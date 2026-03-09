Cyberangriffe gehören längst zum festen Bestandteil internationaler Konflikte und wirtschaftlicher Konkurrenz. Staatliche Akteure, organisierte Cyberkriminelle und ideologisch motivierte Gruppen operieren über Grenzen hinweg – oft mit Deutschland im Zentrum. Wir haben mit Aris Koios, Principal Technology Strategist bei CrowdStrike gesprochen, der darauf hinweist, wie komplex und vielschichtig die digitale Bedrohungslage geworden ist.
Deutschland zählt laut des neuesten CrowdStrike-Reports zu den am stärksten betroffenen Ländern Europas. Was macht Deutschland als Ziel so attraktiv?
Deutschland zählt aufgrund seiner starken Wirtschaft, der Vielzahl bedeutender Industriezweige sowie seiner geopolitischen Relevanz zu den am stärksten betroffenen Ländern Europas. Sogenannte »Big Game Hunting Adversaries«, also Cyberangreifer, die es auf besonders lukrative, finanzielle Ziele abgesehen haben, betrachten deutsche Unternehmen aufgrund ihrer sensiblen Betriebs- und Geschäftsdaten als lohnende Ziele. Die Angreifer nutzen zudem den regulatorischen Druck – einschließlich Verweise auf Strafen gemäß der DSGVO – um ihre Erpressungsversuche zu intensivieren und ihren Erfolg zu vergrößern.
Aris Koios,
Principal Technology Strategist
bei CrowdStrike
Welche Branchen stehen aktuell besonders im Fokus der Angreifer – und warum?
In Deutschland sind insbesondere das produzierende Gewerbe, der Dienstleistungssektor, die Technologie-branche sowie Industriebetriebe und Unternehmen aus dem Bereich Ingenieurwesen weiterhin die am häufigsten angegriffenen Branchen.
Ihr wirtschaftlicher Stellenwert, ihre hohe Vernetzung und die Konzentration wertvoller Daten machen sie sowohl für finanziell motivierte eCrime-Gruppen als auch für staatliche Akteure attraktiv.
Zudem sind einige Branchen Opfer von Kampagnen, die im Zusammenhang mit spezifischen Zielen der Angreifer stehen. So sind Transport- und Automobilunternehmen ins Visier von Spear-Phishing-Aktivitäten geraten, hinter denen Iran-nahe Akteure stehen, welche Zugriff für Spionagezwecke erlangen wollen. Finanzdienstleistungsunternehmen wiederum ziehen die Aufmerksamkeit von Gruppierungen aus China und dem Iran auf sich, die darauf aus sind, sensible persönliche Daten und Finanzinformationen zu sammeln.
In den betroffenen Branchen nutzen Angreifer die Vernetzung und die operative Dringlichkeit aus, da sie wissen, dass Störungen oder Datenlecks sofortige Auswirkungen auf die Geschäftstätigkeit haben können.
Wie stark betreffen neue Social-Engineering-Methoden wie Vishing oder gefälschte CAPTCHAs deutsche Unternehmen – und warum gewinnen solche Täuschungstechniken an Bedeutung?
Deutsche Unternehmen sind zunehmend von Voice-Phishing (Vishing) und gefälschten CAPTCHA-Angriffen betroffen. Diese Techniken ermöglichen einen Erstzugriff, ohne dass technische Schwachstellen ausgenutzt werden müssen. Laut dem CrowdStrike 2025 Global Threat Report stiegen Vishing-Angriffe von der ersten zur zweiten Hälfte des Jahres 2024 um 442 Prozent an – ein Trend, der sich auch im Jahr 2025 fortgesetzt hat [1]. Hierzu gehören auch regional abgestimmte Kampagnen. Anfang 2025 setzten E-Crime-Akteure bei ihren Angriffen offenbar deutschsprachiges Personal ein, um Tools wie TeamViewer und SH RAT installieren zu lassen. Dies zeigt, wie sich E-Crime-Gruppen an lokale Sprachen und Umgebungen anpassen.
