaft Schritt halten!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

Bitdefender, Alina BÎZGĂ, 25.03.2026
War in the Middle East Triggers Surge in Phishing and Malware Campaigns Targeting Gulf Countries

datensicherheit.de, 27.03.2026
Iran-Krieg als Aufhänger: Cyberkriminelle missbrauchen geopolitische Ereignisse für Malware-Attacken auf Geschäftskommunikation / „Bitdefender Labs“ melden Zunahme opportunistischer Malware-Cyberkriminalität zu geschäftlichen Abläufen in Echtzeit

[datensicherheit.de, 11.04.2026] Vor Kurzem haben Sicherheitsanalysten von Group-IB in einem Blog-Beitrag über eine unlängst aufgespürte Phishing-Kampagne berichtet, welche demnach Kunden von Paketzustelldiensten, Online-Shops und Transport-Apps ins Visier nimmt. Die Angreifer tarnten sich als bekannter Zustelldienst und versenden SMS-Nachrichten, mit denen sie versuchten, ihre Opfer auf Phishing-Webseiten zu locken, um deren Nutzer- und Bankdaten zu erbeuten. Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, kommentiert diese Phishing-Kampage in seiner aktuellen Stellungnahme:

Foto: KnowBe4

Dr. Martin J. Krämer: Wollen Sie Ihren Lieferstatus prüfen, sollten Sie immer selbständig die Website des Kurierdienstes öffnen und ihre Liefernummer manuell eingeben!

Opfer werden angeblich zur offiziellen Website des Paketdienstleisters weitergeleitet und landen aber auf getarnter Phishing-Webseite

In aller Regel beginne ein solcher Phishing-Angriff mit einer anonymen SMS-Nachricht von einer lokal erscheinenden Telefonnummer, in der die Betrüger – ausgestattet mit einer gefälschten Absender-ID – behaupteten, dass die Zustellung eines Pakets aus irgendeinem Grund fehlgeschlagen sei.

• Nach mehreren gescheiterten Zustellversuchen sei dieses Paket nun vom Dienstleister an den Absender zurückgesandt worden. Das Opfer werde sodann aufgefordert, so schnell wie möglich auf eine Webseite des Unternehmens zu wechseln – wo es seine Adressdaten aktualisieren und verschiedene Zahlungen, wie Bearbeitungsgebühren, Steuern oder Zölle, ableisten solle. Sobald dies geschehen sei, werde das Paket dem Opfer erneut zugesandt.

Um diese Daten nun möglichst rasch und unkompliziert eingeben zu können, erhalte das Opfer in der SMS-Nachricht einen Link zugesandt: Angeblich leite dieser das Opfer zu einer offiziellen Website des Paketdienstleisters weiter. Tatsächlich lande es aber auf einer getarnte Phishing-Webseite. Dort angekommen, werde das Opfer dann aufgefordert, persönliche Informationen, Bank-Daten oder auch gleich seine Kreditkartennummer einzugeben.

Phishing-Angriffskampagne noch längst nicht ausgestanden: Warnung an Verbraucher und Unternehmen

Krämer berichtet: „Eine Analyse der Kampagnen-Infrastruktur ergab wiederkehrende IP-Adressen, Domain-Registrare und Überschneidungen bei Hosting-Anbietern, was auf eine koordinierte Operation hindeutet. Eine HTML-Analyse deckte zudem eingebettete Skripte, WebSocket-Verbindungen, Echtzeit-Keylogging, UUID-Sitzungsverfolgung und die direkte Exfiltration der Anmeldedaten auf.“

• Nutzern von Paketzustelldiensten könne nur geraten werden, bei der Nachverfolgung ihrer Sendungen Vorsicht walten zu lassen. Diese Angriffskampagne ist noch längst nicht ausgestanden. Unter keinen Umständen sollten sie auf SMS-Links, wie den hier vorgestellten, oder auf ihnen zugesandte angebliche Tracking-Links zu ihren Sendungen klicken.

Krämer rät dringend: „Wollen Sie Ihren Lieferstatus prüfen, sollten Sie immer selbständig die Website des Kurierdienstes öffnen und ihre Liefernummer manuell eingeben! Als wichtigste Maßnahme gilt aber nach wie vor, sich kontinuierlich über die aktuelle Cybersicherheitslage, über Risiken und geeignete Abwehrmaßnahmen, auf dem Laufenden halten und das Wissen dann selbst zur Anwendung zu bringen.“ Auch Unternehmen könne nur geraten werden, ihre diesbezüglichen Bemühungen zu forcieren, regelmäßig Sicherheitstrainings und -schulungen für die gesamte Belegschaft durchzuführen. „Anders werden sich Phishing-Kampagnen, wie die hier vorgestellte, kaum in den Griff bekommen lassen“, betont Krämer abschließend.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

GROUP-IB, Blog, 13.03.2026
The Rise of Fake Shipment Tracking Scams in MEA: Did you really lose your shipment on the way?

datensicherheit.de, 27.08.2025
Falsche Nummer: Warnung vor Zunahme von SMS-Betrugsmaschen / Eine scheinbar harmlose SMW-Nachricht von einer unbekannten Nummer kann der Beginn eines geschickten Betrugsversuches sein

datensicherheit.de, 11.03.2025
Cyberkriminalität im Alltag: Phishing-Angriffe über gefälschte SMS / Gefälschte Zahlungsaufforderungen für Parkverstöße

datensicherheit.de, 15.08.2022
SMS-Phishing-Angriff: Lookout-Erkenntnisse zu Cyber-Vorfall bei Twilio / Lookout rät zu Schutz vor mobilen Phishing-Angriffen als wichtigem Bestandteil der allgemeinen Sicherheitsstrategie jedes Unternehmens

datensicherheit.de, 09.04.2021
Vermeintlicher Paketdient-SMS täuscht Verbraucher / Verbraucherentrale NRW warnt vor Abzocke mittels gefälschter SMS-Nachrichten

[datensicherheit.de, 27.03.2026] Am 25. März 2026 meldeten die „Bitdefender Labs“, dass opportunistisch agierende Cyberkriminelle den gegenwärtigen USA-Iran-Israel-Konflikt für Phishing-Mail-Kampagnen ausnutzen. So stellten sie eine Zunahme von Phishing-Mails zu geschäftlichen Vorgängen vor dem Hintergrund der aktuellen Eskalation fest: Seit dem 28. Februar 2026, dem Beginn der Auseinandersetzungen zwischen den USA und Israel mit dem Iran, ist demnach ein deutlicher Anstieg von Malware-Kampagnen in der Region am Persischen Golf zu verzeichnen: „Im Schnitt wuchs dabei das Volumen von E-Mail-Phishing um mehr als 130 Prozent im Vergleich zum Aufkommen vor dem Beginn der kriegerischen Eskalation.“

Golfregion als Umschlagplatz für Finanzen und Kraftstoffe im Malware-Visier

Die Inhalte dieser eher opportunistisch motivierten E-Mails bezögen sich häufig auf geschäftliche Abläufe wie Rechnungen, Verträgen, finanzielle Angelegenheiten und Lieferungen.

