Bedrohungsakteure ändern ihre Taktik, um menschliche Kontaktpunkte aus jedem Blickwinkel anzugehen – innerhalb von Geschäftsabläufen und über Kanäle hinweg –, um koordinierte Kampagnen durchzuführen, die herkömmliche Abwehrmaßnahmen überwältigen.

Die Auswertung des Global Threat Intelligence Report für 2025 von Mimecast zeigt zentrale Trends, darunter den Anstieg intelligenter KI-gestützter Phishing- und Social-Engineering-Angriffe sowie die verstärkte Nutzung vertrauenswürdiger Dienste durch Bedrohungsakteure, um unbemerkt Ziele zu erreichen [1]. Tatsächlich fand Mimecast heraus, dass Phishing 77 % aller Angriffe ausmacht – im Vergleich zu 60 % im Jahr 2024 – wobei Angreifer wohl verstärkt auf KI-Werkzeuge setzen.

»Wir beobachten eine deutliche Entwicklung im Angreiferverhalten in 2025, die vor allem durch einen exponentiellen Anstieg KI-gesteuerter Bedrohungen gekennzeichnet ist«, sagt Ranjan Singh, Chief Product & Technology Officer bei Mimecast. »Finanzplattformen, Aufsichtsbehörden und Stadtverwaltungen sind alle ins Visier von gewinnorientierten Ransomware-Gruppen und hochorganisierten, staatlich geförderten Angreifern geraten. Die Angreifer fokussieren sich verstärkt auf menschliche Schwachstellen und missbrauchen vertrauenswürdige Unternehmensdienste als primären Angriffsweg, wodurch Mitarbeiterschulung und widerstandsfähige Systeme wichtiger sind denn je.«

KI-gestützte Täuschung: Intelligentere Phishing- und Social-Engineering-Angriffe

Dieser auf den Menschen ausgerichtete Ansatz beginnt mit ausgeklügelten Täuschungstaktiken. Generative KI gibt Angreifern mehr Möglichkeiten, perfekte Köder zu erstellen, indem sie sich als Anbieter, Partner und Mitarbeiter ausgeben. Sie sind nun in der Lage, überzeugende E-Mail-Ketten, synthetische Stimmen und Audio-Nachrichten zu erstellen, die Erkennungswerkzeuge umgehen können.

Die Auswertungen zeigen einen signifikanten Anstieg von Social-Engineering-Angriffen – einschließlich Kampagnen wie ClickFix, KI-unterstütztem Phishing und Business Email Compromise (BEC). Diese Angriffe werden zunehmend ausgefeilter, wobei Angreifer automatisierte Konversationsketten nutzen, um in Phishing-E-Mails den Anschein legitimer Kommunikation zu erwecken, wobei sie sich oft als Führungskräfte ausgeben und eine dringliche Sprache verwenden. Das Threat-Research-Team von Mimecast identifizierte kürzlich eine groß angelegte BEC-Rechnungs-Betrugskampagne, bei der Angreifer KI-erstellte E-Mail-Inhalte nutzten, um Zahlungsanforderungen in Geschäftsprozesse einzuschleusen [1].

Insbesondere ClickFix-Betrugsmaschen, bei denen Angreifer gefälschte Fehlermeldungen oder Verifizierungsaufforderungen verwenden, um Benutzer dazu zu verleiten, bösartige Befehle auf ihre eigenen Geräte zu kopieren und auszuführen, nahmen in den ersten sechs Monaten des Jahres um mehr als 500 % zu und machten fast 8 % der gemeldeten Angriffe aus.

Vertrauensausnutzung: Angreifer instrumentalisieren alltägliche Business-Tools

Aufbauend auf diesen KI-gestützten Täuschungstechniken nutzen Angreifer gleichzeitig die vertrauenswürdigen Business-Tools, die Mitarbeiter täglich verwenden. Der Trend, sich aus den vorhandenen Ressourcen zu bedienen, entwickelt sich weiter, wobei Angreifer zunehmend vertrauenswürdige Dienste ausnutzen. Sie finden neue Wege, um wichtige Plattformen wie Adobe Pay, DocuSign und Salesforce innerhalb ihrer Angriffsketten auszunutzen – wobei der virtuelle Besprechungsraum und Hosting-Dienst DocSend im Jahr 2025 zum am häufigsten missbrauchten Dienst wird.