Außerdem haben sich gefälschte CAPTCHA-Seiten in ganz Europa verbreitet. Laut dem European Threat Landscape Report gab es seit Mitte 2024 mehr als 1.000 CAPTCHA-bezogene Vorfälle, von denen Kunden in Europa betroffen waren. Diese Köder sind effektiv, da sie Benutzer dazu verleiten, bösartige Befehle direkt auszuführen und so viele herkömmliche Sicherheitskontrollen zu umgehen.
Diese Techniken werden immer beliebter, da sie eher auf Menschen als auf Systeme abzielen. Sie sind kostengünstig, leicht skalierbar und werden durch vorgefertigte Kits unterstützt, die im Underground-Ökosystem erhältlich sind. Dadurch wird die Einstiegshürde für weniger versierte Angreifer gesenkt.
Wie stark hat der Einsatz von künstlicher Intelligenz die Dynamik zwischen Angreifern und Verteidigern bereits verändert – und welche konkreten Schritte sollten Unternehmen jetzt priorisieren, um ihre Cyberresilienz zu stärken?
Künstliche Intelligenz hat das Gleichgewicht zwischen Angreifern und Verteidigern bereits verschoben. Angreifer nutzen KI, um Reconnaissance, Social Engineering, die Entwicklung von Malware und den Identitätsmissbrauch zu beschleunigen. Aktivitäten, die früher Tage dauerten, sind heute in wenigen Minuten erledigt. Dadurch bleibt den Verteidigern viel weniger Zeit, um Angriffe zu erkennen und darauf zu reagieren.
Um mit diesem Tempo Schritt halten zu können, benötigen Unternehmen eine agentenbasierte KI, die SOC-Analysten zu strategischen Orchestratoren macht. Durch die Beschleunigung der Triage, der automatischen Priorisierung und das Ergreifen von Maßnahmen innerhalb klarer Rahmenbedingungen arbeiten diese Systeme mit Maschinengeschwindigkeit, während der Mensch weiterhin die Kontrolle behält. Dies reduziert die Belastung durch reibungsintensive Aufgaben und ermöglicht es den Analysten, sich auf strategische Ziele, ihr Urteilsvermögen und relevant Sicherheitsverbesserungen zu konzentrieren.
Zudem erweitert KI die Angriffsfläche. Modelle können manipuliert, nicht-menschliche Identitäten gekapert und sensible Daten durch Schatten-KI offengelegt werden. Mit AI Detection and Response (AIDR) wird die kritische KI-Eingabe (Prompts)- und Agenten-Interaktionsschicht gesichert, wodurch jede Ebene der Unternehmens-KI geschützt wird: Daten, Modelle, Agenten, Identitäten, Infrastruktur und Interaktionen – von der Entwicklung bis zur Nutzung durch die Mitarbeitenden.
Was ist Ihr Ausblick für die kommenden 12 bis 18 Monate – mit welchen Angriffstrends müssen Unternehmen rechnen?
Eine der bedeutendsten Veränderungen wird die Zunahme von Prompt-Injection-Angriffen sein. Da Unternehmen GenAI-Tools und autonome Agenten einsetzen, werden Angreifer zunehmend versteckte Anweisungen einbetten, um Sicherheitsvorkehrungen zu umgehen, Agenten zu kapern, Modelle zu manipulieren und auf sensible Daten zuzugreifen. Dies geschieht bereits jetzt. Dadurch wird die KI-Interaktionsebene selbst zur neuen Angriffsfläche und zu einer neuen Art von Malware.
Identitäten werden auch weiterhin ein kritischer Angriffsvektor bleiben. Die Zahl der KI-Agenten und nicht-menschlichen Identitäten (non-human identities, NHI) in Unternehmen wächst rasant. Diese fungieren als Identitäten mit hohen Berechtigungen, die Zugriff auf Daten, Anwendungen, Rechenressourcen und andere Agenten haben. Unternehmen müssen das Verhalten sowohl menschlicher als auch nicht-menschlicher Identitäten nachvollziehen können, verdächtige Aktivitäten sofort unterbinden und eine lückenlose Rechenschaftspflicht für jede Aktion gewährleisten.
[1] https://www.crowdstrike.com/en-us/resources/reports/2025-european-threat-landscape-report/
Illustration: © Vectorsoul, Aysha Siddiqua Asha, GenAI | Dreamstime.com
