[datensicherheit.de, 04.10.2025] „Die Ransomware-Lage in Deutschland und Europa bleibt angespannt“, unterstreicht Abdulrahman H. Alamri, „Principal Threat Intelligence Analyst“ bei Dragos, in seiner aktuellen Stellungnahme und verweist auf die nun vorliegende „Dragos Industrial Ransomware Analysis Q2 2025“ – demnach wurden im zweiten Quartal 2025 weltweit 657 Angriffe auf Industrieunternehmen registriert. Damit liege diese Zahl zwar leicht unter dem Niveau des Vorquartals (708 Angriffe), in Europa habe sich jedoch das Gegenteil gezeigt: „Die dokumentierten Fälle stiegen von 135 auf 173. Keine andere Region verzeichnete einen vergleichbar starken Anstieg.“ Besonders stark betroffen seien Deutschland, Großbritannien und Italien. „Dort treffen die Angriffe vor allem Branchen, die das industrielle Rückgrat der Wirtschaft bilden!“, warnt Alamri.

Foto: Dragos

Abdulrahman H. Alamri rät Unternehmen, sich bei ihren Verteidigungsstrategien an den „5 kritischen Maßnahmen“ des SANS Institute zu orientieren

Ransomware nimmt Kernbranchen der Industrie ins Visier

Die 173 Angriffe auf europäische Industrieunternehmen machten rund 26 Prozent aller weltweiten Ransomware-Vorfälle im zweiten Quartal 2025 aus. „Besonders betroffen sind Industriezweige, die in Deutschland eine zentrale Rolle spielen.“

• Die Bauindustrie habe weltweit 110 Angriffe verzeichnet, im Maschinen- und Anlagenbau seien 63 Fälle dokumentiert worden. In der Automobilindustrie seien es 38 Angriffe gewesen, in der Chemie 20. Insgesamt sei das produzierende Gewerbe mit 428 Angriffen weltweit am stärksten ins Visier geraten – „und stand damit für 65 Prozent aller dokumentierten Fälle“.

Zusätzlich seien 77 Angriffe auf Transport- und Logistikunternehmen gezählt worden. Im Bereich Industrielle Steuerungssysteme und „Engineering“hätten die Analysten 75 Attacken registriert – „mehr als doppelt so viele wie im ersten Quartal“. Besonders dieser Anstieg betreffe zahlreiche, in diesem Sektor international führende deutsche Unternehmen.

„Qilin“ als aktivste Gruppe der Ransomware-Unterwelt

„Im zweiten Quartal 2025 entwickelte sich ,Qilin’ zur aktivsten Ransomware-Gruppe im Industriesektor“, berichtet Alamri. Die Angreifer hätten 101 dokumentierte Attacken verübt und seien damit für rund 15 Prozent der weltweit bekannten Vorfälle verantwortlich. Im ersten Quartal 2025 habe die Zahl noch bei 21 gelegen. „Qilin“ habe sich damit als führender Akteur nach dem Rückgang etablierter Gruppen wie „LockBit“ und „RansomHub“ positioniert.

• Diese Gruppe betreibe eine Ransomware-as-a-Service-Plattform, über die sie erfahrene „Affiliates“ rekrutiere und unterstütze. „Teil des Angebots sind juristische Beratungsdienste, die Partner bei Verhandlungen stärken, sowie interne Medien- und PR-Teams, die gezielt den öffentlichen Druck auf betroffene Organisationen erhöhen.“

Auch technisch hebe sich „Qilin“ deutlich ab: „Die Gruppe nutzt automatisierte ,Tools’, um gezielt Schwachstellen in Fortinet-Produkten auszunutzen, etwa ,CVE-2024-21762‘ und ,CVE-2024-55591‘.“ Darüber gelinge rascher Zugriff auf interne Netzwerke, was tiefgreifende Angriffe ermögliche. „Für Unternehmen, die stark auf Fortinet-Systeme setzen, entsteht daraus ein erhebliches Risiko!“

Ransomware-Bedrohungslage verschärft sich weiter

Alamri führt aus: „Im März 2025 wurde ,Qilin’ operativ von der nordkoreanischen, staatlich unterstützten Hacker-Gruppe ,Moonstone Sleet’ übernommen. Seitdem steht nicht mehr nur finanzielle Erpressung im Vordergrund.“ Deren Aktivitäten zeigten zunehmend geopolitische Ausrichtung und zielten verstärkt auf Kritische Infrastrukturen (KRITIS).

• Die Zahl der Ransomware-Angriffe in Europa nehme weiter zu und Deutschland sei als industrialisiertes Land besonders häufig betroffen. „Stark im Fokus stehen Angriffe auf zentrale Industriezweige wie Bauwesen, Maschinenbau, Automobilindustrie, Chemie, Logistik und Industrielle Steuerungssysteme.“ Mit „Qilin“ habe sich zudem eine Ransomware-Gruppe etabliert, welche sowohl technisch als auch organisatorisch neue Maßstäbe setze.

Angesichts dieser Entwicklung reiche es nicht aus, sich auf etablierte Standards zu verlassen. Alamri gibt abschließend zu bedenken: „Unternehmen sollten sich bei ihren Verteidigungsstrategien an den ,5 kritischen Maßnahmen’ des SANS Institute orientieren!“ Dieser Rahmen helfe dabei, „Incident Response“, Architektur, Sichtbarkeit, Fernzugriff und Schwachstellen-Management systematisch umzusetzen. „So entsteht bereits in frühen Reifegraden eine belastbare Grundlage für Resilienz gegenüber Bedrohungen, die zunehmend industrielle Schlüsselbranchen und Kritische Infrastrukturen ins Visier nehmen.“

Weitere Informationen zum Thema:

DRAGOS
Our Mission: “To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day.“

DRAGOS
Abdulrahman H. Alamri / Abdulrahman H. Alamri is a Senior Intel Analyst II at Dragos. He holds a master’s degree in Cybersecurity and previously worked with the Saudi National Cybersecurity Authority (NCA) as a tactical threat intelligence team lead.

DRAGOS, Abdulrahman H. Alamri & Lexie Mooney, 14.08.2025
Dragos Industrial Ransomware Analysis: Q2 2025

DIGITAL BUSINESS, Stefan Girschner, 15.05.2025
Cyberangriffe Angriffstechniken: Die fünf gefährlichsten Vektoren

datensicherheit.de, 02.10.2025
Acronis: Ransomware dominiert Bedrohung im European Cybersecurity Month 2025 / Die Notwendigkeit des „European Cybersecurity Month“ unterstreichen laut Acronis aktuelle eigene Erkenntnisse – in der ersten Jahreshälfte 2025 blieb Ransomware weltweit die dominierende Bedrohung…

datensicherheit.de, 13.08.2025
Laut Veeam-Ransomware-Bericht für das zweite Quartal 2025 Zunahme der Attacken und Lösegeldzahlungen / Das zweite Quartal 2025 markiert einen Wendepunkt bei Ransomware, da gezieltes Social-Engineering und Datenexfiltration bei Hackern nun die methodische Erstwahl sind

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung / Malware-as-a-Service inzwischen für mehr als die Hälfte aller Cyber-Angriffe auf Unternehmen verantwortlich

[datensicherheit.de, 06.09.2025] Trend Micro bietet mit seinem neuesten „E-Mail Threat Landscape Report“ eine Analyse aktueller Veränderungen in der Cyberbedrohungslandschaft. Der vorliegende Bericht zeigt demnach ganz klar auf, dass E-Mails ein Haupteinfallstor für Cyberangriffe bleiben. Dabei setzten Cyberkriminelle zum Stehlen von Anmeldedaten verstärkt auf QRC-basiertes Phishing, sogenanntes Quishing. Unternehmen sollten diese Entwicklungen im Blick behalten und ihre Schutzmaßnahmen entsprechend anpassen.

Foto: Trend Micro

Richard Werner: Die E-Mail bleibt das wichtigste Kommunikationsmittel in Unternehmen und damit auch das am häufigsten genutzte Einfallstor für Bedrohungsakteure

Bedrohungsvolumen unterstreicht Notwendigkeit proaktiver E-Mail-Sicherheit

Im vergangenen Jahr – 2024 – haben demnach Sicherheitslösungen von Trend Micro ca. 57,3 Millionen hochriskanter E-Mail-Bedrohungen in „cloud“-basierten Kommunikationslösungen wie „Microsoft 365“ und „Google Workspace“ erkannt und blockiert.

