[datensicherheit.de, 21.02.2026] „Okta-Sicherheitsforscher haben kürzlich in einem Blog-Beitrag berichtet, neuartige Phishing-Kits aufgespürt zu haben“, so Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, in seiner aktuellen Stellungnahme. Diese Kits ermöglichen es demnach auch unerfahrenen Angreifern, hochkomplexe, stark individualisierte Vishing-Angriffe zu initiieren – selbst Multi-Faktor-Authentifizierungen (MFA) sollen sich mit ihrer Hilfe leicht überwinden lassen. Das Ziel der Angreifer seien der unentdeckte Zugang zu und Zugriff auf die Google-, Microsoft- und „Krypto-Währungs“-Konten ihrer Opfer. Der Einschätzung der Sicherheitsforscher von Okta, dass solche und ähnliche Vishing-Angriffe in den kommenden Jahren noch stark zunehmen würden, könne nur zugestimmt werden. Krämer rät Unternehmen, ihre Anti-Phishing-Maßnahmen zu verstärken.

Foto: KnowBe4

Dr. Martin J. Krämer zu Phishing-Attacken: Sämtliche Mitarbeiter müssen kontinuierlich über Strategien und Taktiken der Angreifer auf dem Laufenden gehalten werden!

Phishing-Seite leitet Opfer automatisch an „Telegram“-Kanal des Cyberangreifers weiter

Der Ablauf der Angriffe erfolge bei allen Kits nach weitgehend demselben Muster, berichtet Krämer: „Zunächst ermitteln die Angreifer ihre Opfer und kundschaften sie aus. Namen, Telefonnummern und präferierte Apps und Dienste werden festgestellt. Dann erstellen sie – unter Zuhilfenahme der Kits – maßgeschneiderte Phishing-Webseiten, die sie äußerlich als Webseite der von ihren Opfern präferierten App erscheinen lassen.“

• Dann riefen kontaktierten sie ihre Opfer per Telefon – dabei vortäuschend, Mitarbeiter der Support-Hotline der jeweiligen App zu sein. „Unter dem Vorwand, für die App eine IT-Support- oder Sicherheitsanforderung umsetzen zu müssen, bringen sie ihre Opfer dazu, in deren Browser die getarnte Phishing-Website zu öffnen. Hier werden die Opfer dann gebeten, ihren Nutzernamen und ihr Passwort einzugeben.“

Was die Opfer nicht wüssten: Sobald sie ihre „Credentials“ (Berechtigungsnachweise) eingegeben haben, leite die Phishing-Seite sie automatisch an den „Telegram“-Kanal des jeweiligen Angreifers weiter. „Die Angreifer setzen das ‚Support‘-Gespräch dann fort, während sie im Hintergrund auf ihrem eigenen Rechner schon einmal auf die tatsächliche Website der App wechseln und die ,Credentials’ ihres Opfers eingeben.“

Phishing-Kit ermöglicht Angreifern MFA-Überwindung

Das Problem der Angreifer: Online-Anmeldungen seien mittlerweile in aller Regel zusätzlich über eine MFA abgesichert – könnten von diesen also nicht durch einfache Phishing-Angriffe überwunden werden. Zum Glück der Angreifer könnten diese Phishing-Kits aber noch mehr – nämlich die Phishing-Webseiten in Echtzeit an die konkreten individuellen Anforderungen der Angreifer anpassen.

• „Diese werden so in die Lage versetzt, ihren Opfern verbal anzukündigen, dass gleich ein ,One Time Password’ (OTP) oder eine Push-Benachrichtigung auf ihrem Rechner erscheinen wird – was dann auch, Phishing-Kit sei Dank, tatsächlich geschieht.“

Gibt das betreffende Opfer dann auch dort seine Daten ein, etwa durch Bestätigung der Push-Benachrichtigung, habe der Angreifer die MFA seines Opfers überwunden. „Der Weg, sich ungestört im Nutzerkonto seines Opfers zu bewegen, Informationen einzusehen oder bösartige Aktivitäten zu starten, ist frei!“, warnt Krämer.

Sämtliche Mitarbeiter – bis zur Unternehmensleitung – sollten kontinuierlich über Phishing-Strategien und -Taktiken informiert werden

Krämer führt zu dieser Masche aus: „Ermöglichen tun all dies clientseitige Skripte auf der Phishing-Webseite, mit denen die Angreifer den Authentifizierungsablauf im Browser ihres Opfers in Echtzeit steuern können – während sie ihrem Opfer verbal über das Telefon Anweisungen geben, Vertrauen aufbauen und auf mündliches Feedback reagieren.“ Synchron zu den Anweisungen der Angreifer am Telefon könne gezielt gesteuert werden, was das Opfer an seinem Bildschirm sieht.

• „Der Einschätzung der Sicherheitsforscher von Okta, dass solche und ähnliche Vishing-Angriffe in den kommenden Jahren noch stark zunehmen werden, kann nur zugestimmt werden. Unternehmen kann nur geraten werden, ihre Anti-Phishing-Maßnahmen zu verstärken!“, kommentiert Krämer.

Denn solch ein Vishing-Angriff könne doch leicht Mitarbeiter – bis hinauf in die Geschäftsführung – ins Visier nehmen. Am effektivsten und effizientesten werde ihnen dies durch die breite Anhebung des Sicherheitsbewusstseins der gesamten Belegschaft gelingen. Krämers Fazit: „Sämtliche Mitarbeiter müssen kontinuierlich über Strategien und Taktiken der Angreifer auf dem Laufenden gehalten werden. Sie können und müssen zur ersten Verteidigungslinie ausgebaut werden, wenn es darum geht, das Unternehmen vor den immer komplexer werdenden Phishing-Angriffen abzusichern!“

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

WIKIPEDIA
Vishing

okta, Blog, 22.01.2026
Threat Intelligence / Phishing kits adapt to the script of callers

datensicherheit.de, 13.09.2025
CEO DEEPFAKE CALL: Bei Anruf Awareness-Training zum Thema Vishing / Swiss Infosec bietet proaktiv Sensibilisierung und Training für Mitarbeiter im Kontext der Gefahren KI-basierter Anrufsimulationen (Voice AI Deepfakes) an

datensicherheit.de, 11.09.2025
KI-Vishing: Bekannte Stimmen werden zum Sicherheitsrisiko / Beim Vishing inszenieren Cyberkriminelle mit KI-generierten Stimmen täuschend echte Anrufe, um Mitarbeiter zu Zahlungen oder zur Herausgabe sensibler Informationen zu bewegen

datensicherheit.de, 26.03.2025
Vorsicht Vishing: Zahl der Voice-Phishing-Angriffe steigt stark an​ / Neuer Threat Intelligence Report von Ontinue enthüllt alarmierende Entwicklung​

Die größte Herausforderung für die Cybersicherheit der Olympischen Winterspiele 2026 sind nicht Schadprogramme oder fehlende Sicherheitspatches, sondern Angriffe auf digitale Identitäten.

Von unserem Gastautor Mohamed Ibbich, Senior Director Solutions Engineering bei BeyondTrust

[datensicherheit.de, 20.02.2026] Reibungslose Abläufe bei den Olympischen Winterspielen in Mailand und Cortina basieren auf einer zuverlässigen IT-Infrastruktur. Akkreditierungssysteme, Live-Übertragungen und die Zeitmessung an den Wettkampfstätten erfordern ein effizientes Zusammenspiel der eingesetzten Dienste und Technologien. Grundlage für den sicheren Datenaustausch zwischen Applikationen und Softwaresystemen ist, dass Personen, Maschinen und Services verifiziert werden — insbesondere bei automatisierten Kommunikationsprozessen.

Mohamed Ibbich, Senior Director Solutions Engineering bei BeyondTrust, Bild: BeyondTrust

Herausforderung Cybersicherheit – Komplexe IT-Infrastruktur

Eine besondere Herausforderung besteht darin, dass alle Sportstätten miteinander vernetzt sind und erstmals zwei Städte als offizielle Gastgeber fungieren. Insgesamt verteilen sich die Wettbewerbe auf sechs verschiedene Orte, die mit digitaler Infrastruktur verbunden und synchronisiert werden. Für die Veranstalter in Mailand und Cortina rückt das Thema Cybersicherheit mehr denn je in den Fokus. Allein die geografische Ausdehnung über den italienischen Teil der Ostalpen erweitert die Angriffsfläche durch unterschiedliche Netzwerke, Mobilfunknetze, Cloud- und Administrationsprozesse.

Servicekonten, APIs, IoT-Sensoren…

Ein besonderes Augenmerk muss auf digitaler Identitätssicherheit liegen. Die Zahl maschineller und menschlicher Zugangskonten wächst exponentiell. Jede maschinelle Identität und jedes Personenkonto erhöht die Gefahr, dass Unbefugte sie für Seitwärtsbewegungen im Netzwerk nutzen. Für die Olympischen Winterspiele werden Millionen menschlicher und nicht-menschlicher Identitäten für einen kurzen Zeitraum bereitgestellt, modifiziert und wieder außer Betrieb genommen.

