[datensicherheit.de, 13.08.2025] Nach aktuellen Erkenntnissen von Proofpoint-Cybersicherheitsexperten besteht eine Möglichkeit, die FIDO-Authentifizierung ( „Fast Identity Online“) zu umgehen. Bei FIDO handelt es sich um einen offenen Standard für sichere und benutzerfreundliche Authentifizierung im Internet. FIDO-basierte Passkeys sind laut Proofpoint grundsätzlich eine hochwirksame Methode zum Schutz vor Phishing und Konto-Übernahmen. Nun sei aber eine Methode entdeckt worden, um FIDO-basierte Authentifizierung durch einen „Downgrade“-Angriff zu umgehen.

Phishing-Angriffe mittels Standard-Phishlets scheitern an FIDO-gesicherten Konten

Die meisten Phishing-Bedrohungen, welche Standard-Phishlets verwenden, scheiterten an FIDO-gesicherten Konten. Ein sogenanntes Phishlet ist demnach eine Konfigurationsdatei, welche von Phishing-Kits verwendet wird, um die Nachahmung legitimer Websites und das Abfangen von Benutzeranmeldedaten und Sitzungstokens zu ermöglichen.

• Da die meisten Phishlets für die traditionelle Anmeldedaten-Erfassung über Verbindungen ohne FIDO-Absicherung konzipiert seien, produzierten sie Fehler, sobald sie auf die FIDO-Authentifizierung stoßen, wodurch die gesamte Angriffskette erfolglos bleibe.

Bestimmte Implementierungen der FIDO-Authentifizierung, insbesondere „Windows Hello for Business“ (WHfB), könnten nun aber anfällig für „Downgrade“-Angriffe sein. Diese Angriffe würden den Benutzer dazu zwingen, auf eine weniger sichere Authentifizierungsmethode zurückzugreifen. Proofpoint-Experten hätten einen FIDO-„Downgrade“-Angriff am Beispiel von „Microsoft Entra ID“ durchgespeilt – diese Art des Angriffs sei allerdings nicht auf diese Implementierung beschränkt.

Benutzeragent-Spoofing: Scheinbar unbedeutende Funktionslücke könnte missbraucht werden

Nicht alle Web-Browser unterstützten die Passkey-Authentifizierungsmethode (FIDO2) mit „Microsoft Entra ID“. Beispielsweise werde FIDO bei Verwendung von „Safari“ unter „Windows“ nicht unterstützt.

• Diese scheinbar unbedeutende Funktionslücke könne nun von Angreifern missbraucht werden. Ein Cyberkrimineller könne einen „Adversary-in-the-Middle“-Angriff (AiTM) anpassen, um einen nicht unterstützten Benutzeragenten vorzutäuschen, „der von einer FIDO-Implementierung nicht erkannt wird“.

Anschließend wäre der Benutzer gezwungen, sich über eine weniger sichere Methode zu authentifizieren. „Dieses Verhalten, das auf Microsoft-Plattformen zu beobachten ist, ist eine fehlende Sicherheitsmaßnahme.“

Opfer sollen gezwungen werden, ihre Authentifizierungsmethode auf eine weniger sichere herabzustufen

Proofpoint-Spezialisten hätten ein Phishlet für das „Evilginx AiTM“-Angriffsframework entwickelt, welche ein Ziel dazu zwinge, seine Authentifizierungsmassnahme auf eine weniger sichere Methode herabzustufen. Die Angriffssequenz basiere auf der Existenz einer alternativen Authentifizierungsmethode (normalerweise MFA) neben FIDO für das Konto des angegriffenen Nutzers. Dies sei bei FIDO-Implementierungen oft der Fall, weil die meisten Administratoren eine praktische Option zur Kontowiederherstellung bevorzugten.

Der Phishing-„Downgrade“-Angriff läuft laut Proofpoint wie folgt ab:

1. Erste Interaktion
   Ein Phishing-Link werde dem Ziel per E-Mail, SMS, OAuth-Zustimmungsanfrage oder einem anderen Kommunikationskanal zugesandt.
2. Authentifizierungs-„Downgrade“
   Sobald das Ziel auf den Phishing-Köder hereinfällt und auf die bösartige URL klickt, werde ihm eine Authentifizierungsfehlermeldung angezeigt, welche ihn auffordere, eine alternative Anmeldemethode auszuwählen.
3. Diebstahl von Anmeldedaten und MFA-Token
   Sobald sich das Opfer über die gefälschte Oberfläche authentifiziert, könne der Angreifer die Anmeldedaten und das Sitzungscookie abfangen und einsehen – wie bei einem Standard-„AiTM“-Phishing-Angriff.
4. Sitzungsübernahme und Kontoübernahme
   Schließlich könne der Angreifer die authentifizierte Sitzung kapern, „indem er das gestohlene Sitzungscookie in seinen eigenen Browser importiert, wodurch er Zugriff auf das Konto des Opfers erhält, ohne Anmeldedaten eingeben oder eine MFA-Authentifizierung durchführen zu müssen“.
   Der Angreifer könne dann eine Reihe von Aktionen nach der Kompromittierung ausführen, einschließlich Daten-Exfiltration und lateraler Bewegung innerhalb der betroffenen Umgebung.

Angreifer könnten FIDO-Authentifizierungs-„Downgrades“ in ihre „Kill Chains“ integrieren

Proofpoint-Experten hätten bisher noch keine Anwendung der beschriebenen Vorgehensweise durch Cyberkriminelle in der Praxis beobachten können. Indes handele es sich beim FIDO-Authentifizierungs-„Downgrade“-Angriff um eine signifikante aufkommende Bedrohung.

• Diese Art eines Angriffs könne von hochentwickelten Angreifern und APT-Angreifern (insbesondere staatlich gesponserten Akteuren) durchgeführt werden.

Weil immer mehr Organisationen „phishing-resistente“ Authentifizierungsmethoden wie FIDO einführten, könnten Angreifer sich gezwungen sehen, ihre Vorgehensweise weiterzuentwickeln, indem sie FIDO-Authentifizierungs-Downgrades in ihre „Kill Chains“ integrierten.

Weitere Informationen zum Thema:

proofpoint, Yaniv Miron, 12.08.2025
Don’t Phish-let Me Down: FIDO Authentication Downgrade / Key takeaways

datensicherheit.de, 13.02.2025
Sichere Authentifizierung: Thales präsentiert neue Lifecycle-Managementlösung für FIDO-Schlüssel / Bereitstellung von Passkeys in großen Unternehmen

datensicherheit.de, 31.03.2025
PCI DSS 4.0: Datensicherheit stärken mit Phishing-resistenter MFA / Neue Version des Standards in Kraft getreten

datensicherheit.de, 04.05.2023
World Password(less) Day: Plädoyer für eine passwortlose und phishing-resistente Zukunft / Auch sehr komplexes Passwort gemäß BSI-Empfehlung bietet keinen ausreichenden Schutz mehr

[datensicherheit.de, 28.07.2025] Proofpoint warnt in seiner aktuellen Stellungnahme vor Cyberkriminellen, welche mit „Remote Management Tools“ vermehrt Arbeitssuchende ins Visier nehmen. Diese „Tools können Daten- oder Finanzdiebstahl ermöglichen bzw. zur Installation von Malware, beispielsweise Ransomware, führen.

