Cybercrime: Was trägt man diese Saison?

CrowdStrike Global Threat Report 2025

Unsere Welt steht Kopf: Der US-Präsident verbündet sich mit Putin gegen die Ukraine, am Nordpol herrscht mitten im Winter das schönste Tauwetter, und die Ergebnisse der Bundestagswahl lassen die einst so verpönte Große Koalition, jetzt eher mittelgroß, plötzlich als das kleinere Übel dastehen. Da beruhigt es zu wissen: Es gibt sie noch, die guten Dinge (wie Besserverdiener-Ausrüster Manufactum einst proklamierte). Denn zum Glück ist wenigstens auf die Cyberkriminellen Verlass – sie treiben mit altbekanntem Elan weiter ihr Unwesen. Doch Manufactum-Katalogleser wissen: Selbst bei den guten alten Dingen aus der guten alten Zeit gibt es immer wieder neue Entwicklungen. So lohnt auch der Blick auf aktuelle Cybercrime-Trends.

Der hier vorliegende neue Ransomfactum-Katalog beruht auf den Incident-Kollektionen renommierter Threat-Intelligence-Lieferanten wie Palo Alto Networks, CrowdStrike, Malwarebytes, Cisco, Google und Arctic Wolf. Also, auf zur Modenschau trendiger Taktiken, Techniken und Verfahren der vertraut-verruchten Cybercrime-Szene!

Neu bei Ransomfactum

Die Trendspotter-Schar berichtet von einigen Neuheiten, die das bunte Bedrohungstreiben noch farbenfroher machen. Nach Erkenntnissen von Googles Threat Analysis Group sind vier Fünftel der beobachteten Angriffe finanziell motiviert, ein Fünftel sind staatlich gestützte Aktionen. Laut Cisco ist der jährliche Gesamtschaden für die deutsche Wirtschaft durch Cyberangriffe zwischen 2019 und 2024 von 103 Milliarden auf 267 Milliarden Euro pro Jahr angewachsen.

Neben Verschlüsselung per Ransomware ist Datendiebstahl en vogue: In fast allen (96%) der von Arctic Wolf analysierten Ransomware-Fälle exfiltrierten die Angreifer zuvor Daten.

Laut Palo Alto Networks ergänzen Cyberkriminelle heute traditionelle Erpressung gerne durch Mechanismen, die den Geschäftsbetrieb des betroffenen Unternehmens gezielt stören. Letztes Jahr führten laut Palo Alto 86% der analysierten Vorfälle zu Betriebsunterbrechungen. Der Cybererpresser von Welt trägt also sein Verschlüsselungs- und Datendiebstahlsmäntelchen gerne mit verspielten kleinen Sabotage-Applikationen.

Irgendwas mit KI

Wer nicht völlig out sein will, macht heute natürlich was mit künstlicher Intelligenz. Der KI-affine Kriminelle nutzt legale und nicht ganz so legale KI-Modelle, um überzeugendere Phishing-Emails zu erstellen, das Schreiben von Schadcode zu automatisieren und den Ablauf der Angriffskette zu beschleunigen.

CrowdStrike hat einen Fall beobachtet, in dem Angreifer sich nur 51 Sekunden nach der Kompromittierung bereits durch das Netzwerk bewegten. Und nach Palo-Alto-Angaben exfiltrierten die Angreifer interne Daten in fast einem Fünftel der Fälle innerhalb der ersten Stunde, nachdem sie in ein Netzwerk eingedrungen waren.

In 70% der von Palo Alto untersuchten Vorfälle zielten Angriffe auf drei oder mehr Bereiche gleichzeitig, also auf Endpunkte, Netzwerke, Cloud-Umgebungen und – mittels Social Engineering oder Phishing – auf den „Faktor Mensch“. Fast die Hälfte der Sicherheitsvorfälle (44%) verliefen über das stets populäre Einfallstor der Web-Browser, z.B. durch Phishing mit anschließendem Malware-Download.

Malwarebytes wiederum schätzt die Rolle der KI in der Cybercrime-Modewelt bislang als eher gering ein. Die Szenekenner gehen aber davon aus, dass KI total angesagt sein wird, sobald „Agentic AI“, also Unterstützung durch selbsttätig handelnde KI-Assistenten, zum Prêt-a-Porter-Produkt wird.

Schon jetzt geht der Trend beim Phishing laut CrowdStrike zum „Vishing“ (Voice Phishing), also zur – mitunter KI-gestützten – Übertölpelung per Telefonat (für Traditionsbewusste) oder Sprachnachricht (wer’s etwas peppiger mag). Neben Social Engineering und Phishing greifen insbesondere staatlich gestützte Akteure für den initialen Einbruch gerne zur Software- oder API-Schwachstelle. Manche Modetrends sind eben Dauerbrenner.

Innentäter 2.0

In Cybercrime-Reports waren Insider-Bedrohungen schon immer so allgegenwärtig wie im Manufactum-Shop Werkzeuge mit Echtholzgriff. Dieser Tage aber erlangen sie (die Insider, nicht die Echtholzgriffe) eine neue Qualität. So geben sich insbesondere von Nordkorea gesteuerte Akteure als Job-Bewerber aus, um Unternehmen zu infiltrieren, Informationen zu stehlen und das heimische Regime zu finanzieren.

Die Zahl der Nordkorea zugerechneten Insider-Bedrohungen hat sich letztes Jahr laut Palo Alto verdreifacht. Wichtig: Der modebewusste Bewerber trägt natürlich nicht unbedingt Hoodie, sondern gerne mal einen Seamless-Herrenpullover. Auch Trenchcoats gelten als zu grell. Da greift man besser zum klassischen Sakko in Anthrazit oder Karamell, um beim Online-Bewerbungsgespräch zu punkten!