IT-Administratoren benötigen beispielsweise privilegierte Nutzerrechte, um Infrastruktur, Betrieb, Echtzeitübertragung und mehr unterstützen zu können. Und natürlich sind die Athleten, Trainer, Offiziellen, Freiwilligen, Medienvertreter, Dienstleister, Sponsoren, Einsatzkräfte und Zeitarbeiter in irgendeiner Form auf digitale gesteuerte Zugangsmöglichkeiten angewiesen.

Mehr maschinelle als personenbezogene Indentitäten 

Der Bedarf an maschinellen Identitäten übertrifft sogar die Summe menschlicher Konten um ein Vielfaches. Maschinenkonten verteilen sich oft über mehrere Systeme, Standorte und nicht verwaltete Geräte hinweg. Servicekonten, APIs, IoT-Sensoren, OT-Systeme und KI-Agenten benötigen allesamt eigene Zugangsdaten und Privilegien.

Viele Passwörter, Secrets und Einwahldaten werden für den vergleichsweise kurzen Zeitraum nicht aktualisiert. Übermäßig dimensionierte Nutzerrechte bleiben dauerhaft und können womöglich nicht ausreichend nachverfolgt werden. Die größte Herausforderung für die Cybersicherheit der Olympischen Winterspiele 2026 sind daher nicht Schadprogramme oder fehlende Sicherheitspatches, sondern Angriffe auf digitale Identitäten.

Goldphantasien für Hacker

Bei sicherheitstechnisch lückenhaften IT-Vorkehrungen kommen Bedrohungsakteure in Rekordzeit über die Ziellinie. Gestohlene Zugangsdaten ermöglichen ihnen unbemerkten Zugriff und Passwortwechsel sowie Datendiebstahl. Ohne die technischen Möglichkeiten, unbefugte Zugriffe zu unterbinden und Zugangskonten selektiv zu widerrufen, könnte ein einfacher Datenschutzverstoß zu einem massiven Sicherheitsvorfall werden. Cybersicherheitsexperten warnen, dass privilegierte Identitäten digitale Raubzüge vereinfachen und nicht-menschlichen Identitäten eine dauerhafte und unbemerkte Präsenz verschaffen.

Kontrolle von Identitäten und Privilegien essentiell

Die Voraussetzung für sicherheitstechnisch erfolgreiche Winterspiele ist, dass sich digitale Identitäten und Privilegien in großem Maßstab bei allen Teilnehmern vor Ort sowie bei Drittanbietern kontrollieren lassen. Jede Zugriffsanfrage, ob menschlich oder maschinell, muss authentifiziert, autorisiert und kontinuierlich überprüft werden, um bösartige Aktivitäten zu verhindern. Das bedeutet, dass Best Practices für Multi-Faktor-Authentifizierung (MFA) und privilegierte Zugriffe implementiert, gemeinsame Zugangsdaten abgeschafft sowie Netzwerksegmentierung und Just-in-Time-Zugriff durchgesetzt werden. Bei nicht-menschlichen Identitäten muss anhand von „Secure by Design“-Identitätsprinzipien verfahren werden. Denn IT-Resilienz und IT-Prävention sind gleichermaßen wichtig.

Weitere Informationen zum Thema:

datensicherheit.de, 17.07.2025
EUDI-Wallet: Breites Bündnis fordert mehr Einsatz der Bundesregierung für Digitale Identitäten

[datensicherheit.de, 20.02.2026] Wer als Bahnkunde am 17. Februar 2026 etwa eine Zugfahrt per „DB Navigator“-App buchen wollte, hatte Probleme, denn das Buchungssystem der Deutschen Bahn (DB) war durch einen Cyberangriff – offenbar eine DDoS-Attacke – über mehrere Stunden lahmgelegt. Obwohl nach bisherigem Kenntnisstand keine personenbezogenen Daten gestohlen wurden, sollten dieser Vorfall aber dennoch nicht gleich wieder vergessen werden, betont Anouck Teiller, „Deputy CEO“ bei HarfangLab in ihrem Kommentar.

Foto: HarfangLab

Anouck Teiller zur DDoS-Attacke auf die DB: Gradmesser dafür, wie belastbar unsere digitale Infrastruktur wirklich ist!

Buchungs- und Informationssysteme der DB stundenlang nicht erreichbar

„Der Angriff auf die Deutsche Bahn zeigt einmal mehr, wie angreifbar selbst zentrale Akteure unserer Kritischen Infrastruktur im Digitalen Raum sind“, so Teiller.

• Selbst wenn – so jedenfalls der aktuelle Kenntnisstand keine personenbezogenen Daten abgeflossen sind – wäre es ein Fehler, diesen Vorfall schnell wieder zu vergessen.

Er sollte eher eine Mahnung sein: „Wenn die Buchungs- und Informationssysteme eines bundesweit relevanten Mobilitätsanbieters stundenlang nicht erreichbar sind, wird sehr deutlich, wie stark unser Alltag inzwischen von der Verfügbarkeit digitaler Systeme abhängt.“

Vielschichtige DDoS-Angriffe: Störung, Demonstration von Reichweite und Austesten der Resilienz

DDoS-Angriffe gälten oft als vergleichsweise banal – „weil sie keine Daten stehlen und keine Systeme verschlüsseln“. Aber genau dies greife zu kurz: „In dieser Größenordnung sind sie alles andere als harmlos!“ Sie könnten gezielt Aufmerksamkeit erzeugen, Unsicherheit schüren, Reaktionszeiten testen – und im weiteren geopolitischen Kontext durchaus als Signal verstanden werden.

• „In hybriden Bedrohungsszenarien geht es nicht zwingend um Sabotage im klassischen Sinne, sondern oft um Störung, um Demonstration von Reichweite, um das Austesten von Resilienz“, erläutert Teiller.

Das eigentlich Beunruhigende sei deshalb weniger der konkrete Ausfall als das strukturelle Bild dahinter. Kritische Infrastruktur (KRITIS) müsse heute nicht nur sicher, sondern jederzeit verfügbar sein. Bereits temporäre Unterbrechungen würden offenlegen, „wie sensibel vernetzt unsere Systeme sind – und wie schnell Vertrauen ins Wanken geraten kann“. Solche Vorfälle seien keine bloßen technischen Zwischenfälle: „Sie sind Gradmesser dafür, wie belastbar unsere digitale Infrastruktur wirklich ist!“, warnt Teiller abschließend.

Weitere Informationen zum Thema:

HarfangLab
About HarfangLab: HarfangLab is a cybersecurity company that has developed a suite of solutions to prevent, detect, and block cyberattacks

THE ORG
Anouck Teiller – Deputy CEO

GIGA, Martin Maciej, 18.02.2026
DB Navigator: Störung heute – was steckt hinter den Problemen?

Hamburger Abendblatt, Patricia von Thien & Christian Unger & Maria Kurth, 18.02.2026
Konzern bestätigt: Knapp 100 Gigabit pro Sekunde: Hacker attackieren Bahn – „Profis am Werk“ / Eine Reise planen, Fahrkarten kaufen – damit haben viele Bahnkunden auf der Website oder in der App Probleme. Schuld ist ein Hackerangriff.

Berliner Morgenpost, 18.02.2026
Kriminelle Machenschaften – DDoS-Attacke auf die Bahn: Was bei diesem Angriff passiert / Seit Dienstagnachmittag hatte die Bahn mit IT-Problemen zu kämpfen. Nun teilte das Unternehmen mit: Eine DDoS-Attacke legte die Systeme lahm.

datensicherheit.de, 09.05.2025
Welle von DDoS-Angriffen: Deutsche Stadtportale im Visier / Häufung von DDoS-Attacken, bei denen Server durch Flut automatisierter Anfragen gezielt überlastet werden

datensicherheit.de, 11.12.2024
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste / Beschuldigten wird vorgeworfen, zur Computersabotage mittels DDoS-Angriffen Infrastrukturen im Internet bereitgestellt und administriert zu haben

datensicherheit.de, 25.03.2024
Hacktivisten: Erfolgreiche DDoS-Attacken stärken Fan-Basis im CyberSpace / Zunahme des Hacktivismus im Namen von Ideologien und politischen Zielen

[datensicherheit.de, 20.02.2026] Laut einer aktuellen Warnung von ESET haben Cyberkriminelle eine technologische Schwelle überschritten: Erstmals nutze eine „Android“-Malware Generative Künstliche Intelligenz (GenKI) im laufenden Betrieb, um sich auf infizierten Smartphones einzunisten und sie unter ihre Kontrolle zu bringen. ESET-Forscher haben demnach eine neue „Android“-Schadsoftware entdeckt, welche „Google Gemini“ einsetze, um sich selbst vor dem Schließen zu schützen und dauerhaft auf dem Gerät aktiv zu bleiben.

Nach der Installation nahezu vollständige Übernahme des Smartphones

Diese Schadsoftware mit dem Namen „PromptSpy“ tarne sich als Banking-App „MorganArg“ (eine Fälschung der „Chase/JPMorgan“-App) und werde über gefälschte Webseiten verbreitet.

