Cloud-Plattformen: Neues Einfallstor für Cyberkriminelle

Phishing-Angreifer missbrauchen zunehmend vertrauenswürdige SaaS-Dienste wie Microsoft und Zoom, um Sicherheitsbarrieren zu umgehen. Eine halbe Million Attacken in drei Monaten zeigt das alarmierende Ausmaß.

Die digitale Abhängigkeit von Cloud-Diensten wird zur Achillesferse für Unternehmen. Cyberkriminelle operieren nicht mehr von kompromittierten Servern, sondern direkt aus den vertrauenswürdigen Ökosystemen etablierter Anbieter. Diese als „Living off the Land“ bekannte Methode tarnt bösartigen Datenverkehr als legitimen Traffic. Eine kürzlich aufgedeckte Kampagne versendete so über 133.000 Phishing-E-Mails an mehr als 20.000 Organisationen – getarnt als harmlose Service-Benachrichtigungen.

Im Mantel der Legitimität: Warum die Filter versagen

Der Erfolg dieser Angriffe liegt in ihrer scheinbaren Authentizität. Die E-Mails stammen von den echten Servern großer Anbieter wie Microsoft, Google oder PayPal. Sie passieren daher mühelos Spam-Filter und Authentifizierungsprüfungen wie DMARC oder SPF. Für Mitarbeiter sehen die Nachrichten aus wie routinemäßige Cloud-Benachrichtigungen – die Hemmschwelle für einen Klick sinkt drastisch.

Sicherheitsforscher verzeichnen einen strategischen Wandel: In den letzten drei Monaten wurden fast eine halbe Million solcher Phishing-Mails registriert. Angreifer nutzen die gesamte Infrastruktur: Sie hosten Phishing-Kits auf Microsoft Azure oder Amazon Web Services (AWS). Der bösartige Inhalt kommt so aus einer per se vertrauenswürdigen Quelle. Eine weitere Taktik sind PDF-Dokumente in professionellen E-Mails, die Opfer über mehrere legitime Cloud-Dienste unbemerkt auf gefälschte Login-Seiten umleiten.

Phishing-Angreifer missbrauchen heute echte Cloud‑Services — in nur drei Monaten wurden fast eine halbe Million solcher Mails registriert. Das kostenlose Anti‑Phishing‑Paket erklärt in klaren vier Schritten, wie Sie technische Lücken schließen, CEO‑Fraud und Vishing erkennen sowie Mitarbeitende praxisnah schulen. Enthalten sind Checklisten, Beispiele für manipulierte E‑Mails und Sofort‑Maßnahmen für Azure/Office‑Umgebungen — ideal für IT‑Leitung und Sicherheitsbeauftragte, die Schutz sofort umsetzen wollen. Anti‑Phishing‑Paket jetzt gratis anfordern

Vom Telefon-Betrug bis zur Staatsspionage

Die Taktiken werden immer raffinierter. Die Erpressergruppe „ShinyHunters“ setzt auf Voice-Phishing (Vishing). Dabei geben sich Angreifer am Telefon als IT-Support aus, um an Single-Sign-On-Daten und MFA-Codes zu gelangen. So dringen sie direkt in die SaaS-Umgebungen von Unternehmen ein.

Gleichzeitig nutzen auch staatliche Akteure diese Techniken. Die russische Gruppe APT28 (Fancy Bear) missbraucht eine bekannte Microsoft-Office-Schwachstelle und nutzt legale Cloud-Speicher für ihre Kommando-Infrastruktur. Der bösartige Datenverkehr versteckt sich im normalen Nutzerverhalten. Diese Angriffe zielen gezielt auf europäische Regierungs- und Militäreinrichtungen.

KI als Brandbeschleuniger der Cyberkriminalität

Künstliche Intelligenz verschärft die Lage dramatisch. KI generiert massenhaft personalisierte und überzeugende Phishing-E-Mails, die kaum von echten Nachrichten zu unterscheiden sind. Betrugsmaschen simulieren komplexe Szenarien: Gefälschte WhatsApp-Investitionsgruppen werden von KI-generierten Personas wochenlang am Leben erhalten, um Vertrauen aufzubauen, bevor der eigentliche Betrug beginnt. Traditionelle Mitarbeiterschulungen werden so zunehmend wirkungslos.

Paradigmenwechsel: Warum alte Sicherheitskonzepte versagen

Experten fordern einen grundlegenden Strategiewechsel. Traditionelle Kontrollen, die auf Domain-Reputation oder das Blockieren bekannter Links setzen, greifen hier zu kurz. Die Angriffe finden innerhalb der vertrauenswürdigen Kanäle statt. Unternehmen können nicht mehr einfach „guten“ von „schlechtem“ Datenverkehr trennen.

Stattdessen rücken verhaltensbasierte Analysen und eine strikte Identitäts- und Zugriffskontrolle in den Vordergrund. Es geht darum, anomale Aktivitäten in der scheinbar sicheren Cloud-Umgebung zu erkennen. Warum greift ein Mitarbeiter zu ungewöhnlicher Zeit auf eine App zu? Warum versucht ein Office-Dokument, ein Skript auszuführen? Die Implementierung von Zero-Trust-Architekturen, bei denen standardmäßig niemandem vertraut wird, wird zur Notwendigkeit.

Was Unternehmen jetzt tun müssen

Die Bedrohung wird weiter zunehmen. Angreifer verfeinern ihre Methoden und den KI-Einsatz ständig. Sicherheitsexperten empfehlen einen mehrschichtigen Ansatz:

1. Identitäten stärken: Konsequente Durchsetzung von phishing-resistenter Multi-Faktor-Authentifizierung (MFA) in der Identity- und Access-Management-Strategie.
2. Sichtbarkeit erhöhen: Lückenlose, detaillierte Protokollierung aller Cloud-Aktivitäten ist essenziell. Viele Standardkonfigurationen reichen nicht aus – Unternehmen müssen proaktiv erweiterte Logging-Funktionen aktivieren.
3. Mitarbeiter schulen: Die Sensibilisierung muss sich auf die neuen, subtilen Formen ausweiten. Es reicht nicht mehr, nur vor Links zu warnen. Schulungen müssen mehrstufige Angriffe und Social-Engineering-Taktiken wie Vishing abdecken.

Letztlich müssen Unternehmen akzeptieren: Die Cloud ist nicht per se sicher. Der Schutz der Daten erfordert eine kontinuierliche und proaktive Anstrengung.

PS: Schützen Sie Ihr Unternehmen gezielt gegen KI‑gestützte, personalisierte Phishing‑Kampagnen. Der Gratis‑Guide enthält fertige Schulungsbausteine, Vorlagen zur Protokollierung von MFA‑Ereignissen und eine 10‑Punkte‑Checkliste für Zero‑Trust‑Kontrollen — sofort einsetzbar in SaaS‑Umgebungen. Ideal für Sicherheitsbeauftragte und Geschäftsführung, die Schutzmaßnahmen schnell operationalisieren möchten. Gratis‑Guide: Anti‑Phishing‑Paket herunterladen