• „Die Phishing-Kampagnen lassen sich in diesem Stadium des Konflikts keiner Gruppierung mit staatlichem Hintergrund zuschreiben.“

Die sogenannte Golfregion sei durch ihre Rolle als Umschlagplatz für Finanzen und Kraftstoffe sowie als Schaltzentrale für globale wirtschaftliche Netzwerke, Projekte und internationalen Handel ein attraktives Ziel für cyberkriminelle Trittbrettfahrer.

Hacker können kurzfristig Malware-Kampagnen an aktuelle Ereignisse in einer Region anpassen

Das Aufkommen bösartiger Korrespondenzen habe an Spitzentagen das Volumen vor Beginn der Auseinandersetzungen um das Vierfache überschritten. Dieser schnelle Anstieg beweise, wie Hacker kurzfristig ihre Kampagnen zum Ausspielen von Malware an aktuelle Ereignisse in einer Region anpassen könnten.

• Dabei nutzten sie opportunistisch auch geschäftliche Themen als Aufhänger: „Es geht scheinbar darum, Kredite zu genehmigen, Garantien einzuhalten oder finanziellen Arrangements zuzustimmen.“

Weitere Anlässe für die Trittbrettfahrer seien Nachrichten über ausbleibende Lieferungen. Hacker würden dann mit hoher Dringlichkeit um ein Tracking oder Aktionen zur Freigabe der Ware bitten.

Ausspielen der Malware über angebliche Rechnungen als infizierte Anhänge

Hacker nutzten dabei verschiedene Angriffstechniken wie etwa „Java“-basierte Remote-Access-Trojaner (etwa der „STRRAT“-Familie) oder mehrstufige Fileless-Angriffe mit „PowerShell“.

• Das Ausspielen der Malware erfolge in den analysierten Fällen über angebliche Rechnungen als infizierte Anhänge. In anderen Fällen zeige die Malware eine graphische Nutzeroberfläche an, welche das schädliche „Tool“ als legitime „Java“-Utility oder als Software-Tool tarne.

Eine persistente, dauerhafte Präsenz im Opfersystem sichere sich die Malware, indem sie einen alle dreißig Minuten auszuführenden Task „Skype“ anlege. In anderen Beispielen platzierten Hacker ihre Malware im Autostart-Ordner, so dass die Schadsoftware mit jedem Hochfahren des Rechners ihre Tätigkeit neu aufnehme.

Tipps für Unternehmen zum Schutz vor Malware-Angriffen

Nutzer können sich laut „Bitdefender Labs“ schützen, indem sie

• unerwartete Anhänge kritisch prüfen,
• E-Mail-Anhängen nicht aufgrund formaler Kriterien, wie einer legitimen Dateierweiterung (.eml, .jar, .rar oder etwa .hta), vertrauen,
• Zip-Archive von unbekannten Quellen nicht akzeptieren,
• Links vor dem Klicken überprüfen,
• finanzielle und rechtliche Anfragen unabhängig überprüfen sowie
• ihre IT regelmäßig aktualisieren und Lösungen zur Cybersicherheit nutzen.

Weitere Informationen zum Thema:

Bitdefender
Auf Vertrauen gebaut. Mit Sicherheit bewährt.

Bitdefender, Alina BÎZGĂ, 25.03.2026
War in the Middle East Triggers Surge in Phishing and Malware Campaigns Targeting Gulf Countries

datensicherheit.de, 08.01.2026
Bitdefender-Rat an Unternehmen: 2026 von Reaktion zur Prävention wechseln / Laut Bitdefender könnte bzw. sollte sogar 2026 zum „Schaltjahr in der Cyberdefensive“ werden

[datensicherheit.de, 26.03.2026] Mandiant hat seinen jährlichen „M-Trends“-Bericht veröffentlicht, welcher die Erkenntnisse aus über 500.000 Stunden zusammenfassen soll, die Mandiant und die „Google Threat Intelligence Group“ (GTIG) im Jahr 2025 auf die Untersuchung von Sicherheitsvorfällen aufgewendet haben, um nun einen umfassenden Überblick über die aktuelle Bedrohungslage zu liefern. Der Report zeigt laut Mandiant auf: „Dank KI konnten Angreifer ihre Operationen ausweiten. Dennoch lässt sich der Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückführen.“

Abbildung: Mandiant

„M-Trends“-Bericht: Großteil der Angriffe weiterhin auf Sicherheitslücken bei Menschen, Prozessen und Systemkontrollen zurückzuführen

Mandiant warnt vor Aufstieg des sprachbasierten „Social Engineering“

Voice-Phishing (Vishing) habe sich mit elf Prozent rasant zum zweithäufigsten Vektor für Erstinfektionen entwickelt. Sicherheitslücken seien mit 32 Prozent bereits das sechste Jahr in Folge der häufigste Angriffsvektor.

• Sicherheitsteams sollten sich auf diesen Trend einstellen. „Zum Vergleich: E-Mail-Phishing nutzt nicht-interaktive technischen Köder und setzt auf Masse sowie eine breit gestreute Zustellung ohne besonderen Anlass.“

Bei interaktiven Methoden wie dem Vishing dagegen lenke eine reale Person das Gespräch in Echtzeit. Daher seien diese Angriffe deutlich widerstandsfähiger gegenüber automatisierten technischen Kontrollen und erforderten andere Erkennungsstrategien. Speziell in der EMEA-Region (Europa-Arabien-Afrika) sei jedoch E-Mail-Phishing im Vergleich zum globalen Trend, wo dessen Gesamtanteil weiter sinke, weiterhin präsenter geblieben.

Mandiant-Bericht zeigt auch, dass Ransomware-Gruppen versuchen, Daten-Wiederherstellung absichtlich zu verhindern

Im Jahr 2025 geriet laut den Untersuchungen von Mandiant die Tech-Branche am häufigsten ins Visier von Bedrohungsakteuren: Diese überhole damit den Finanzdienstleistungssektor, welcher in den Jahren 2023 und 2024 an erster Stelle gestanden habe.

• „Es zeichnet sich ein wachsender Trend ab, bei dem ein Angreifer sich zunächst Zugang verschafft, diesen dann aber schnell an einen anderen weitergibt, der Angriffe mit größerer Wirkung wie Ransomware durchführt.“ Cyberkriminelle agierten zunehmend wie hocheffiziente Unternehmen und gingen Partnerschaften ein. Damit könnten sie das Zeitfenster, innerhalb dessen Verteidiger eingreifen könnten, von mehreren Stunden auf Sekunden verkürzen. Die Zugangsübergabe zwischen Angreifern erfolge so schnell – manchmal in weniger als 30 Sekunden –, dass Warnmeldungen, die traditionell als „weniger wichtig“ eingestuft würden, sehr schnell zu schwerwiegenden Sicherheitsverletzungen führen könnten.