• Bisher habe sich diese Kampagne primär gegen Nutzer in Argentinien gerichtet – die Technik sei jedoch global nutzbar.

„Nach der Installation übernimmt sie das Gerät nahezu vollständig. Angreifer können den Bildschirm live mitverfolgen, Eingaben auslesen, den Sperrcode abfangen und Aktionen durchführen, als hielten sie das Smartphone selbst in der Hand.“

KI analysiert den Smartphone-Bildschirm wie ein Mensch

Neu sei vor allem die Art, wie sich die Schadsoftware im System festsetzt: Statt mit starren Befehlen zu arbeiten, übergebe sie den aktuellen Bildschirminhalt an Googles KI-Modell „Gemini“.

• Dieses analysiere die Oberfläche und liefere Schritt für Schritt Anweisungen, welche Schaltfläche gedrückt werden müsse, damit diese App nicht geschlossen werden kann. Die Schadsoftware lässt sich von der KI erklären, was sie als Nächstes tun muss“, erläutert Lukáš Štefanko von „ESET Research“.

Er führt weiter aus: „Damit funktioniert sie auf nahezu jedem Gerät, unabhängig von Hersteller oder ,Android’-Version. Das macht sie besonders anpassungsfähig.“ Nach der Entdeckung der KI-gestützten Ransomware „PromptLock“ im August 2025 sei dies bereits der zweite Fall, in dem Angreifer GenKI so tief in den Schadcode integrierten, um technische Hürden zu überwinden.

App installiert Fernsteuerungsmodul für Komplettzugriff auf das Smartphone

Ist die App einmal aktiv, installiere sie ein Fernsteuerungsmodul. Kriminelle könnten dann den Bildschirm sehen, Nachrichten lesen, Apps öffnen, Überweisungen auslösen oder Passwörter abgreifen.

• Selbst ein Entfernen werde erschwert, weil unsichtbare Elemente bestimmte Schaltflächen blockierten.

„Wir sehen hier eine neue Qualität von ,Android’-Schadsoftware“, so Štefanko. KI werde nicht nur als Schlagwort genutzt, sondern konkret eingesetzt, um Schutzmechanismen zu umgehen. Hinweise deuteten darauf hin, dass die Entwickler in einem chinesischsprachigen Umfeld arbeiteten. In den offiziellen App-Stores sei diese Anwendung nicht verfügbar.

ESET-Tipps zum Schutz für Smartphone-Nutzer

Es sei nach wie vor elementar wichtig, Apps ausschließlich aus offiziellen Quellen wie „Google Play“ zu installieren und keine Anwendungen von unbekannten Webseiten herunterzuladen.

• Besonders misstrauisch sollten Nutzer werden, wenn eine App zusätzliche Berechtigungen für Bedienungshilfen verlangt. Diese sogenannten „Accessibility“-Funktionen erlaubten weitreichenden Zugriff auf das Gerät und würden von Schadsoftware häufig missbraucht.

Auch regelmäßige System-Updates reduzierten das Risiko erheblich. Wer den Verdacht hat, dass sein Gerät kompromittiert wurde, sollte es im abgesicherten Modus neu starten. In diesem Zustand ließen sich schädliche – dann nicht aktive – Anwendungen meist entfernen. „Android“-Geräte mit aktiviertem „Google Play Protect“ seien gegen bekannte Versionen dieser Schadsoftware geschützt.

Weitere Informationen zum Thema:

eseT
Wir sind ein weltweites Unternehmen für digitale Sicherheit und schützen Millionen von Kunden sowie Hunderttausende von Unternehmen rund um den Globus. / Technologie ermöglicht Fortschritt. ESET macht ihn sicher.

welivesecurity by eseT
Lukas Stefanko – Malware Researche

welivesecurity by eseT, ESET Research, Lukas Stefanko, 19.02.2026
PromptSpy läutet mit GenAI die Ära der Android-Bedrohungen ein / ESET-Forscher entdecken PromptSpy, die erste bekannte Android-Malware, die generative KI in ihrem Ausführungsablauf nutzt.

datensicherheit.de, 14.05.2019
Schwachstelle in Whatsapp-Anrufen ermöglicht Übernahme von iPhones / G DATA Security Evangelist Tim Berghoff ordnet Sicherheitslücke ein / Nutzer sollten umgehend ein Update für die Chat-Software Whatsapp einspielen / Betroffen sind Menschenrechtsanwälte und Dissidenten.

datensicherheit.de, 28.05.2014
Feindliche Übernahme von Apple Geräten / Symantec informiert und gibt Tipps zur Prävention

[datensicherheit.de, 19.02.2026] Keeper Security hatte bereits über den Hacker-Angriff auf „Eurail“ bzw. „Interrail“ bereits Mitte Januar 2026 berichtet: Cyberkriminelle konnten demnach Zugriff auf Passdaten und Kontaktinformationen von Passagieren erlangen. Nun habe sich die Situation zusätzlich verschärft, denn es sei bestätigt worden, dass gestohlene Daten im „DarkWeb“ zum Verkauf angeboten würden und dass die Angreifer auch eine Probe der entwendeten Daten auf der Messaging-Plattform „Telegram“ veröffentlicht hätten. Darren Guccione, CEO und Mitbegründer von Keeper Security, betont in seinem aktuellen Kommentar: „Der Vorfall bei ,Eurail’ geht über eine routinemäßige Benachrichtigung über einen Datenverstoß hinaus. Da die gestohlenen Daten von Reisenden den Berichten zufolge auf ,DarkWeb’-Marktplätzen zum Verkauf angeboten werden, ist das Risiko nicht mehr nur theoretischer Natur, sondern konkret!“

Foto: Keeper Security

Darren Guccione: Sobald diese Art von personenbezogenen Daten zum Verkauf angeboten wird, werden sie zu einem skalierbaren kriminellen Gut!

Reisedaten wie jetzt von „Eurail“ besonders wertvoll für hochgradig kontextbezogenes „Social Engineering“

Ersten Berichten zufolge seien sensible Reisedaten, darunter Passdaten und Kontaktinformationen, offengelegt worden. „Sobald diese Art von personenbezogenen Daten zum Verkauf angeboten wird, werden sie zu einem skalierbaren kriminellen Gut“, stellt Guccione klar.

• Cyberkriminelle kauften solche Datensätze, um Phishing-Kampagnen zu automatisieren, „Credential Stuffing“-Angriffe durchzuführen und Identitätsbetrug zu begehen.

Reisedaten seien besonders wertvoll, da sie ein hochgradig kontextbezogenes „Social Engineering“ ermöglichten: Angreifer könnten überzeugende Betrugsmaschen entwickeln, „die sich auf echte Reisen beziehen – beispielsweise gefälschte Reiseplanaktualisierungen, Rückerstattungsbenachrichtigungen oder Grenzkontrollen von Dokumenten“. Die durch legitime Reisedaten geschaffene Glaubwürdigkeit erhöhe die Wahrscheinlichkeit, dass Opfer darauf hereinfallen, erheblich.

Für vom „Eurail“-„Interrail“-Datenleck potenziell Betroffene sofortiges Handeln geboten

„Für betroffene Personen ist sofortiges Handeln unerlässlich!“ Zunächst sollten die Passwörter aller mit „Eurail“ verbundenen Konten geändert und sichergestellt werden, „dass die Multi-Faktor-Authentifizierung (MFA) nach Möglichkeit aktiviert ist“.

• Wenn die Passwörter auch anderweitig verwendet wurden, müssten auch diese Konten umgehend aktualisiert werden, um „Credential Stuffing“-Angriffe zu verhindern.

Es sei wichtig, Kontoauszüge, Kreditkartenaktivitäten und Online-Konten genau auf ungewöhnliche Transaktionen oder Anmeldeversuche zu überwachen. „Da gestohlene Daten monatelang oder sogar jahrelang im Umlauf sein können, ist eine ständige Wachsamkeit erforderlich!“ „DarkWeb“-Überwachungstools könnten frühzeitig warnen, „wenn Anmeldedaten von Personen auf kriminellen Marktplätzen auftauchen, so dass sie handeln können, bevor Angreifer versuchen, sie zu missbrauchen“.

Nach Vorfall bei „Eurail“/„Interrail“ sollte Legitimität jeder reisebezogenen Kommunikation geprüft werden

Eine besondere Vorsicht gelte bei unaufgeforderten E-Mails, SMS-Nachrichten oder Anrufen im Zusammenhang mit Reiseplänen: Angreifer nutzten oft das Mittel der Dringlichkeit – wie die Sperrung eines Kontos oder kurzfristige Änderungen des Reiseplans –, um Opfer so unter Druck zu setzen, dass diese ohne Überprüfung handelten.

