Cyberangriffe im Dezember: KI-Phishing und Ransomware eskalieren

Die ersten Dezembertage 2025 gleichen einem digitalen Minenfeld. Während Unternehmen ihre Jahresabschlüsse vorbereiten und Mitarbeiter sich auf die Feiertage freuen, schlagen Cyberkriminelle zu – systematischer und gefährlicher als je zuvor.

Sicherheitsforscher warnen eindringlich: Die Kombination aus Jahresendstress, reduzierten IT-Kapazitäten und ablenkenden Weihnachtsvorbereitungen schafft ideale Bedingungen für Angreifer. Was zwischen dem 1. und 4. Dezember beobachtet wurde, übertrifft selbst pessimistische Prognosen deutlich.

Die besorgniserregendste Entwicklung: Angreifer setzen zunehmend auf Künstliche Intelligenz, um ihre Angriffe zu perfektionieren.

WhatsApp-Angriffe mit KI-Unterstützung

Am 2. Dezember dokumentierten Sicherheitsexperten eine hochentwickelte Kampagne der Hackergruppe “Water Saci”. Die Angreifer nutzen WhatsApp, um Schadsoftware zu verbreiten – mit einer beunruhigenden technischen Neuerung: Sie verwenden Large Language Models, um schädliche PowerShell-Skripte in Python umzuschreiben. Das Ergebnis? Breitere Kompatibilität und erschwerte Erkennung durch Antivirenprogramme.

Die Malware tarnt sich als PDF-Dokumente oder ZIP-Archive und erreicht ihre Opfer über eine Plattform, der sie vertrauen. Traditionelle E-Mail-Sicherheitssysteme laufen dabei ins Leere.

Viele Android‑Nutzer übersehen diese 5 Sicherheitsmaßnahmen – gerade bei WhatsApp‑Anfragen und manipulierten QR‑Codes, die aktuell vermehrt für Infektionen genutzt werden. Das kostenlose Sicherheitspaket führt Sie Schritt für Schritt durch einfache, praxiserprobte Maßnahmen: richtige App‑Rechte, sichere QR‑Scan‑Gewohnheiten, regelmäßige Updates und geprüfte Backup‑Routinen. So verringern Sie das Risiko von Datendiebstahl und Schadsoftware deutlich – ohne teure Zusatzprogramme. Sofort per E‑Mail und in wenigen Minuten einsatzbereit. Gratis-Sicherheitspaket für Android anfordern

Panik als Waffe: Storm-0900 nutzt Weihnachtsstress

Gerade erst am 4. Dezember aufgedeckt: Die Hackergruppe Storm-0900 verschickt zehntausende Phishing-Mails, die gezielt Ängste rund um die Feiertage ausnutzen. Unbezahlte Parktickets, dringende Arztbefunde, angeblich offene Jahresend-Abrechnungen – die Themen sind bewusst gewählt.

Die Strategie dahinter ist perfide: In der hektischen Vorweihnachtszeit sollen Empfänger in Panik geraten und vorschnell auf schädliche Links klicken, ohne die Quelle zu überprüfen.

“Quishing”: QR-Codes werden zur Falle

Am 4. Dezember meldeten mehrere Sicherheitsdienste einen dramatischen Anstieg von “Quishing” – Phishing über QR-Codes. Die kleinen schwarz-weißen Quadrate, mittlerweile allgegenwärtig in Restaurants und bei Veranstaltungen, werden zunehmend manipuliert.

Das Problem: Die Codes werden meist mit privaten Smartphones gescannt, die selten die Sicherheitsstandards von Firmengeräten erreichen. Für Angreifer ein perfektes Einfallstor, das Unternehmensabwehr komplett umgeht.

Ransomware trifft Lieferketten und Pharmakonzerne

Während Phishing-Wellen Einzelpersonen ins Visier nehmen, richten Ransomware-Gruppen verheerende Schäden in Unternehmensstrukturen an.

Asus-Zulieferer kompromittiert

Am 3. Dezember bestätigte der taiwanesische Elektronikkonzern Asus, dass ein Zulieferer gehackt wurde. Die Ransomware-Gruppe “Everest” übernahm die Verantwortung und behauptet, über ein Terabyte Daten erbeutet zu haben – darunter Quellcode für Smartphone-Kameras.

Zwar betont Asus, die eigenen Systeme seien sicher geblieben, doch der Vorfall verdeutlicht eine Schwachstelle: Selbst wenn Konzerne wie Asus ihre IT-Sicherheit aufrüsten, bleiben kleinere Zulieferer oft verwundbar. Die Angreifer forderten Lösegeld bis Ende des 3. Dezember – andernfalls drohe die Veröffentlichung der Daten.

Pharmakonzern Inotiv: 9.500 Datensätze gestohlen

In einer Meldung an die US-Börsenaufsicht SEC vom 3. Dezember gab das Pharmaunternehmen Inotiv bekannt, Opfer einer Ransomware-Attacke geworden zu sein. Über 9.500 Personen müssen nun informiert werden, dass sensible Daten kompromittiert wurden – darunter Sozialversicherungsnummern und medizinische Unterlagen.