Der Bericht zeige auch auf, dass sich Ransomware-Gruppen zunehmend darauf konzentrierten, die Wiederherstellung der Daten absichtlich zu verhindern, anstatt nur Daten zu stehlen. Sie griffen systematisch Backup-Infrastrukturen, Identitätsdienste und die Verwaltungsebene der Virtualisierung an. Indem sie die Möglichkeit der Datenwiederherstellung zunichtemachten, übten die Angreifer enormen Druck auf die Unternehmen aus, das geforderte Lösegeld zu zahlen.

Laut Mandiant stieg globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage an

Im Jahr 2025 sei die globale mittlere Verweildauer von Angreifern im System im Durchschnitt auf 14 Tage angestiegen. „Dieser Wert ist vor allem auf Cyberspionage zurückzuführen sowie auf Vorfälle mit nordkoreanischen IT-Mitarbeitenden:

• Diese lassen sich mit gefälschten oder gestohlenen Identitäten in westlichen Unternehmen anstellen, um zusätzliches Kapital für das nordkoreanische Regime zu generieren.“ Bei diesen Fällen habe die mittlere Verweildauer jeweils 122 Tage betragen.

Die mittlere Verweildauer in der EMEA-Region liege über dem globalen Durchschnitt von 14 Tagen mit hier 20 Tagen im Jahr 2025 – wobei dies immer noch einen Rückgang um sieben Tage gegenüber 2024 bedeute.

Mandiant-Bericht zeigt: 60 Prozent der Vorfälle in der EMEA-Region zuerst intern erkannt

Im Jahr 2025 seien 60 Prozent der Vorfälle in der EMEA-Region zuerst intern durch eigene Mitarbeiter, eigene Sicherheitslösungen oder verdächtige Aktivitäten identifiziert worden.

• 40 Prozent der Vorfälle seien durch externe Benachrichtigung erkannt worden – etwa von Strafverfolgungsbehörden, CERTs oder Cybersicherheitsunternehmen bzw. auch durch Angreifer selbst, in Form einer Lösegeldforderung.

Dies stelle eine Umkehrung der Trends von 2024 dar. Im weltweiten Vergleich (52 Prozent der Vorfälle intern erkannt, 48 Prozent extern) lägen Unternehmen der EMEA-Region damit hinsichtlich der internen Erkennung von Vorfällen vorne.

Weitere Informationen zum Thema:

Google Cloud, Mandiant Cybersecurity Consulting
Verbessern Sie Ihre Cyberabwehr – von der Reaktion auf Vorfälle bis hin zur Ausfallsicherheit

Google Cloud, Jurgen Kutscher, 23.03.2026
Threat Intelligence / M-Trends 2026: Data, Insights, and Strategies From the Frontlines

Google Cloud, Mandiant
M-Trends 2026 Report: Real-world investigations and actionable defense insights / A definitive look into the threats and tactics used in breaches, grounded in over 500k hours of incident investigations in 2025 by Mandiant

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 31.09.2020
EMEA-Region: Finanzindustrie im Visier / NETSCOUT kommentiert die zunehmende Anzahl der Cyber-Angriffe auf die Finanzindustrie im Wirtschaftsraum Europa-Arabien-Afrika

[datensicherheit.de, 15.03.2026] Thomas Sonne, „Channel Sales Director“ bei Outpost24, warnt in seiner aktuellen Stellungnahme vor „gefährlichen ,Easter Eggs’ im Postfach“ – auch die bevorstehenden Osterfeiertage bedeuten für viele Unternehmen wieder eine reduzierte Besetzung. Sonne gibt zu bedenken: „Projektabschlüsse vor dem langen Wochenende, Abwesenheitsnotizen im E-Mail-Postfach und der gedankliche Wechsel in den Urlaubsmodus sorgen für eine veränderte Aufmerksamkeitsspanne.“ Genau diese Kombination nutzten nun Cyberkriminelle gezielt aus: Phishing-Kampagnen rund um Feiertage gehörten seit Jahren zu den effektivsten Methoden, um Zugangsdaten abzugreifen oder Schadsoftware in Unternehmensnetze einzuschleusen.

Feiertags- bzw. Urlaubsmodus als Einfallstor für Phishing-Attacken

Besonders kurz vor Feiertagen steige das Aufkommen täuschend echter E-Mails deutlich an. „Dringende Zahlungsfreigaben oder Passwort-Resets wirken in Stresssituationen besonders glaubwürdig“, warnt Sonne.

• Gleichzeitig fehle Personal, um bei Rückfragen zur Verfügung zu stehen – Verantwortliche seien dann bereits im Urlaub oder nur eingeschränkt erreichbar.

„Diese Kombination sorgt dafür, dass Mitarbeiter eher auf manipulierte Links klicken oder Anhänge unbedacht öffnen!“

Phishing öffnet Zugänge – verdächtige Aktivitäten bleiben häufiger unentdeckt

„Ein erfolgreicher Phishing-Angriff endet selten mit dem bloßen Abfluss einzelner Daten. Häufig nutzen Angreifer die abgefangenen Zugangsdaten als Einstiegspunkt für weiterführende Angriffe.“

• Wiederverwendete oder einfache Passwörter ermöglichten zudem, sich unbemerkt im Netzwerk zu bewegen – oft über Tage oder Wochen hinweg.

Problematisch sei dabei, dass kompromittierte Zugangsdaten nicht immer sofort auffielen: Während der Feiertage blieben ungewöhnliche Login-Versuche oder verdächtige Aktivitäten häufiger unentdeckt.

Technische Schutzmaßnahmen gegen Phishing notwendig – doch der Mensch muss mitwirken

Sonne führt aus: „Moderne Sicherheitslösungen erkennen viele Phishing-Versuche automatisiert. Dennoch bleibt der Mensch ein entscheidender Faktor. Kurz vor Feiertagen sinkt die Aufmerksamkeit, und dieser Faktor lässt sich technisch nur begrenzt kompensieren.“

Entscheidend sei ein Zusammenspiel aus technischen Kontrollen, klaren Prozessen und einer realistischen Einschätzung typischer Angriffsszenarien.

Dazu zählten unter anderem:

• mehrstufige Authentifizierungsverfahren für kritische Systeme
• regelmäßige Überprüfung kompromittierter Zugangsdaten
• Sensibilisierung für saisonale Phishing-Muster

Feiertage in Cyberabwehr-Strategie einbinden, um Phishing und Folge-Attacken abzuwehren

Cyberangriffe orientierten sich zunehmend an menschlichen Routinen – Feiertage eingeschlossen. Unternehmen, welche Sicherheitsstrategien auch auf solche Zeiträume ausrichteten, reduzierten ihr Risiko erheblich.

• „Gerade Ostern, Weihnachten oder die Sommerferien sind planbare Stress- und Abwesenheitsphasen, die sich gezielt absichern lassen!“, so Sonnes Fazit.

Auch in „Awareness“-Trainings im Alltag oder als „Reminder“ vor solchen Feiertagen sollten diese Themen noch einmal explizit aufgenommen werden.