• Man sollte sich die Zeit nehmen, die Legitimität jeder reisebezogenen Kommunikation zu überprüfen, um eine weitere Kompromittierungen zu verhindern. „Für Unternehmen unterstreicht dieser Vorfall die grundlegende Tatsache, dass die Kontrolle über sensible Identitätsdaten verloren geht, sobald diese offengelegt werden.“

Die einzige dauerhafte Abwehr bestehe darin, eine Offenlegung von vornherein durch strenge Zugriffskontrollen, kontinuierliche Überwachung und ein Zero-Trust-Sicherheitsmodell zu verhindern, welches jeden Benutzer und jedes Gerät überprüft. „Der Schutz des Kundenvertrauens hängt nicht nur davon ab, Verstöße schnell zu erkennen, sondern auch davon, dass kritische Identitätsdaten von vornherein nicht gefährdet sind“, gibt Guccione abschließend zu bedenken.

Weitere Informationen zum Thema:

KEEPER
Wir sind Keeper Security

KEEPER
Keeper Security Author Darren Guccione / Aktuelle Artikel von Darren

eurail, 13.02.2026
Data security incident (updated release) / Eurail B.V. shares information about a recent data security incident

eurail
About us / Helping travelers to discover Europe since 1959

interrail
Über uns: Seit 1959 helfen wir Reisenden, Europa zu entdecken

BLEEPINGCOMPUTER, Bill Toulas, 16.02.2026
Eurail says stolen traveler data now up for sale on dark web

SPIEGEL Netzwelt, 15.01.2026
Schwerer Vorfall bei Eurail Daten von Interrail-Kunden gestohlen / Passnummern, Geburtsdaten, Kontaktadressen: Unbekannte Angreifer haben sich Zugriff auf Kundendaten des Anbieters Eurail verschafft. Das Unternehmen warnt vor möglichen Betrugsversuchen.

WIKIPEDIA
Eurail

datensicherheit.de, 18.01.2026
Eurail und Interrail: Hacker erlangten Zugriff auf Daten von Bahnreisenden / Sensiblen Reisedaten droht Missbrauch, wenn sie in die Verfügung Cyberkrimineller gelangen

datensicherheit.de, 25.10.2021
Warnung der PSW GROUP: Soziale Netzwerke als Brutstätten für Attacken mittels Credential Stuffing / Für sämtliche Web-Dienste dieselben Login-Daten zu verwenden ermöglicht Credential Stuffing

[datensicherheit.de, 18.02.2026] Die Dragos Inc. hat am 18. Februar 2026 den „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ veröffentlicht. Dieser – nunmehr bereits zum neunten Mal erscheinende – Bericht soll eine umfassendste Analyse aktueller Cyberbedrohungen für industrielle und Kritische Infrastrukturen (KRITIS) bieten. Identifiziert wurden laut Dragos drei neue Angreifergruppen, welche weltweit KRITIS ins Visier nehmen – zudem gehen Angreifer demnach zunehmend von reiner Aufklärung zu gezielten operativen Störungen über. „Insgesamt belegen die Ergebnisse eine zunehmende Professionalisierung der Angreifer: Die Gruppen agieren als arbeitsteilig und entwickeln sich von gezielten Angriffen auf einzelne Geräte hin zu einer systematischen Erfassung ganzer industrieller Steuerungssysteme.“ Der „Dragos 2026 OT/ICS Cybersecurity Report and Year in Review“ soll einen aktuellen Überblick und eine Analyse der globalen Bedrohungslage mit Schwerpunkt auf OT, relevanten Schwachstellen sowie wichtigen Entwicklungen und Trends in der Branche bieten.

Abbildung: Dragos

Nach aktuellen DRAGOS-Erkenntnissen agieren arbeitsteilige Gruppen und fokussieren zunehmend auf eine systematische Erfassung ganzer industrieller Steuerungssysteme…

Weltweit 3.300 Organisationen von Angriffen auf ihre OT betroffen

Im Jahr 2025 habe „KAMACITE“ systematisch Regelkreise innerhalb US-amerikanischer Infrastrukturen erfasst, während gleichzeitig „ELECTRUM“ dezentrale Energiesysteme in Polen ins Visier genommen und gezielt versucht habe, operative Anlagen zu stören.

• „Dragos identifizierte außerdem drei neue Angreifergruppen, darunter ,SYLVANITE’, die bestehende Zugänge an ,VOLTZITE’ weitergibt, um tiefere OT-Angriffe zu ermöglichen. ,PYROXENE’ richtet sich gegen Ziele in den USA, Westeuropa und dem Nahen Osten und setzte im Juni im Kontext eines regionalen Konfliktes zerstörerische ,Wiper’-Malware gegen Kritische Infrastrukturen ein. ,AZURITE’ weist technische Überschneidungen mit ,Flax Typhoon’ auf und führte anhaltende Operationen in den USA, Europa und im asiatisch-pazifischen Raum durch.“

Die Zahl der Industrieunternehmen angreifenden Ransomware-Gruppen, sei im Vergleich zum Vorjahr um 49 Prozent gestiegen und habe weltweit 3.300 Organisationen getroffen, deren Betrieb teils erheblich gestört worden sei.

OT-Bedrohungslage erreichte 2025 neue Qualität

„Die Bedrohungslage hat 2025 eine neue Qualität erreicht“, kommentiert Robert M. Lee, CEO und Co-Founder von Dragos. Er führt weiter aus: „Angreifer analysieren genau, wie industrielle Steuerungssysteme funktionieren, verstehen, woher Befehle stammen, wie sie sich verbreiten und an welchen Stellen physische Auswirkungen ausgelöst werden können.“

• Dabei entstünden zunehmend arbeitsteilige Strukturen: Spezialisierte Gruppen schafften systematisch Zugriffswege, welche noch spezialisiertere Akteure für weitergehende Angriffe auf OT-Umgebungen nutzen könnten.

Gleichzeitig verursachten Ransomware-Gruppen zunehmend Betriebsstörungen und mehrtägige Ausfälle, welche eine OT-spezifische Wiederherstellung erforderten. „Dennoch unterschätzen viele Industrieunternehmen weiterhin, wie stark Ransomware in OT-Umgebungen wirkt, da sie die Bedrohung fälschlicherweise als ein reines IT-Problem einordnen“, warnt Lee.

OT-Ransomware-Vorfälle konnten im Durchschnitt innerhalb von fünf Tagen erkannt und eindämmt werden

„Auch auf Verteidigungsseite gab es 2025 spürbare Fortschritte“, berichtet Lee. Unternehmen mit umfassender Transparenz in ihren OT-Umgebungen hätten OT-Ransomware-Vorfälle im Durchschnitt innerhalb von fünf Tagen erkennen und eindämmen können, während der branchenweite Durchschnitt bei 42 Tagen gelegen habe.

• Dies zeige, wie eng die Reife der Erkennungsmechanismen mit dem Erfolg der Reaktion zusammenhänge.

Lee betont indes: „Dennoch bestehen weiterhin erhebliche Lücken! Umfassende Transparenz in OT-Umgebungen ist entscheidend. Ohne kontinuierliche Überwachung werden die Einführung von Technologien wie KI, Batteriespeichersystemen oder dezentralen Energiequellen zu exponentiell größeren Blinden Flecken führen.“

3 neue OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“

Dragos hat folgende drei neuen OT-Angreifergruppen identifiziert: „SYLVANITE“, „AZURITE“ und „PYROXENE“ – damit verfolgten Dragos-Analysten weltweit insgesamt 26 Gruppen, von denen elf im Jahr 2025 aktiv gewesen seien.

1. „SYLVANITE“ fungiert als „Initial Access Broker“
   Dieser nutze Schwachstellen rasch aus und gebe erlangte Zugänge an „VOLTZITE“ weiter, um weitergehende OT-Angriffe zu ermöglichen. Dragos habe „SYLVANITE“ im Rahmen von Incident-Response-Einsätzen bei US-amerikanischen Energie- und Wasserversorgern beobachtet. Diese Gruppe habe Schwachstellen in „Ivanti“ ausgenutzt und Active-Directory-Anmeldedaten extrahiert. Technische Überschneidungen bestünden mit „UNC5221“, „UNC5174“ und „UNC5291“.
2. „AZURITE“ zielt auf langfristigen Zugriff und den Diebstahl von OT-Daten ab
   Diese Gruppe greife OT-Engineering-Workstations an und exfiltriere Betriebsdaten wie Netzwerkdiagramme, Alarmdaten und Prozessinformationen, um ihre eigenen Fähigkeiten weiterzuentwickeln. Betroffen seien Unternehmen aus den Bereichen Fertigung, Verteidigung, Automobilindustrie, Energie, Öl und Gas sowie staatliche Einrichtungen in den USA, Australien, Europa und im asiatisch-pazifischen Raum. Technische Überschneidungen bestünden mit „Flax Typhoon“.
3. „PYROXENE“ kompromittiere Lieferketten und führe Social-Engineering-Kampagnen durch
   Diese Gruppe nutze häufig einen durch „PARISITE“ erlangten Erstzugang, um von IT- in OT-Netzwerke vorzudringen. Zu ihren Zielen gehörten Unternehmen aus Luft- und Raumfahrt, Verteidigung und Schifffahrt in den USA, Westeuropa, Israel und den Vereinigten Arabischen Emiraten. „PYROXENE“ weise erhebliche technische Überschneidungen mit Aktivitäten auf, welche nach Ansicht der US-Regierung dem „Cyber Electronic Command“ der „Islamischen Revolutionsgarde“ zuzuschreiben seien.