Abbildung: Proofpoint

Proofpoint warnt vor gefälschten Jobangeboten Cyberkrimineller – hier eine vorgetäuschte Einladung zur Besprechung via „zoom“

Gefälschte „zoom“-Einladungen führen zu einem „Remote Management Tool“

Proofpoint hat demnach mehrere Kampagnen identifiziert, bei denen betrügerische E-Mails mit Einladungen zu vermeintlichen Vorstellungsgesprächen versendet wurden: „Die E-Mails enthalten eine Einladung zu einem ,zoom’- oder ,Teams’-Call, um vermeintlich ein Stellenangebot zu besprechen. In Wirklichkeit führen die Links aber zu einem ,Remote Management Tool’ wie ,SimpleHelp’, ,ScreenConnect’ oder ,Atera’.“

• RMM-Software („Remote Monitoring and Management“) werde in Unternehmen legitimerweise von IT-Administratoren zur Fernverwaltung des Computer-Bestands eingesetzt. „Wenn sie missbraucht wird, hat diese Software die gleichen Fähigkeiten wie ein ,Remote Access Trojaner’ (RAT).“

In neueren Kampagnen werden laut Proofpoint kompromittierte E-Mail-Adressen genutzt, oder die Täter geben sich als Repräsentanten echter Unternehmen aus. „Die Absender haben für gewöhnlich Namen, die mit echten Personalvermittlern oder Unternehmensmitarbeitern in Verbindung gebracht werden.“ Der Inhalt solcher E-Mails beziehe sich auf Bewerbungen.

In betrügerischen E-Mails freie Stellen imitierter bzw. kompromittierter Unternehmen benannt

Security-Experten von Proofpoint konnten in den betrügerischen E-Mails „mehrere Stellen identifizieren, die von den imitierten bzw. kompromittierten Unternehmen tatsächlich ausgeschrieben wurden“.

• Proofpoint habe in mindestens einem Fall Beweise für ein gehacktes „LinkedIn“-Konto gefunden, über welches eine Stellenbeschreibung mit einer „Gmail“-Adresse veröffentlicht worden sei, „bei der eine kompromittierte Identität zum Einsatz kam“. Proofpoint habe diese E-Mail-Adresse in betrügerischen E-Mails beobachtet, „die an Personen geschickt wurden, die sich offenbar auf die Stelle beworben hatten“. Die Person, deren Identität betroffen gewesen sei, habe aber den Hacker-Angriff erkannt – „bevor Proofpoint ihn identifizieren konnte“ – und den betrügerischen Beitrag entfernt.

Cyberkriminelle könnten sich Listen potenzieller Ziele auf verschiedene Weise beschaffen: „So erstellen sie gefälschte Stellenausschreibungen, um E-Mail-Adressen zu sammeln, kompromittieren Posteingänge oder Soziale Medien von Personalverantwortlichen oder nutzen eine Liste zuvor gestohlener E-Mail-Adressen.“

Cyberkriminelle E-Mail-Kampagnen verbreiten „Tools“ für RMM oder „Remote Access Software“

Diese Aktivitäten seien Teil einer breiteren Palette von E-Mail-Kampagnen, welche „Tools“ für RMM oder „Remote Access Software“ (RAS) verbreiteten. Proofpoint habe E-Mails beobachten können, „die sich als US-Behörden, Einladungen zu Partys, Finanzinstitute und vieles mehr ausgaben“.

• RMM-/RAS-Tools seien als initiale „Payload“ sehr beliebt geworden. Anstatt RATs oder sogenannte Infostealer zu versenden, verwendeten Angreifer RMMs, da diese im legitimen Datenverkehr weniger auffielen. So könnten sie Geld oder Informationen stehlen bzw. weitere Malware installieren.

Arbeitssuchenden wird nun von Proofpoint geraten, „besonders auf die Namen und Absenderdomains der Personen zu achten, die mit ihnen in Kontakt treten, da diese Identitäten gefälscht sein könnten“. Abschließend die dringende Warnung: „Wenn Sie eine ausführbare Datei erhalten oder auf eine URL klicken sollen, die zu einer solchen führt, handelt es sich sehr wahrscheinlich um einen Betrugsversuch!“

Weitere Informationen zum Thema:

X, proofpoint, 24.07.2025
Threat Insight: Job seekers, watch out!

proofpoint, Ole Villadsen & Selena Larson & The Proofpoint Threat Research Team, 07.03.2025
Remote Monitoring and Management (RMM) Tooling Increasingly an Attacker’s First Choice

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

datensicherheit.de, 06.08.2021
Schwachstellen in Cisco VPN-Routern: Patchen oder Remote-Management-Funktion deaktivieren / Tenable mahnt zu schneller Reaktion auf Sicherheitslücken in Cisco VPN-Routern

[datensicherheit.de, 23.07.2025] Ein aktueller Beitrag im „Threat Blog“ von Proofpoint beschreibt eine neue, besonders raffinierte Betrugsmasche, welche demnach derzeit für erhebliche Schäden in Unternehmen unterschiedlichster Branchen sorgt: Bei der beobachteten Angriffswelle würden Cyberkriminelle mit täuschend echten Angebotsanfragen (Request for Quote / RFQ) und dem Missbrauch von Lieferantenkrediten gezielt hochwertige Waren stehlen.

Zahlungsziel „Net 15/30/45“: Rechnungsbetrag erst nach 15, 30 bzw. 45 Tagen fällig

Die Vorgehensweise sei ebenso einfach wie perfide: „Mithilfe gestohlener bzw. öffentlich zugänglicher Unternehmensinformationen geben sich die Täter als seriöse Einkäufer aus und bitten um Angebote für spezielle Produkte.“

• Dabei setzten sie ein auf den ersten Blick harmloses Mittel ein – das Zahlungsziel „Net 15/30/45“. Dabei handele es sich um eine im Geschäftsalltag übliche Vereinbarung, bei der die bestellte Ware zunächst geliefert wird und der Rechnungsbetrag erst nach 15, 30 oder 45 Tagen fällig werde.

Genau dieses Zahlungsziel ermögliche es nun den Betrügern, die Waren zu erhalten, ohne eine Zahlung leisten zu müssen.

Betrüger tarnen sich gerne als Händler, Universitäten oder Behörden, um Waren-Auswahl und Zahlungsziel plausibel zu machen

„Was diese Angriffe so gefährlich macht, ist die hohe Professionalität, mit der die Täter agieren.“ Sie nutzten nicht nur frei verfügbare Informationen über Unternehmen, sondern gingen auch äußerst geschickt bei der Erstellung ihrer Anfragen vor.