Weitere Informationen zum Thema:

Outpost24
Volle Transparenz. Klare Prioritäten. Professionelle Sicherheit. / Behalten Sie Ihre Angriffsfläche kontinuierlich im Blick und erhalten Sie verwertbare Informationen, um schneller auf gezielte Bedrohungen gegen Ihre Organisation zu reagieren.

heise business services, Experten
Thomas Sonne / Channel Sales Director DACH, Outpost24

datensicherheit.de, 22.12.2025
Phishing-Hochsaison Weihnachten – Bitdefender-Analyse zu E-Mail-Spam / Jede zweite E-Mail mit Bezug auf Weihnachten bzw. den Weihnachtsurlaub ist bösartig – Deutschland als Adressaten- und Absenderland spielt eine nicht ganz unbedeutende Rolle

datensicherheit.de, 24.10.2025
Trick and Threat: Halloween auch in Deutschland Köder für saisonalen Internetbetrug / Deutschland laut Bitdefender-Telemetrie auf Rang 2 als Zielland für Spambetrug – 63 Prozent des Spams mit „Halloween“-Bezug sind bösartig und beabsichtigen, Malware zu implementieren oder Zugangsdaten oder Geld zu stehlen

datensicherheit.de, 05.08.2025
Ferienzeit als Hochsaison für Angreifer – DNS kann bei pre-emptive Security und Zero Trust für Entlastung sorgen / Da nahezu die gesamte Kommunikation über das „Domain Name System“ (DNS) läuft, ist es der ideale Ansatzpunkt für eine Sicherheitslösung

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten / Agentenbasierte KI-Modelle sind eine spezielle Form Künstlicher Intelligenz (KI), bei der diese in Form vieler autonomer Einheiten operieren

datensicherheit.de, 28.06.2024
Betrugs-Hochsaison während der Sommerferien: KnowBe4 warnt und gibt Sicherheitstipps / Cyber-Kriminelle sind unerbittlich und missbrauchen oft entspannte Ferienstimmung

[datensicherheit.de, 05.03.2026] In seiner aktuellen Stellungnahme geht Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, auf ein neuartiges, von den „KnowBe4 Threat Labs“ vor Kurzem aufgespürtes Phishing-as-a-Service-Kit namens „Kratos“ ein. „Kratos“ ermöglicht demnach selbst cyberkriminellen Anfängern die Durchführung hochkomplexer Cyberangriffe.

Foto: KnowBe4

Dr. Martin J. Krämer rät Unternehmen zum Einsatz eines modernen „Human Risk Management“-Systems

Auch große Angriffe auf mehr als 20 Staaten mit „Kratos“-Hilfe problemlos umsetzbar

Vor Kurzem haben Sicherheitsanalysten der „KnowBe4 Threat Labs“ einen ersten Bericht zum Anfang 2026 aufgespürten Phishing-as-a-Service-Kit „Kratos“ vorgestellt.

• „Kratos“ ist demnach eine ganzheitliche Phishing-Plattform, spezialisiert auf webbasiertes „Harvesting“ und das Management von Opferdaten. Diese sei entwickelt worden, um das Kampagnenmanagement zu zentralisieren und fortschrittliche Phishing-Tools zu demokratisieren.

Selbst sehr große Angriffe, welche sich auf mehr als 20 Staaten erstreckten, seien mit ihrer Hilfe problemlos umsetzbar – gleichermaßen für fortgeschrittene wie noch unerfahrene Cyberkriminelle.

Mit „Kratos“ Abrechnungs- und Verwaltungsabläufe von „Adobe Creative Cloud“- und „Adobe Document Cloud“-Nutzern überzeugend nachzuahmen

Krämer berichtet: „Erstmals kamen die Analysten dem ,Kratos’-Kit auf die Spur, als sie auf einen hochentwickelten Social-Engineering-Angriff mit ,Adobe’-Thematik stießen.“ Den Angreifern sei es – eben dank „Kratos“ – gelungen, die Abrechnungs- und Verwaltungsabläufe von „Adobe Creative Cloud“- und „Adobe Document Cloud“-Nutzern überzeugend nachzuahmen und für ihre bösartigen Aktivitäten zu missbrauchen.

• Die „Kratos“-Plattform arbeitet laut Krämer mit einer „zirkulären, hochgradig widerstandsfähigen Logik“, welche darauf ausgelegt sei, die Datenerfassung zu maximieren und gleichzeitig die Spuren des Angreifers zu minimieren. Das Kit-Backend erfasse wichtige Besucherdaten und Geolokalisierungen, welche im Webserver-Speicher abgelegt würden, um etwaige Sicherheitsforscher und Nicht-Zielregionen von vorneherein aus dem Opferkreis auszuschließen.

„Gelingt es, die Opfer so zu manipulieren, dass sie ihre ,Credentials’ eingeben, nutzt das Kit eine ,JavaScript’-basierte entkoppelte Architektur, um die exfiltrierten Daten zu verarbeiten. Sie werden in das ,JSON’-Format überführt – ein häufig verwendetes XML-basiertes Format – und dann direkt an den ,Telegram’-Kanal des Angreifers versandt, wo dieser sie dann für weitere bösartige Aktivitäten missbrauchen kann.“

Mehrere Kampagnencluster identifiziert, welche das „Kratos“-Kit nutzten

„Kratos“ mache es dabei auch wenig erfahrenen Angreifern relativ leicht, ausgeklügelte Multi-Vektor-Kampagnen auszuführen, welche noch vor wenigen Jahren professionellen, hochqualifizierten Bedrohungsakteure vorbehalten geblieben wären. Weltweit seien solche und ähnliche Kits auf dem Vormarsch.

• „Experten gehen davon aus, dass sich schon zum Ende des Jahres über 90 Prozent aller ,Credential’-Kompromittierungsversuche auf solche und ähnliche Phishing-as-a-service-Kits zurückverfolgen lassen werden.“ „Kratos“ werde dann, davon sei auszugehen, weit vorne mit dabei sein. Krämer führt weiter aus: „Bereits im ersten Quartal 2026 konnten die ,KnowBe4 Threat Labs’ mehrere Kampagnencluster identifizieren, die das ,Kratos’-Kit zum Ausgangspunkt hatten.“

Angreifer seien mit diesen Kampagnen-Kits sehr erfolgreich. Mit den Multi-Vektor-Payloads von „Kratos“ (die bösartige QR-Codes, EML-Anhänge und sogar ICS-Kalenderdateien enthalten könnten) operierten sie äußerst effektiv.

Mitarbeiter zur besten Verteidigung gegen Cyberbedrohungen wie „Kratos“ machen

Um sich erfolgreich gegen diese wachsende Phishing-Kit-Angriffswelle verteidigen zu können, raten die „KnowBe4 Threat Labs“ Unternehmen zu einem Wechsel ihrer bisherigen Verteidigungsstrategie – weg von rein statischen, reaktiven Verteidigungsmaßnahmen, hin zu einem mehrschichtigen, proaktiven Sicherheitsansatz.