Die Veröffentlichung am 4. Dezember unterstreicht: Gesundheits- und Pharmasektor bleiben bevorzugte Ziele von Erpressern, die auf hochwertige, verkäufliche Informationen aus sind.

TangleCrypt: Neue Verschleierungstechnik entdeckt

Am 4. Dezember identifizierten Forscher ein bislang unbekanntes Verschleierungswerkzeug namens “TangleCrypt”. Es wurde bei einem Angriff der Qilin-Ransomware-Gruppe eingesetzt, um schädliche Dateien zu verstecken.

Die besondere Raffinesse: TangleCrypt nutzt fortschrittliche Verschlüsselung, um sogenannte “EDR-Killer” zu tarnen – Programme, die Sicherheitssoftware auf den Zielrechnern deaktivieren. Ransomware kann anschließend ungestört ihr Werk verrichten.

Behörden reagieren mit neuen Richtlinien

CISA warnt vor KI in kritischen Infrastrukturen

Am 3. Dezember veröffentlichte die US-Behörde CISA gemeinsam mit australischen Partnern ein wegweisendes Dokument: “Prinzipien für die sichere Integration von Künstlicher Intelligenz in Betriebstechnologie.” Die Warnung ist deutlich: Während Hersteller und Infrastrukturbetreiber auf KI-Lösungen setzen, entstehen neue Risiken. Die Behörden fordern:

• KI-Governance etablieren: Strenge Testverfahren, bevor KI-Modelle an echte Maschinen angeschlossen werden
• Sicherheit einbauen: KI-Fehler dürfen nicht zu physischen Schäden oder Systemausfällen führen
• Kontinuierliche Überwachung: KI-Integration ist kein einmaliges Projekt, sondern fortlaufendes Risikomanagement

BSI warnt vor Schwachstellen in Red Hat OpenShift

In Deutschland war das Bundesamt für Sicherheit in der Informationstechnik (BSI) aktiv. Am 2. und 3. Dezember wurden kritische Schwachstellen in Red Hat OpenShift gemeldet, einer verbreiteten Container-Plattform.

Die Lücken (CVE-2024-Serie) könnten Denial-of-Service-Angriffe ermöglichen und cloudbasierte Geschäftsprozesse lahmlegen. Deutsche Unternehmen, die containerisierte Umgebungen nutzen, sollten umgehend Sicherheitsupdates einspielen.

Was dahinter steckt

Die Ereignisse dieser Woche zeigen: Cyberkriminelle industrialisieren ihre Methoden. Die Tatsache, dass Gruppen wie Water Saci KI nutzen, um Code umzuschreiben, senkt die Einstiegshürden – während gleichzeitig die Angriffskomplexität steigt.

Der Asus-Vorfall bestätigt die “schwächstes-Glied”-Theorie: Selbst wenn ein Großkonzern bestens geschützt ist, kann eine Schwachstelle bei einem kleineren Zulieferer kritische Technologie gefährden. Für Compliance-Verantwortliche bedeutet das: Lieferantenaudits müssen über simple Fragebögen hinausgehen und aktive Sicherheitsüberprüfungen einschließen.

Die Storm-0900-Kampagne ist zeitlich kalkuliert. Indem Angreifer Nutzer mit angeblichen Bußgeldern und medizinischen “Notfällen” im geschäftigsten Monat des Jahres konfrontieren, nutzen sie gezielt die kognitive Überlastung von Mitarbeitern aus. Dieses “Human Hacking” bleibt der effektivste Weg zum Erstzugriff.

Ausblick: Was jetzt zu tun ist

Experten erwarten bis Januar 2026 eine weitere Zuspitzung:

• Ausnutzung von Update-Stopps: Während IT-Teams traditionell über die Feiertage keine größeren Änderungen vornehmen, hoffen Angreifer auf ungepatchte Systeme
• KI-generiertes Voice-Phishing: Nach dem Erfolg bei Text-Phishing dürfte die nächste Welle Stimmen-Klone einsetzen, um betrügerische Jahresend-Überweisungen zu autorisieren
• Strengere Regulierung: Die CISA-Leitlinien signalisieren, dass 2026 schärfere Vorschriften für KI in kritischen Infrastrukturen kommen werden

Unternehmen sollten jetzt handeln: Schulungen zu QR-Code-Risiken durchführen, alle dringenden Zahlungs- oder Datenanfragen über zweite Kanäle verifizieren und IT-Teams auch während der Feiertage in Bereitschaft halten. Denn während viele ans Fest denken, planen andere den nächsten Angriff.

PS: Sie nutzen WhatsApp oder scannen QR‑Codes mit dem privaten Handy? Dann sollten Sie die fünf einfachen Schutzmaßnahmen kennen, die Alltagsgeräte gegen Phishing und Quishing deutlich härten. Der kostenlose Guide zeigt, welche Einstellungen Sie sofort ändern, wie Sie Links und QR‑Codes prüfen und welche Backup‑Routinen wirklich helfen. Ideal für Mitarbeiter, die private Geräte für berufliche Zwecke nutzen. Holen Sie sich das Paket, bevor die nächste Welle zuschlägt. Jetzt Android‑Sicherheitspaket herunterladen