• „Von detailreichen Produktlisten bis hin zu überzeugenden E-Mail-Signaturen und gefälschten Domains wird alles eingesetzt, um die Illusion einer legitimen Geschäftsbeziehung zu erzeugen. Besonders häufig geben sich die Betrüger als Händler, Universitäten oder Behörden aus, weil dort teure und schwer erhältliche Geräte benötigt werden.“

Die Palette der angeforderten Waren reiche von Festplatten und Netzwerkhardware bis zu medizinischen Geräten wie Defibrillatoren oder Sauerstoffgeräten – allesamt Produkte, welche sich auf dem internationalen Schwarzmarkt schnell weiterverkaufen ließen.

Cyberkriminellen greifen auf ausgeklügeltes Netzwerk zurück, um Waren möglichst spurlos verschwinden zu lassen

Doch damit nicht genug: Nach der erfolgreichen Anbahnung der Lieferung – und faktischen Bewilligung eines Kredits – griffen die Kriminellen auf ein ausgeklügeltes Netzwerk zurück, um die Ware möglichst spurlos verschwinden zu lassen.

• Dazu zählten Frachtweiterleitungsdienste, die häufig nach Westafrika lieferten, gemietete Lagerhallen in den USA sowie „Mules“, also Zwischenhändler oder ahnungslose Helfer, die unter Umständen gar nicht wüssten, „dass sie Teil eines Betrugs sind“.

Der eigentliche Schaden bleibe oft lange unbemerkt, denn erst nach Ablauf der Zahlungsfrist werde dann klar, „dass keine Zahlung eingeht und die Ware längst außer Landes ist“.

Proofpoint-Kooperation mit Versandunternehmen konnte helfen, Waren-Lieferungen noch rechtzeitig zu stoppen

Proofpoint dokumentiert solche Angriffe und bietet Hilfe bei ihrer Bekämpfung an. „Durch die enge Zusammenarbeit mit Domain-Registraren konnten bereits zahlreiche betrügerische Webseiten abgeschaltet werden.“ In den meisten Fällen hätten die Täter daraufhin den Kontakt abgebrochen, in anderen seien sie rasch mit neuen Domains wieder aufgetaucht.

• Auch die Kooperation mit Versandunternehmen habe dazu geführt, „dass mehrere betrügerische Lieferungen gestoppt werden konnten, bevor die Waren endgültig verloren waren“.

Für Unternehmen stelle diese Entwicklung eine erhebliche Herausforderung dar. Herkömmliche Schutzmechanismen reichten oft nicht aus, weil die Angriffe auf persönlicher Ebene ansetzten und sehr detailliert vorbereitet würden. Umso wichtiger sei es, Mitarbeiter für diese Gefahr zu sensibilisieren und die internen Prozesse rund um die Kreditvergabe und Kundenprüfung zu optimieren. „Ein gesundes Maß an Skepsis gegenüber ungewöhnlichen Anfragen – insbesondere, wenn diese mit Dringlichkeit und der Bitte um ein weit entferntes Zahlungsziel einhergehen – kann im Ernstfall entscheidend sein!“

Weitere Informationen zum Thema:

proofpoint, Tim Kromphardt & Hannah Rapetti, 21.07.2025
NET RFQ: Request for Quote Scammers Casting Wide Net to Steal Real Goods

datensicherheit.de, 11.07.2025
Online-Betrug in Deutschland: 10,6 Milliarden Euro Verlust in zwölf Monaten / Fast die Hälfte der Befragten gibt an, im letzten Jahr Opfer eines Betrugs geworden zu sein

datensicherheit.de, 14.06.2025
Instagram: Identitätsbetrug bedroht Sicherheit und Reputation von Unternehmen / „Instagram“-Imitationen stellen eine zunehmende Bedrohung dar, welche die Finanzen und den guten Ruf von Unternehmen ernsthaft gefährdet

datensicherheit.de, 04.06.2025
Betrugsblindheit europäischer Unternehmen: Trotz Angriffszunahme um 59 Prozent waltet Zuversicht / 74 Prozent der Unternehmen sind zuversichtlich, sich effektiv schützen zu können – obwohl nur 45 Prozent die Auswirkungen von Identitätsbetrug messen

[datensicherheit.de, 23.06.2025] Der „Amatera Stealer“, ein neue, hochentwickelter Information-Stealer, bedroht aktuell Unternehmen und Privatnutzer gleichermaßen, so eine Warnung von Proofpoint: Es handelt sich demnach um eine Weiterentwicklung des bekannten „ACR Stealer“ und ist jüngst in den Fokus der Proofpoint-Forscher geraten, die nun eine ausführliche Untersuchung dazu veröffentlicht haben. Mit ausgefeilten Tarnmechanismen und einer bemerkenswerten Angriffskette markiere diese Malware einen neuen Höhepunkt in der Professionalisierung von Cybercrime-Dienstleistungen im sogenannten Malware-as-a-Service-Modell (MaaS).

Abbildung: Proofpoint

Proofpoint-Experten warnen vor „Amatera Stealer“ – dem neugestalteten „ACR Stealer“ mit verbessertem Umgehungsvermögen und mehr Raffinesse

Verbreitung von „Amatera“ vor allem über kompromittierte Webseiten

Während der ursprüngliche „ACR Stealer“ bereits als ernstzunehmende Bedrohung gegolten habe, hebe sich „Amatera“ durch zahlreiche technische Neuerungen und einen noch stärkeren Fokus auf die Umgehung moderner Sicherheitslösungen deutlich ab.

• Derzeit erfolge die Verbreitung des „Amatera Stealer“ vor allem über kompromittierte Webseiten, welche von den Angreifern mit bösartigem Code infiziert würden.

Besonders hervorzuheben sei auch der Einsatz von „Social Engineering“ in diesem Zusammenhang: „Nutzer werden beispielsweise durch täuschend echte CAPTCHA-Abfragen dazu verleitet, bestimmte Tastenkombinationen auszuführen.“ Diese Tastenkombinationen seien jedoch „PowerShell“-Befehle und starteten im Hintergrund unbemerkt die „PowerShell“-Konsole. Auf diesem Weg werde dann die eigentliche Schadsoftware nachgeladen.

„Amatera“ verzichtet auf DNS-Anfragen und tarnt seinen Datenverkehr

„Dieser mehrstufige Infektionsweg, bei dem legitime Prozesse und verschachtelte, stark verschleierte Skripte ineinandergreifen, erschwert nicht nur die Erkennung durch klassische Schutzsysteme, sondern stellt auch eine Herausforderung für die forensische Analyse durch Sicherheitsteams dar.“

• Was „Amatera“ besonders gefährlich mache, sei seine Fähigkeit, etablierte Überwachungs- und Abwehrmechanismen gezielt zu umgehen. „So nutzt die Malware zur Kommunikation mit ihren Kontrollservern keine herkömmlichen ,Windows’-Netzwerkfunktionen, sondern greift direkt auf tieferliegende Systemkomponenten zu.“

Dadurch würden viele Endpoint-Detection-Lösungen schlicht ausgehebelt. Zudem verzichte „Amatera“ auf DNS-Anfragen und tarne seinen Datenverkehr hinter IP-Adressen großer Content-Delivery-Networks wie „Cloudflare“. Dieses Vorgehen erschwere Blockierungsmaßnahmen zusätzlich und mache den Datenabfluss kaum erkennbar. „Auch die Nutzung dynamischer Systemaufrufe trägt dazu bei, dass gängige Analyse- und ,Sandboxing’-Technologien ins Leere laufen.“

„Amatera“ gelingt es, spezielle Schutzmechanismen moderner Browser zu unterlaufen

Im Zentrum der Aktivitäten stehe das Sammeln und der Diebstahl sensibler Informationen. Das Spektrum der ausgespähten Inhalte reiche dabei von Browserdaten und Zugangsdaten für „Krypto-Wallets“, Passwortmanager und Messenger-Apps bis hin zu E-Mail- und FTP-Zugangsdaten. Dabei gelinge es „Amatera“ sogar, spezielle Schutzmechanismen moderner Browser zu unterlaufen, indem gezielt sogenannter Shellcode in laufende Prozesse eingeschleust werde.