• Entscheidend sei dabei eine kontinuierliche Fokussierung auf den Sicherheitsfaktor „Mensch“. Er dürfe dabei nicht nur als Risiko, sondern er müsse sogar als erste und widerstandsfähigste Verteidigungslinie der IT-Sicherheit eines jeden Unternehmens verstanden, auf- und ausgebaut werden. „Am effektivsten – da umfassendsten – hilft hier der Einsatz eines modernen ,Human Risk Management’-Systems. Seine Phishing-Trainings, -Schulungen und -Tests lassen sich, KI sei Dank, mittlerweile personalisieren und automatisiert – kontinuierlich – zum Einsatz bringen“, so Krämer.

Seine modernen Anti-Phishing-E-Mail-Technologien kombinierten KI mit „Crowdsourcing“, um auch neueste „Zero Day“-Bedrohungen frühzeitig aufzuspüren und rechtzeitig abzuwehren. Krämer unterstreicht abschließend: „Mit solchen und ähnlichen Systemen ist es Unternehmen möglich, ihre Risiken signifikant zurückzufahren und ihre Mitarbeiter zur besten Verteidigung im Kampf gegen Cyberbedrohungen wie ,Kratos’ zu machen.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

knowbe4, KnowBe4 Threat Lab, Jeewan Singh Jalal & Prabhakaran Ravichandhiran & Anand Bodke, 27.02.2026
The Rise of Kratos: How the New Phishing-as-a-Service Kit Industrializes Cybercrime

KnowBe4
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 06.04.2025
KI ermöglicht Cyber-Betrug 2.0: TEHTRIS-Studie zu Deepfake-as-a-Service / Industrialisierung von Deepfakes und KI im Dienste der Cyber-Kriminalität – neue Welle automatisierter und ausgeklügelter Bedrohungen befürchtet

datensicherheit.de, 28.03.2025
Medusa: Ransomware-as-a-Service seit 2021 aktiv – aktuell mit verstärkter Aktivität / FBI und CISA informieren über Ransomware-Bedrohung in den USA

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 04.03.2026] Javvad Malik, leitender „CISO Advisor“ bei KnowBe4, betont die durch eine aktuelle KnowBe4-Umfrage gestützte Warnung, dass Dringlichkeit als wichtigstes Indiz beim Erkennen betrügerischer E-Mails gelten sollte. Denn die Zeiten, in denen man Phishing-E-Mails etwa an ihrer schlechten Grammatik erkennen konnte, sind demnach vorbei. Die neue Umfrage von KnowBe4 zeigt laut Malik, dass Mitarbeiter nicht mehr Rechtschreibfehler im Text, sondern den Versuch, ein Gefühl der Dringlichkeit zu vermitteln, als zuverlässigstes Erkennungsmerkmal für Betrugsversuche ansehen sollten.

Foto: KnowBe4

Javvad Malik gibt zu bedenken, dass die menschliche Intuition ein digitales Sicherheitsnetz benötigt

In Folge des KI-Einsatzes sind E-Mails von Hackern immer schwerer von legitimen Nachrichten zu unterscheiden

Die erhobenen Daten zeigten, dass 34 Prozent der Befragten nun das „Erzeugen von Druck, schnell zu handeln“ als wichtigstes Warnsignal für eine betrügerische E-Mail identifizierten.

• Das Erkennen dieser psychologischen Taktik bei verdächtigen E-Mails habe somit andere Indikatoren – wie z.B. unbekannte Absenderadressen (23%), Anfragen nach sensiblen Informationen (23%) und schlechte Rechtschreibung oder Grammatik (20%) – überholt.

„Dank KI sind E-Mails von Hackern immer schwerer von legitimen Nachrichten zu unterscheiden, da die Texte mittlerweile in jeder Sprache perfekt geschrieben sind. Ein wichtiges Warnsignal ist jedoch nach wie vor der Wunsch des Angreifers, Personen dazu zu bringen, schnell eine gewisse Handlung durchzuführen”, erläutert Malik.

E-Mails, welche sofortiges Handeln verlangen, sind mit einer gewissen Skepsis zu betrachten

Malik führt aus: „Indem die Angreifer vorgeben, dass es sich bei der Angelegenheit um eine zeitkritische Situation handelt, hoffen sie, gerade jenes Verantwortungsgefühl auszunutzen, das Unternehmen normalerweise bei ihren Mitarbeitern schätzen. Unsere Daten zeigen jedoch, dass Mitarbeiter nicht immer so leicht zu täuschen sind. Sie erkennen mittlerweile, dass E-Mails, die sofortiges Handeln verlangen, mit einer gewissen Skepsis zu betrachten sind.“

• Mitarbeiter seien sich auch bewusst, dass Angriffe von Außenstehenden nicht die einzige Bedrohung für sensible Unternehmensdaten sind: Fast die Hälfte (44%) der Arbeitnehmer gebe an, dass das „Versenden an den falschen Empfänger“ ihre größte Sorge beim Versenden von Arbeits-E-Mails sei.

Dies zeige, dass einfache menschliche Fehler offenbar häufig mehr Anlass zur Sorge gäben als das Risiko gezielter Phishing-Angriffe (20%). Darüber hinaus seien 19 Prozent besorgt, versehentlich vertrauliche Informationen in ihre E-Mails aufzunehmen.

Unsicherheit und Nervosität beim Versand von E-Mails beeinflusst Arbeitsweise

„In Hinblick auf die Natur menschlichen Verhaltens ist es nachvollziehbar, dass die Angst vor einem individuellen Fehler beim Einzelnen eine große Rolle spielt“, so Malik. Wenn indes Mitarbeiter auf eine Phishing-E-Mail hereinfallen, sähen sie sich oft in erster Linie als Opfer eines böswilligen Angreifers.

• „Sendet man jedoch vertrauliche Informationen an die falsche Person, dann sieht man den Fehler und die Schuld eher bei sich selbst. Die Folgen solcher Missgeschicke sind in der Tat nicht zu unterschätzen, da sie schnell zu schwerwiegenden Datenpannen und kostspieligen DSGVO-Problemen eskalieren können.“

Die Unsicherheit und Nervosität beim Versand von E-Mails verändere auch unsere Arbeitsweise. Um der Angst vor einem Fehler am Arbeitsplatz entgegenzuwirken, überprüften mehr als die Hälfte (52%) der Arbeitnehmer jedes Mal die Empfänger und Anhänge. Allerdings überprüften nur zwölf Prozent die E-Mails auf sensible Informationen – ein eigentlich mindestens ebenso wichtiger Schritt.

„Security Coaching“ und Automatisierung zur Stärkung der Sicherheit beim Umgang mit E-Mails

Um sowohl den externen Cyberbedrohungen als auch den internen Sicherheitsrisiken zu begegnen, setzten nun Unternehmen zunehmend auf ausgeklügelte Support-Systeme. „Die Realität ist, dass die menschliche Intuition ein digitales Sicherheitsnetz benötigt!“, unterstreicht Malik.

