Thought Leadership
Neue Daten zeigen: Hacker setzen weniger auf Technik, sondern auf Routine und interne Kontakte. Phishing und BEC werden durch Verhaltensanalysen gefährlicher.
Die Zeiten, in denen man eine Phishing-E-Mail bereits auf den ersten Blick an offensichtlichen Tippfehlern oder einer hölzernen Grammatik erkennen konnte, gehören endgültig der Vergangenheit an. Ein neuer Bericht des Sicherheitsunternehmens Abnormal AI verdeutlicht einen tiefgreifenden Wandel in der Strategie von Cyberkriminellen. Die Analyse von fast 800.000 E-Mail-Angriffen in über 4.600 Organisationen zeigt deutlich, dass Angreifer technische Sicherheitslücken zunehmend ignorieren. Stattdessen rückt die menschliche Psychologie und das Ausnutzen von etablierten Arbeitsabläufen sowie internen Vertrauensverhältnissen in das Zentrum der Attacken.
Phishing weiterhin an der Spitze
Laut dem Bericht lassen sich die Methoden in drei Hauptkategorien unterteilen: Phishing, Business Email Compromise (BEC) und Vendor Email Compromise (VEC). Während klassisches Phishing mit 58 Prozent aller Angriffe weiterhin an der Spitze steht, gewinnen die subtileren Methoden an Bedeutung. Besonders BEC und dessen Unterform VEC sind besorgniserregend, da sie gezielt auf die Kommunikation innerhalb von Unternehmen oder mit externen Partnern setzen. VEC macht mittlerweile mehr als 60 Prozent aller BEC-Angriffe aus und zeigt, wie geschickt Kriminelle die Lieferkette als Angriffsfläche nutzen.
Die Taktiken beim Phishing haben sich sehr professionalisiert. Kriminelle gestalten ihre Köder so, dass sie nahtlos in den digitalen Arbeitsalltag der Opfer passen. In Branchen, in denen der Austausch von Dokumenten zur Routine gehört, dominieren gefälschte Benachrichtigungen über geteilte Dateien. Bei Unternehmen mit einer komplexen Software-Infrastruktur setzen die Angreifer hingegen auf die Nachahmung bekannter Marken und Systembenachrichtigungen. Das Ziel ist es, in den gewohnten Workflows unterzutauchen.
Hacker missbrauchen Identität von Führungskräften
Technisch gesehen greifen die Täter zu immer raffinierteren Verschleierungsmethoden. Mehr als 20 Prozent der Phishing-Angriffe nutzen mittlerweile Umleitungsketten, um die eigentliche bösartige Zielseite vor Sicherheitswerkzeugen und Nutzern zu verbergen. Etwa 10 Prozent dieser Angriffe verwenden Kurz-URL-Dienste. Hierbei dominieren TinyURL mit 31,6 Prozent und der Dienst t.co von X mit 26,6 Prozent. Da diese Dienste oft legitim genutzt werden, zögern IT-Sicherheitsteams häufig, sie pauschal zu blockieren, was den Angreifern einen freien Weg in die Postfächer ebnet.
Bei Business Email Compromise (BEC) zeigt die Analyse, dass die Strategie stark von der Unternehmensgröße abhängt. In kleinen Unternehmen wird in 43 Prozent der Fälle die Identität von Führungskräften (VIP-Impersonation) missbraucht. In großen Konzernen sinkt dieser Wert auf lediglich 7 Prozent. Stattdessen setzen Angreifer in großen Organisationen auf sogenannte laterale Angriffe. Dabei wird ein bereits kompromittiertes internes Konto genutzt, um andere Mitarbeiter innerhalb derselben Firma anzugreifen. Dieser Anteil liegt in großen Unternehmen bei über 23 Prozent. Besonders betroffen von dieser internen Ausbreitung ist der Hochschulsektor. Hier sind 33 Prozent der BEC-Angriffe lateraler Natur, was auf die offenen und durch eine hohe Fluktuation geprägten Umgebungen an Universitäten zurückzuführen ist.
40 Prozent aller BEC-Attacken beruhen auf Vertrauen gegenüber Kollegen
Fast 40 Prozent aller BEC-Attacken beruhen auf dem Vertrauen, das Mitarbeiter ihren Kollegen und Vorgesetzten entgegenbringen. In 45 Prozent dieser Fälle imitieren die Täter namentlich bekannte Kollegen, die keine Führungsposition innehaben. Weitere 36,7 Prozent entfallen auf generische Identitäten wie die IT-Abteilung, die Personalabteilung für Gehaltsabrechnungen oder Systembenachrichtigungen. Diese Angriffe sind erfolgreich, weil Angestellte darauf konditioniert sind, interne Mitteilungen schnell zu bearbeiten, ohne den Absender kritisch zu hinterfragen.
Die gefährlichste Entwicklung zeigt sich jedoch beim Vendor Email Compromise (VEC). Hierbei übernehmen Angreifer das Konto eines Lieferanten oder Dienstleisters, um dessen Kunden zu täuschen. Es gibt dabei klare regionale Unterschiede: In Nordamerika dominiert Rechnungsbetrug mit 42 Prozent der VEC-Kampagnen. In Europa, dem Nahen Osten und Afrika (EMEA) stehen hingegen Vorwände aus der Beschaffungsphase mit 41 Prozent im Vordergrund. Da Zahlungen und Rechnungen zum täglichen Geschäft zwischen Partnern gehören, werden bösartige E-Mails, die eine Änderung der Bankverbindung oder eine dringende Überweisung fordern, oft nicht sofort als Bedrohung erkannt.
Die Schlussfolgerung der Experten ist: Da Angreifer zunehmend Verhaltensmuster und Vertrauen instrumentalisieren, reichen klassische Filter nicht mehr aus. Der Schutz der Zukunft liegt im Einsatz defensiver künstlicher Intelligenz. Diese muss in der Lage sein, Identitäten, Kontexte und Inhalte zu analysieren, um Verhaltensprofile für jeden Mitarbeiter und jeden Lieferanten zu erstellen. So lassen sich Abweichungen von der Norm erkennen, bevor ein Mitarbeiter auf eine täuschend echte, aber bösartige Nachricht reagieren kann.