• Im Jahr 2023 seien es noch etwa 45 Millionen gewesen. „Das stellt einen Anstieg um knapp 27 Prozent im Vergleich zum Vorjahr dar, den die Sicherheitsexperten sowohl auf eine verbesserte Erkennung, unter anderem durch den Einsatz Künstlicher Intelligenz, als auch auf weiterentwickelte Angreiferstrategien zurückführen.“

Das hohe Bedrohungsvolumen unterstreiche indes die Notwendigkeit einer proaktiven E-Mail-Sicherheit, um auch ausgefeilten Bedrohungen einen Schritt voraus zu sein.

E-Mails als Vehikel für Malware bzw. Ransomware

Die Telemetriedaten zeigten außerdem, dass per E-Mail verbreitete Malware weiterhin eine große Gefahr darstelle. „Die Erkennungszahlen bekannter Malware stiegen im Jahresvergleich um 47 Prozent, während bislang unbekannte Malware um 39 Prozent zurückging.“

• Dies deute darauf hin, dass Cyberkriminelle zunehmend auf bewährte Malware-Familien zurückgriffen und gleichzeitig standardisierte, auf Untergrundmärkten erhältliche „Cybercrime-Tools“ nutzten. Zudem spiegelten die Zahlen Fortschritte bei der Erkennung wider, welche eine schnellere Klassifizierung und Eindämmung von Bedrohungen ermöglichten.

„Die Ransomware-Aktivität stabilisierte sich im vergangenen Jahr auf hohem Niveau mit 63.278 Erkennungen im Vergleich zu 63.449 im Vorjahr.“ Gleichzeitig verlagerten die Bedrohungsakteure ihren Fokus von groß angelegten Ransomware-Kampagnen hin zu gezielten Angriffen mit hohem Risiko für ihre Opfer. Unternehmen sollten deshalb in mehrstufige Abwehrsysteme, sichere Backups und Fähigkeiten zur Bewältigung solcher Vorfälle investieren.

QRC in E-Mail-Anhängen als Köder für Quishing

„Während sich 2023 noch ein Rückgang beim Phishing abzeichnete, zeigen die Ergebnisse für 2024 einen Anstieg der gesamten Phishing-Vorfälle um 31 Prozent.“ Für „Credential Phishing“, also den Diebstahl von Anmeldedaten, sei ein noch stärkerer Anstieg von 36 Prozent zu verzeichnen.

• Eine wachsende Bedrohung stellen laut Trend Micro eben auch QRC-basierte Phishing-Angriffe („Quishing“) dar. Dazu werden QR-Codes (QRC) in E-Mail-Anhänge oder Nachrichten eingebettet, getarnt als legitime Benachrichtigungen, wie z.B. Aufforderungen zur Multi-Faktor-Authentifizierung (MFA) oder Warnungen zur Freigabe von Dokumenten. „Wenn diese Codes gescannt werden, leiten sie die Benutzer auf bösartige Websites um und versuchen so, die herkömmlichen Sicherheitsfilter auf PCs und Laptops zu umgehen.“

Insgesamt unterstrichen diese Trends die dringende Notwendigkeit für Unternehmen, ihre Abwehrmaßnahmen zu verstärken – insbesondere bei der Spam-Filterung, dem Schutz von Anmeldedaten und dem Einsatz von KI-gestützten „Tools“ zur Erkennung neuer Phishing-Methoden.

Zunahme von „Business E-Mail Compromise“ (BEC)

Die Fälle von „Business E-Mail Compromise“ (BEC) hätten im letzten Jahr um 13 Prozent zugenommen, während die KI-gestützte Erkennung von Betrugsfällen durch Analyse der Urheberschaft sogar um 77 Prozent angestiegen sei. „Das ist auf eine weitere Verbesserung von ,Trend Micros Writing Style DNA’-Technologie zurückzuführen. Diese kann verdächtige Nachrichten identifizieren, indem sie deren Schreibstil mit KI-generierten historischen Profilen von hochrangigen Führungskräften vergleicht.“

• Richard Werner, „Security Advisor“ bei Trend Micro, kommentiert: „Die E-Mail bleibt das wichtigste Kommunikationsmittel in Unternehmen und damit auch das am häufigsten genutzte Einfallstor für Bedrohungsakteure. Trotz verbesserter Erkennung und Analyse müssen sich Unternehmen weiterhin proaktiv mit diesen Bedrohungen auseinandersetzten. Denn Cyberkriminelle entwickeln zunehmend ausgeklügelte und dynamische Methoden, um Unternehmensnetzwerke zu infiltrieren.“

Werner legt nahe: „Um dieses Risiko wirksam zu minimieren, sollten Unternehmen auf einen einheitlichen und mehrschichtigen Plattform-Ansatz setzen, der Informationen aus verschiedenen Bereichen der IT-Infrastruktur konsolidiert und ein komplettes Paket aus ,Detection & Response’ und Gegenmaßnahmen bietet.“

Weitere Informationen zum Thema:

TREND MICRO
Wir konkurrieren nicht nur. Wir ändern die Spielregeln.

TREND MICRO, Trend Micro Research, 26.08.2025
Ausnutzung von Schwachstellen / Report: Bedrohungen durch Mail-basierte Angriffe / Angreifer nutzen für ihre Angriffe per Mail zunehmend Taktiken wie QR-Code-Phishing, bekannte Malware-Varianten und KI-gestützten Identitätsdiebstahl. Mit diesen raffinierten Techniken müssen die Methoden der Verteidiger mithalten können.

TREND MICRO, 15.07.2025
Email Threat Landscape Report: Evolving Threats in Email-Based Attacks / Email-based cyber threats are growing more sophisticated, with attackers increasingly using tactics like QR code phishing, known malware variants, and AI-powered impersonation to bypass traditional defenses and target users, data, and systems.

TechTarget
Richard Werner / Business Consultant, Trend Micro

datensicherheit.de, 14.08.2025
Quishing: Neue QRC-Betrugsmasche aus den USA könnte bald auch Deutschland erreichen / Unaufgefordert versenden Betrüger Postpakete an ihre Opfer – statt mit Namen und Adresse des Absenders versehen sie ihre Sendungen mit einem QRC, der auf eine getarnte Phishing-Website weitergeleitet oder einen gut getarnten Malware-Download wird initiiert

datensicherheit.de, 30.12.2024
QR-Codes als Sicherheitsfalle: Chester Wisniewski rät, davon die Finger zu lassen / QR-Codes erfreuen sich offensichtlich wachsender Beliebtheit in Verkauf, Marketing und bei Bezahlsystemen

datensicherheit.de, 08.11.2024
Sophos X-Ops analysieren Cyber-Attacken per Quishing / „Quishing“ (Phishing mit QR-Codes) offensichtlich ein Cybercrime-Trend mit zunehmender Bedeutung

datensicherheit.de, 26.03.2024
Quishing: QR-Code-Phishing-Angriffe noch immer eine unterschätzte Gefahr / Schutz gegen QR-Code-Phishing durch phishing-resistente MFA für die Konten

datensicherheit.de, 31.01.2024
Quishing-Update: QR-Code-Routing-Angriffe nehmen zu / Sicherheitsforscher von Check Point haben eine neue QRC-Angriffsart entdeckt

datensicherheit.de, 24.10,2023
Quishing: Zunahme von QR-Code-Phishing / Sicherheitsforscher von Check Point warnen vor neuer Art von Phishing-Angriffen

[datensicherheit.de, 10.08.2025] Palo Alto Networks gibt die Erkenntnisse aus der aktuellen „Social Engineering“-Edition des „2025 Global Incident Response Report“ der „Unit 42“ bekannt: Sogenanntes Social Engineering ist demnach 2025 das häufigste Einfallstor für Cyberangriffe. In mehr als einem Drittel der über 700 analysierten Fälle weltweit hätten Angreifer „Social Engineering“ als Einstieg genutzt – also den gezielten Versuch, Menschen durch Täuschung zu bestimmten Handlungen zu verleiten und so Sicherheitskontrollen zu umgehen.

