Phishing-Angriffe: 400 Prozent mehr Attacken auf Unternehmen

Eine beispiellose Welle hochprofessioneller E-Mail-Angriffe erschüttert diese Woche die globale Wirtschaft. Die Zahl der Phishing-Attacken auf Firmenmitarbeiter ist im Jahresvergleich um 400 Prozent explodiert – zeitgleich taucht ein Banking-Trojaner auf, der selbst Zwei-Faktor-Authentifizierung in Echtzeit aushebelt.

Was die Lage besonders brisant macht: Cyberkriminelle missbrauchen gezielt vertrauenswürdige Infrastruktur. Von Microsoft SharePoint über Cloudflare bis hin zu Sicherheitsdiensten wie Mimecast – die Angreifer verstecken ihre Fallen hinter den digitalen Fassaden etablierter Technologiekonzerne. Traditionelle Schutzfilter laufen damit ins Leere.

Die neuesten Zahlen stammen vom IT-Sicherheitsunternehmen SpyCloud, das am Dienstag seinen Identity Threat Report 2025 vorlegte. Die Daten offenbaren eine strategische Neuausrichtung der Cybermafia: Statt Privatpersonen geraten nun gezielt Unternehmensmitarbeiter ins Fadenkreuz.

Besonders alarmierend: Phishing ist mittlerweile für 35 Prozent aller Ransomware-Infektionen verantwortlich. Mitarbeiter werden dreimal häufiger Opfer gefälschter E-Mails als durch direkten Malware-Befall. Fast 40 Prozent der in kriminellen Datenbanken aufgetauchten Zugangsdaten stammen inzwischen von Firmen-E-Mail-Adressen.

CEO-Fraud, Mimecast-Umleitungen und Cloudflare-Subdomains – Firmen stehen aktuell unter Beschuss: Phishing-Angriffe auf Mitarbeiter stiegen laut Berichten dieser Woche um 400 Prozent. Ein neues Anti-Phishing-Paket erklärt praxisnah in vier Schritten, wie Sie CEO-Fraud, gefälschte SharePoint-Benachrichtigungen und Echtzeit-Session-Hijacking erkennen und blockieren. Ideal für IT-Verantwortliche und Führungskräfte: Checklisten, Präventionsmaßnahmen und Sofortmaßnahmen zur Mitarbeiter-Absicherung. Der Leitfaden enthält konkrete E-Mail-Checks und Checklisten für Mitarbeiterschulungen. In 4 Schritten zur Hacker-Abwehr: Anti-Phishing-Paket anfordern

Parallel dazu dokumentierte das Sicherheitsunternehmen Check Point eine Großoffensive: Über 40.000 gefälschte E-Mails, getarnt als SharePoint- und E-Signatur-Benachrichtigungen, erreichten in den vergangenen zwei Wochen rund 6.100 Unternehmen. Besonders betroffen: Finanzdienstleister, Immobilienfirmen und Versicherungen.

Der Mimecast-Trick

Was diese Kampagne so gefährlich macht, ist die perfide Ausnutzung legitimer Sicherheitstechnologie. Die Angreifer schleusten ihre schadhaften Links durch das Link-Rewriting-Feature von Mimecast – einem Dienst, der eigentlich URLs absichern soll.

Das Resultat: Die bösartigen Adressen trugen eine vertrauenswürdige Mimecast-Domain (url.za.m.mimecastprotect.com) und passierten automatische Sicherheitsfilter problemlos. Die E-Mails imitierten täuschend echt das Microsoft-Design und nutzten vertraute „Dokument prüfen”-Aufforderungen. Für Empfänger praktisch nicht von echten Benachrichtigungen zu unterscheiden.

„Spiderman”: Das Phishing-Kit der neuen Generation

Während Unternehmenspostfächer mit gefälschten Benachrichtigungen geflutet werden, steht die Finanzbranche vor einer noch größeren technischen Bedrohung. Am Dienstag enthüllte Varonis Threat Labs das „Spiderman”-Phishing-Kit – eine professionelle Angriffsplattform, die Dutzende europäische Banken und Krypto-Dienste ins Visier nimmt.

Anders als simple Phishing-Vorlagen markiert Spiderman einen Quantensprung im „Phishing-as-a-Service”-Geschäft. Die Forscher beschreiben eine „ausgefeilte, organisierte Benutzeroberfläche”, mit der selbst technische Laien komplexe Kampagnen starten können.

Die gefährlichste Funktion: Echtzeit-Diebstahl von Login-Daten und Einmalpasswörtern. Gibt ein Opfer seine Zugangsdaten auf einer Spiderman-Seite ein, kann der Angreifer die Session live im Kontrollpanel verfolgen. Fordert die Bank eine Zwei-Faktor-Authentifizierung an, löst der Kriminelle sofort eine entsprechende Abfrage auf der Phishing-Seite aus, fängt den Code ab und nutzt ihn für den Kontozugriff – noch bevor das Opfer den Betrug bemerkt.

Diese „Adversary-in-the-Middle”-Methode macht SMS-basierte Multi-Faktor-Authentifizierung praktisch wirkungslos.