• Die Steuerung und Aktualisierung der Funktionen erfolgten flexibel über Konfigurationsdateien, welche von den Angreifern zentral bereitgestellt würden. Dadurch könne die Malware jederzeit an neue Anforderungen angepasst werden.

Die rasante Weiterentwicklung und Modularität von „Amatera Stealer“ verdeutliche einmal mehr, „wie wichtig es für Unternehmen und deren Security-Verantwortliche ist, die aktuelle Bedrohungslage im Blick zu behalten und die Sensibilisierung der eigenen Mitarbeiter für Cybersecurity-Gefahren nicht als einmalige Maßnahme, sondern als kontinuierlichen Prozess zu begreifen!“

Weitere Informationen zum Thema:

proofpoint, Jeremy Hedges & Tommy Madjar & Proofpoint Threat Research Team, 16.06.2025
Amatera Stealer: Rebranded ACR Stealer With Improved Evasion, Sophistication

malpedia, 10.06.2025
Amatera

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

datensicherheit.de, 19.04.2024
StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an / StrelaStealer stellt trotz der geringen Qualität der Täuschung eine ernstzunehmende Bedrohung für Organisationen dar

datensicherheit.de, 06.02.2023
Zscaler ThreatLabz Team warnt vor Album-Infostealer / Album adressiert facebook-Nutzer auf der Suche nach pornographischen Inhalten

datensicherheit.de, 21.04.2022
Ginzo-Stealer: Gratis-Malware als Martkeinstieg / Neukunden mit attraktivem Gratis-Angebot für Malware locken und später kostenpflichtige Lösungen verkaufen

datensicherheit.de, 07.10.2021
PixStealer: Missbrauch von Zugangsdiensten durch neuen Android-Banking-Trojaner / Check Point Research entdeckt Attacken gegen PIX – ein von der brasilianischen Zentralbank verwaltetes Sofortzahlungssystem

datensicherheit.de, 18.04.2020
Zscaler: Warnung vor Fake-VPN-Seiten zur Verbreitung von Infostealer-Malware / Neu registrierte Domains als mögliche Quellen für neue Malware-Kampagnen

[datensicherheit.de, 09.04.2025] Cyber-Bedrohungen entwickeln sich mit zunehmender Digitalisierung und Vernetzung rasant – mit den neuen Chancen erwachsen auch neue Risiken für die Sicherheit, dabei haben die meisten Cyber-Angriffe vorrangig eine menschliche Komponente. Miro Mitrovic, „Area Vice President DACH“ bei Proofpoint, betont in seiner aktuellen Stellungnahme, dass sich rund 90 Prozent der Cyber-Angriffe auf menschliches Fehlverhalten zurückführen lassen. Um dieser Herausforderung zu begegnen, müssten Unternehmen ihre neuen Mitarbeiter von Anfang an in ihre Sicherheitsstrategie einbinden. Ein effektives Onboarding-Programm für Cyber-Sicherheit sei entscheidend, um neue Kollegen in die Lage zu versetzen, verdächtige Aktivitäten zu erkennen und angemessen darauf zu reagieren. Mitrovic gibt hierzu nachfolgend vier Tipps, mit denen deutsche Unternehmen ihre neuen Mitarbeiter bereits beim Onboarding in ihre Cyber-Verteidigung integrieren können.

Foto: Proofpoint

Miro Mitrovic: Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich!

Klare Definition eines Cyber-Vorfalls erforderlich

Mitrovic führt aus: „Ein wesentlicher Bestandteil jeder Einarbeitung sollte eine klare Definition dessen sein, was einen Cyber-Vorfall ausmacht – sei es eine ungewöhnliche Netzwerkaktivität, ein unbefugter Zugriffsversuch oder eine Phishing-Mail.“ Neue Mitarbeiter sollten ermutigt werden, verdächtige Aktivitäten sofort über die offiziellen Kanäle zu melden, damit das Sicherheitsteam schnell handeln kann. „Eine offene Kommunikationskultur, gepaart mit klaren Richtlinien, sorgt dafür, dass potenzielle Bedrohungen frühzeitig erkannt und entschärft werden.“

Cyber-Sicherheit sei keine exklusive Aufgabe der IT-Abteilung, sondern eine gemeinsame Verantwortung der gesamten Belegschaft. „Mit einem durchdachten Onboarding-Programm können Unternehmen nicht nur die Sicherheit ihrer Systeme verbessern, sondern auch eine nachhaltige Sicherheitskultur etablieren“, betont Mitrovic. Indem neue Mitarbeiter von Anfang an in die Sicherheitsstrategie eingebunden werden, könnten sie einen wertvollen Beitrag zum Schutz des Unternehmens leisten. Zu diesem Zweck gelte es die folgenden vier Tipps zu beachten:

1. Cyber-Sicherheitstipp: Kennwortsicherheit – die erste Verteidigungslinie stärken

Die Wahl eines sicheren Passworts sei eine der einfachsten und zugleich wirksamsten Maßnahmen, um unberechtigten Zugriff auf Unternehmenssysteme zu verhindern. Neue Mitarbeiter sollten lernen, einzigartige und komplexe Passwörter zu erstellen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen.

• Ergänzend sollte die Multi-Faktor-Authentifizierung (MFA) verpflichtend eingeführt werden, um eine zusätzliche Sicherheitsebene zu schaffen.

„Eine fundierte Einführung in das Thema Passwortsicherheit vermittelt nicht nur die technischen Grundlagen, sondern schärft auch das Bewusstsein dafür, dass jeder Einzelne aktiv zur Abwehr von Cyber-Bedrohungen beitragen kann.“

2. Cyber-Sicherheitstipp: Phishing und E-Mail-Betrug – Taktiken der Cyber-Kriminellen erkennen

Phishing-Angriffe gehörten zu den häufigsten Methoden Cyber-Krimineller, um an sensible Informationen zu gelangen. „Ob durch gefälschte E-Mails, SMS oder Anrufe – die Angreifer setzen auf psychologische Tricks, um Vertrauen zu schaffen und Mitarbeitende zur Preisgabe vertraulicher Daten zu bewegen.“

• Neue Kollegen sollten lernen, typische Warnsignale wie unerwartete Aufforderungen, verdächtige Links oder ein ungewöhnliches Branding zu erkennen.

