Cyberangriffe auf Rekordniveau: Cloud-Dienste als Einfallstor

Kriminelle nutzen zunehmend vertrauenswürdige Plattformen wie Google AppSheet und Drive für ihre Angriffe – mit verheerenden Folgen.

Die Bedrohungslage im Cyberspace hat eine neue Dimension erreicht. Sicherheitsforscher und Bundesbehörden schlagen Alarm: Hacker setzen vermehrt auf legitime Cloud-Infrastrukturen und Einladungsdienste, um traditionelle Schutzmechanismen zu umgehen. Der aktuelle LexisNexis Cybercrime Report dokumentiert einen Anstieg bot-gesteuerter Attacken um 59 Prozent – und eine Verachtfachung synthetischer Identitätsbetrugsfälle innerhalb eines Jahres. Die globalen Schäden durch Cyberkriminalität sollen 2026 die Marke von 10,5 Billionen Euro überschreiten.

Warum Cyberkriminelle gerade kleine und mittelständische Unternehmen ins Visier nehmen: Ein kostenloses E-Book zeigt, welche neuen Bedrohungen 2024 auf Sie zukommen – und wie Sie sich ohne großes Budget schützen. IT-Sicherheits-Report jetzt kostenlos herunterladen

Die „AccountDumpling“-Operation: 30.000 gekaperte Facebook-Konten

Eine der größten Phishing-Wellen der jüngeren Vergangenheit trägt den Codenamen „AccountDumpling“. Eine vietnamesische Hackergruppe kompromittierte über 30.000 Facebook-Konten – und nutzte dafür Google AppSheet und Google Drive als Tarnung. Die Angreifer manipulierten Sicherheitsprotokolle wie SPF, DKIM und DMARC, sodass ihre betrügerischen Nachrichten nicht von legitimer Unternehmenspost zu unterscheiden waren.

Die Kampagne umfasste vier verschiedene Angriffsmuster: von gefälschten „Blue Badge“-Verifizierungsangeboten über manipulierte Stellenanzeigen bis hin zu nachgebauten Administrationsoberflächen. Besonders perfide: Die Täter stahlen in Echtzeit Zwei-Faktor-Authentifizierungscodes (2FA) und umgingen so die zweite Sicherheitsebene. Rund 68,6 Prozent der identifizierten Opfer sitzen in den USA.

Parallel dazu zielen Phishing-Attacken auf persönliche und berufliche Netzwerke über digitale Einladungsplattformen. Sicherheitsexperten von SocialProof Security warnen vor einer Betrugswelle, die Dienste wie Paperless Post, Evite und Punchbowl missbraucht. Die Angreifer nutzen kompromittierte E-Mail-Konten von Bekannten, um Schadsoftware zu verbreiten oder Zugangsdaten abzugreifen. Evite rät Nutzern: Vage Formulierungen in Einladungen – etwa ein generischer Verweis auf eine „Geburtstagsparty“ ohne konkrete Details – sollten als Warnsignal dienen.

Lieferketten-Kompromittierung: Von PyPI bis Canvas

Auch die Entwickler- und Bildungsbranche bleibt nicht verschont. Das „elementary-data“-Paket auf dem Python Package Index (PyPI) – mit durchschnittlich 1,1 Millionen monatlichen Downloads – wurde durch eine manipulierte GitHub-Actions-Skriptinjektion gekapert. Die kompromittierte Version 0.23.3 stahl SSH-Schlüssel, Cloud-Anbieter-Zugangsdaten und Kryptowährungs-Wallet-Dateien. Obwohl eine bereinigte Version (0.23.4) schnell veröffentlicht wurde, müssen Entwickler sämtliche Geheimnisse austauschen, die in Umgebungen mit der Schadsoftware gespeichert waren.

Im Bildungssektor traf es die Lernplattform Canvas von Instructure. Die Hackergruppe ShinyHunters behauptet, 240 Millionen Datensätze von rund 9.000 Schulen weltweit erbeutet zu haben. Instructure bestätigte den Vorfall: Namen, E-Mail-Adressen und Schüler-IDs seien betroffen, jedoch keine Passwörter oder Finanzdaten.

