Cyberkriminelle kapern vertraute IT-Infrastruktur

Die Angriffsmethoden der Cyberkriminellen haben sich grundlegend gewandelt. Statt auf auffällige Schadsoftware setzen sie zunehmend auf die legitime Infrastruktur großer Technologiekonzerne, um Unternehmensnetzwerke zu infiltrieren. Das zeigen aktuelle Bedrohungsanalysen vom März 2026.

Angreifer nutzen gezielt die Sicherheitstools und Kommunikationsplattformen aus, die Organisationen eigentlich schützen sollen. Diese Entwicklung stellt die etablierte Verteidigungslogik auf den Kopf. Die implizite Vertrauensstellung, die Unternehmen authentifizierten Cloud-Diensten entgegenbringen, ist zum primären Angriffsvektor geworden.

Angesichts dieser hochprofessionellen Infiltrationsmethoden stehen viele IT-Abteilungen vor massiven Herausforderungen. Dieser Experten-Report enthüllt effektive Strategien, wie mittelständische Unternehmen sich ohne Budget-Explosion gegen moderne Cyberkriminelle wappnen können. Bewährte Strategien zur IT-Sicherheit jetzt kostenlos entdecken

Sieben-Stufen-Angriff mit perfeder Tarnung

Ein Vorfall bei der schwedischen Cybersicherheitsfirma Outpost24 verdeutlicht die neue Angriffssophistikation. Sicherheitsanalysten zeichneten einen mehrstufigen Angriff auf eine Führungskraft nach, der ausschließlich auf legitime Dienste setzte.

Die Attacke begann mit einer Phishing-E-Mail, die den Finanzdienstleister JP Morgan imitierte. Um Filter zu umgehen, wurde die Nachricht in einen bestehenden E-Mail-Thread integriert und mit gültigen DKIM-Signaturen versehen – unter anderem von Amazon SES. So passierte sie strengste DMARC-Prüfungen.

Der eigentliche Trick lag in den Weiterleitungen. Statt direkter Links führten die Angreifer ihr Opfer über eine legitime Cisco Secure Email-URL, dann über die Infrastruktur des Messaging-Dienstes Nylas und schließlich über kompromittierte Subdomains einer Entwicklungsfirma. Eine finale Cloudflare-geschützte Validierungsprüfung sollte automatisierte Security-Scanner ausschalten. Nur ein menschliches Opfer sollte die finale Schadseite erreichen.

Microsoft und CrowdStrike bestätigen Trend

Der Fall ist kein Einzelphänomen. Microsoft warnte Mitte März vor einer Welle von Voice-Phishing-Angriffen (Vishing) über Microsoft Teams. Angreifer gaben sich als interner IT-Support aus und überredeten Mitarbeiter, Fernzugriff via Windows Quick Assist zu gewähren. Über vertraute Windows-Mechanismen luden sie dann Schadcode nach.

Parallel dokumentierte Microsoft einen Anstieg beim Missbrauch des OAuth-Authentifizierungsprotokolls. Angreifer nutzen die in OAuth eingebettete Vertrauensstellung, um über legitime Umleitungen innerhalb vertrauter Endpunkte Anmeldedaten abzugreifen – ohne Standard-Alarme auszulösen.

Ob CEO-Fraud oder komplexe Hacker-Methoden – die psychologischen Angriffsmuster der Betrüger werden immer raffinierter. In diesem kostenlosen Experten-Guide erfahren Sie in 4 Schritten, wie Sie Ihr Unternehmen mit wirksamen Maßnahmen gezielt vor Phishing-Attacken schützen. Kostenloses Anti-Phishing-Paket herunterladen

Besorgniserregend ist die Widerstandsfähigkeit der Angreifer. Die Phishing-as-a-Service-Plattform Tycoon2FA operiert trotz einer internationalen Abschaltaktion Anfang März weiter. Die schnelle Erholung solcher Dienste zeigt die industrialisierte Effizienz moderner Cyberkrimineller.

Das Ende impliziter Vertrauensgrenzen

Die gemeinsame Klammer aller Vorfälle ist der Kollaps impliziten Vertrauens in digitale Infrastruktur. Angreifer brechen nicht mehr einfach ein – sie erben Vertrauen, indem sie Identitäten kapern und architektonische Blindstellen ausnutzen.

Für Sicherheitsverantwortliche entsteht ein Dilemma: Vertrauen sie einer Quelle wie Cisco oder Microsoft, riskieren sie einen getarnten Angriff. Blockieren sie diese Dienste zu aggressiv, gefährden sie geschäftskritische Abläufe. Die Folge: Alarme versacken in der Validierung, während gestohlene Zugriffe bereits getestet werden.

Für europäische Unternehmen unter strenger Datenschutzaufsicht ist diese Dynamik besonders heikel. Herkömmliche Security Awareness Trainings und einfache E-Mail-Filter reichen nicht mehr aus, wenn KI-generierte, lokalisierte Phishing-Inhalte auf automatisierte Tarninfrastruktur treffen.

Neue Verteidigungsstrategien gefordert

Die Branche muss von reaktiver Erkennung zu proaktiver Störung übergehen. Sicherheitsfirmen wie Netcraft setzen vermehrt auf präventive Domain-Abschaltungen, noch bevor Angreifer ihre Infrastruktur aktivieren.

Doch technische Abschaltungen allein genügen nicht. Organisationen müssen authentifizierte E-Mails als potenziell bösartig behandeln. Das erfordert tiefgehende Inspektion von Weiterleitungsketten und anomalem Verhalten legitimer Domains. Selbst die Zwei-Faktor-Authentifizierung bietet keinen ausreichenden Schutz mehr gegen Plattformen wie Tycoon2FA, die gezielt Session-Cookies abfangen.

Die Zukunft der Verteidigung liegt in strikten Zero-Trust-Prinzipien. Phishing-resistente Authentifizierungsmethoden, kontinuierliches Nutzerverhaltens-Monitoring und geringstmögliche Zugriffsrechte in Cloud-Umgebungen werden zur Pflicht. Die Definition einer sicheren Perimeter muss sich erweitern: Jede Interaktion – egal über welche Plattform – muss kritisch hinterfragt werden.

boerse | 68947750 |