Abbildung: Palo Alto Networks

Phishing bleibt die weitverbreitetste Taktik Cyberkrimineller, um sich Zugriff zu verschaffen

Zentrale Erkenntnisse der „Social Engineering“-Edition des „2025 Global Incident Response Report“ auf einen Blick:

• 36 Prozent aller untersuchten Vorfälle begannen mit „Social Engineering“
  Phishing bleibe mit 65 Prozent die weitverbreitetste Taktik, um sich Zugriff zu verschaffen. 35 Prozent nutzten „Malvertising, SEO-Poisoning, Smishing oder MFA-Bombing“.
• „High Touch“-Angriffe nehmen zu
  Gruppen wie „Muddled Libra“ umgingen Multi-Faktor-Authentifizierung (MFA) und erlangten innerhalb weniger Minuten Administratorrechte – ohne den Einsatz von Malware.
• Schwache Erkennungsmechanismen und Alarmmüdigkeit innerhalb der Sicherheitsteams begünstigen diese Angriffe
  Warnsignale würden oft übersehen oder falsch eingestuft – insbesondere in Prozessen zur Wiederherstellung von Identitäten oder bei lateralen Bewegungen im Netzwerk.
• Über die Hälfte der Vorfälle führte zu Datenabfluss
  Andere wiederum zu Unterbrechungen kritischer Dienste oder zu einer spürbaren Beeinträchtigung der Unternehmensperformance.
• Künstliche Intelligenz (KI) beschleunigt und personalisiert „Social Engineering“-Kampagnen
  Bedrohungsakteure nutzten Generative KI (GenAI), um täuschend echte Köder zu erstellen, Stimmen von Führungskräften zu imitieren und in Echtzeit Gespräche während Täuschungskampagnen zu führen.

„Social Engineering“ – Abwehr erfordert auch technischen Sicherheitsansatz

Der vorliegende Bericht macht laut Palo Alto Networks deutlich: „,Social Engineering’ erfordert einen technischen Sicherheitsansatz, der Identitätsmissbrauch systematisch erkennt, Prozesse absichert und Benutzerinteraktionen konsequent überprüft!“

Weitere Informationen zum Thema:

paloalto NETWORKS, Blog, Michael Sikorski, 30.07.2025
Social Engineering on the Rise — New Unit 42 Report

paloalto NETWORKS
Get to know Michael Sikorski / CTO and VP Engineering – Unit 42

UNIT 42
Cybercrime: 2025 Unit 42 Global Incident Response Report: Social Engineering Edition

datensicherheit.de, 31.07.2025
Scattered Spider: Social Engineering erfolgreich wegen Drittanbietersoftware …. / Ein Kommentar von Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

datensicherheit.de, 18.07.2025
Social Engineering weiterhin wichtigstes cyberkriminelles Einfallstor / „Initial Access Broker“ konzentrieren sich zunehmend darauf, „Social Engineering“ zu nutzen, um gültige Zugangsdaten für Systeme ihrer Opfer auszuforschen

datensicherheit.de, 31.01.2022
Earth Lusca: Neue Cyber-Spionagegruppe betreibt Social Engineering / Cyber-Spionage und finanziell motivierte Angriffe von Earth Lusca bedrohen Unternehmen

datensicherheit.de, 08.07.2021
Social Engineering Scams: Warnung vor Zunahme und Tipps zur Abwehr / Bei drei Vierteln der erfolgreichen Social Engineering Scams verwenden Angreifer Informationen über das Opfer, um Glaubwürdigkeit vorzutäuschen

datensicherheit.de, 27.09.2020
Social Engineering: Angriffen mit Analytik begegnen / Schnellere Identifizierung von Social Engineering hilft Schäden zu minimieren

datensicherheit.de, 06.04.2019
Social Engineering: Cyber-Kriminelle und ihre psychologischen Tricks / Christoph M. Kumpa erläutert in seinem Gastbeitrag die häufigsten Angriffe

[datensicherheit.de, 03.06.2025] KnowBe4 hat seinen „Phishing by Industry Benchmarking Report 2025“ veröffentlicht. Der misst demnach den „Phish-Prone Percentage“ (PPP) einer Organisation – „also den Prozentsatz der Mitarbeiter, die wahrscheinlich auf Social-Engineering- oder Phishing-Angriffe hereinfallen“. Damit soll Aufschluss über deren allgemeine Anfälligkeit für Phishing-Bedrohungen gegeben werden. „Der diesjährige Bericht ergab einen Basis-PPP von 32,5 Prozent in Europa, was dem globalen Durchschnitt von 33,1 Prozent entspricht.“

Foto: KnowBe4

Dr. Martin J. Krämer zur Ausgestaltung von Sicherheitsschulungen: Unternehmen müssen über das bloße Abhaken von „Compliance“-Kästchen hinausgehen!

Zwischen März 2024 und März 2025 Anstieg der Phishing-Angriffe um 68 Prozent festgestellt

Diese Ergebnisse unterstrichen die anhaltende Notwendigkeit nachhaltiger Schulungen zum Sicherheitsbewusstsein, da sich der PPP-Wert in Europa im Vergleich zum Vorjahr, 2024, nur minimal verbessert habe. Angesichts des weltweit starken Anstiegs von Phishing-Bedrohungen sei dies ein „besorgniserregender Trend“.

• So habe „KnowBe4 Defend“ zwischen März 2024 und März 2025 einen Anstieg der Phishing-Angriffe um 68 Prozent festgestellt, doch die Anfälligkeit der Mitarbeiter für Phishing in Europa verbessere sich nur langsam.

Der Rückgang des PPP-Wertes nach der Durchführung von Schulungen in Europa – auf 20,7 Prozent innerhalb von drei Monaten und auf fünf Prozent innerhalb von zwölf Monaten – zeige jedoch, dass effektive „Security Awareness Trainings“ funktionierten und dass ein kontinuierliches Risikomanagement entscheidend sei.

Weltweit 67,7 Millionen Phishing-Simulationen bei 14,5 Millionen Benutzern aus 62.400 Unternehmen analysiert

KnowBe4 hat nach eigenen Angaben weltweit 67,7 Millionen Phishing-Simulationen bei 14,5 Millionen Benutzern aus 62.400 Unternehmen analysiert. Der Basis-PPP (32,5 Prozent für Europa) spiegele die Anfälligkeit einer Organisation für Phishing vor einer KnowBe4-Schulung wider.

• Die Mitarbeiter durchliefen anschließend die „Security Awareness Trainings“ von KnowBe4 mit simulierten Phishing-Angriffen. Anschließend werde der PPP nach 90 Tagen und erneut nach mehr als einem Jahr kontinuierlicher Schulungen neu berechnet, um die Wirksamkeit dieses Programms zu quantifizieren.

Weitere wichtige Erkenntnisse aus dem aktuellen KnowBe4-Bericht:

• „Der etablierte PPP-Benchmark setzt den Standard für Unternehmen in Europa mit einem Ausgangswert von 32 Prozent, 20 Prozent nach 90 Tagen und 5 Prozent nach mehr als einem Jahr Schulung.“
• „Im Vergleich zu den PPPs für 2024 blieb die Leistung in allen kleinen, mittleren und großen Unternehmen nahezu unverändert.“
• „Cybersicherheit muss Menschen, Prozesse und Technologien umfassen, um das Risiko, Opfer von ,Social Engineering’ zu werden, wirksam zu verringern.“

Phishing-Angriffe entwickeln sich rasant weiter – Unternehmen müssen dies bei ihren Sicherheitsschulungen berücksichtigen

„Da sich Phishing-Angriffe rasant weiterentwickeln, müssen Unternehmen in Europa sicherstellen, dass ihre Schulungen zum Sicherheitsbewusstsein personalisiert, relevant und anpassungsfähig sind“, betont Dr. Martin Krämer, „Security Awareness Advocate“ bei KnowBe4 EMEA.