Ein weiterer Paukenschlag: Die Sicherheitslücke CVE-2026-41940 im cPanel-Webhosting-Kontrollpanel. Mit einem CVSS-Schweregrad von 9,8 ermöglichte sie Angreifern root-Level-Zugriff ohne Authentifizierung – und das 64 Tage lang, vom 23. Februar bis zum Patch am 28. April. Rund 1,5 Millionen Systeme waren exponiert. Die Schwachstelle wird mit der „Sorry“-Ransomware und dem Mirai-Botnet in Verbindung gebracht.

Angesichts der Rekord-Schäden durch Phishing setzen immer mehr Unternehmen auf gezielte Awareness-Kampagnen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen psychologische Manipulation schützen kann. Anti-Phishing-Paket für Unternehmen gratis sichern

KI-gestützte Bedrohungen und „irreversible“ Ransomware

Der LexisNexis-Bericht zeigt einen grundlegenden Wandel der Betrugsmethoden. Synthetischer Identitätsbetrug – die Erfindung neuer Identitäten aus echten und erfundenen Daten – macht inzwischen elf Prozent aller Betrugsfälle aus. Während Angriffe über mobile Apps um 56 Prozent zurückgingen, verdoppelten sich Attacken über Desktop-Browser. Die Täter setzen wieder auf komplexe, mehrstufige Ausbeutung von Cloud-Werkzeugen.

Die Integration künstlicher Intelligenz bereitet Finanzregulatoren zunehmend Kopfzerbrechen. US-Finanzminister Bessent warnte nach einem Treffen mit der Federal Reserve und großen Wall-Street-Instituten vor KI-gesteuerten Bankkonten-Hacks. Im Fokus standen Erkenntnisse von Anthropics „Mythos“-KI, die Tausende von Schwachstellen identifizierte. Bessent forderte Finanzinstitute auf, dieselben KI-Tools proaktiv zu nutzen, um Lücken zu schließen, bevor Kriminelle sie entdecken.

Besonders alarmierend: die „irreversible“ Ransomware VECT 2.0, die seit Dezember 2025 aktiv ist. Aufgrund eines Programmierfehlers in der Verschlüsselungsroutine werden Dateien über 128 Kilobyte unwiderruflich zerstört – die Entschlüsselungsschlüssel werden überschrieben. Selbst wenn Opfer Lösegeld zahlen, können die Angreifer die Daten nicht wiederherstellen. Jede Verhandlung ist sinnlos.

Behörden reagieren: Fristen für Sicherheitspatches

Die US-Cybersicherheitsbehörde CISA hat mehrere Schwachstellen in ihren Katalog bekannter ausgenutzter Sicherheitslücken (KEV) aufgenommen. Bundesbehörden mussten die cPanel-Lücke bis zum 3. Mai 2026 schließen. Für eine kritische ConnectWise-ScreenConnect-Schwachstelle (CVE-2024-1708) und eine Windows-Shell-Lücke (CVE-2026-32202) zum Stehlen von NTLM-Hashes gilt der 12. Mai als Frist.

Auch die Linux-Community reagiert auf den „Copy Fail“-Logikfehler (CVE-2026-31431), der mit einem 732-Byte-Python-Skript root-Rechte ermöglicht. Patches wurden Anfang April in den Kernel eingespielt – doch die Schwachstelle betrifft Distributionen bis ins Jahr 2017 zurück. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnte deutsche Unternehmen eindringlich. CISA setzte den 15. Mai 2026 als Stichtag für die Behebung.

Ausblick: Cloud-Dienste bleiben das Einfallstor der Wahl

Sicherheitsexperten erwarten, dass die Waffennutzung vertrauenswürdiger Cloud-Dienste der dominierende Trend bleibt. Der Aufstieg des „Agentic Commerce“ – automatisierte Systeme, die Transaktionen und Datenaustausch abwickeln – schafft neue Angriffsflächen für bot-gesteuerten Betrug. Unternehmen sollten passive Datenströme überwachen und strengere Validierungen für Kommunikation von „vertrauenswürdigen“ Cloud-Plattformen und Drittanbieter-Einladungsdiensten einführen.

de | wissenschaft | 69276100 |