• Mittels Kombination von Echtzeit-Sicherheitscoaching mit automatisierten Schutzmaßnahmen könnten sie Mitarbeitern helfen, die Falle der wahrgenommenen Dringlichkeit zu umgehen und ihnen die nötige Sicherheit zu geben, um Vorfälle zu erkennen, bei denen sensible Informationen an die falsche Person gesendet werden. Es gehe nicht nur darum zu verhindern, dass gefährliche E-Mails in den Postfächern landen, „sondern auch darum, dass Fehler beim Versand vermieden werden“.

Eine gute Nachricht zum Schluss: Die KnowBe4-Umfrage zeige auch, „dass das Sicherheitsbewusstsein zunimmt – nur noch sechs Prozent der Mitarbeiter ignorieren verdächtige E-Mails“. Die proaktive Kultur sei also vorhanden. Es müsse nun darum gehen, diese zu fördern und durch solche Technologien zu unterstützen, welche die mentale Belastung des Einzelnen reduzieren.

Weitere Informationen zum Thema:

knowbe4
About Us / KnowBe4 empowers employees at organizations worldwide to make smarter security decisions every day

knowbe4
Javvad Malik

knowbe4
New Poll on Employee Email Behaviors: Inbound Red Flags and Outbound Fears

datensicherheit.de, 31.12.2025
Ransomware-Angriffe auf Unternehmen: Zwischen den Jahren lauern viele Gefahren / Schlimme Bescherung „Cybercrime“ – die Tage „zwischen den Jahren“ sind für Unternehmen besonders riskant

datensicherheit.de, 27.05.2021
CEO Fraud laut KnowBe4-Umfrage noch immer weitgehend unbekannt / Beim CEO Fraud gibt sich ein Cyber-Krimineller sich als Chef aus und ordnet Aktionen bzw. Transaktionen an

[datensicherheit.de, 03.03.2026] Laut Medienberichten von Ende Februar 2026 soll eine finanziell motivierte Bedrohungsgruppe – „Diesel Vortex“ – Anmeldedaten von Transport- und Logistikunternehmen in den USA und Europa durch Phishing-Angriffe unter Verwendung von 52 Domains entwenden. Im Rahmen dieser demnach seit September 2025 laufenden Phishing-Kampagne sollen 1.649 eindeutige Anmeldedaten von Web-Plattformen und Dienstleistern gestohlen worden sein, welche für die Frachtbranche von entscheidender Bedeutung seien. Shane Barney, „Chief Information Security Officer“ bei Keeper Security, betont in seiner aktuellen Stellungnahme, dass Transport und Logistik von Geschwindigkeit und Vertrauen abhängen – daher müssten Sicherheitskontrollen so gestaltet sein, dass sie beides so schützten, dass selbst gestohlene Anmeldedaten eben nicht zum schwächsten Glied in einem global vernetzten System werden.

Keeper Security

Shane Barney rät zur Verringerung der Gefährdung zum strukturellen Wandel hin zu identitätszentrierter Sicherheit

Gezielte Konzentration der Phishing-Angriffe auf Identitäten im Bereich Transport und Logistik

„Die gemeldeten Phishing-Aktivitäten, die mit ,Diesel Vortex’ in Verbindung gebracht werden, zeigen eine gezielte Konzentration der Angriffe auf die Identitäten im Transport- und Logistik-Ökosystem“, berichtet Barney.

• Seit September 2025 habe diese Gruppe Berichten zufolge 52 gefälschte Domains eingesetzt, um 1.649 einzigartige, mit zentralen Branchenplattformen verbundene Anmeldedaten zu sammeln – darunter bei „DAT Truckstop“, „TIMOCOM“, „Teleroute“, „Penske Logistics“, „Girteka“ und „Electronic Funds Source“.

Hierbei handele es sich nicht um einen klassischen Perimeter-Einbruch: „Vielmehr geht es um die systematische und gezielte Sammlung legitimer Zugriffe. In hochgradig vernetzten Logistikumgebungen – in denen Frachtbörsen, Flottenmanagementsysteme und Zahlungsplattformen nahtlos interagieren müssen – bieten kompromittierte Anmeldedaten einen direkten Zugang zu operativen Arbeitsabläufen.“

Sicherheit von Anmeldedaten zentrale Resilienzfrage für Lieferketten

Barney warnt: „Sobald ein Angreifer als vertrauenswürdiger Nutzer authentifiziert ist, kann er unentdeckt agieren und sich lateral mit geringerer Entdeckungsgefahr bewegen.“ Die Auswirkungen seien für Unternehmen oder öffentliche Verwaltungen eher operativer als technischer Natur. Identität sei in den Bewegungen von Gütern, Geldern und Daten verankert. „Das macht die Sicherheit von Anmeldedaten zu einer zentralen Resilienzfrage für Lieferketten!“

• Um die Gefährdung zu verringern, sei ein struktureller Wandel hin zu identitätszentrierter Sicherheit erforderlich: „Phishing-resistente Multi-Faktor-Authentifizierung, strenge Kontrolle privilegierter Zugriffe, kontinuierliche Überwachung auf offengelegte Anmeldedaten und die Durchsetzung des Prinzips der geringsten Rechte für interne und externe Konten sind grundlegend.“ Eine Zero-Trust-Architektur müsse diesen Ansatz untermauern und sicherstellen, dass keinem Nutzer, keinem Gerät bzw. keiner Session implizit vertraut wird.

Barney betont abschließend: „Transport und Logistik hängen von Geschwindigkeit und Vertrauen ab. Sicherheitskontrollen müssen so gestaltet sein, dass sie beides schützen, ohne dass gestohlene Anmeldedaten zum schwächsten Glied in einem global vernetzten System werden!“

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security: Keeper Security transformiert Cybersicherheit für Menschen und Organisationen auf der ganzen Welt…

KEEPER
Keeper Security Author Shane Barney

SC Media, SC Staff, 25.02.2026
Identity, Threat Intelligence, Phishing / Diesel Vortex phishing campaign targets freight and logistics operators

BLEEPINGCOMPUTER, Bill Toulas, 24.02.2026
Phishing campaign targets freight and logistics orgs in the US, Europe

datensicherheit.de, 14.11.2025
Logistik: Cybersicherheit rückt ins Zentrum strategischer Entscheidungen / Eine Befragung unter Cybersicherheitsverantwortlichen in der Logistik hat laut Sophos gezeigt, dass mit zunehmendem Grad digitaler Vernetzung sowohl eine höhere Angreifbarkeit einhergeht als auch eine zunehmende Professionalität des Cyberschutzes

datensicherheit.de, 19.10.2025
Cyberangriffe auf Logistikbranche: Partner und Personal als Einfallstor / Sophos ist im Rahmen einer Befragung unter Logistik-Fachleuten der Frage nachgegangen, wie es um die Cybersicherheit in dieser Branche steht – diese wurde im September 2025 von techconsult im Auftrag von Sophos durchgeführt

datensicherheit.de, 24.03.2019
Logistik: Vorsichtsmaßnahmen zur Sicherung der digitalisierten Supply Chain / Lieferketten im Netzwerk werden zur Zielscheibe von Cyberkriminellen

[datensicherheit.de, 28.02.2026] ESET meldet in eigener Sache: „Die beste IT-Sicherheit kommt aus der EU!“ Zu diesem Ergebnis kommen demnach Tester der Stiftung Warentest. „In der aktuellen Ausgabe des Magazins hat die ,ESET HOME Security Essential’ unter insgesamt 16 getesteten Lösungen für ,Windows’ einen Spitzenplatz erreicht.“ Die Ergebnisse sprächen eine klare Sprache: Mit der Note 1,4 („sehr gut“) liege dieses Lösungspaket auf dem ersten Platz. Besonders die Performanz und die Handhabung hätten die Tester überzeugt.