Entwicklung cyberkrimineller Gruppen von OT-Aufklärern zu gezielten operativen OT-Angreifern

„ELECTRUM“ habe 2025 mehrere destruktive Operationen durchgeführt, darunter einen koordinierten Angriff auf acht ukrainische Internetdienstanbieter im Mai sowie den Einsatz neuer Varianten von „Wiper“-Malware.

• Im Dezember 2025 habe „ELECTRUM“ in Polen Kraft-Wärme-Kopplungsanlagen und Steuerungssysteme für erneuerbare Energien angegriffen, um den Betrieb der Anlagen gezielt zu stören. Damit habe diese Gruppe ihre Aktivitäten von der Übertragungsinfrastruktur auf das dezentrale Stromnetz ausgedehnt. Technische Überschneidungen bestünden mit „Sandworm“. Unterstützt werde „ELECTRUM“ von „KAMACITE“. Diese Gruppe habe ihren Schwerpunkt von der Ukraine auf eine europäische Lieferkettenkampagne verlagert und zwischen März und Juli 2025 eine weitreichende Erkundung von US-Industrieanlagen durchgeführt. Dabei habe „KAMACITE“ systematisch vollständige Regelkreise, darunter HMIs (Human Machine Interfaces), Frequenzumrichter, Messmodule und Mobilfunk-Gateways analysiert.

„VOLTZITE“ habe Stufe 2 der ICS-Cyber-Kill-Chain erreicht: „Dragos beobachtete, wie die Gruppe Software auf Engineering-Workstations manipulierte, um Konfigurations- und Alarmdaten zu extrahieren.“ Dabei habe sie gezielt untersucht, unter welchen Bedingungen Prozessabschaltungen ausgelöst würden. „VOLTZITE“ habe zudem „Sierra Wireless AirLink“-Mobilfunkgateways kompromittiert, um Zugang zu Midstream-Pipeline-Betrieben in den USA zu erhalten, und sich anschließend weiter zu Engineering-Workstations bewegt. Technische Überschneidungen bestünden mit „Volt Typhoon“.

„Hacktivisten“: Wandlung von eher symbolischen Aktionen hin zu operativ wirksamen OT-Angriffskampagnen

„BAUXITE“ habe während des Iran-Israel-Konflikts im Juni 2025 zwei speziell entwickelte „Wiper“-Malware-Varianten gegen israelische Ziele eingesetzt und damit frühere Zugriffs- und Störungsaktivitäten zu eindeutig destruktiven Operationen eskaliert.

• „Hacktivistische Gruppen verknüpfen zunehmend ideologische Botschaften mit staatlich unterstützten Aktivitäten und greifen öffentlich zugängliche HMIs, fehlkonfigurierte Engineering-Workstations sowie offen zugängliche Feldprotokolle wie ,Modbus’/TCP und DNP3 an.“

„BAUXITE“ weise technische Überschneidungen mit Aktivitäten auf, welche die US-Regierung „CyberAv3ngers“ und dem „IRGC-CEC“ zuschreibe.

Ransomware bleibt größte OT-Bedrohung der Industrieunternehmen

Dragos habe im Jahr 2025 insgesamt 119 Ransomware-Gruppen – mit Fokus auf Industrieunternehmen – verfolgt, gegenüber 80 im Jahr 2024.

• Weltweit seien 3.300 Organisationen betroffen gewesen – mehr als zwei Drittel davon aus der Fertigungsindustrie. Branchenweit habe die durchschnittliche Verweildauer von Ransomware in OT-Umgebungen bei 42 Tagen gelegen.

Dragos stellte zudem fest, „dass OT-Vorfälle oftmals noch immer fälschlicherweise als reine IT-Vorfälle eingestuft werden, da OT-Systeme wie Engineering-Workstations und HMIs aufgrund ihres ,Windows‘-Betriebssystems der IT zugerechnet werden“.

Häufige Unzuverlässigkeit der Bewertung von OT-Schwachstellen für ICS-Priorisierung

Dragos stellte fest, „dass 25 Prozent der von ICS-CERT und im NVD erfassten Schwachstellen im Jahr 2025 fehlerhafte CVSS-Werte aufwiesen“. Darüber hinaus hätten 26 Prozent der Sicherheitshinweise weder Patches noch konkrete Abhilfemaßnahmen der Hersteller enthalten.

• „Lediglich zwei Prozent der für ICS relevanten Schwachstellen fielen in Dragos‘ risikobasiertem ,Now, Next, Never’-Modell in die Kategorie ,Now’ und erforderten sofortige Maßnahmen.“

Die Untersuchungen von Dragos zu Batterie-Energiespeichersystemen hätten Schwachstellen zur Umgehung der Authentifizierung und zur Befehlsinjektion identifiziert. Mehr als 100 Geräte seien frei über das Internet erreichbar gewesen – darunter zur Einspeisung von Strom in Versorgungsnetze eingesetzte Wechselrichter mit einer Leistung von rund einem Megawatt.

Weitere Informationen zum Thema:

DRAGOS
About Dragos: The Leader in OT Cybersecurity / Our Mission: To safeguard civilization from those trying to disrupt the industrial infrastructure we depend on every day

DRAGOS
2026 OT Cybersecurity Year in Review: Explore the data from Dragos’s 2026 OT Cybersecurity Report, our 9th Annual Year in Review – the go-to report for industrial control systems (ICS) and operational technology (OT) vulnerabilities, threats targeting industrial environments, and lessons learned from customer engagements worldwide

DRAGOS
Robert M. Lee – CEO & Co-Founder

DRAGOS
Threat Group BAUXITE – Ability to comprimise PLCs, modify ladder logic, and deploy custom backdoors on OT Devices

DRAGOS
Threat Group ELECTRUM – Electric grid disruption and long-term persistence using LOTL tactics and custom ICS Malware

DRAGOS
Threat Group KAMACITE – Spearphishing, exploiting SOHO routers, and leveraging custom capabilities to enable ELECTRUM operations

datensicherheit.de, 05.02.2026
Moderne OT-Resilienz: Digitale Zwillinge als wichtige Bausteine / Neben kontinuierlichem „Exposure Management“ braucht operative Resilienz in OT-Umgebungen konkrete technische und organisatorische Hebel: Zugangskontrollen, belastbare Testumgebungen und kompensierende Maßnahmen für „Legacy“-Systeme

datensicherheit.de, 20.01.2026
OT-Sicherheit: Mittels KI Verunsicherung überwinden und Vertrauen begründen / Je weiter sich KI-Anwendungen entwickeln, desto stärker entscheidet der verantwortungsvolle Umgang mit Transparenz und Vertrauen über nachhaltige Akzeptanz

[datensicherheit.de, 18.02.2026] Cybervorfälle gehören im Handwerk inzwischen zum betrieblichen Alltag. 60 Prozent der befragten deutschen Betriebe haben in den vergangenen zwölf Monaten mindestens einen Sicherheitsvorfall erlebt. 23,5 Prozent berichten sogar von mehreren Ereignissen. 37,5 Prozent geben an, im gleichen Zeitraum verschont geblieben zu sein.

Betroffenheit durch Cyberangriffe im Handwerk, Bild: Sophos

Cybersicherheit rückt stärker in den Fokus der Geschäftsführung

Mit den Erfahrungen wächst die Aufmerksamkeit in den Geschäftsführungen. Über 80 Prozent der Befragten setzen sich heute intensiver mit Cybersicherheit auseinander als noch vor einigen Jahren. 29,5 Prozent sprechen von deutlich gestiegenen Sorgen, weitere 51,5 Prozent befassen sich häufiger mit dem Thema. Cybersicherheit wird damit zunehmend als unternehmerisches Risiko verstanden und nicht mehr allein als Aufgabe der IT.

Dieses Bild deckt sich auch mit Ergebnissen aus der DACH-weiten Management Studie von Sophos. Über die Befragungsjahre 2022, 2024 und 2025 hinweg ist das Bewusstsein für Cybersicherheitsrisiken in den Führungsetagen kontinuierlich gewachsen. Das Thema ist heute deutlich stärker auf oberster Ebene der Geschäftsleitung verankert als noch vor wenigen Jahren.

Fast die Hälfte sieht Phishing als größte Bedrohung

Auffällig ist, wie konkret die Unternehmen ihre Risiken benennen. 48 Prozent nennen Phishing als zentrale Bedrohung. 34,5 Prozent sorgen sich vor IT-Ausfällen, 34 Prozent vor Datenverlusten. Ebenso viele fürchten den Missbrauch oder Diebstahl von Kundendaten. Auch menschliche Faktoren werden differenziert betrachtet. 34,5 Prozent sehen unachtsames Verhalten von Mitarbeitenden als Risiko, 31,5 Prozent berichten von gezielten Betrugsversuchen per Telefon oder im persönlichen Kontakt. Nur 2,5 Prozent gehen aktuell von keiner Gefahr aus.