• Er führt weiter aus: „Angesichts neuer Vorschriften wie der Netz- und Infrastruktur-Sicherheitsrichtlinie (NIS2) und des EU-Künstlicher-Intelligenz-Gesetzes (EU AI Act), die die Anforderungen an Cybersicherheitsschulungen erhöhen, ist es von entscheidender Bedeutung, dass Unternehmen über das bloße Abhaken von Compliance-Kästchen hinausgehen.“

Effektive Schulungen müssten Mitarbeiter in die Lage versetzen, reale Bedrohungen, einschließlich KI-gesteuerter Betrugsversuche und geopolitisch motivierter Angriffe, zu erkennen und darauf zu reagieren.

Weitere Informationen zum Thema:

KnowBe4, 14.05.2025
KnowBe4 Phishing Benchmarking Report Phishing Europe 2025

datensicherheit.de, 21.05.2025
Abgriff persönlicher Daten: Phishing-Welle attackiert Steuerzahler in Deutschland / Gefälschte E-Mails im Umlauf – angeblich vom Bundeszentralamt für Steuern, Finanzamt oder „ELSTER“-Portal

datensicherheit.de, 08.05.2025
Laut KnowBe4 Phishing-Report Q1 2025 wird interne Kommunikation am häufigsten missbraucht / Die Daten für den aktuellen Bericht wurden der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar und dem 31. März 2025 entnommen

datensicherheit.de, 07.05.2025
Phishing-Attacken mittels Missbrauch legitimer Web-Plattformen wie Google / Eine neue cyber-kriminelle Methode macht aktuell dem Weltkonzern Google zu schaffen

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

datensicherheit.de, 28.04.2025
Beliebte Spieler-Plattform STEAM erstmals Phishing-Angriffsziel Nr. 1 / Laut „Guardio’s Brand Phishing Report for Q1 2025“ ist die unter Gamern beliebte Vertriebs-Plattform „STEAM“ stark ins Vsiier Cyber-Krimineller geraten

[datensicherheit.de, 14.05.2025] Der jährlich erscheinende „Cybercrime Report“ von LexisNexis® Risk Solutions ist nun auch in aktueller Auflage für 2025 verfügbar. Der diesjährige Bericht enthält demnach einige besonders spannende und aufschlussreiche Zahlen. Eine Kernaussage lautet, dass „First-Party-Fraud“ – d.h. Betrug durch vorsätzliche Falschangaben von Verbrauchern – zur häufigsten globalen Betrugsform geworden ist und im vergangenen Jahr, 2024, sogenannte Scams überholt hat. Weltweit falle jeder dritte gemeldete Fall (36%) inzwischen in diese Kategorie – ein massiver Anstieg gegenüber 15 Prozent im Vorjahr. In der EMEA-Region machte „First-Party-Fraud“ laut Report mehr als die Hälfte aller gemeldeten Betrugsarten aus – ein enormer Sprung im Vergleich zum Vorjahr, in dem dieser Anteil noch unter 19 Prozent lag. Anbieter sogenannter BNPL-Dienste („Buy Now, Pay Later“) sowie Finanzinstitute berichten vermehrt von einem Anstieg solcher Betrugsfälle, der offenbar eben durch Phasen hoher Inflation und steigender Lebenshaltungskosten verstärkt wird.

Abbildung: LexisNexis® Risk Solutions

„Fraud Classifications in EMEA“: Auffächerung des Cybercrime-Betrugs in der „EMEA“-Region (Europa, Naher Osten und Afrika)

Aktuell vorliegender „Cybercrime Report“ basiert auf einer Analyse von über 104 Milliarden globalen Transaktionen

Nach eigenen Angaben von LexisNexis® Risk Solutions beruht der aktuell vorliegende „Cybercrime Report“ auf einer Analyse von über 104 Milliarden globalen Transaktionen auf der „LexisNexis® Digital Identity Network® Plattform“ im Jahr 2024: „The Calm Before the Storm?“ – zeige eine deutliche Verschiebung in der Zusammensetzung globaler Betrugsangriffe: „First-Party-Fraud ist nun weltweit die führende Betrugsform und macht im Jahr 2024 ein Drittel (36%) aller gemeldeten Fälle aus – gegenüber 15 Prozent im Vorjahr.“

• „First-Party-Fraud“ umfasst die vorsätzliche Falschangabe oder Täuschung persönlicher oder kontobezogener Informationen mit dem Ziel eines finanziellen Vorteils – etwa bei der Beantragung eines Kredits, bei der fälschlichen Behauptung, eine Kredit- oder Debitkartenzahlung sei betrügerisch erfolgt, um eine Rückerstattung zu erhalten (auch als „Friendly-Fraud“ bekannt), oder durch die Behauptung, bestellte Waren seien nicht geliefert worden.

BNPL-Anbieter („Buy Now, Pay Later“) sowie Finanzinstitute berichten vermehrt von einem Anstieg solcher Betrugsfälle, der offenkundig durch Phasen hoher Inflation und steigender Lebenshaltungskosten verstärkt wird. Auch die zunehmende Haftung von Institutionen für Scams infolge regulatorischer Vorgaben dürfte eine Rolle spielen.

Ausnutzung zentraler Schwachstellen durch Cybercrime

„Account Takeover“-Betrug (ATO) – angetrieben durch Phishing- und Smishing-Aktivitäten – mache weitere 27 Prozent der weltweit gemeldeten Betrugsfälle aus (ein Rückgang von rund zwei Prozent gegenüber dem Vorjahr). Scams, einschließlich der sogenannten „Authorised Push Payment“-Betrügereien (APP), machten elf Prozent der Fälle aus (ein Rückgang gegenüber 16 Prozent im Jahr 2023). Der Report zeige zudem, dass im Jahr 2024 jeder neunte (11%) Versuch zur Zurücksetzung eines Passworts ein Betrugsangriff gewesen sei. Bei Passwortänderungen über Desktop-Computer habe dieser Anteil sogar bei über einem Viertel (27%) gelegen.

• „Diese Erkenntnisse markieren einen bemerkenswerten Wandel in den globalen Betrugsmustern: Verbraucher sind inzwischen die größte Ursache für von Menschen initiiertem Betrug“, berichtet Stephen Topliss, „Vice President of Fraud and Identity“ bei LexisNexis Risk Solutions. Er führt aus: „Die veränderte Zusammensetzung der Angriffe stellt eine erhebliche Herausforderung für die Betrugsprävention dar, da die Aufdeckung von ,First-Party-Fraud’ einen etwas anderen Ansatz erfordert als die Erkennung von Scams oder Account-Takeovers.“

Organisationen dürften dennoch nicht nachlässig werden – allein im vergangenen Jahr seien mehr als drei Milliarden automatisierte „Account Takeover“-Versuche mittels sogenannter Brute-Force-Angriffen registriert worden, und Scams blieben ein globales Problem. Topliss betont: „Es ist daher von entscheidender Bedeutung, dass Unternehmen über Modelle verfügen, die auf die Erkennung dieser unterschiedlichen Betrugsformen abgestimmt sind.“

Laut „Cybercrime Report“ begannen die Angriffsraten, sich im Jahr 2024 zu stabilisieren…

Nach zwei Jahren erheblicher Zuwächse bei den weltweiten Betrugsangriffen zeige der aktuelle „Cybercrime Report“, dass sich die Angriffsraten im Jahr 2024 zu stabilisieren begonnen hätten – mit lediglich einem marginalen Anstieg von einem Prozent bei menschlich initiierten Angriffen sowie einem Rückgang automatisierter Bot-Angriffe um 15 Prozent.

• Letztere bezeichneten Algorithmen, welche darauf ausgelegt seien, mit gestohlenen Zugangsdaten in Kundenkonten einzudringen. LexisNexis Risk Solutions warnt jedoch, dass dieses relativ ruhige globale Bild möglicherweise „erste Anzeichen eines bevorstehenden Sturms“ verdecke, welcher durch den Einsatz Künstlicher Intelligenz (KI) angereichert werde.

Die Angriffsrate auf Unternehmen aus den Bereichen Kommunikation, Mobilfunk und Medien (CMM) sei im Jahresvergleich um 15 Prozent gestiegen, während Finanzdienstleister weltweit einen Anstieg automatisierter Bot-Angriffe um 18 Prozent verzeichnet hätten.