Angriffe auf die Software Supply Chain und Cloud-Ressourcen werden laut Marktbeobachtern häufiger wie auch komplexer. In der Cloud nutzen Angreifer gerne Fehlkonfigurationen, um Netzwerke nach Interna zu durchsuchen. Automatisierung – auch dies oft mittels KI – und optimierte Hacker-Toolkits sowie „Ransomware as a Service“ beschleunigen die Angriffe. Das lässt Verteidigern weniger Zeit zur Reaktion.

Cyberkriminelles Landleben

Wie die Manufactum-Klientel, so begeistern sich auch Cyberkriminelle für das naturnahe Landleben: „Living off the Land“ (LOTL) nennt sich der zunehmend beliebte Ansatz, bewährte Werkzeuge und Funktionen innerhalb der kompromittierten Umgebung zu nutzen und zu missbrauchen, etwa PowerShell, Remote-Zugriffe per RDP und SSH oder Remote-Support-Tools wie TeamViewer. Dies erschwert es dem Security-Team, Angreiferaktionen von normaler Benutzeraktivität zu unterscheiden.

Der Einsatz gestohlener Credentials ist natürlich das Sauerteigbrot- und Butter-Geschäft der Kriminellen. Ergänzend nutzen Cybercrime-Gourmets zunehmend „Evasion Techniques“, also Kniffe, um Sicherheitslösungen unterzubuttern. So deaktivieren sie zum Beispiel Antivirenprogramme, Firewalls oder Windows Event Logging. Manch ein individualistischer Angreifer bringt auch eigene angreifbare Treiber mit (Bring Your Own Vulnerable Driver, BYOVD), um seine Berechtigungen auszuweiten oder Schutzmaßnahmen auszuhebeln.

Trendige Tipps für die Abwehr

Dem modebewussten Verteidiger empfehlen Security-Trendscouts die folgenden pfiffigen Maßnahmen:

  • Total angesagt sind Zero-Trust-Strategien: Implizites Vertrauen ist so 1990er, heute bevorzugt man die kontinuierliche Validierung von Benutzern, Geräten und Anwendungen. Das Security-Team von Welt setzt dabei auf schicke Mehr-Faktor-Authentifizierung im Zusammenspiel mit elegantem Minimalismus bei der Vergabe von Zugriffsrechten gemäß Least-Privilege-Prinzip.
  • Die Abwehr-Avantgarde appliziert Sicherheitsmaßnahmen über den gesamten Entwicklungszyklus von Anwendungen und Cloud-Umgebungen hinweg. Sie nutzt gehärtete Entwicklungs- und DevOps-Tools und führt über die gesamte Einsatzdauer von Applikationen kontinuierliche Scans durch. Das Augenmerk richtet sich dabei auf Fehlkonfigurationen, Schwachstellen in Software und APIs sowie auf unschöne, weil unnötige Berechtigungen.
  • Blickdicht ist out, transparent ist in: Das Security Operations Center (SOC) sollte den nötigen Über- und Durchblick über die gesamte Unternehmensumgebung haben, um Bedrohungen schnell zu erkennen. Mittels KI-gestützter Funktionen lässt sich Kompromittierendes aus den Datenmassen filtern und priorisieren. Tipp: Automatisierte Incident-Response-Workflows geben dem Abwehr-Ensemble das gewisse Extra.
  • Nicht jeder hat von Natur aus ein Händchen für Mode. Wichtig sind deshalb Mitarbeiterschulungen, um die gesamte Farbpalette der Angriffe vom Social Engineering und Phishing bis zu den Tücken der KI zu erläutern. Diese Schulungen sollten auch die physische Sicherheit, den Umgang mit Geräteverlust und Anzeichen für Insider-Bedrohungen abdecken.
  • Für Angriffsflächen gilt: lieber Mini als Maxi. Unternehmen sollten ein klares Bild von ihren internen und externen Angriffsflächen anstreben. Nur so können sie hier die Edelstahlschere ansetzen, um zum Beispiel ausgefranste Remote-Zugriffseinstellungen zu kappen. Und natürlich gilt immer: Systeme mit altmodischem, nicht mehr unterstütztem Betriebssystem sind ein No-go!
  • Last but not least sollten Unternehmen laut den Security-Modekennern ihre Resilienz stärken, also Konzepte entwickeln, um auch beim Ausfall kritischer Systeme oder Daten handlungsfähig zu bleiben. Die Trendscouts raten hier zu regelmäßigen Notfallübungen. Deren Palette reicht von kontinuierlichen Sicherheitsbewertungen bis zu Incident-Simulationen und Red-Team-Exercises (also simulierten Angriffen), um festzustellen, ob Reaktionsabläufe nahtlos ineinandergreifen.

Das Ziel: Ein Unternehmen sollte selbst dann schnell wieder handlungsfähig sein, wenn Ransomware das Warenwirtschaftsystem verschlüsselt hat. Passendes Zubehör findet man beim Security-Anbieter seines Vertrauens, notfalls aber auch bei Manufactum: Hier gibt’s das fadengeheftete japanische Notizbuch mit zartweißem Naturpapier liniert (€ 29,90), dazu passend den Alu-Kolbenfüllfederhalter für nur € 159,00. So ist man für den IT-Stillstand stets gut gerüstet!

Und hier noch die Quellen zum Selbernachlesen: Arctic Wolf, Cisco, CrowdStrike, Google, Malwarebytes, Palo Alto Networks und natürlich Manufactum.

Hat euch dieser Text gefallen? Dann erzählt doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Bildquelle Titelbild: CrowdStrike Global Threat Report 2025