Wichtig sei auch die Aufklärung über „Business Email Compromise“ (BEC) – eine raffinierte Methode, bei der sich Angreifer als Vorgesetzte oder Kollegen ausgeben. Grundsätzlich gilt laut Mitrovic: „Verdächtige Anfragen müssen immer persönlich über offizielle Kanäle bestätigt werden, bevor gehandelt wird!“

3. Cyber-Sicherheitstipp: Datenschutz und Gerätesicherheit – Schutz vertraulicher Daten

Der Schutz sensibler Unternehmensdaten beginne mit dem richtigen Umgang und der Sicherung von Geräten. Neue Mitarbeiter sollten umfassend über die Datenschutzrichtlinien des Unternehmens informiert werden.

• Dazu gehöre auch die Aufforderung, nur von der Organisation genehmigte Software zu verwenden, Geräte bei Nichtbenutzung zu sperren und verlorene oder gestohlene Geräte unverzüglich der IT-Abteilung zu melden.

Darüber hinaus sollten die Benutzer in sicherem Online-Verhalten geschult werden, beispielsweise öffentliche WLAN-Netzwerke zu meiden und Website-Adressen auf Sicherheitsmerkmale wie „https://“ und das Schlosssymbol hin zu überprüfen. „Diese einfachen Schritte tragen wesentlich dazu bei, die Angriffsfläche des Unternehmens zu minimieren.“

4. Cyber-Sicherheitstipp: Neu entwickelte Bedrohungen – Vorbereitungen auf das Unbekannte

Cyber-Kriminelle setzten zunehmend auf ausgeklügelte Taktiken wie KI-gestützte Angriffe, sogenannte Deepfakes und die Manipulation von Kollaborationstools wie „Teams“ oder „Slack“.

• Neue Mitarbeiter müssten für diese dynamischen Bedrohungen sensibilisiert werden und lernen, sich gegen täuschend echte Angriffe zu wappnen.

„Ein flexibles Security-Awareness-Programm, das regelmäßig aktualisiert wird, ist darum unerlässlich“, unterstreicht Mitrovic abschließend. Denn nur so könnten Unternehmen sicherstellen, dass ihre Mitarbeiter auf die neuesten Angriffsmethoden vorbereitet sind und schnell angemessen reagieren können.

Weitere Informationen zum Thema:

datensicherheit.de, 14.02.2025
Datenschutz-Schulungen: Ein Drittel der Unternehmen versäumt es, Mitarbeitern Aktualisierungen anzubieten / Zwar 87 Prozent der Unternehmen ihren Mitarbeitern Datenschutz-Schulungen an, aber nur 68 Prozent aktualisieren diese Materialien regelmäßig

datensicherheit.de, 09.12.2024
Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf / Sicherheitsteams sollten Anwendung von Identity-Security-Kontrollen neu überdenken

datensicherheit.de, 18.05.2024
Cyber-Angriff mittels Deepfake-Phishing: Mitarbeiter sensibilisieren, CEO-Imitationen zu erkennen! / Anrufe und Textnachrichten sowie mindestens eine Sprachnachricht mit einer per Deepfake-Technologie gefälschten Stimme des CEO

datensicherheit.de, 26.11.2023
IT – Interner Täter: Mitarbeiter noch größere Gefahr als Hacker / In den vergangenen zwei Jahren mehr als ein Drittel aller Cyber-Sicherheitsvorfälle in Deutschland auf Fehlverhalten von Mitarbeitern zurückzuführen

datensicherheit.de, 04.04.2023
Selbstüberschätzung: Mitarbeiter gefährden Cyber-Sicherheit in Unternehmen / Mehr als die Hälfte der Erwachsenen in Deutschland der Meinung, überdurchschnittliche Kenntnisse in Sachen Cyber-Sicherheit zu besitzen

[datensicherheit.de, 05.03.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neuartige und hochgradig verschleierte „Backdoor“-Malware entdeckt und „Sosano“ genannt. Diese Schadsoftware nutzt demnach fortschrittliche polyglotte Malware-Techniken, um ihre „Payload“ zu verschleiern und unbemerkt in Zielsysteme einzudringen.

Malware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz

Diese Malware sei im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz gekommen, bei der die Angreifer kompromittierte E-Mail-Konten und maßgeschneiderte Nachrichten genutzt hätten, um das Vertrauen der Empfänger zu gewinnen. „Die Cyber-Kriminellen nutzen ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.“ Polyglotte Dateien seien so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden könnten, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermögliche.

„In diesem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu verstärken. Diese Technik unterstreicht die hohe Kompetenz der Cyber-Kriminellen bei der Entwicklung von Schadsoftware.“ Die Angriffskette beginne mit einer manipulierten LNK-Datei, welche ein Skript ausführe, um polyglotte Dateien zu laden, welche schließlich eine schädliche „Payload“ installierten. Die in „Golang“ geschriebene Malware ermögliche es den Angreifern, über einen sogenannten Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware herunterzuladen. Ein weiteres bemerkenswertes Detail sei die absichtliche Inflation des Codes der Malware mit unnötigen „Golang“-Bibliotheken, „die nicht zur Ausführung kommen, um die Analyse der Software weiter zu erschweren“.

Verschleierungsmethoden helfen beim Verbergen der Malware, um Zugriff auf Kritische Systeme zu erlangen

Die hochentwickelte Technik der polyglotten Malware und der gezielte Ansatz der Kampagne stellten eine ernsthafte Bedrohung für Unternehmen dar. Die Verwendung solcher Verschleierungsmethoden, um Malware zu verbergen und langfristigen Zugriff auf Kritische Systeme zu erlangen, zeige die Raffinesse moderner Bedrohungsakteure.

Proofpoint empfiehlt Unternehmen, „ihre Sicherheitsvorkehrungen zu verstärken, um solche fortgeschrittenen Angriffe zu verhindern“. Dazu gehörten die kontinuierliche Überwachung von Netzwerken, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und der Einsatz solch fortschrittlicher Malware-Erkennungstools, „die auch gegen verschleierte ,Payloads’ wirksam sind“.

Weitere Informationen zum Thema:

proofpoint, Joshua Miller & Kyle Cucci & Proofpoint Threat Research Team, 04.03.2025
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware

[datensicherheit.de, 20.02.2025] Proofpoint meldet, dass eigene Sicherheitsexperten eine zunehmende Bedrohung durch sogenannte „Fake-Update“-Angriffe festgestellt hätten: „Bei diesen Angriffen werden gefälschte Update-Benachrichtigungen verwendet, um Benutzer zur Installation von Malware zu verleiten.“ Dabei tun sich demnach zwei neu identifizierte Bedrohungsakteure hervor („TA2726“ und „TA2727“), welche die Malware-Verbreitung über kompromittierte Webseiten vorantrieben.