Digital vernetzt – aber nicht überall gleich gut abgesichert

Die Zahlen zeigen zugleich, wie stark das Handwerk digital vernetzt arbeitet. 58 Prozent der Betriebe sichern vernetzte Maschinen, Werkzeuge und Systeme durch klare Vorgaben, regelmäßige Aktualisierungen und Zugriffskontrollen ab. 29 Prozent schützen einzelne Geräte, allerdings nicht flächendeckend. 10,5 Prozent verlassen sich auf Zusagen der Hersteller.

Erfahrung und Vorbereitung: Cybersicherheit als Teil der betrieblichen Realität

Cybersicherheit ist damit fester Bestandteil der betrieblichen Realität. Viele Betriebe haben bereits Maßnahmen ergriffen, andere sind noch dabei, ihre Strukturen systematisch auszubauen. Mit der fortschreitenden Digitalisierung wächst der Druck, Schutzkonzepte weiterzuentwickeln und die eigene Widerstandsfähigkeit zu stärken.

„Das Handwerk arbeitet heute hochgradig digital, das reicht von vernetzten Werkstätten bis zu mobilen Endgeräten auf Baustellen“, sagt Michael Veit, Sicherheitsexperte bei Sophos. „Cyberangriffe stellen deshalb ein reales Geschäftsrisiko dar. Entscheidend ist, Sicherheitsstrukturen so aufzubauen, dass Betriebe auch im Ernstfall handlungsfähig bleiben.“

Welche Maßnahmen Betriebe für mehr Cybersicherheit ergreifen sollten

Sophos empfiehlt Unternehmen im Handwerk, Cybersicherheit klar als Teil der unternehmerischen Verantwortung zu definieren und strategisch zu verankern. Schulungen und Sensibilisierung helfen dabei, typische Angriffsmuster frühzeitig zu erkennen. Vernetzte Maschinen, mobile Geräte und Steuerungssysteme sollten denselben Schutz erhalten wie klassische IT-Systeme. Dazu gehören regelmäßige Aktualisierungen, klare Zuständigkeiten und Zugriffskontrollen. Ebenso wichtig sind funktionierende Backup-Konzepte und klar geregelte Abläufe für den Ernstfall, damit Ausfallzeiten so gering wie möglich bleiben.

Über die Umfrage

Grundlage der Auswertung ist eine quantitative Befragung von 200 Unternehmen in Deutschland, die im Dezember 2025 und Januar 2026 von Techconsult im Auftrag von Sophos durchgeführt wurde.

Befragt wurden Betriebe folgender Bereiche: Bau- und Ausbaugewerbe, Elektro- und Metallhandwerk, Holz- und Kunststoffverarbeitung, Lebensmittelhandwerk, Bekleidungs-, Textil- und Lederhandwerk, Gesundheits-, Körperpflege- und Reinigungsgewerbe, Kunsthandwerk sowie Industrie mit handwerklichem Bezug, technische Dienstleistungen und weitere handwerksnahe Betriebe.

Weitere Informationen zum Thema:

datensicherheit.de, 25.10.2025
Handwerksunternehmen in Deutschland: Über die Hälfte nutzt Social Media

Von unserem Gastautor Tiho Saric, Senior Sales Director bei Gigamon

[datensicherheit.de, 17.02.2026] Sind wir gegen Cyberangriffen bestmöglich aufgestellt? Eine Frage, die sich viele deutsche Sicherheits- und IT-Experten heute stellen – und mit Überzeugung mit „Ja!“ beantworten würden. Doch die Ergebnisse einer aktuellen Studie zeigen: Zwischen der wahrgenommenen und der tatsächlichen Sicherheitslage klafft eine gefährliche Lücke. Und diese lässt sich nur mithilfe von Sichtbarkeit schließen.

Tiho Saric, Senior Sales Director bei Gigamon, Bild: Gigamon

Wie kommt es, dass sich die meisten Sicherheits- und IT-Teams sicher sind, vor sämtlichen Cybergefahren gewappnet zu sein, während gleichzeitig knapp zwei Drittel der Unternehmen (63 Prozent) mindestens einmal Opfer eines erfolgreichen Angriffs wurden? Und warum ließ sich in 31 Prozent der Angriffsfälle die jeweilige Ursache nicht eindeutig identifizieren? Das deuten die Ergebnisse einer aktuellen Hybrid-Cloud-Security-Studie von Gigamon an. Demnach liegt die Antwort auf diese Fragen vermutlich weniger in der bewussten Selbstüberschätzung, sondern vielmehr in einem Mangel an Sichtbarkeit – also an der Fähigkeit, die eigene IT-Landschaft vollständig zu überblicken und bis ins kleinste Detail nachzuvollziehen, was tatsächlich im eigenen Netzwerk vor sich geht.

Cybersicherheit – Die Illusion der Kontrolle

Das Selbstvertrauen deutscher IT-Abteilungen reicht tief. So sind 85 Prozent der Sicherheits- und IT-Experten überzeugt, Malware auch in verschlüsseltem Datenverkehr erkennen zu können. 79 Prozent glauben, dass sie Datendiebstahl bemerken würden, selbst wenn er hinter einer Verschlüsselung stattfindet. Die Mehrheit der Experten (83 Prozent) hält ihre Tools für leistungsfähig genug, um mit der wachsenden Datenmenge und der sich weiterentwickelnden Bedrohungslage Schritt zu halten.

Doch diese Zuversicht steht auf wackeligen Beinen. Auch wenn Sicherheits- und IT-Experten von ihrem Team und ihrer technischen Ausstattung überzeugt sind, geben 56 Prozent zu, dass ihre Tools unter besseren Sichtbarkeitsbedingungen deutlich effektiver arbeiten könnten. Einer der Gründe für diese Einsicht liegt unter anderem in der Kompromissbereitschaft der Verantwortlichen. 95 Prozent sagen, dass sie sicherheitstechnisch Abstriche machen müssen, damit ihr Team überhaupt auf Sicherheitsvorfälle reagieren kann. So verzichtet ein Teil zum Beispiel auf vollständige Einsicht in die Infrastruktur oder auf hohe Datenqualität. Pragmatische Entscheidungen wie diese mögen kurzfristig helfen, schwächen aber langfristig die Verteidigungsfähigkeit.

Großes Selbstvertrauen trotz Blind Spots

Die größte Diskrepanz zwischen Anspruch, Einschätzung und Status quo zeigt sich vor allem beim Thema verschlüsselter Datenverkehr. 84 Prozent der Befragten geben an, Transparenz innerhalb dieses Traffics habe für sie höchste Priorität. Allerdings verzichten 37 Prozent aus Kostengründen auf dessen Entschlüsselung. Weitere 51 Prozent halten den Prozess für unpraktikabel, weil das Datenvolumen zu hoch sei. 73 Prozent vertrauen der Verschlüsselung bedingungslos.

Ein gefährlicher Widerspruch, denn genau in diesem vermeintlich sicheren Traffic verstecken Cyberangreifer immer häufiger gefährliche Malware. Laut einer Untersuchung von WatchGuard wird 94 Prozent solcher Schadsoftware über verschlüsselte Verbindungen eingeschleust. Darüber hinaus verschärfen neue Technologien wie KI den Wettlauf zwischen Angreifern und Unternehmen – zum Beispiel durch automatisierte Phishing-Kampagnen, geschickt getarnte Ransomware oder immer überzeugendere Deepfakes.

Eine weitere Herausforderung stellt die wachsende Komplexität moderner IT-Umgebungen dar. Mit jeder neuen Anwendung, jeder Cloud-Integration und jedem neuen Anwender – vor allem außerhalb des eigentlichen Netzwerks – wachsen Datenmenge und Angriffsfläche. Rund 30 Prozent der deutschen Sicherheits- und IT-Experten berichten, dass sich das Netzwerkvolumen nahezu verdoppelt hat. Trotzdem setzen viele Unternehmen auf eine Vielzahl spezialisierter Sicherheitslösungen. Anstatt Bedrohungen effektiv zu bekämpfen, erschweren sie sich dadurch allerdings nur ungewollt die Arbeit. Je mehr Tools im Einsatz sind, desto größer ist das Risiko, dass sicherheitsrelevante Informationen verloren gehen oder übersehen werden.

Zudem führt dieses Overtooling-Problem zu einem massiven Datenrauschen, in dem es Teams schwerfällt, echte Bedrohungen von harmlosen Ereignissen zu unterscheiden. Kurzum: Bei so viel Tech-Wildwuchs verwundert es kaum, dass immer mehr Sicherheits- und IT-Teams den Überblick verlieren. Folglich halten Teams und deren Sicherheitsarchitekturen häufig an statischen, reaktiven Ansätzen fest, statt zu einer proaktiven Strategie aufzusteigen.