Regional variierende Cybercrime-Angriffsraten

• „EMEA“ (Europa, Naher Osten und Afrika) weist laut dem „LexisNexis® Identity Abuse Index“, der tägliche Angriffsraten erfasst, weiterhin die weltweit niedrigste regionale Angriffsrate auf – mit 0,6 Prozent aller Transaktionen.
• Auch „LATAM“ (Lateinamerika) verzeichnet seit Ende 2023 ebenfalls einen kontinuierlichen Rückgang der Angriffsrate (1,6%), womit die Region nun unter dem Niveau von Nordamerika (2,2%) liegt.
• Im Gegensatz dazu ist die Angriffsrate im asiatisch-pazifischen Raum („APAC“) im Verlauf des Jahres 2024 signifikant um 37 Prozent gestiegen und liegt nun bei 1,5 Prozent aller Transaktionen in der Region.

Für den aktuellen „LexisNexis Risk Solutions Cybercrime Report“ wurden über 104 Milliarden Transaktionen auf der „LexisNexis® Digital Identity Network® Plattform“ im Zeitraum von Januar bis Dezember 2024 analysiert. „Dabei werden Betrugsversuche anhand einer nahezu in Echtzeit erfolgenden Analyse von Verbraucherinteraktionen über den gesamten Online-Prozess hinweg identifiziert – von der Erstellung neuer Konten, Anmeldungen und Zahlungen bis hin zu nicht primären Transaktionen wie Passwortzurücksetzungen und Überweisungen.“

Topliss gibt abschließend zu bedenken: „Wir stehen vor einem möglichen Wendepunkt. Zwar haben viele Organisationen in den vergangenen Jahren ihre Schutzmaßnahmen verbessert, doch zugleich wissen wir, dass Cyberkriminelle zunehmend neue innovative, KI-gestützte Angriffstechnologien einsetzen – diese werden in den kommenden Monaten voraussichtlich umfassend erprobt und angewendet werden.“ Ihre Analyse der Angriffe über einen längeren, mehrjährigen Zeitraum zeige, dass schwerwiegende Attacken häufig in Wellen aufträten. Seine warnende Einschätzung: „Die aktuellen Zahlen könnten daher auf das bevorstehende Eintreffen einer neuen, KI-gestützten Welle globaler Angriffe hinweisen.“

Weitere Informationen zum Thema:

LexisNexis® Risk Solutions, 2025
Is This The Calm Before The Storm? / As fraud in EMEA evolves to circumvent tightened security, businesses have new tools to stay one step ahead.

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 31.09.2020
EMEA-Region: Finanzindustrie im Visier / NETSCOUT kommentiert die zunehmende Anzahl der Cyber-Angriffe auf die Finanzindustrie im Wirtschaftsraum Europa-Arabien-Afrika

[datensicherheit.de, 10.05.2025] Der aktuelle „Verizon Data Breach Investigations Report“ zeigt auf, dass die Ausnutzung von Schwachstellen zu einem der am häufigsten genutzten Angriffsvektoren geworden ist und mittlerweile als Ausgangspunkt für 20 Prozent aller „Breaches“ dient – demnach ein Anstieg von 34 Prozent gegenüber dem Vorjahresbericht. Dieser sei unter anderem zurückzuführen auf die Ausnutzung von „Zero Days“ in VPNs und sogenannten Edge-Geräten. Der Report hebt 17 CVEs im Zusammenhang mit „Edge“-Geräten, welche nach wie vor attraktive Ziele für Angreifer darstellen, hervor. „Tenable Research“ hat nun detaillierte Schwachstellendaten zu diesen 17 CVEs bereitgestellt und u.a. untersucht, wie Unternehmen bei deren Behebung abschneiden.

Abbildung: verizon business

„2025 Data Breach Investigations Report“ zu Schachstellen in Unternehmen

Priorisierung kritischer Schwachstellen

Scott Caveza, „Senior Staff Research Engineer“ bei Tenable, geht in seiner aktuellen Stellungnahme auf den vorliegenden „Verizon Data Breach Investigations Report“ ein: „Die Zahl neuer Schwachstellen steigt weiterhin rapide an und beschert Cyber-Sicherheitsexperten eine schier endlose ,To-do’-Liste.“

• Grundsätzlich sollten die kritischsten Schwachstellen ganz oben auf dieser Liste stehen, insbesondere bei sogenannten Edge-Geräten, den metaphorischen Toren zu Unternehmensumgebungen.

„Für eine fundierte Priorisierung und Behebung ist jedoch auch der Kontext rund um eine bestimmte Schwachstelle entscheidend – also wo in der Umgebung sie sich befindet, welche Daten oder Systeme potenziell gefährdet sind, wie leicht sie ausgenutzt werden kann, ob ein ,Proof-of-Concept’ existiert und vieles mehr.“ Caveza betont: „Die größte und gefährlichste Schwachstelle könnte je nach Kontext in einigen Fällen sogar unproblematisch sein.“

17 Schwachstellen im Zusammenhang mit „Edge“-Geräten untersucht.

Caveza berichtet: „Für den ,Verizon Data Breach Investigations Report’ haben wir 17 Schwachstellen im Zusammenhang mit ,Edge’-Geräten untersucht. Jede davon betrifft attraktive Ziele für Angreifer und fungiert häufig als Einstiegspunkt für ,Breaches’.“ Angesichts ihrer Bedeutung gebe es, wenn überhaupt, nur sehr wenige Fälle, in denen es sinnvoll sei, „Edge“-Geräte mit einer kritischen Schwachstelle ungeschützt zu lassen.

• Obwohl 54 Prozent der Unternehmen diese 17 CVEs vollständig behoben hätten, zeigten ihre Daten, „dass die durchschnittliche Zeit bis zur Behebung 209 Tage beträgt“ – was insbesondere deswegen besorgniserregend sei, weil Angreifer zur Ausnutzung durchschnittlich nur fünf Tage benötigten.

„Unsere Untersuchung macht deutlich, dass noch viel Arbeit vor uns liegt“, so Caveza abschließend. Die von Verizon in Zusammenarbeit mit Tenable gesammelten Daten unterstrichen die Notwendigkeit, bekannte Schwachstellen zu beheben, und lieferten wertvolle Erkenntnisse, die Unternehmen dabei helfen sollen, ihre Netzwerke, Geräte und Mitarbeiter zu schützen.

Weitere Informationen zum Thema:

verizon business, 2025
2025 Data Breach Investigations Report

tenable, Scott Caveza, 23.04.2025
Verizon 2025 DBIR: Tenable Research Collaboration Shines a Spotlight on CVE Remediation Trends

datensicherheit.de, 02.05.2025
Erkenntnisse aus dem Verizon Data Breach Investigation Report (DBIR) 2025 / Der Bericht macht die Notwendigkeit eines ganzheitlichen Sicherheitsansatzes deutlich

datensicherheit.de, 23.04.2025
Data Breach Investigations Report (DBIR) 2025 von Verizon: Systemangriffe in der EMEA-Region verdoppeln sich / Der aktuelle Bericht analysiert mehr als 22.000 Sicherheitsvorfälle

datensicherheit.de, 10.06.2020
Der Data Breach Investigation Report von Verizon aus OT-Security-Sicht / Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement

[datensicherheit.de, 08.05.2025] KnowBe4 hat am 8. Mai 2025 seinen Phishing-Bericht für das erste Quartal 2025 veröffentlicht. „Die Ergebnisse dieses Quartals zeigen die betrügerischsten E-Mail-Betreffzeilen, auf die Benutzer in Phishing-Simulationen klicken, und machen deutlich, dass E-Mails mit HR- und IT-Bezug mehr als 60 Prozent der am häufigsten angeklickten Phishing-E-Mails ausmachen.“ Alle Daten in diesem Bericht seien der „KnowBe4 HRM+ Plattform“ zwischen dem 1. Januar 2025 und dem 31. März 2025 entnommen worden.

Foto: KnowBe4

Stu Sjouwermans Empfehlung angesichts der Phishing-Gefahr: Unternehmen müssen darauf reagieren, indem sie eine Sicherheitskultur fördern!

