Der Einsatz einer Zwei-Faktor-Authentifizierung (2FA) galt lange Zeit als der Goldstandard zum Schutz vor Phishing-Angriffen. Doch Angreifer entwickeln stetig neue Techniken, um selbst diese Sicherheitsmaßnahme zu umgehen. [...]
Laut einer Bitkom-Studie erlitten 2024 trotz verstärkter Authentifizierungsverfahren immer noch rund 25 Prozent der deutschen Unternehmen Schäden durch Phishing. Welche neuen Angriffsmethoden nutzen Hacker, und wie können Unternehmen darauf reagieren?
Phishing-Attacken haben sich technisch und strategisch weiterentwickelt. Statt einfacher betrügerischer E-Mails setzen Angreifer auf spezialisierte Methoden:
- Browser-in-the-Browser-Angriffe simulieren täuschend echte Login-Fenster, wie sie von legitimen Diensten bekannt sind. Selbst erfahrene Nutzer haben hier Schwierigkeiten, die Fälschungen zu erkennen. Alle eingegebenen Daten, einschließlich Passwörtern und Sicherheitscodes, landen direkt bei den Angreifern.
- Die Open-Source-Technologie Evilginx ermöglicht es dem Angreifer, sich zwischen Nutzer und Server zu schalten. Hacker können dadurch die Anmeldedaten im Kommunikationsfluss mitlesen und eventuell nicht nur Zugangsdaten, sondern auch Access Tokens abfangen. Diese Tokens sind besonders kritisch, da sie ohne erneute Eingabe von Benutzername und Passwort Zugriff auf Systeme und Daten gewähren.
- Beim Device Code Phishing nutzen Hacker ein Verfahren, das für einfache Logins auf Geräten wie Smart-TVs entwickelt wurde. Angreifer geben sich als Gerät aus und fordern den Nutzer dazu auf – gegebenenfalls kombiniert durch geschicktes Social Engineering – einen Authentifizierungscode auf einer legitimen Webseite einzugeben. Der Nutzer bestätigt dabei unwissentlich den Zugriff des Angreifers, wodurch dieser den Access Token erhält. Mit diesem Token hat der Angreifer anschließend ohne Benutzername und Passwort Zugang zum Konto des Nutzers.
Die Beispiele zeigen: Klassische Sicherheitsmaßnahmen wie Einmalpasswörter (OTP) oder Push-Benachrichtigungen über Apps werden zunehmend unsicherer. Denn mithilfe moderner Phishing-Methoden lassen sich diese Mechanismen umgehen und Schwachstellen von Authentifizierungsprozessen ausnutzen. Unternehmen stehen heute also vor der Herausforderung, sowohl technische Schutzvorkehrungen nachzurüsten als auch das Bewusstsein der Mitarbeiter zu verbessern.
Praktische Schritte zur Phishing-Abwehr
Um der zunehmenden Bedrohung durch Phishing-Angriffe zu begegnen, sollten Unternehmen eine mehrschichtige Sicherheitsstrategie verfolgen. Wichtige Maßnahmen umfassen:
- Mitarbeiterschulungen intensivieren: Regelmäßige und praxisnahe Awareness-Trainings sind entscheidend. Dabei sollten Mitarbeiter nicht nur herkömmliches Phishing erkennen lernen, sondern auch mit modernen Angriffsmethoden wie Evilginx oder Device Code Phishing vertraut gemacht werden. Die Live-Demonstration von Phishing-Angriffen mit detailliertem Feedback fördern das Verständnis und stärken das Sicherheitsbewusstsein.
- Moderne Authentifizierungsverfahren einführen: Technologien wie FIDO2 (Fast Identity Online) und Passkeys setzen auf kryptografische Schlüsselpaare, die auf spezifischen Geräten gespeichert sind. Dies verhindert effektiv Man-in-the-Middle-Angriffe und erhöht zugleich die Benutzerfreundlichkeit. FIDO2-Schlüssel speichern die Berechtigungsdaten lokal im Gerät und erfordern zusätzlich biometrische Bestätigungen wie Fingerabdruck oder Gesichtserkennung. Angreifer können auf diese Weise weder Zugangsdaten ausspähen noch Zugriff erschleichen.
- Technische Schutzmaßnahmen erweitern: Neben Anti-Phishing-Filtern für E-Mails und durchdachten Sicherheitsrichtlinien sollten Unternehmen auf zentrale Erkennungssysteme setzen. Durch ein Security Operations Center (SOC) kann die IT-Infrastruktur mithilfe eines Security Incident and Event Management Systems (SIEM) sowie SOAR-Technologien (Security Orchestration, Automation and Response) fortlaufend überwacht werden. Diese Systeme erkennen und blockieren verdächtige Aktivitäten frühzeitig.
Managed Security Services: Unterstützung für den Mittelstand
Mittelständische Unternehmen verfügen jedoch oft nicht über die Ressourcen für ein eigenes SOC oder umfangreiche Sicherheitsteams, die komplexe Security-Systeme betreuen. Hier können Managed Security Service Provider (MSSP) helfen. Sie bieten mit Managed Detection and Response (MDR) eine skalierbare Lösung, bei der erfahrene Analysten mithilfe fortschrittlicher Technologien Bedrohungen erkennen, untersuchen und Gegenmaßnahmen empfehlen. Unternehmen profitieren so von spezialisierten Tools und dem Fachwissen externer Experten, ohne selbst komplexe Systeme betreiben zu müssen.
Daneben sollte auch die Wirksamkeit der Sicherheitsmaßnahmen regelmäßig überprüft werden. Penetrationstests (Pentests) oder Automated Security Validation helfen, Schwachstellen in der bestehenden Infrastruktur zu identifizieren. Auch hier können MSSPs Unternehmen mit speziellen Pentest-as-a-Service Angeboten unterstützen, sowie um Sicherheitsmaßnahmen im Anschluss weiterzuentwickeln und an die aktuelle Bedrohungslage anzupassen.
Fazit: Keine Patentlösung, sondern ein Zusammenspiel
Die Bedrohung durch Phishing-Angriffe bleibt ein dynamisches Problem. Unternehmen müssen ihre Sicherheitsstrategien kontinuierlich anpassen und dabei auf eine Kombination aus Awareness, moderner Technologie und professionellem Monitoring setzen. Für kleinere und mittelständische Unternehmen bieten MSSPs eine praktikable Lösung, um ein Sicherheitsniveau zu erreichen, auf dem sie Angriffe frühzeitig erkennen und abwehren können.
Durch die Kombination von Schulungen, innovativen Authentifizierungsverfahren sowie Unterstützung durch moderne IT-Security-Lösungen und Dienstleistungen von MSSPs können Unternehmen ihre Verteidigungsmaßnahmen entscheidend verbessern – und die Netze der Phishing-Angreifer bleiben leer.
Be the first to comment