Sehen heißt verstehen

Vor diesem Hintergrund lässt sich ohne ausreichende Transparenz kaum nachvollziehen, wo sich Schwachstellen bilden, wie sich Angreifer lateral im Netzwerk bewegen oder welche Aktivitäten tatsächlich legitim sind. Vollständige Sichtbarkeit, Datentiefe, Integration und verwertbare Insights sind hier mehr wert als die regelmäßige Einführung neuester Innovationen.

Um bestehende Lücken zu schließen, müssen IT-Teams ihr Augenmerk somit verstärkt auf Sichtbarkeit bis hinunter auf Netzwerkebene (Deep Observability) richten. Denn dort spielt sich ein Großteil der unentdeckten Aktivitäten ab. Sie müssen sämtliche Datenströme in Echtzeit beobachten, analysieren und verstehen können. Diese Fähigkeit umfasst ebenfalls verschlüsselten und auch lateralen Datenverkehr. Dafür werden alle relevanten Daten – sowohl klassische MELT- (Metrics, Events, Logs, Traces) als auch Netzwerk-Telemetriedaten – zentral gebündelt, kombiniert und ausgewertet.

Das Ergebnis: IT-Teams erhalten einen vollständigen Überblick über ihr Systemverhalten – von Anwendungen über Identitäten bis hin zu verdächtigen Aktivitäten und Verhaltensweisen.

Anomalien lassen sich schneller erkennen, Ursachen von Sicherheitsvorfällen präziser bestimmen, Schwachstellen schließen und Angriffe rechtzeitig stoppen. Diese Form der Echtzeit-Transparenz sorgt für Klarheit inmitten der Komplexität, unabhängig davon, wie viele Datenquellen, Identitäten oder Anwendungen sich im Netzwerk befinden. So bleiben Übersicht und Kontrolle bei den verantwortlichen Sicherheits- und IT-Teams, und Ressourcen lassen sich effizienter nutzen.

Fazit: Realismus ist die beste Verteidigung

Die deutsche IT-Sicherheitslandschaft leidet weniger an Inkompetenz als an Blind Spots. Viele Entscheider glauben, die Lage im Griff zu haben. Allerdings fehlt ihnen oft schlicht der Einblick in das, was tatsächlich passiert. Echte Cyberresilienz beginnt deshalb nicht mit weiteren Tools oder noch mehr Sicherheitsrichtlinien, sondern mit ehrlicher Selbsteinschätzung und vollständiger Transparenz. Wer seine Umgebung lückenlos versteht, kann Risiken realistisch bewerten, Angriffe frühzeitig erkennen und fundierte Entscheidungen treffen.

Denn am Ende gilt: Nur wer wirklich sieht, kann auch sicher handeln.

Weitere Informationen zum Thema:

datensicherheit.de, 20.01.2026
Vertrauen, Ethik und Resilienz im Fokus: Der CISO der Zukunft übernimmt Führungsrolle

[datensicherheit.de, 14.02.2026] Auch der Valentinstag am 14. Februar 2026 wird wohl – wie jedes Jahr – nicht allein ein kommerzielles Ereignis für Online-Shopping, digitales Dating und Last-Minute-Geschenke sein: Er ist ebenso ein wichtiger Tag für Cyberkriminelle. Sicherheitsforscher von Check Point haben demnach einen starken Anstieg von Phishing-Websites, betrügerischen WebShops und gefälschten Dating-Plattformen zum Thema „Valentinstag“ festgestellt. Diese zielten darauf ab, persönliche Daten und Zahlungsinformationen zu stehlen.

Abbildung: Check Point Software (2026)

Phishing-Website als „Tinder“-Imitat

Saisonale Domain-Zunahme zum Thema „Valentinstag“

Von März bis Dezember 2025 seien durchschnittlich 474 neue Domains zum Thema „Valentinstag“ pro Monat registriert worden. Im Januar 2026 sei die Zahl der Registrierungen jedoch auf 696 angestiegen – ein Anstieg von 44 Prozent.

• Allein in den ersten fünf Tagen im Februar 2026 hätten die Forscher 152 zusätzliche Domains entdeckt, was einem weiteren Anstieg von 36 Prozent im Tagesdurchschnitt gegenüber dem Januar entspriche. Fast alle – 97,5 Prozent – seien nach wie vor nicht klassifiziert, „was bedeutet, dass sie jederzeit für böswillige Zwecke aktiviert werden könnten“.

Angreifer registrierten solche Domains zu gängigen Suchbegriffen wie „Valentinstagsgeschenke“ oder „günstige Valentinstagsangebote“, um für eilige Käufer vertrauenswürdiger zu wirken. Oft blieben sie bis wenige Tage vor dem 14. Februar inaktiv, um die Wirkung zu maximieren.

Gefälschte WebShops mit Lockangeboten – Diebstahl von Anmeldedaten und Zahlungsinformationen

Ein Beispiel ist „funkovalentine[.]club“, eine im Januar 2026 registrierte Website, welche aktiv gewesen, aber mittlerweile nicht mehr erreichbar sei. Diese habe über ein vollständig gestaltetes E-Commerce-Layout, Produktkategorien, Preise, Checkout-Seiten und attraktive, wenn auch verdächtig breit gefächerte Waren (z.B. Uhren, Dekorationsartikel) verfügt.

• Der Domainname habe wahrscheinlich versucht, Vertrauen aufzubauen, „indem er sowohl der Marke ,Funko’ (bekannt für ihre Popkultur-Sammlerstücke) als auch dem Valentinstag-Shopping ähnelt“.

Die sei eine Taktik, welche von Cyberangreifern im Umfeld von Jahres- und Feiertagen häufig angewendet werde. Trotz ihres professionellen Erscheinungsbildes sei diese Website bösartig und darauf ausgelegt gewesen, Anmeldedaten und Zahlungsinformationen zu stehlen.

„Romance Scams“ und imitierte Dating-Websites zum Valentinstag Hochkonjunktur

Auch Betrugsfälle mit romantischem Hintergrund, sogenannte Romance Scams, nähmen zu. „Im Januar 2026 fanden Forscher 710 Dating-Domains, die sich als große Plattformen wie ,Tinder’ ausgaben.“

• Dies ist ein Anstieg von neun Prozent gegenüber Dezember 2025. Einige dieser Webseiten seien derzeit noch harmlos – viele könnten jedoch schnell bösartig werden.

Ein bemerkenswerter Fall sein in diesem Zusammenhang „tinnder[.]cfd“: „Diese Website kopiert das Branding und die bekannte Swipe-Oberfläche von ,Tinder’ mit einem einfachen Tippfehler-Trick, um Login-Daten von Menschen zu stehlen, die auf der Suche nach echten Kontakten sind.“

Der Valentinstag als bevorzugter cyberkrimineller Aufhänger

Cyberkriminelle nutzten die emotionale Natur u.a. des Valentinstags aus. „An diesem Tag empfinden Menschen Dringlichkeit, Aufregung, Einsamkeit und Vorfreude.“ Diese Mischung führe zu schnelleren Klicks, riskanteren Käufen und einer weniger kritischen Prüfung.

• Gleichzeitig steige der Online-Einkauf von Geschenken sprunghaft an und Dating-Aktivitäten nähmen zu. Angreifer könnten deshalb neu registrierte Domains schnell für kurze, wirkungsvolle Kampagnen aktivieren.

Sie ahmten bekannte Marken wie „Funko“, „Tinder“ und andere nach, um über gefälschte Websites vertrauenswürdig zu erscheinen. All diese Faktoren zusammen bildeten den perfekten Nährboden für saisonale Betrugsmaschen.

Sicherheitstipps von CHECK POINT rund um den Valentinstag

Ein paar einfache Vorsichtsmaßnahmen könnten viel bewirken:

1. Verbraucher sollten sich an vertrauenswürdige Händler halten!
   Sie sollten unbekannte WebShops meiden – insbesondere, wenn der Domainname auf den Valentinstag Bezug nimmt oder das Angebot ungewöhnlich günstig erscheint.
2. URLs sollten doppelt überprüft werden!
   Verbraucher sollten auf kleine Rechtschreibfehler wie z.B. „Tinnder“ statt „Tinder“ achten. Im Zweifelsfall sei es sicherer, die offizielle URL der betreffenden Website manuell einzugeben.
3. Vorsicht bei seltsamen Zahlungsaufforderungen!
   „Krypto-Währungen“, Geschenkkarten und Überweisungen seien allesamt Warnsignale – seriöse Händler würden diese nicht verlangen.
4. Dating-Apps sollten nur aus offiziellen App-Stores heruntergeladen werden!
   Verbraucher sollten niemals Links aus E-Mails, SMS oder Social-Media-Beiträgen verwenden.
5. Zufällige „Valentinstagsangebote“ ignorieren!
   Verbraucher sollten mit vermehrten Phishing-Versuchen per E-Mail, SMS und über Soziale Kanäle rechnen.
6. Multi-Faktor-Authentifizierung (MFA) aktivieren!
   Selbst wenn Anmeldedaten gestohlen würden, böte MFA einen wichtigen zusätzlichen Schutz.