Globale Notfallmaßnahmen

Die Auswirkungen der verschärften Angriffswellen zeigen sich weltweit. In Neuseeland ging das National Cyber Security Centre (NCSC) am Mittwoch einen beispiellosen Schritt: Die Behörde kontaktierte direkt 26.000 Einwohner, deren Geräte mit der „Lumma Stealer”-Malware infiziert waren.

„Das ist das erste Mal, dass wir eine solch großflächige direkte Kontaktaufnahme durchgeführt haben”, erklärte NCSC-Betriebsleiter Michael Jagusch. Die Infektionen, größtenteils durch Phishing-E-Mails und kompromittierte Software-Downloads verursacht, ermöglichen Angreifern den Zugriff auf sensible Daten – von Behördenzugängen bis zu Banking-Credentials. „Wir erleben eine echte Kommerzialisierung der Cybercrime-Industrie”, so Jagusch. Malware wie Lumma sei mittlerweile im Darknet als Handelsware für jedermann verfügbar.

Cloudflare als unfreiwilliger Komplize

Die Abwehrbemühungen werden zusätzlich durch Missbrauch legitimer Hosting-Dienste erschwert. Am Montag dokumentierte Malwarebytes einen wachsenden Trend: Phisher hosten Banking-Betrugsportale auf Cloudflare Pages (*.pages.dev).

Durch Nutzung der kostenlosen, renommierten Entwicklerplattform erhalten Betrüger gültige SSL-Zertifikate und Subdomains, die sowohl für Nutzer als auch für Sicherheitsscanner legitim erscheinen. Die Untersuchung fand gefälschte Login-Portale, die große Finanzinstitute und Gesundheitsdienstleister imitieren – konzipiert, um nicht nur Passwörter zu stehlen, sondern auch Sicherheitsfragen und Backup-Daten.

Das Vertrauensparadoxon

Was alle Entwicklungen dieser Woche verbindet – die SharePoint-Angriffe, das Spiderman-Kit, der Cloudflare-Missbrauch – ist die Weaponisierung von Vertrauen. Cyberkriminelle verlassen sich nicht mehr nur auf gefälschte Domains, die dem Original „nahe genug” kommen. Sie nutzen die tatsächliche Infrastruktur, auf die Unternehmen angewiesen sind.

„Wenn ein Angriff durch eine legitime SharePoint-Benachrichtigung kommt oder auf einer gültigen Cloudflare-Subdomain gehostet wird, fehlen die traditionellen Kompromittierungsindikatoren”, erklärt Branchenanalystin Sarah Jenkins. „Wir beobachten einen Wandel von ‚Täuschung durch Imitation’ zu ‚Täuschung durch Infiltration vertrauenswürdiger Dienste’.”

Die SpyCloud-Daten unterstreichen diese Entwicklung: Die „menschliche Firewall” knickt unter dem Druck KI-gestützter Köder und Hochvolumen-Kampagnen ein. Der 400-Prozent-Anstieg bei Corporate-Targeting zeigt, dass Angreifer die Mitarbeiter-Identität als Weg des geringsten Widerstands zu wertvollen Netzwerken betrachten.

Ausblick: KI-Stimmen und Zero Trust

Für Anfang 2026 prognostizieren Experten eine weitere Konsolidierung des „Phishing-as-a-Service”-Markts. Die nächste Generation könnte KI-gesteuerte Stimmklonierung (Vishing) direkt in Phishing-Kits integrieren.

Die unmittelbare Reaktion der Branche dürfte eine Verschärfung der Richtlinien für Drittanbieter-Integrationen sein. Unternehmen könnten gezwungen sein, externe File-Sharing-Benachrichtigungen einzuschränken oder strengere „Zero-Trust”-Policies für Links einzuführen – selbst wenn diese scheinbar von vertrauenswürdigen Anbietern wie Mimecast oder Microsoft stammen.

Die direkte Intervention des NCSC in Neuseeland könnte zudem eine neue Ära behördlicher Proaktivität einläuten. Mit steigenden Infektionsraten könnten andere nationale Cyber-Behörden ähnlich aggressive Benachrichtigungsstrategien übernehmen und Bürger direkt vor kompromittierten Geräten warnen.

Sicherheitsteams wird dringend geraten, ihre E-Mail-Filterregeln zu überprüfen – insbesondere bezüglich vertrauenswürdiger Weiterleitungen. Die zentrale Botschaft: Selbst ein „sicherer” Link einer bekannten Marke darf nicht mehr blind vertraut werden.

PS: Sie möchten, dass Ihr Team nicht die nächste Opferwelle wird? Das kostenlose Anti-Phishing-Paket liefert einen sofort umsetzbaren Leitfaden mit branchenspezifischen Abwehrstrategien, psychologischen Angriffsmustern und einem Notfallplan für kompromittierte Konten. Perfekt für KMU und Security-Teams, die schnell Schutzmaßnahmen implementieren wollen, ohne lange Analysephasen. Holen Sie sich den Report und schützen Sie Mitarbeiter, Logins und Kundendaten gezielt. Gratis Anti-Phishing-Guide jetzt herunterladen