Phishing-E-Mails nach wie vor eines der am weitesten verbreiteten Instrumente für Cyber-Angriffe

„Der ,KnowBe4 Phishing Report Q1 2025‘ zeigt, dass die meisten Misserfolge bei der Nachahmung interner Nachrichten, z.B. aus der Personal- oder IT-Abteilung, verzeichnet wurden. Überwältigende 60,7 Prozent der angeklickten Simulationen bezogen sich auf ein internes Team und 49,7 Prozent speziell auf die Personalabteilung.“

• Obwohl sich die Techniken böswilliger Akteure weiterentwickelt hätten, gehörten Phishing-E-Mails nach wie vor zu den am weitesten verbreiteten Instrumenten für Cyber-Angriffe. Cyber-Kriminelle nutzten diese Schwachstelle aus, indem sie täuschend echt aussehende Phishing-E-Mails erstellten.

Diese folgten aktuellen Trends und nutzten menschliche Emotionen aus, um Dringlichkeit vorzutäuschen und die Empfänger dazu zu bringen, auf bösartige Links zu klicken oder schädliche Anhänge zu öffnen. Zu den am häufigsten gemeldeten Themen gehörten „zoom“-Clips von Managern, HR-Schulungsberichte und E-Mail-Server-Warnungen.

Anhaltende Bedrohung durch in E-Mails eingebettete Phishing-Links

Der Bericht unterstreicht die anhaltende Bedrohung durch in E-Mails eingebettete Phishing-Links, welche nach wie vor eine Hauptangriffstaktik darstellen. Die Analyse zeige, dass die Befragten eher auf Links klickten, „die sich auf interne Themen beziehen oder sich als bekannte Marken ausgeben (61,6%), wobei 68,6 Prozent Domain-Spoofing beinhalten“.

• Unternehmen seien besonders anfällig für die Marken-Landingpages von Microsoft, „LinkedIn“ und „Google“, welche zu den drei erfolgreichsten Phishing-Zielen für Login-Daten gehörten.

Der Bericht zeige auch die anhaltende Anfälligkeit der Menschen für Phishing-E-Mails mit QR-Codes: „Die drei am häufigsten gescannten QR-Codes in den Simulationen waren: eine neue Richtlinie der Personalabteilung zu Drogen und Alkohol (14,7%), ein ,DocuSign’ zur Überprüfung und Unterzeichnung (13,7%) und eine ,Happy Birthday’-Nachricht von ,Workday’ (12,7%).“ Bei Kampagnen, die auf Anhängen basieren, seien PDF-Dateien (53%), HTML-Dateien (28,5%) und „Word“-Dateien (18,5%) am häufigsten geöffnet worden.

Angesichts der Phishing-Bedrohung sollten Mitarbeiter befugt sein, verdächtige Kommunikation zu überprüfen, selbst wenn diese vom Management zu stammen scheint

„Es ist offensichtlich, dass die Angreifer wissen, dass Mitarbeiter darauf konditioniert sind, schnell auf Nachrichten zu reagieren, die scheinbar von der Personal- oder IT-Abteilung stammen, und dass sie Markeninhalten von Plattformen wie Microsoft, ,LinkedIn’ und ,Google’ vertrauen, die sie täglich nutzen“, kommentiert Stu Sjouwerman, „CEO“ von KnowBe4.

• Er führt hierzu aus: „Die psychologische Raffinesse, die hinter diesen Angriffen steckt, zeigt, warum das menschliche Risikomanagement im Mittelpunkt der Cyber-Sicherheitsstrategie stehen muss!“

Abschließend rät er: „Unternehmen müssen darauf reagieren, indem sie eine Sicherheitskultur fördern, die eine gesunde Skepsis und Überprüfungsgewohnheiten unterstützt, bei denen sich die Mitarbeiter befugt fühlen, verdächtige Kommunikation zu überprüfen, selbst wenn diese vom Management oder von wichtigen internen Abteilungen zu kommen scheint.“

Weitere Informationen zum Thema:

KnowBe4, 31.03.2025
What Makes People Click? / Top-clicked Phishing Tests | Jan – March 2025

datensicherheit.de, 05.05.2025
Phishing-Tests: Bereits über 90 Prozent halten diese für sinnvoll / Internationale KnowBe4-Umfrage unter Teilnehmern von Anti-Phishing-Trainings und -Tests deutet Bewusstseinswandel an

datensicherheit.de, 15.03.2025
Phishing-Angriffe in Deutschland nehmen stark zu / BioCatch-Studie untersucht Trends in der Finanzkriminalität und deren Opfer

datensicherheit.de, 23.02.2025
Phishing-Saison 2025: IT-Entscheider sollten sich auf KI-gesteuerte Kampagnen vorbereiten / Agentenbasierte KI-Modelle sind eine spezielle Form Künstlicher Intelligenz (KI), bei der diese in Form vieler autonomer Einheiten operieren

[datensicherheit.de, 26.03.2025] Ontinue hat seinen aktuellen Threat Intelligence Report für das zweite Halbjahr 2024 veröffentlicht. Während die Zahl der Ransomware-Attacken in der zweiten Jahreshälfte erwartungsgemäß weiter stieg, sanken die Lösegeldzahlungen. Die Vishing-Angriffe hingegen „explodierten“ regelrecht.​

Aktuelle Trends und Entwicklungen im Cybersecurity-Bereich

Das ATO (Advanced Threat Operations)-Team von Ontinue hat seinen Halbjahresbericht vorgelegt, in dem es die aktuellen Trends und Entwicklungen im Cybersecurity-Bereich analysiert. Wie zu erwarten war, sind Ransomware-Attacken nach wie vor eines der beliebtesten Mittel von Hacker-Kollektiven und Cyberkriminellen. Ein beunruhigender Trend ist, dass die Hacker-Gruppen immer weniger auf reine Programmierkenntnisse setzen, sondern neuerdings vermehrt auf allgemeine IT-Skills. Potenzielle Hacker werden zunehmend nach ihren Fähigkeiten im Hinblick auf das Navigieren in Unternehmensnetzwerken, die Bewertung und Deaktivierung von Backups sowie das Hacken von Datenbanken und virtualisierten Umgebungen rekrutiert.

Anstieg von Ransomware-Attacken um 132% im letzten Halbjahr

Insgesamt sind Ransomware-Attacken im letzten Halbjahr um 132 % gestiegen, allerdings sind die Lösegeldzahlungen im Jahr 2024 um 35 % gefallen. Während 2023 noch 1,25 Milliarden US-Dollar in die Taschen von Cyberkriminellen flossen, um verschlüsselte Daten wieder freizukaufen, waren es im vergangenen Jahr nur noch rund 814 Millionen US-Dollar. Der Grund dafür liegt in besseren Backup-Strategien und Incident-Response-Plänen, allerdings auch in neuen Regularien, die Zahlungen zunehmend verbieten. Das alles führt zu einem Umdenken bei Hacker-Gruppen, die ihre Taktik nun anpassen: Anstatt die Daten lediglich zu verschlüsseln, stehlen sie diese und drohen, sie öffentlich zu machen, um Unternehmen zur Zahlung zu zwingen.

Vishing auf dem Vormarsch​

Der aktuelle Threat Intelligence Report von Ontinue enthüllt auch eine zunehmende Raffinesse beim Voice Phishing. Das sogenannte Vishing hat durch die immer leistungsfähigeren GenAI-Modelle, die Stimmen täuschend echt klonen können, ein neues Bedrohungslevel erreicht. Hacker verwenden die KI-Modelle, um realistische, aber eben gefälschte Deepfakes von Stimmen vertrauenswürdiger Personen zu erstellen. Damit ausgestattet, rufen sie ausgewählte Opfer an, fragen nach Anmeldedaten und bringen sie dazu, betrügerische Transaktionen zu genehmigen oder unautorisierten Zugriff zu Systemen zu gewähren.

Allein im ersten Quartal 2024 verzeichnete das ATO-Team von Ontinue einen Anstieg der Vorfälle, die im Zusammenhang mit Vishing stehen, um enorme 1.633 % im Vergleich zum vorherigen Quartal. Viele dieser Angriffe leiteten die Opfer auf gefälschte Microsoft-Support-Seiten, die häufig auf .shop-Domains gehostet wurden. Dort wurden die Benutzer aufgefordert, betrügerische Support-Nummern anzurufen.