„Am Valentinstag sollte es um die Liebe gehen, nicht darum, von Cyberkriminellen missbraucht oder hereingelegt zu werden.“ Angesichts raffinierter gefälschter WebShops, ähnlicher Dating-Websites und einer Flut von nicht klassifizierten „Valentinstag“-Domains sollten Verbraucher wachsam bleiben.

Weitere Informationen zum Thema:

CHECK POINT
Über uns: Check Point Software Technologies ist ein weltweit führender Anbieter von Cybersicherheitslösungen, der sich dem Schutz von Unternehmen und Regierungen weltweit widmet

datensicherheit.de, 14.02.2026
Kaspersky-Warnung vor Cyberbetrug rund um den Valentinstag: Betrüger ködern mit vermeintlichen Geschenkkarten / Aus Anlass des diesjährigen Valentinstags am 14. Februar 2026 nimmt Kaspersky Stellung zu dem beobachteten Trend, Liebesbekundungen zunehmend digital – etwa in Form von Abonnements, Gaming-Guthaben oder Gutscheinkarten – zu übermitteln

datensicherheit.de, 13.02.2024
Zum Valentinstag und auch sonst: Sicherheitsmaßnahmen beim Online-Flirt zur Vermeidung von Cyber-Betrug / ESET erklärt Betrugsmaschen Cyber-Krimineller und gibt Tipps zum eigenen Schutz

datensicherheit.de, 08.02.2024
Informations-Abschöpfung durch Dating-Apps: Gefahr insbesondere rund um den Valentinstag / Downloads von Dating-Apps steigt am Valentinstag weltweit um 17 Prozent an

datensicherheit.de, 13.02.2023
Liebesbetrug am Valentinstag: Auch ein Festtag für Cyber-Kriminelle / Gerade am Valentinstag viele alleinstehende Menschen im Internet auf der Suche nach Kontakt

datensicherheit.de, 14.02.2022
Vorsicht auch am Valentinstag: Cyber-Kriminelle missbrauchen zunehmend kulturelle Ereignisse für ihre Zwecke / Auch der Valentinstag ist alljährlich immer wieder Anlass für neue Betrügereien und Angriffe

datensicherheit.de, 12.02.2019
Valentinstag am 14. Februar: Wieder droht Love Scam / G DATA warnt vor gefährlichem Liebesbetrug und benennt Schutzmaßnahmen

[datensicherheit.de, 14.02.2026] Aus Anlass des diesjährigen Valentinstags am 14. Februar 2026 nimmt Kaspersky Stellung zu dem beobachteten Trend, Liebesbekundungen zunehmend digital – etwa in Form von Abonnements, Gaming-Guthaben oder Gutscheinkarten – zu übermitteln: Laut einer aktuellen Kaspersky-Studie in 15 Ländern – darunter Deutschland – erwägen demnach 80 Prozent der Befragten ihren Liebsten ein digitales Geschenk zu machen. Dieses hohe Interesse rufe jedoch auch Cyberkriminelle auf den Plan: „Kaspersky-Experten beobachten vermehrt Phishing-Kampagnen, die sich gezielt an Käufer von Gutscheinkarten richten und das Design bekannter Marken oder Online-Shops imitieren.“ Betrüger erstellten täuschend echt gestaltete Webseiten, um vorzutäuschen, darüber eine sichere Überprüfung von Kartenstatus oder -guthaben zu ermöglichen. Ziel sei es indes, „die Kartendaten abzugreifen und das Guthaben zu aktivieren, bevor die eigentlichen Empfänger dies tun“, so die Kaspersky-Warnung. Die vorliegende Studie sei im November 2025 vom Marktforschungszentrum von Kaspersky durchgeführt worden: „Insgesamt nahmen 3.000 Personen aus 15 Ländern teil (Argentinien, Chile, China, Deutschland, Indien, Indonesien, Italien, Malaysia, Mexiko, Saudi-Arabien, Südafrika, Spanien, Türkei, Vereinigtes Königreich, Vereinigte Arabische Emirate).“

Abbildung: Kaspersky

Beispiel für cyberkriminelle Imitation bekannter Webshop-Angebote

Kaspersky-Experten warnen vor betrügerische Webseiten mit vermeintlich attraktiven Gutscheinaktionen

Zudem hätten Kaspersky-Experten betrügerische Webseiten identifiziert, welche „bekannte Online-Marktplätze imitieren und vermeintlich attraktive Gutscheinaktionen bewerben“.

• In einem Fall sei eine angebliche 200-US-Dollar-Geschenkkarte für den Online-Händler Amazon angeboten worden.

Betroffene hätten beim Anklicken des Betrugsangebots jedoch keine Gutscheinkarte erhalten, sondern eine Installationsdatei, „die eine ,Backdoor’ auf dem Gerät einrichtet und den Angreifern einen Remote-Zugriff auf die Geräte ermöglicht“.

Emotionaler Verletzlichkeit und romantischer Stimmung drohen cyberkriminelle Ausnutzung

„Anlässlich des Valentinstags könnten Cyberkriminelle ihre Bemühungen verstärken, die emotionale Verletzlichkeit und die romantische Stimmung auszunutzen, die diesen Tag ausmachen“, warnt daher Anton Yatsenko, „Lead Web Content Analyst“ bei Kaspersky, eindringlich.

• Cyberkriminelle erstellten Webseiten mit gefälschten Geschenkkarten, imitierten die Websites beliebter Einzelhändler und starteten Phishing-Kampagnen, um den Wunsch, die Liebsten glücklich zu machen, auszunutzen.

„Die beste Abwehr besteht darin, sich an bekannte Websites zu halten, URLs sorgfältig zu prüfen, eine Sicherheitslösung mit fortschrittlicher Phishing-Erkennung zu verwenden und daran zu denken, dass ein Angebot, das zu gut erscheint, um wahr zu sein, dies wahrscheinlich auch ist“, gibt Yatsenko zu bedenken.

Kaspersky-Tipps zum Schutz vor Online-Betrug (nicht nur am Valentinstag):

1. Webseiten sorgfältig prüfen: „Die URL genau kontrollieren und keine Links aus unbekannten E-Mails oder Nachrichten verwenden!“

2. „Guthaben ausschließlich über die offizielle Website der jeweiligen Marke überprüfen, statt über Drittanbieter-Portale!“

3. „Misstrauisch gegenüber besonders attraktiven Angeboten sein, vor allem bei zeitlich begrenzten Aktionen!“

4. „Eine Sicherheitslösung mit leistungsfähigem Phishing-Schutz einsetzen, um schädliche Links frühzeitig zu erkennen!“ Eine solche Lösung (wie etwa „Kaspersky Premium“, 2025 in der AV-Comparatives-Zertifizierung für Fake-Shop-Erkennung mit „Approved“ ausgezeichnet) analysiere Webseitenmerkmale und URL-Strukturen, erkenne verdächtige Muster.

Weitere Informationen zum Thema:

kaspersky
Cyberimmunität ist unser erklärtes Ziel / Wir sind ein Team von über 5.000 Fachleuten mit einer über 25-jährigen Erfolgsgeschichte im Schutz von Privatpersonen und Unternehmen weltweit und haben uns die weltweite Cyberimmunität als ultimatives Ziel gesetzt.

Linkedin
Anton Yatsenko / Lead Web Content Analyst at Kaspersky

datensicherheit.de, 14.02.2026
Fake-WebShops und -Dating-Plattformen: Verschärfung der Cyberbedrohungen rund um den Valentinstag / Der alljährliche Valentinstag am 14. Februar ist nicht nur für Liebende ein bedeutendes Datum – auch im cyberkriminellen Kalender hat er als Köder einen bedeutenden Platz

datensicherheit.de, 13.02.2024
Zum Valentinstag und auch sonst: Sicherheitsmaßnahmen beim Online-Flirt zur Vermeidung von Cyber-Betrug / ESET erklärt Betrugsmaschen Cyber-Krimineller und gibt Tipps zum eigenen Schutz

datensicherheit.de, 08.02.2024
Informations-Abschöpfung durch Dating-Apps: Gefahr insbesondere rund um den Valentinstag / Downloads von Dating-Apps steigt am Valentinstag weltweit um 17 Prozent an

datensicherheit.de, 13.02.2023
Liebesbetrug am Valentinstag: Auch ein Festtag für Cyber-Kriminelle / Gerade am Valentinstag viele alleinstehende Menschen im Internet auf der Suche nach Kontakt

datensicherheit.de, 14.02.2022
Vorsicht auch am Valentinstag: Cyber-Kriminelle missbrauchen zunehmend kulturelle Ereignisse für ihre Zwecke / Auch der Valentinstag ist alljährlich immer wieder Anlass für neue Betrügereien und Angriffe

datensicherheit.de, 12.02.2019
Valentinstag am 14. Februar: Wieder droht Love Scam / G DATA warnt vor gefährlichem Liebesbetrug und benennt Schutzmaßnahmen