Gefälschte Update-Benachrichtigungen, um Nutzer zum Download von Malware zu verleiten

Die Angreifer setzten dabei auf Techniken wie „Traffic Distribution Services“ (TDS), um den Datenverkehr gezielt auf kompromittierte Webseiten umzuleiten. „Auf diesen Websites werden den Nutzern gefälschte Update-Benachrichtigungen angezeigt, um sie zum Download von Malware zu verleiten.“

Besonders auffällig sei dabei, dass die Angreifer zunehmend maßgeschneiderte Malware einsetzten, „die für verschiedene Plattformen optimiert ist“. Während Malware für „Windows“ und „Android“ bereits weit verbreitet sei, habe Proofpoint auch eine neue „Mac“-Malware namens „FrigidStealer“ entdeckt: „Diese Malware erbeutet sensible Nutzerdaten wie Browser-Cookies und Passwörter und überträgt sie an die Angreifer.“

Angriffserkennung erschwert: Malware je nach Betriebssystem und Browser des Benutzers variiert

Ein weiteres beunruhigendes Detail sei die zunehmende Regionalisierung der Angriffsstrategien. „Proofpoint hat beobachtet, dass je nach geographischem Standort des Nutzers unterschiedliche ,Payloads’ ausgeliefert werden.“

Dies erschwere die Erkennung der Angriffe erheblich, weil die Malware je nach Betriebssystem und Browser des Benutzers variiere. „Dass ,TA2726‘ als Traffic-Distributor fungiert und den Datenverkehr gezielt zu anderen Akteuren wie ,TA569‘ und ,TA2727‘ umleitet, macht die Angriffe noch effizienter.“

Malware-Angriffe basieren auf gängigen Web-Techniken und Social-Engineering-Methoden

Weil diese Malware-Angriffe auf gängigen Web-Techniken und Social-Engineering-Methoden basierten, seien sie besonders schwer zu erkennen. Unternehmen schenkten der Sicherheit ihrer Websites und Webserver oft zu wenig Beachtung, „obwohl diese ein beliebtes Ziel für Angreifer sind“. Proofpoint empfiehlt daher, „die Netzwerksicherheit und den Endgeräteschutz zu verstärken, um solchen Bedrohungen vorzubeugen“.

Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig schulen, um verdächtige Aktivitäten frühzeitig zu erkennen und zu melden. „Zudem empfiehlt Proofpoint weitere Schutzmaßnahmen wie den Einsatz von Browser-Isolationstechnologien, die verhindern, dass schädliche Webseiten auf den Endgeräten der Nutzer Schaden anrichten können.“ Darüber hinaus sollten Unternehmen auch das Öffnen von Skript-Dateien auf „Windows“-Geräten blockieren, um das Risiko sogenannter Web-Injections weiter zu reduzieren.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 18.02.2025
An Update on Fake Updates: Two New Actors, and New Mac Malware

[datensicherheit.de, 29.01.2025] Miro Mitrovic, „Area Vice President Sales DACH“ bei Proofpoint, hat den „Europäischen Datenschutztag“ vom 28. Januar 2025 zum Anlass genommen, nachdrücklich daran zu erinnern, dass Datenschutz und Privatsphäre ein „Fundament unserer Gesellschaft“ bilden sollten.

Foto: Proofpoint

Miro Mitrovic unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist

Menschliches Element einer der wichtigsten Faktoren für Datenverluste in Unternehmen

Mitrovic führt aus: „Auch wenn technische Innovationen die Branche verändern und neue Vorschriften ins Spiel kommen, bleibt das ,menschliche Element’ einer der wichtigsten Faktoren, der Unternehmen für Datenverluste anfällig macht!“ Der erste „Data Loss Landscape Report“ von Proofpoint zeigt demnach, dass 85 Prozent aller Unternehmen weltweit im vergangenen Jahr von Datenverlusten betroffen waren.

90 Prozent davon hätten mit negativen Folgen wie Umsatzeinbußen und Rufschädigung zu kämpfen. Bemerkenswert dabei sei, dass ein Prozent der Benutzer für 88 Prozent der Datenverlustwarnungen verantwortlich gewesen seien. „Dies beweist, welche Auswirkungen unvorsichtige Mitarbeiter für die Cyber-Sicherheit haben können“, so Mitrovic.

Immer mehr Nutzer geben sensible Daten in KI-Anwendungen ein

Die zunehmende Bedeutung und der verstärkte Einsatz sogenannter Generativer KI (GenAI) treibe auch die Investitionen in Datenschutzmaßnahmen in die Höhe: „53 Prozent der deutschen CISOs haben 2024 ,Data Loss Prevention’, (DLP)-Technologien; implementiert, ein deutlicher Anstieg gegenüber 27 Prozent im Vorjahr.“ Dies sei besonders wichtig, da Tools wie „ChatGPT“, „Grammarly“ und „Google Gemini“ immer leistungsfähiger und nützlicher würden und immer mehr Nutzer sensible Daten in diese Anwendungen eingäben.

Mitrovic unterstreicht: „Künstliche Intelligenz, insbesondere GenAI, führt zu neuen Herausforderungen für die Datensicherheit. KI bietet ein enormes Potenzial, birgt aber auch erhebliche Risiken für Datenverluste. Wer vertrauliche Informationen oder personenbezogene Daten in diese Modelle einspeist, gibt Angreifern eine ,geladene Waffe’ in die Hand.“ Unternehmen seien darüber verständlicherweise besorgt. Der Bericht „Voice of the CISO 2024“ von Proofpoint zeige, dass 61 Prozent der deutschen CISOs GenAI als eine der größten Gefahren für ihr Unternehmen einschätzten. Dies unterstreiche die Notwendigkeit einer robusten Datenschutzstrategie.

Datenverlust wird immer von Menschen verursacht!

„Daten gehen nicht von selbst verloren, sondern Datenverlust wird immer von Menschen verursacht!“ Unvorsichtige, kompromittierte und böswillige Benutzer seien und blieben für die überwiegende Mehrheit der Datenverluste verantwortlich. Tatsächlich hätten 57 Prozent der deutschen Unternehmen in den letzten zwölf Monaten den Verlust sensibler Daten zu beklagen, wobei 77 Prozent der CISOs hierzulande der Meinung seien, dass ausscheidende Mitarbeiter für diese Vorfälle verantwortlich gewesen seien. „Aber auch riskante Handlungen wie das Weiterleiten von E-Mails, das Klicken auf Phishing-Links, das Installieren nicht autorisierter Software und das Versenden sensibler Daten per E-Mail an ein privates Konto tragen zu Datenverlusten bei.“

Mitrovic fasst zusammen: „All dies unterstreicht, dass ein auf den Menschen ausgerichteter Ansatz für die Datensicherheit erforderlich ist!“ Dieser Ansatz müsse ein Verständnis für die Datenklassen, die Benutzerabsicht und den Bedrohungskontext kombinieren und konsistent auf alle Kommunikationskanäle angewendet werden – einschließlich E-Mail, „Cloud“, Endgeräte, Web und GenAI-Tools. „Es bedeutet auch, dass Mitarbeiter auf Fehlverhalten bei der IT-Sicherheit direkt aufmerksam gemacht werden und an personalisierten Trainings auf Grundlage des individuellen Risikoprofils teilnehmen müssen, um eine Verhaltensänderung herbeizuführen. Denn es ist von überragender Bedeutung, dass jeder die Risiken versteht und seine Rolle beim Schutz des Unternehmens ernst nimmt.“