Die aktuellen Vishing-Kampagnen verdeutlichen, wie Social Engineering in Kombination mit KI-basierten Deepfakes zu einer immer effektiveren Methode für Cyberkriminelle wird, um an sensible Daten zu kommen oder Zugang zu geschützten Systemen zu erhalten. Ontinue prognostiziert, dass Vishing auch im Jahr 2025 und darüber hinaus eine zunehmende Bedrohung darstellen wird.

Vorsicht ist auch bei legitimen Tools geboten​

Cyberkriminelle nutzen zunehmend legitime Tools wie Microsoft Quick Assist, eine Remote-Support-Software, und den Anmeldeassistenten Windows Hello für ihre Vishing-Angriffe. Durch den Einsatz von Social-Engineering-Taktiken geben sich Hacker als legitime Support-Mitarbeiter oder Kollegen aus und verwenden das fest im Betriebssystem integrierte Microsoft Quick Assist, um herkömmliche Sicherheitsvorkehrungen zu umgehen. In Angriffskampagnen haben Cyberkriminelle verstärkt Windows-Hello-Authentifizierungsschlüssel gestohlen, um Zugang zu PCs zu erhalten und darüber Zutritt zu Unternehmensnetzwerken zu erlangen.

Vorsicht beim Surfen im Internet

Auch beim Surfen im Internet bleibt Vorsicht geboten, wie die Untersuchungen des ATO-Teams von Ontinue zeigen. So kursieren immer mehr bösartige Browser-Erweiterungen, insbesondere für Google Chrome, die Malware zum Datenklau enthalten. Diese Bedrohungen sind besonders gefährlich, da sie selbst nach einer Neuinstallation des Systems bestehen bleiben können. Sie nisten sich in die von Google gespeicherten Browser-Profile der Nutzer ein. Wenn Nutzer ihren Browser neu installieren und die Voreinstellungen importieren, gelangt die Schadsoftware erneut auf den Rechner. Überdies sind Malvertising-Kampagnen, die User anweisen, bösartige PowerShell-Befehle zu kopieren und auszuführen, nach wie vor akut. Wer im Internet surft, sollte daher niemals Coding-Befehle einfach im „Ausführen“-Fenster eintragen und durchführen – auch wenn die Seite, von der sie stammen, noch so legitim aussieht.

Thierry Aubry, Head of Sales DACH & Nordics bei Ontinue, Bild: privat

„Cyberkriminelle beweisen einmal mehr ihre Innovationskraft und Anpassungsfähigkeit – von KI-basierten Täuschungsmanövern über neuartige Taktiken, Malware zu verbreiten, bis hin zu einfallsreichen Social-Engineering-Methoden“, warnt Thierry Aubry, Head of Sales DACH & Nordics bei Ontinue. „Unser aktueller Threat Intelligence Report unterstreicht die dringende Notwendigkeit für Unternehmen, ihre Cyberverteidigung gegen ausgeklügelte Phishing-, Vishing- und Malware-Attacken auszubauen. Auch ihre Schutzmaßnahmen gegen Ransomware und Datendiebstahl müssen sie erweitern. Wichtig bleibt allerdings die Sensibilisierung der Angestellten und Mitarbeitenden.“

[datensicherheit.de, 23.03.2025] Mimecast hat seinen „State of Human Risk“-Bericht veröffentlicht. Aus diesem geht demnach hervor, dass zwar über die Hälfte der deutschen Unternehmen (51%) erfolgreich eine Cyber-Sicherheitsstrategie verfolgt und sich die Sicherheit im Unternehmen dadurch verbessert hat. Dennoch befürchte die große Mehrheit der befragten Sicherheitsexperten (75%) KI-basierte Cyber-Angriffe auf ihr Unternehmen. Dieser Bericht basiere auf einer Umfrage unter 1.100 IT-Sicherheitsexperten und IT-Entscheidungsträgern in Unternehmen in Großbritannien, Frankreich, Deutschland, Südafrika und Australien. Er soll Unternehmen wichtige Einblicke in den Bereich Human Risk Management (HRM) bieten und ihnen konkrete Handlungsempfehlungen geben, wie sie ihre finanziellen Mittel einsetzen können, um ihre Cyber-Sicherheit weiter zu verbessern. Der Report zeige eine zunehmend komplexe Bedrohungslage für Unternehmen auf: „Die größten Gefahren gehen von Insider-Angriffen, Angriffen via Kollaborationstools sowie KI-basierten Angriffen aus. Durch die unzureichende Umsetzung von Cyber-Sicherheitsstrategien bleiben viele der Sicherheitsrisiken weiter bestehen.“

Weitere Erkenntnisse aus dem Reports zum deutschen Markt:

• Unternehmen priorisierten bei ihren Ausgaben für Cyber-Sicherheit Kollaborationstools, IT-Personal sowie sogenannte Governance und Compliance
  86 Prozent der Unternehmen hätten im letzten Jahr, 2024, ihr Budget für Cyber-Sicherheit erhöht. 56 Prozent der Unternehmen priorisierten dabei die Sicherung von Kollaborationstools wie „Teams“ und „Slack“.
  Für 95 Prozent der Befragten seien diese Tools für die Arbeit in ihrem Unternehmen zwar unverzichtbar, 76 Prozent gäben jedoch an, dass sie auch Sicherheitslücken verursachten. 67 Prozent berichteten, dass Mitarbeiter in ihren Unternehmen auch nicht-autorisierte Kollaborationstools verwendeten.
  Unternehmen priorisierten bei ihren Ausgaben zudem E-Mail-Sicherheit (43%) sowie „Governance und Compliance“ (37 Prozent). Großunternehmen beschäftigten meist über 30 IT-Sicherheitsmitarbeiter, die Mehrheit der kleineren Unternehmen im Durchschnitt einen bis zehn.
• Phishing-, Insider- und KI-gestützte Angriffe stellten Unternehmen vor große Probleme
  75 Prozent der Befragten befürchteten KI-gestützte Cyber-Angriffe auf ihr Unternehmen. 65 Prozent glaubten, dass ein solcher Angriff innerhalb der nächsten zwölf Monate erfolgen werde.
  Darüber hinaus erwarteten 66 Prozent, dass es in den nächsten zwölf Monaten zu einem Anstieg des Datenverlusts in ihrer Organisation kommen werde – mit einem durchschnittlichen finanziellen Schaden in Höhe von 13,9 Millionen US-Dollar (entsprechend 12,8 Millionen Euro).
• Menschliches Fehlverhalten sei weiterhin das größte Sicherheitsrisiko
  83 Prozent der Befragten gäben an, dass Mitarbeiter mindestens vierteljährlich in der Erkennung von Cyber-Angriffen geschult würden. Dennoch bestünden große Compliance-Hürden: 39 Prozent bemängelten eine unzureichende Sensibilisierung für Bedrohungen.
  Hauptsächliche Risiken seien die Nutzung privater E-Mails während der Arbeit (89%), versehentlicher Datenverlust (91%), schlechte Passwortverwaltung (85%) und ungesicherte Netzwerke (88%).
• KI-gesteuerte Sicherheitslösungen auf dem Vormarsch
  Unternehmen setzten zunehmend auf vernetzte HRM-Plattformen und KI-Abwehrmaßnahmen.
  Zu den wichtigsten KI-gesteuerten Abwehrmaßnahmen zählten KI-gestützte Überwachungstools (46%), Mitarbeiterschulungen zu KI-Bedrohungen (45%) und simulierte KI-gesteuerte Phishing-Angriffe (42%).

Schlussfolgerung aus Report-Ergebnissen: Implementierung einer umfassenden HRM-Strategie muss oberste Priorität haben

„Wenn man berücksichtigt, dass 80 Prozent aller Sicherheitsvorfälle von gerade einmal acht Prozent der Nutzer verursacht werden, dann ist klar, dass die Implementierung einer umfassenden ,Human Risk Management’-(HRM)-Strategie oberste Priorität für Sicherheitsverantwortliche hat in diesem Jahr“, betont Masha Sedova, VP, „Human Risk Strategist“ bei Mimecast.

