Thought Leadership
In der Transport- und Logistikbranche häufen sich Berichte über digitale Angriffe, die direkt auf Warenlieferungen abzielen.
Sicherheitsforscher von Proofpoint haben eine neue Welle hochprofessioneller Cyberattacken identifiziert: Kriminelle nutzen dabei legitime IT-Fernwartungstools, um sich Zugang zu Unternehmensnetzwerken zu verschaffen und anschließend ganze Frachtlieferungen zu stehlen.
Vorgehensweise der Angreifer
Die Angriffe folgen einem klaren Muster. Zunächst kompromittieren die Täter Accounts auf digitalen Frachtbörsen und platzieren gefälschte Frachtangebote. Sobald ein Transportunternehmen auf diese Angebote reagiert, erhalten die Mitarbeiter E-Mails mit angeblichen Vertrags- oder Frachtinformationen. Diese enthalten Links zu ausführbaren Dateien oder Installationspaketen, die bekannte Remote-Monitoring- und Management-Tools (RMM) wie ScreenConnect, SimpleHelp oder PDQ Connect installieren.
Die Legitimität der RMM-Software macht sie für Angreifer besonders attraktiv. Signierte Programme von bekannten Herstellern lösen weniger Verdacht aus und umgehen oft Sicherheitslösungen. Nach der Installation verschaffen sich die Kriminellen einen Überblick über die Systeme, sammeln Zugangsdaten und planen gezielt, welche Frachten sie stehlen können. Die physische Abholung erfolgt schließlich unter dem Namen des kompromittierten Unternehmens, wodurch die Täter ihre Spuren zunächst verwischen.
Flexibilität und Reichweite der Kampagnen
Seit August 2025 hat Proofpoint nahezu zwei Dutzend solcher Kampagnen beobachtet. Der Umfang reicht von wenigen Nachrichten bis zu mehreren tausend pro Kampagne. Die Angreifer setzen auf unterschiedliche Taktiken: Sie manipulieren Frachtbörsen, übernehmen bestehende E-Mail-Konversationen (sogenanntes E-Mail-Thread-Hijacking) oder starten breit angelegte Direktkampagnen, die große Speditionen, Broker oder integrierte Supply-Chain-Anbieter adressieren.
Besonders kritisch ist die genaue Branchenkenntnis der Täter. Sie wissen um typische Abläufe in Logistikunternehmen und nutzen sowohl technische als auch organisatorische Schwachstellen aus, um ihre Angriffe erfolgreich durchzuführen.
Cybersicherheit und physische Sicherheit verknüpfen
Die Fälle zeigen, dass in der Logistik die Trennung zwischen digitaler und physischer Sicherheit zunehmend aufgehoben wird. Unternehmen müssen ihre Sicherheitsstrategien entsprechend anpassen. Awareness-Programme sollten das Missbrauchspotenzial von RMM-Tools thematisieren und Mitarbeitende für die Risiken sensibilisieren. Nur so lassen sich digitale Angriffe und physischer Frachtdiebstahl wirksam verhindern.