Weitere Informationen zum Thema:

proofpoint, 19.03.2024
Proofpoint’s Inaugural Data Loss Landscape Report Reveals Careless Employees are Organizations’ Biggest Data Loss Problem / 85% of ​organizations experienced​ data loss in the past year​;​ 90% of those saw negative outcomes including revenue losses and reputational damage

proofpoint, 2024
White Paper: Voice of the CISO 2024

[datensicherheit.de, 28.01.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben „eine alarmierende Zunahme von Cyber-Kampagnen und bösartigen Domains festgestellt, bei denen Steuerbehörden und andere Finanzinstitutionen in der Schweiz imitiert werden“. Ihre Erkenntnisse wurden in einem aktuellen „Security Brief“ veröffentlicht (s.u.).

Abbildung: Proofpoint

Fake-Beispiel für cyber-kriminelle Erinnerung an Zahlung der Bundessteuer in der Schweiz

Cyber-Kriminelle geben sich als Eidgenössische Steuerverwaltung aus

Im Dezember 2024 entdeckte Proofpoint demnach eine Betrugskampagne, welche gezielt Schweizer Organisationen ins Visier nahm. Cyber-Kriminelle hätten sich dabei als Eidgenössische Steuerverwaltung ausgegeben und die Empfänger aufgefordert, vermeintliche Steuerschulden mittels Kreditkarte über die Zahlungsplattform „Revolut“ zu begleichen. Laut den Untersuchungsergebnissen von Proofpoint war das Ziel dieser Kampagne nicht der Diebstahl von Kreditkartendaten, „sondern die Umleitung von Zahlungen auf ein von den Angreifern kontrolliertes ,Revolut’-Konto“.

Diese Ergebnisse unterstrichen die raffinierten Methoden Cyber-Krimineller, um ihre Opfer zu täuschen und zu manipulieren. Insbesondere im Laufe der Steuersaison seien solche Taktiken effektiv, weil viele Menschen und Unternehmen mit Steuerbehörden und Finanzdienstleistern interagierten und daher eher geneigt seien, solche Köder für authentisch zu halten. Es sei daher von entscheidender Bedeutung, „dass Organisationen ihre Belegschaft über die häufig von Cyber-Kriminellen eingesetzten Techniken und Köder aufklären, um solche Angriffe abzuwehren“.

Steuerbezogene Inhalte während der weltweiten Steuersaison ein beliebter Cyber-Köder

„Steuerbezogene Inhalte sind während der weltweiten Steuersaison immer ein beliebter Köder, und Proofpoint beobachtet typischerweise einen Anstieg solcher Inhalte zu Beginn des Jahres. Dabei kann es sich um einen wirksamen Köder handeln, weil er die Dringlichkeit von Fristen mit der Androhung von zusätzlichen Gebühren, Geschäftsunterbrechungen oder Auswirkungen auf Zahlungen verbindet“, erläutert Selena Larson, „Staff Threat Researcher“ bei Proofpoint. Darüber hinaus seien Menschen eher geneigt, auf Inhalte zu antworten oder sich damit zu befassen, „wenn sie von einer als Autorität anerkannten Quelle wie einer Regierungsbehörde zu stammen scheinen“.

Es sei wichtig, „dass die Menschen besonders wachsam sind, wenn sie eine E-Mail in ihrem Posteingang finden, die den Anschein erweckt, dass sie etwas mit Steuern zu tun hat“. Denn Cyber-Kriminelle seien wirklich gut darin, überzeugende Köder zu verbreiten. Weil viele Unternehmen ihre Geschäfte per E-Mail abwickelten, erwarteten ihre Mitarbeiter solche Inhalte und gingen davon aus, „dass sie legitim sind“. Außerdem kombinierten Cyber-Kriminelle E-Mails oft mit Anrufen oder Textnachrichten und nutzten so mehrere Kanäle für ihre Angriffe.

Belegschaft sollte auf gängige Techniken Cyber-Krimineller achten

Unternehmen bzw. ihre Belegschaft sollten auf gängige Techniken Cyber-Krimineller achten, „wie gefälschte Domänen und Identitäten, eine aufdringliche und dringliche Sprache, die Weiterleitung auf Websites, die nicht offiziell von den vermeintlichen Personen betrieben werden, und die Aufforderung, Zahlungen an Anwendungen oder Websites von Drittanbietern zu leisten“. Larson betont: „Wenn Unternehmen diese Taktiken verstehen und wachsam bleiben, können sie die Wahrscheinlichkeit, Opfer eines Phishing-Angriffs zu werden, erheblich verringern und ihr Geld und ihre sensiblen Daten wirksam schützen.“ Diese Attacken zielten meist darauf ab, sensible Informationen zu stehlen bzw. finanzielle Gewinne zu erzielen. Um das Risiko eines erfolgreichen Angriffs zu verringern, empfiehlt Proofpoint folgende Maßnahmen:

1. Schulen Sie Ihre Mitarbeiter, bösartige E-Mails und SMS zu erkennen und zu melden!
Regelmäßige Schulungen und simulierte Angriffe könnten viele Angriffe stoppen und helfen, besonders gefährdete Personen zu identifizieren. Nachhaltige Simulationen ahmten reale Angriffstechniken nach. „Achten Sie auf Security-Lösungen, die auf realen Angriffstrends und den neuesten Bedrohungsdaten basieren. Angreifer nutzen auch SMS und bösartige QR-Codes, um Angestellte anzugreifen, daher ist es wichtig, diese Methoden in die Schulung einzubeziehen!“

2. Sie müssen davon ausgehen, dass die Angestellten trotzdem irgendwann auf einige der Bedrohungen klicken werden!
Angreifer würden immer neue Wege finden, die menschliche Natur auszunutzen. „Finden Sie eine Security-Lösung, die eingehende E-Mail-Bedrohungen, die auf Mitarbeiter abzielen, erkennt und blockiert, bevor sie den Posteingang erreichen. Investieren Sie in eine Lösung, die das gesamte Spektrum von E-Mail-Bedrohungen abdeckt, nicht nur Malware-Bedrohungen!“ Einige Angriffe wie BEC (Business Email Compromise) und andere Formen des E-Mail-Betrugs seien mit herkömmlichen Sicherheitstools nur schwer zu erkennen. „Ihre Lösung sollte sowohl externe als auch interne E-Mails scannen – Angreifer können kompromittierte Konten verwenden, um Benutzer innerhalb desselben Unternehmens zu täuschen. Web-Isolation kann ein wichtiger Schutz gegen unbekannte und riskante URLs sein.“

3. Verwalten Sie den Zugriff auf sensible Daten und interne Bedrohungen!
Ein „Cloud Access Security Broker“ könne helfen, „Cloud“-Konten zu sichern und die richtigen Zugriffsrechte für Benutzer und zusätzliche Anwendungen von Drittanbietern auf Grundlage der relevanten Risikofaktoren zu gewähren. Plattformen für das Insider-Risikomanagement könnten zum Schutz vor Insider-Bedrohungen beitragen, „auch für Nutzer, die durch Angriffe von außen gefährdet sind“.

