Cyberangriffe: Social Engineering wird zur größten Gefahr

Staatsspione und Cyberkriminelle umgehen technische Sicherheitsbarrieren und attackieren gezielt menschliche Schwachstellen. Die jüngsten Enthüllungen dieser Woche markieren eine kritische Wende in der Cyber-Bedrohungslandschaft. Angreifer setzen zunehmend auf raffinierte psychologische Manipulation, um selbst hochsichere Umgebungen zu kompromittieren.

Da Angreifer gezielt menschliche Schwachstellen bei WhatsApp und Co. ausnutzen, ist ein privater Basisschutz für das Smartphone unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihre Daten und Messenger-Kommunikation effektiv absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Staatsspionage trifft verschlüsselte Messenger

Am 9. März 2026 warnten die niederländischen Geheimdienste AIVD und MIVD vor einer globalen Spionagekampagne, die russischen Staatsakteuren zugeschrieben wird. Das Ziel: die Konten von Regierungsbeamten, Militärpersonal und Journalisten auf Signal und WhatsApp. Die Angreifer knacken nicht die Ende-zu-Ende-Verschlüsselung, sondern nutzen raffinierte Tricks. Sie geben sich als offizielle Support-Kontakte aus und drängen Opfer unter einem Vorwand dazu, ihre SMS-Verifizierungscodes preiszugeben. Mit diesen Daten übernehmen sie die Konten und erhalten Zugriff auf vertrauliche Gespräche. Die Geheimdienste raten dringend davon ab, solche Consumer-Apps für den Austausch klassifizierter Regierungsdaten zu nutzen.

Phishing-Kits kapern Cloud-Infrastrukturen

Parallel dazu zielen finanziell motivierte Cyberkriminelle auf Unternehmens-IT. Forscher von Datadog entdeckten am 10. März ein hochgefährliches Adversary-in-the-Middle-Phishing-Kit, das speziell auf Nutzer des Amazon Web Services-Portals abzielt. Die Täter schalten täuschend echte Fake-Login-Seiten, die sich zwischen Opfer und den echten Server schalten. So fangen sie nicht nur Passwörter, sondern auch Live-Sitzungscookies ab – und umgehen so Standard-Zwei-Faktor-Authentifizierungen. Die gleiche Angreifer-Infrastruktur wird auch für gefälschte Microsoft-365- und iCloud-Seiten genutzt, was auf ein gemeinsames Phishing-as-a-Service-Angebot für mehrere Verbrecherbanden hindeutet.

Phishing-Angriffe werden immer raffinierter und nutzen psychologische Tricks, um selbst erfahrene Nutzer zu täuschen. In diesem Experten-Guide erfahren Sie, wie Sie Ihr Unternehmen mit einer gezielten 4-Schritte-Strategie vor aktuellen Hacker-Methoden schützen. Kostenlosen Anti-Phishing-Guide herunterladen

Ericsson-Datenleck durch gezieltes Telefonat

Die Gefahr durch Social Engineering beschränkt sich nicht auf Textnachrichten, wie ein Vorfall beim Telekommunikationsriesen Ericsson zeigt. Das Unternehmen gab am 10. März einen Datenschutzvorfall bekannt, der über 15.000 Personen betrifft. Die Ursache war kein Softwarefehler, sondern ein gezielter Voice-Phishing-Anruf bei einem US-Zulieferer im April 2025. Die Angreifer gaben sich am Telefon als vertrauenswürdige Instanz aus und überredeten einen einzelnen Mitarbeiter dazu, Zugangsdaten herauszugeben. Diese einzige menschliche Schwachstelle öffnete den Tätern Tür und Tor zu sensiblen Daten, darunter Sozialversicherungsnummern und medizinische Informationen.

Die neue Verteidigungsstrategie: Identität schützen

Diese parallelen Angriffswellen zeigen einen klaren Trend: Angreifer konzentrieren sich nicht mehr primär auf Softwarelücken, sondern auf die Kompromittierung von Identitäten. Herkömmliche Sicherheitsmaßnahmen wie SMS-basierte Zwei-Faktor-Authentifizierung werden zunehmend wirkungslos.

Experten fordern daher einen mehrschichtigen Sicherheitsansatz:
* Phishing-resistente Authentifizierung: Der Umstieg auf FIDO2-Hardware-Sicherheitsschlüssel gilt als wirksamste Abwehr, da sie die Anmeldesitzung kryptografisch an die legitime Domain binden.
* KI-gestützte Browser-Abwehr: Moderne Sicherheitstools analysieren in Echtzeit Dutzende Merkmale einer Webseite, um noch unbekannte Phishing-Seiten zu blockieren, bevor sie in Warnlisten auftauchen.
* Realistische Mitarbeiterschulungen: Statt generischer Compliance-Videos sind simulierte Angriffe nötig, die die hochpersonalisierten, dialogbasierten Köder heutiger Cyberkrimineller nachahmen.

Die Bedrohung wird sich weiter verschärfen, angetrieben durch generative KI, die perfekt personalisierte Köder in jeder Sprache erstellen kann. Die Antwort der Branche werden autonome KI-Abwehrsysteme sein, die kompromittierte Konten binnen Sekunden erkennen und bereigen. Die Schlacht gegen Phishing wird nicht mehr nur in Netzwerken, sondern um die menschliche Identität selbst geführt.