Schutzwirkung der ESET-Lösung gegen Malware und Phishing

„Der Testsieg bei Stiftung Warentest bestätigt unser konstantes Streben nach technischer Perfektion in der IT-Sicherheit“, kommentiert Juraj Malcho, „Chief Technology Officer“ von ESET.

• Er unterstreicht: „Unser Ziel ist es, Nutzern und Unternehmen auf der ganzen Welt den bestmöglichen Schutz zu bieten – ganz ohne unnötige Komplexität. Dass unsere Bemühungen nun ausgezeichnet werden, macht uns besonders stolz.“

Besonders überzeugt seien die unabhängigen Tester der Stiftung Warentest von der sehr hohen Schutzwirkung gegen Schadsoftware und Phishing sowie der geringen Systembelastung. Features wie der eingebaute abgesicherte Browser schützten die Online-Aktivitäten von Nutzern.

Auch ESET-Preispolitik gewürdigt

Auch die Preispolitik habe bei den Testern gepunktet: Im Gegensatz zu anderen Herstellern gebe es bei den „ESET HOME Security“-Lösungen keine versteckten Preiserhöhungen bei Verlängerungen.

• Während einige Anbieter Neukunden mit geringen Kosten für das erste Jahr lockten und im Folgejahr die Preise kräftig anzögen, sehe ESET von solchen Praktiken ab.

„In unserer Preispolitik gibt es für Nutzer keine bösen Überraschungen“, so Stefan Heitkamp, „Director of Retail, Etail & OEM Partnerships“ bei ESET. Er führt aus:„Im Gegensatz zu vielen Mitbewerbern setzen wir auf umfassende Transparenz bei allem, was wir tun – vom exzellenten Datenschutz bis hin zu einer verständlichen Preisgestaltung.“

Deutschsprachige ESET-Support durch eigene Mitarbeiter in Jena

Auch in der IT-Sicherheit gebe es bei Herstellern nichts kostenlos, so auch das Ergebnis der Stiftung Warentest. Viele Anbieter nutzten ihre Gratisversionen, um kostenpflichtige Lösungen und Funktionen zu bewerben. Die Tester schreiben dazu: „In den Gratisversionen spielen sie dann häufig Werbung für kostenpflichtige Zusatzfunktionen aus.“

• Nutzer von Gratis-Tools müssten im Ernstfall oder bei Problemen einen KI-Chatbot, ein Forum oder einen FAQ-Artikel befragen. Indes warteten meist nur bezahlte IT-Sicherheitslösungen mit einem echten menschlichen Support auf.

Eben genau dies könnten ESET-Kunden erwarten: „Im Vergleich zu vielen Mitbewerbern bieten wir unseren Kunden deutschsprachigen Support an, den wir mit eigenen Mitarbeitern in Jena realisieren“, ergänzt Heitkamp.

ESET-Selbstverpflichtung: IT-Sicherheit aus der EU in der Spitzenklasse

Der vorliegende Produkttest zeige: „ESETs IT-Sicherheit ist in technischer Hinsicht ausgezeichnet.“ Darüber hinaus setze ESET als europäischer Hersteller auf höchste Datenschutzstandards und innovative Schutztechnologien.

• Organisationen und Anwender könnten sich darauf verlassen, dass sie mit ESET-Lösungen nicht nur leistungsstarke Sicherheit erhielten, sondern auch eine bedingungslose Gesetzeskonformität. Dank „No-Backdoor“-Garantie enthielten die Produkte zudem keine verborgenen „Hintertüren“.

Der aktuelle Testsieg bestätige ESETs Engagement für europäische IT-Sicherheit. „Wer ein ausgezeichnetes, leistungsstarkes und kosteneffektives IT-Security-Paket sucht, wird bei ESET HOME Security Lösungen fündig.“

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

Stiftung Warentest, 26.02.2026
ESET Home Security Essential

eseT
eseT HOME Security edition 2026: Rundum-Schutz für Ihr digitales Leben / Für Windows, macOS, Android und iOS…

datensicherheit.de, 25.02.2026
Digital Independence Day: Emanzipation mittels Cybersecurity „Made in EU“ / Am 1. März 2026 findet wieder der europäische „Digital Independence Day“ (DI.Day) statt – er soll auf die Abhängigkeit von außereuropäischen Tech-Lösungen hinweisen und zugleich europäische Alternativen aufzeigen

datensicherheit.de, 26.01.2026
IT made in Europe: Basis für Digitale Souveränität Deutschlands und Europas / Franz Kögl moniert, dass bislang trotz zahlreicher Lippenbekenntnisse vielfach fast schon reflexartig die Vergabe milliardenschwerer öffentlicher Aufträge an US-amerikanische IT-Konzerne erfolgte

datensicherheit.de, 09.09.2025
„Made in EU“ strategischer Erfolgsfaktor für IT-Sicherheit bei Unternehmen, Behörden und KRITIS / Wer IT-Systeme zuverlässig schützen will, muss sicher sein, auf welche Technologien er sich rechtlich, technisch und strategisch verlassen kann

[datensicherheit.de, 24.02.2026] Sicherheitsforscher von KnowBe4s „Threat Lab“ haben nach eigenen Angaben eine Phishing-Kampagne untersucht, welche die Multi-Faktor-Authentifizierung (MFA) von „Microsoft 365“ umgehen kann. Diese komplexe Phishing-Kampagne zielt demnach auf US-amerikanische Unternehmen und Fachkräfte ab. Die Angriffe kompromittierten „Microsoft 365“-Konten („Outlook“, „Teams“, „OneDrive“), indem sie den „OAuth 2.0“-Geräteautorisierungsfluss missbrauchten und dadurch selbst starke Passwörter und die MFA überlisteten.

Abbildung: KnowBe4

Ablauf des Angriffs: Dieser ist in fünf verschiedene Phasen unterteilt, vom anfänglichen Ködern bis zur endgültigen Token-Exfiltration

Angreifer streben dauerhaften Zugriff auf „Microsoft 365“-Konten und Unternehmensdaten an

Das Opfer werde auf das legitime Microsoft-Portal „microsoft.com/devicelogin“ weitergeleitet, um einen vom Angreifer bereitgestellten Gerätecode einzugeben.