4. Zusammenarbeit mit einem Anbieter von Bedrohungsdaten!
Gezielte Angriffe erforderten zur Abwehr fortschrittliche Bedrohungsdaten. „Verwenden Sie eine Lösung, die statische und dynamische Techniken kombiniert, um neue Angriffswerkzeuge, -taktiken und -ziele zu erkennen und daraus zu lernen!“

Weitere Informationen zum Thema:

proofpoint, Selena Larson, 28.01.2025
Security Brief: Threat Actors Take Taxes Into Account

[datensicherheit.de, 15.11.2024] Mit dem nun näherrückenden Jahresende 2024 steht offenbar auch wieder einmal eine Hochsaison für Online-Einkäufe an: Laut dem „Weihnachtsshopping Report 2024“ von eBay Advertising hätten bereits im letzten Jahr, 2023, 60 Prozent der Konsumenten geplant, ihre Weihnachtsgeschenke online zu kaufen. „Kein Wunder, dass die Hochzeit des Kaufens und Schenkens auch die Hochzeit des Online-Betrugs ist!“, warnt Proofpoint in einer aktuellen Stellungnahme und hält zugleich für Konsumenten folgende Tipps bereit, um sich vor dieser Art Betrug schützen zu können:

1. Proofpoint-Tipp: Nutzen Sie besonders sichere Passwörter!

„Lange Zeit vertraten IT-Sicherheitsexperten die Ansicht, es sei wichtig Passwörter regelmäßig zu ändern, z.B. alle drei Monate. Diese Empfehlung beruhte auf der Annahme, dass häufige Änderungen das Risiko eines unbefugten Zugriffs verringerten.“ Inzwischen sei klar geworden, dass es viel wichtiger sei, lange, komplexe und einzigartige Passwörter zu verwenden, als diese häufig zu ändern.

Indes: Es sei jedoch weiter wichtig, Passwörter in bestimmten Situationen zu ändern, „insbesondere nach Sicherheitsvorfällen oder bei Verdacht auf unbefugten Zugriff“. Es sollten keine Wörter Verwendung finden, welche im Wörterbuch stehen, und es wird empfohlen zu prüfen, ob das gewählte Passwort bereits kompromittiert wurde – einige „Tools“ böten hierzu Abgleichsmöglichkeiten mit Datenbanken gehackter Passwörter.

2. Proofpoint-Tipp: Nutzen Sie einen Passwortmanager!

Ein Passwortmanager ermögliche es den Nutzern, Sicherheit und Bequemlichkeit zu kombinieren. „Das ,Tool’ speichert und verschlüsselt alle Passwörter zentral, so dass Sie sich nur ein Masterpasswort merken müssen.“

Dies Option ermögliche die Verwendung von langen, komplexen und einzigartigen Passwörtern für jedes Konto. Zudem automatisiere ein Passwortmanager das Ausfüllen von Anmeldeformularen.

3. Proofpoint-Tipp: Hände weg vom offenen WLAN!

Es sei verführerisch, sich z.B. bei einem Café-Besuch eben in dessen offenes WLAN einzuloggen, ein wenig zu browsen und einzukaufen…

Cyber-Kriminelle könnten allerdings diese über ein ungeschütztes WLAN übertragenen Daten abfangen – einschließlich Kreditkartennummern, Passwörtern, Kontoinformationen etc.

4. Proofpoint-Tipp: Fallen Sie nicht auf nachgeahmte Websites oder E-Mail-Adressen herein!

Cyber-Kriminelle ahmten in ihren E-Mails und Websites häufig beliebte Marken nach. „Nachgebaute“ Websites könnten gefälschte oder nicht-existierende Waren verkaufen, mit Malware infiziert sein, Geld stehlen oder Zugangsdaten abgreifen.

E-Mails auf Basis gefälschter Identitäten könnten Kunden auf solche Websites leiten.

5. Proofpoint-Tipp: Vorsicht beim Klicken!

„Klicken Sie nicht auf Links in Online-Werbung, nicht auf Websites, in E-Mails oder Sozialen Medien!“

Sicherer sei es, die offizielle Web-Adresse des Händlers oder Herstellers direkt in den Browser einzugeben, um sicher zu gehen, auf der richtigen Seite zu landen.

6. Proofpoint-Tipp: Verifizieren Sie Händler und Hersteller!

Betrügerische Anzeigen, gefälschte Websites oder auch manipulierte mobile Anwendungen seien häufig schwer zu erkennen.

„Nehmen Sie sich Zeit, Online-Bewertungen und Kundenbeschwerden zu lesen, wenn Sie eine neue App herunterladen oder eine neue Website besuchen wollen!“

7. Proofpoint-Tipp: Aktivieren Sie Zwei-Faktor-Authentifizierung!

„Aktivieren Sie die Zwei-Faktor-Authentifizierung für alle Ihre Online-Konten, die Ihnen diese Möglichkeit bieten!“

Damit lasse sich für Nutzer eine zusätzliche Sicherheitsebene einbauen.

8. Proofpoint-Tipp: Halten Sie Ihre Software aktuell!

„Stellen Sie sicher, dass Ihr (mobiles) Betriebssystem, Browser und Antiviren-Programm auf dem neuesten Stand sind!“

Die Aktualität aller o.g. Systeme trägt dazu erkannte Sicherheitslücken zu schließen.

9. Proofpoint-Tipp: Vorsicht bei unglaublichen Angeboten!

Wenn ein Angebot zu gut klinge, um wahr zu sein, sei es das wahrscheinlich auch…

„Vergleichen Sie Preise und recherchieren Sie den Händler, bevor Sie kaufen!“

Weitere Informationen zum Thema:

ecommerce magazin, Stefan Girschner, 08.10.2024
Kaufverhalten Weihnachtsgeschenke: Das sind die beliebtesten Geschenke der Deutschen

datensicherheit.de, 26.11.2022
Gelegenheit für Diebe: Shopping via Firmen-Notebook oder Privat-Handy / Alex Hinchliffe gibt Tipps, damit Online-Shopping nicht von Hackern ruiniert wird

datensicherheit.de, 15.11.2021
Black Friday, Cyber Monday und Weihnachten: 5 Tipps für sicheres Online-Shopping / Viele Verbraucher machen sich bereit, große Schnäppchen und Weihnachtsgeschenke online zu kaufen – dabei sollten sie Tipps zur Sicherheit beachten

datensicherheit.de, 18.12.2020
Lockdown: Cyber-Kriminelle attackieren Weihnachts-Shopping / Der Einzelhandel leidet im Lockdown – Cyber-Kriminelle haben Hochkonjunktur