Im Mittelpunkt dieser Strategie der Ausnutzung von Vertrauen steht auch die Verwendung legitimer und benutzerdefinierter CAPTCHA-Dienste, um Opfer besser zu täuschen und die Fähigkeit von Bedrohungsanalysten zur Erkennung von Angriffen zu verlangsamen. Jeden Monat werden Tausende einzigartiger bösartiger CAPTCHA-geschützter URLs entdeckt, wobei in den USA und Großbritannien mehr als 900.000 Fälle von Scattered Spider festgestellt wurden, die diese Technik verwenden. KI ermöglicht es Angreifern außerdem, äußerst überzeugende Phishing-Nachrichten zu erstellen, um die Zustellung über diese Tools zu unterstützen, wodurch die Grenze zwischen legitimen Geschäftsaktivitäten und böswilligem Verhalten verwischt wird.

Multichannel-Angriffe: Angreifer umgehen Erkennung

Um diese dreigleisige Strategie, die auf menschliche Schwachstellen abzielt, zu vervollständigen, koordinieren Angreifer ihre Aktivitäten nun über mehrere Kommunikationskanäle hinweg, um einer Erkennung zu entgehen. Beispielsweise kann eine Phishing-E-Mail nun eine Telefonnummer enthalten, unter der das Opfer anrufen soll – dies reduziert die Sichtbarkeit für Monitoring-Systeme und erschwert die Erkennung.

Diese Taktik wurde bei hochkarätigen Vorfällen beobachtet, darunter Betrugsfälle durch Identitätsdiebstahl von Führungskräften und IT-Support-Betrug. KI-generierte Stimmen und Deepfake-Technologie verstärken die Wirksamkeit dieser Multichannel-Angriffe und machen sie noch überzeugender und schwieriger abzuwehren.

Branchenspezifische Bedrohung – Angreifer zielen mit maßgeschneiderten Taktiken auf hochwertige Sektoren ab

Viele dieser Angriffe richten sich gezielt an bestimmte Branchen, abhängig von der Art ihrer Geschäftstätigkeit und dem Wert ihrer Assets. Organisationen aus den Bereichen berufliche Bildung, IT-Software, Telekommunikation, Immobilien und Recht sind häufiger von Identitätsdiebstahl betroffen, da diese Branchen oft direkten Zugang zu hochwertigen Zielen haben, sensible Finanztransaktionen abwickeln und vertrauliche Kundendaten verwalten. Insbesondere Immobilienfachleute waren deutlich häufiger von Phishing-Angriffen betroffen als Arbeitnehmer in anderen Branchen, was die zunehmende Gefährdung dieses Sektors durch Social-Engineering-Bedrohungen unterstreicht.

Das Threat Research-Team von Mimecast entdeckte zudem kürzlich eine Phishing-Kampagne, die sich gegen Fachkräfte der Hotel- und Gastgewerbebranche richtete [3]. Die Angreifer nutzten betrügerische E-Mails, in denen sie sich als andere Personen ausgaben, und sammelten in großem Umfang Zugangsdaten von vertrauenswürdigen Hotelmanagement-Plattformen wie Expedia und Cloudbeds. Da Cyberkriminelle ihre Taktiken kontinuierlich anpassen, um branchenspezifische Schwachstellen auszunutzen, müssen Unternehmen aller Branchen proaktive Bedrohungserkennung, Mitarbeiteraufklärung und mehrschichtige Verteidigungsstrategien priorisieren, um den sich ständig weiterentwickelnden Angriffen einen Schritt voraus zu sein.

»Cyberabwehr kann nicht länger ausschließlich als technisches Problem betrachtet werden«, so Leslie Nielsen, Chief Information Security Officer bei Mimecast. »Es geht gleichermaßen um Menschen und die Widerstandsfähigkeit von Organisationen. Seit dem letzten Jahr haben Cyberkriminelle ihre Nutzung vertrauenswürdiger Dienste zur Umgehung technischer Schutzmechanismen deutlich gesteigert. Um diesen Bedrohungen entgegenzuwirken, müssen sich Unternehmen anpassen, indem sie ihre Mitarbeiter darauf vorbereiten, verdächtige Aktivitäten zu erkennen, und intern Tools wie KI einsetzen, um sowohl die Geschäftsabläufe als auch die Sicherheitsmaßnahmen zu verbessern. Da Angreifer weiterhin versuchen, durch Täuschung, Ausnutzung von Vertrauen und Koordination über mehrere Kanäle hinweg die menschliche Ebene anzugreifen, ist es von entscheidender Bedeutung, das Bewusstsein zu schärfen und widerstandsfähige Reaktionsfähigkeiten aufzubauen.«

[1] Für weitere Einblicke und zentrale Empfehlungen unseres Teams laden Sie nach Registrierung den vollständigen Report herunter: https://www.mimecast.com/de/resources/ebooks/threat-intelligence-january-june-2025/