• Durch die Eingabe dieses Codes werde das Opfer authentifiziert und ein gültiger „OAuth“-Zugriffstoken an die Anwendung des Angreifers ausgegeben.

„Mit diesem ergaunerten Token verschafft sich der Angreifer dauerhaften Zugriff auf die ,Microsoft 365‘-Konten und Unternehmensdaten des Opfers.“

Kampagne auf „Microsoft 365“ zeichnet sich durch folgende Merkmale aus:

• Ausgeklügelter Angriffsmechanismus
  Die Kampagne umgehe herkömmliche Sicherheitsmaßnahmen, da sie nicht auf dem Diebstahl von Anmeldedaten basiere. Stattdessen werde der Benutzer dazu verleitet, sich auf der legitimen Microsoft-Domäne zu authentifizieren – und anschließend werde der Token-Endpunkt abgefragt, um die „OAuth“-Zugriffs- und Aktualisierungstoken zu erfassen.
• Umgehung der MFA
  Dieser Angriff sei hochwirksam, da der Token-Diebstahl erst erfolge, nachdem der Benutzer die legitime MFA-Prüfung erfolgreich abgeschlossen hat.
• Spezifische Zielgruppe
  Diese Kampagne sei erstmals im Dezember 2025 beobachtet worden und sei auch aktuell noch im Gange. Die Aktivitäten konzentrierten sich vor allem auf Nordamerika, wobei mehr als 44 Prozent der Opfer in den USA ansässig seien. Besonders betroffen seien Organisationen der Branchen Technologie, Fertigung und Finanzdienstleistungen.
• Bedrohung für Unternehmen
  Die gestohlenen Token gewährten Angreifern umfassenden und dauerhaften Zugriff auf die „Microsoft 365“-Umgebung ihrer Opfer, einschließlich vollständiger Lese-, Schreib- und Sende-Berechtigungen für E-Mails, Kalender und Dateien („OneDrive“, „SharePoint“) sowie Verwaltungsfunktionen.

Fünfphasiger Angriffsablauf auf „Microsoft 365“

Der Ablauf ist laut KnowBe4 in fünf verschiedene Phasen unterteilt:

1. „Microsoft 365“-„OAuth“-Gerätecode-Generierung und Köder
   Der Angreifer registriert eine „OAuth“-Anwendung (Open Authorization) in „Microsoft 365“ und generiert einen eindeutigen Gerätecode. Der Gerätecode wird dann über eine gezielte Phishing-E-Mail an das Opfer gesendet.
2. Opfer fällt auf Köder herein
   Das Opfer erhält die Phishing-E-Mail und klickt auf den in der Nachricht eingebetteten bösartigen Link.
3. Vom Angreifer kontrollierte „Landing Page“
   Das Opfer wird auf eine gefälschte Webseite weitergeleitet, wo es aufgefordert wird, eine E-Mail-Adresse einzugeben, und wo ihm der Gerätecode des Angreifers zusammen mit Anweisungen zum Abschluss der vermeintlich „sicheren Authentifizierung” angezeigt wird.

4. Authentifizierung auf dem legitimen Microsoft-Portal
   Das Opfer navigiert zum echten Microsoft-Portal („microsoft.com/devicelogin“), gibt den Gerätecode des Angreifers ein und authentifiziert sich erfolgreich mit legitimen Anmeldedaten und der MFA.
5. Token-Diebstahl und dauerhafter Zugriff
   Die „Microsoft Identity Platform“ stellt einen gültigen „OAuth“-Zugriffstoken aus, welchen der Angreifer sofort abfängt. Dadurch erhält der Angreifer dauerhaften Zugriff auf das „Microsoft 365“-Konto des Opfers.

Schutzmaßnahmen gegen Übernahme des „Microsoft 365“-Kontos

Sicherheitsteams könnten eine Reihe von Schutzmaßnahmen durchführen, um ihre Systeme und Nutzer vor dieser Art von Angriffen zu schützen. Darunter fallen laut KnowBe4 die z.B. folgenden sieben:

1. Blockieren von IoCs (Arten von Indikatoren / Indicators of Compromise)
   Alle bekannten bösartigen Domänen und URLs sollten zu den Blocklisten des E-Mail-Gateways und des Webproxys der Organisation hinzugefügt werden.
2. Lokalisierung von Bedrohungen
   E-Mail-Protokolle sollten nach dem Absendermuster mit den identifizierten Betreffbeispielen durchsucht werden.
3. Prüfung von „OAuth“-Anwendungen
   Im „Microsoft 365 Admin Center“ sollten die Berechtigungen für verdächtige oder unbekannte „OAuth“-Anwendungen dringend überprüft und widerrufen werden.
4. Überprüfen der Anmeldelogs
   „Azure AD“-Anmeldelogbücher sollten auf Ereignisse zur Gerätecode-Authentifizierung überprüft werden, und es sollten Abfragen durchgeführt werden, um Anmeldungen von ungewöhnlichen geografischen Standorten zu identifizieren.
5. Deaktivieren des Gerätecodeflusses
   Der Angriffsvektor kann vollständig eliminiert werden, wenn Unternehmen die Verwendung des Gerätecodeflusses für gemeinsam genutzte oder öffentliche Geräte nicht erfordern.
6. Bedingter Zugriff
   Es sollten Richtlinien für bedingten Zugriff eingesetzt werden, um streng zu regeln, wer den Gerätecodefluss wann und wo verwenden darf.
7. App-Zustimmung prüfen
   „Microsoft Defender“ für „Cloud“-Apps sollte eingesetzt werden, um die „OAuth“-App-Zustimmung zu überwachen und zu steuern.

KnowBe4-Fazit: Herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen allein nicht ausreichend

Angesichts sich rasch entwickelnder Taktiken wie dieser „OAuth“-Token-Diebstahlkampagne reiche ein passiver Sicherheitsansatz für Sicherheitsteams nicht mehr aus.

• Die Tatsache, dass Angreifer legitime Domains nutzten und MFA umgehen könnten, zeige, dass herkömmliche Perimeter-Abwehrmaßnahmen und einfache Anmeldedatenprüfungen nicht ausreichten. Um diesen komplexen Bedrohungen entgegenzuwirken, müssten sich Unternehmen anpassen.

„Es müssen die erforderlichen Rahmenbedingungen geschaffen werden, um über den herkömmlichen Silo-Ansatz hinauszugehen und sich stattdessen auf Echtzeit-Bedrohungsinformationen und das Bewusstsein der Benutzer zu konzentrieren.“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4, KnowBe4 Threat Lab, Jeewan Singh Jalal & Prabhakaran Ravichandhiran & Anand Bodke, 12.02.2026
Uncovering the Sophisticated Phishing Campaign Bypassing M365 MFA

WIKIPEDIA
Microsoft 365