Sedova führt weiter aus: „Trotz der komplexen Herausforderungen, mit denen Unternehmen konfrontiert sind, wie zum Beispiel ein erhöhtes Risiko für Insider-Angriffe, für Angriffe via Kollaborationstools und für komplexe KI-Angriffe, gibt es Maßnahmen, die Sicherheitsexperten ergreifen können, um diese Risiken zu mindern und ihre Unternehmen zu schützen: HRM-Tools und maßgeschneiderte Mitarbeiterschulungen, verbesserte KI-Fähigkeiten und Schutzmaßnahmen gegen ,Business Email Compromise’-Betrugsfälle sind nur einige Beispiele.“

Mimecasts KI-gestützte, API-fähige und vernetzte HRM-Plattform sei beispielswiese speziell dafür entwickelt worden, um Unternehmen vor einer Vielzahl von aktuellen sowie zukünftigen Angriffen zu schützen.

Weitere Informationen zum Thema:

mimecast
The State of Human Risk 2025 / Sicherheitsverantwortliche haben sich weiterentwickelt

mimecast
Die vernetzte Risiko-Management-Plattform / Sichern Sie Ihr Unternehmen effektiver, indem Sie die Punkte zwischen Mensch und Technologie verbinden

[datensicherheit.de, 15.03.2025] In den meisten deutschen Unternehmen gibt es deutlich mehr maschinelle als menschliche Identitäten, und diese Schere wird in den kommenden Monaten noch weiter auseinandergehen. Beim Schutz der maschinellen Identitäten tun sich die Unternehmen jedoch schwer – mehr als ein Drittel hat bereits Probleme damit, einen Überblick über sie zu erhalten. Das führt unter anderem zu Verzögerungen bei der Bereitstellung neuer Anwendungen, zu Compliance-Verstößen und zu IT-Störungen, die die Kundenbeziehung negativ beeinflussen, wie aus dem 2025 State of Machine Identity Security Report von CyberArk hervorgeht.

Starke Zunahme unter anderem durch Verbreitung von Künstlicher Intelligenz

Maschinenidentitäten inklusive Zertifikate, Schlüssel, Secrets und Zugriffstoken nehmen durch die Verbreitung von Künstlicher Intelligenz (KI), cloudbasierte Innovationen und kürzere Lebenszyklen der Identitäten rasant zu. Unternehmen können mit dieser Entwicklung nur schwer Schritt halten. Zusätzlich bergen isolierte Ansätze zur Sicherung von Maschinenidentitäten ihre eigenen Risiken. Der Report zeigt die geschäftlichen Auswirkungen auf, die entstehen, wenn Maschinenidentitäten nicht effektiv gesichert werden, sodass Unternehmen anfällig für kostspielige Ausfälle und Sicherheitsverletzungen sind. CyberArk befragte mehr als 1.200 Sicherheitsverantwortliche in Deutschland, Frankreich, Großbritannien, den USA, Australien und Singapur.

Die wichtigsten Erkenntnisse im Überblick

Die Häufigkeit von Ausfällen steigt dramatisch an: Fast drei Viertel (73 %) der Befragten hatten im vergangenen Jahr mindestens einen zertifikatsbedingten Ausfall zu verzeichnen. Bei 66 Prozent kommt es zu monatlichen und bei 38 Prozent sogar zu wöchentlichen Ausfällen.

• Kompromittierte Maschinenidentitäten haben erhebliche Auswirkungen auf die Geschäftsabläufe: Fast die Hälfte (48 %) der deutschen Security-Entscheider berichtet von Sicherheitsvorfällen im Zusammenhang mit kompromittierten Maschinenidentitäten im vergangenen Jahr. Die Auswirkungen reichten von Verzögerungen bei der Bereitstellung neuer Anwendungen (48 %) über Ausfälle und Störungen, die die Kundenbeziehung beeinträchtigten (41 %), bis hin zu nicht autorisiertem Zugriff auf sensible Daten und Netzwerke (26 %).
• Die Zahl maschineller Identitäten wächst rasant: In drei Viertel der deutschen Unternehmen gibt es bereits mindestens doppelt so viele maschinelle wie menschliche Identitäten. Bei einem Viertel sind es sogar mindestens zehnmal so viele. Und ein Ende des Wachstums ist nicht in Sicht: Mehr als drei Viertel (77 %) der Security-Entscheider erwarten, dass die Zahl der maschinellen Identitäten in den nächsten zwölf Monaten um bis zu 150 Prozent steigen wird.
• KI sorgt für Herausforderungen beim Schutz maschineller Identitäten: Zwei Drittel der Security-Entscheider stimmen der Aussage zu, dass die schnelle Einführung von KI und Cloud-nativen Technologien die Komplexität und Risiken, die maschinelle Identitäten mit sich bringen, erhöhen. 73 Prozent glauben zudem, dass Maschinenidentitäten eine entscheidende Rolle dabei spielen werden, zukünftige KI-Anwendungen sicher zu betreiben – nicht zuletzt angesichts der wachsenden Bedeutung von KI-Agenten. 72 Prozent geben an, dass der Schutz vo n KI-Modellen vor Manipulation und Diebstahl bedeutet, dass die Authentifizierung und Autorisierung von Maschinenidentitäten stärker berücksichtigt werden müssen.
• Die Programme für Machine Identity Security sind noch nicht ausgereift: Zwar haben 89 Prozent der deutschen Unternehmen bereits irgendeine Form von Identity-Security-Programm für Maschinenidentitäten implementiert, doch meist sind diese noch nicht ausgereift – die Mehrzahl der Unternehmen hat Schwierigkeiten, maschinelle Identitäten zu verwalten. 36 Prozent tun sich schwer damit, ein korrektes Inventar aller Maschinenidentitäten anzulegen. 31 Prozent haben keinen Überblick, wie die Identitäten genutzt werden. Und 29 Prozent sind nicht in der Lage, Maschinenidentitäten schnell zu widerrufen und zu ersetzen.
• Große Sorgen um die Sicherheit von Maschinenidentitäten: Fast die Hälfte (45 %) der deutschen Security-Entscheider fürchtet, dass Angreifer gestohlene Maschinenidentitäten nutzen könnten, um manipulierte Updates zu verbreiten, sich zusätzliche Berechtigungen zu sichern oder Man-in-the-Middle-Angriffe durchzuführen. 42 Prozent der Befragten sorgen sich, dass das Fehlen einer kohärenten Sicherheitsstrategie für maschinelle Identitäten zu Lücken im Schutz führen könnte. Und 31 Prozent stehen vor Herausforderungen aufgrund der immer kürzeren Lebenszyklen von maschinellen Identitäten – unter anderem durch das Bestreben von Anbietern wie Google und Apple, die Gültigkeitsdauer von Zertifikaten zu verkürzen.
• Silo-Ansatz zur Absicherung von Maschinenidentitäten verursacht Risiken: Wo mehrere Tools zur Sicherung von Maschinenidentitäten in Unternehmen eingesetzt werden, entstehen Ineffizienzen, Risiken und Verwaltungsprobleme. So wurde im Report festgestellt, dass die Zuständigkeiten für die Prävention von Kompromittierungen im Zusammenhang mit Maschinenidentitäten auf die Teams für Sicherheit (51 %), Development (26 %) und Plattformen (18 %) verteilt sind.

„Die Zahl maschineller Identitäten wird weiter schnell wachsen, was nicht nur die Komplexität erhöht, sondern auch das Risiko“, betont Michael Kleist, Area Vice President CEE bei CyberArk. „Cyberkriminelle haben es zunehmend auf Maschinenidentitäten abgesehen – von API-Schlüsseln bis hin zu Code-Signatur-Zertifikaten – um Schwachstellen auszunutzen, Systeme zu kompromittieren und kritische Infrastrukturen zu stören. Diese Studie unterstreicht die Dringlichkeit für Sicherheitsverantwortliche, eine umfassende, durchgängige Sicherheitsstrategie für Maschinenidentitäten zu entwickeln, die sich mit den wichtigsten nicht-menschlichen Identitäten befasst, um potenzielle Angriffe und Ausfälle zu verhindern – insbesondere, da die Zahl der KI-Agenten weiter steigt.“

Weitere Informationen zum Thema:

CyberArk
2025 State of Machine Identity Security Report

datensicherheit.de, 04.04.2024
Bedeutung des Identitätsmanagements: Identity Management Day 2024 soll Authentizität und Sicherheit betonen

datensicherheit.de, 12.03.2025
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten