[datensicherheit.de, 03/25/2025] In a statement dated March 18th 2025, KnowBe4 warns that most educational institutions lack the resources for solid and comprehensive cyber security programmes – this finding is based on the new KnowBe4 report „From Primary Schools to Universities, The Global Education Sector is Unprepared for Escalating Cyber Attacks“. According to this report, other cyber security experts also share the concern about the cyber fragility of the education sector: Check Point Research, for example, found that it was apparently the sector most affected by cyber attacks in 2024. In any case, the number of cyber attacks in this sector has risen sharply.

Foto: KnowBe4

Stu Sjouwerman on the topic of Human Risk: All people with access to IT systems should have the right tools, training and awareness to protect themselves from cyber threats!

Key findings of the KnowBe4 report on cyber threats in the education sector:

• Both schools and universities often rely on third-party providers for „software-as-a-service“, „cloud“ storage and IT services
  This poses a risk, as vulnerabilities or breaches in third-party systems could later affect all institutions using these services – often unnoticed.
• Combination of modern and old IT systems opens gateway for attackers
  The search for a gateway for attackers is made easier by the fact that schools and universities often combine modern and old IT systems due to limited resources and the increasing need for modernisation – „which can lead to highly sensitive personal data remaining on outdated systems that can be exploited!“
• In its „Data Breach Investigations Report (DBIR) 2024“, Verizon investigated a total of 30,458 security incidents
  According to this report, 10,626 of these were confirmed data breaches: Of these, 1,780 incidents (17%) were attacks on the education system and 1,537 (14%) were confirmed data breaches, making the education system one of the five most affected industries worldwide.
• In 2023, Trustwave researchers observed 352 ransomware attacks on educational institutions
  According to the Trustwave study in question, phishing is the most common method used to infiltrate an organisation.

Educational institutions: An unprecedented level of cyber risk

This KnowBe4 report aims to demonstrate the significant impact of security training on reducing human risk in educational institutions: „After participating in sustained training and phishing simulations for a year or more, the vulnerability of employees in small educational institutions to phishing attacks dropped dramatically – from 33.4 per cent to 3.9 per cent.“

„Today’s education environment is becoming increasingly digital, increasing the attack surface of educational institutions and creating an unprecedented level of cyber risk,“ comments Stu Sjouwerman, CEO of KnowBe4. He adds: „Educational institutions have inadvertently become prime targets for sophisticated threat actors due to a general lack of resources.“

According to Sjouwerman, the most concrete and effective step an educational institution can take to protect important and sensitive data is to ensure that all individuals accessing IT systems have the right tools, training and awareness to protect against cyber threats and reduce human risk.

Further information on the topic:

KnowBe4
From Primary Schools to Universities, the Global Education Sector is Unprepared for Escalating Cyber Attacks

TRUSTWAVE, Serhii Melnyk, 01/21/2025
The New Face of Ransomware: Key Players and Emerging Tactics of 2024

CHECK POINT, 08/13/2024
Research: Check Point Research Warns Every Day is a School Day for Cyber Criminals with the Education Sector as the Top Target in 2024

verizon business, 2024
Data Breach Investigations Report 2024

datensicherheit.de, 09/16/2020
Europas Bildungswesen vermehrt im Visier der Hacker / Verlagerung des Unterrichts ins Internet macht diesen Bereich sehr attraktiv für Hacker

datensicherheit.de, 09/07/2020
E-Learning: Bildungseinrichtungen vor Bedrohungen schützen / Matthias Canisius fordert „Sicherheitskultur des Misstrauens und der Wachsamkeit“ angesichts wachsender Bedrohungen durch Cyber-Angriffe

datensicherheit.de, 06/04/2020
DDoS: Bildungseinrichtungen im Dauerstress / Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

datensicherheit.de, 05/12/2020
Cloud: Datenaustausch gefährdet IT-Sicherheit im Bildungssektor / 54 Prozent der Mitarbeiter in Bildungseinrichtungen nutzen Cloud-Anwendungen zum Austausch sensibler Daten

datensicherheit.de, 12/16/2018
Krypto-Jacking: Bedrohung vor allem für das Bildungswesen / NTT Security warnt vor Missbrauch von IT-Systemressourcen durch Cyber-Kriminelle

[datensicherheit.de, 25.03.2025] KnowBe4 warnt in einer Stellungnahme vom 18. März 2025, dass den meisten Bildungseinrichtungen die Ressourcen für solide und umfassende Cyber-Sicherheitsprogramme fehlen – Grundlage für diese Erkenntnis ist der neue KnowBe4-Bericht „From Primary Schools to Universities, The Global Education Sector is Unprepared for Escalating Cyber Attacks“. Auch andere Cyber-Sicherheitsexperten teilen demnach die Sorge um die Cyber-Fragilität des Bildungssektors: Unter anderem habe Check Point Research festgestellt, dass dieser 2024 offenbar die am stärksten von Cyber-Angriffen betroffene Branche gewesen sei. In jedem Fall hat die Zahl der Cyber-Angriffe in diesem Sektor hat stark zugenommen.

Foto: KnowBe4

Stu Sjouwerman zum Thema „Human Risk“: Alle Personen mit Zugriff auf IT-Systeme sollten über die richtigen Tools, die richtige Ausbildung und das richtige Bewusstsein verfügen, um sich vor Cyber-Bedrohungen zu schützen!

Zentrale Ergebnisse des KnowBe4-Berichts zur Cyber-Bedrohung im Bildungssektor:

• Sowohl Schulen als auch Hochschulen verlassen sich bei „Software-as-a-Service“, „Cloud“-Speicherung und IT-Diensten häufig auf Drittanbieter
  Dies stelle ein Risiko dar, da Schwachstellen oder Verstöße in den Systemen von Drittanbietern zu einem späteren Zeitpunkt alle Einrichtungen betreffen könnten, die diese Dienste nutzen – häufig unbemerkt.
• Kombination moderner und alter IT-Systeme öffnet Einfallstor für Angreifer
  Die Suche nach einem Einfallstor für Angreifer werde durch die Tatsache erleichtert, dass Schulen und Universitäten aufgrund begrenzter Ressourcen und des zunehmenden Bedarfs an Modernisierungen häufig moderne und alte IT-Systeme miteinander kombinierten – „was dazu führen kann, dass hochsensible personenbezogene Daten auf veralteten Systemen verbleiben, die ausgenutzt werden können!“
• In ihrem „Data Breach Investigations Report (DBIR) 2024“ untersuchte Verizon insgesamt 30.458 Sicherheitsvorfälle
  Laut diesem Report waren von diesen 10.626 bestätigte Datenschutz-Verletzungen: Davon seien 1.780 Vorfälle (17%) Angriffe auf das Bildungssystem und 1.537 (14%) bestätigte Datenverstöße gewesen, womit das Bildungssystem zu den fünf am stärksten betroffenen Branchen weltweit zähle.
• Im Jahr 2023 beobachteten die Forscher von Trustwave 352 Ransomware-Angriffe auf Bildungseinrichtungen
  Phishing sei laut der betreffenden Trustwave-Studie die am häufigsten verwendete Methode, um in eine Organisation einzudringen.

Bildungseinrichtungen: Ein noch nie dagewesenes Maß an Cyber-Risiken

Der vorliegende KnowBe4-Bericht soll die erheblichen Auswirkungen von Sicherheitsschulungen auf die Verringerung des „Human Risks“ in Bildungseinrichtungen aufzeigen: „Nachdem sie ein Jahr oder länger an nachhaltigen Schulungen und Phishing-Simulationen teilgenommen hatten, sank die Anfälligkeit der Mitarbeiter in kleinen Bildungseinrichtungen für Phishing-Angriffe drastisch – von 33,4 Prozent auf 3,9 Prozent.“

„Die heutige Bildungsumgebung wird zunehmend digital, was die Angriffsfläche von Bildungseinrichtungen vergrößert und ein noch nie dagewesenes Maß an Cyber-Risiken schafft“, kommentiert Stu Sjouwerman, „CEO“ von KnowBe4. Er führt hierzu aus: „Bildungseinrichtungen sind aufgrund eines allgemeinen Ressourcenmangels unbeabsichtigt zu Hauptzielen für hochentwickelte Bedrohungsakteure geworden.“

Der am meisten konkrete und effektivste Schritt, den eine Bildungseinrichtung zum Schutz wichtiger und sensibler Daten unternehmen kann, besteht laut Sjouwerman darin, sicherzustellen, dass alle Personen, die auf die IT-Systeme zugreifen, über die richtigen Tools, die richtige Ausbildung und das richtige Bewusstsein verfügen, um sich vor Cyber-Bedrohungen zu schützen und das „Human Risk“ zu reduzieren.

Weitere Informationen zum Thema:

KnowBe4
From Primary Schools to Universities, the Global Education Sector is Unprepared for Escalating Cyber Attacks

TRUSTWAVE, Serhii Melnyk, 21.01.2025
The New Face of Ransomware: Key Players and Emerging Tactics of 2024

CHECK POINT, 13.08.2024
Research: Check Point Research Warns Every Day is a School Day for Cyber Criminals with the Education Sector as the Top Target in 2024

verizon business, 2024
Data Breach Investigations Report 2024

datensicherheit.de, 16.09.2020
Europas Bildungswesen vermehrt im Visier der Hacker / Verlagerung des Unterrichts ins Internet macht diesen Bereich sehr attraktiv für Hacker

datensicherheit.de, 07.09.2020
E-Learning: Bildungseinrichtungen vor Bedrohungen schützen / Matthias Canisius fordert „Sicherheitskultur des Misstrauens und der Wachsamkeit“ angesichts wachsender Bedrohungen durch Cyber-Angriffe

datensicherheit.de, 04.06.2020
DDoS: Bildungseinrichtungen im Dauerstress / Laut NETSCOUT besteht bezüglich Cybersecurity „immer Prüfungszeit“

datensicherheit.de, 12.05.2020
Cloud: Datenaustausch gefährdet IT-Sicherheit im Bildungssektor / 54 Prozent der Mitarbeiter in Bildungseinrichtungen nutzen Cloud-Anwendungen zum Austausch sensibler Daten

datensicherheit.de, 16.12.2018
Krypto-Jacking: Bedrohung vor allem für das Bildungswesen / NTT Security warnt vor Missbrauch von IT-Systemressourcen durch Cyber-Kriminelle

[datensicherheit.de, 05.03.2025] Kürzlich sei eine neue Studie über Cyber-Angriffe auf sogenannte Operative Technologie (OT) in Industrieunternehmen erschienen, der zufolge Unternehmen der Fertigungsbranche in den vergangenen sechs Monaten am häufigsten mit „Spear Phishing“-Angriffen attackiert worden seien: „Ganze 41 Prozent aller ,True-Positive’-Alarmmeldungen der Branche entfielen auf diesen Angriffstyp“, so Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seinem aktuellen Kommentar.

Foto: KnowBe4

Dr. Martin J. Krämer: Verzahnung von IT, OT, IoT und IIOT nimmt zu und macht so die Absicherung der Produktion zu einer immer komplexeren Angelegenheit

„Spear Phishing“ anders als reguläres Phishing-Angriffe zielgerichtet auf Personen oder Organisationen

„Spear Phishing“-Angriffe erfolgten, im Gegensatz zu einfachen Phishing-Angriffen, zielgerichtet auf einzelne Personen oder Organisationen. „Sie ermöglichen es dem Angreifer, seine Kampagne zu individualisieren, angepasst an sämtliche, ihm zur Verfügung stehenden Informationen über sein jeweiliges Opfer“, erläutert Dr. Krämer. Ziel solcher Angriffe sei es, das Opfer so weit zu manipulieren, „dass es zur Preisgabe persönlicher Daten, zum Beispiel der eigenen ,Credentials’, oder einer, mit seiner Rolle im Unternehmen in Zusammenhang stehenden, Handlung bewegt werden kann“.

Im Fall der Fertigungsbranche, so die Studie, hätten die Kampagnen meist die Erschleichung von Geldern zum Ziel. „Spear Phishing“-E-Mails würden versandt, welche das Opfer zur Begleichung einer ausstehenden Rechnung aufforderten. Der Absender gebe sich dabei als Lieferant aus. Häufig tauchten in der Betreffzeile Wörter wie „Anfrage“, „Konto“, „Rechnung“, „Zahlung“ oder „Aktion“ auf.

Phishing-Kits geraten zunehmend in Umlauf

Die Urheber der Studie gingen davon aus, dass sich solche und ähnliche „Spear Phishing“-Angriffe auf die Fertigungsbranche bis 2025 nahezu verdoppelt haben würden. „Ein Grund: Phishing-Kits geraten zunehmend in Umlauf. Sie ermöglichen es auch Angreifern mit begrenzten Phishing-Kenntnissen, erfolgreiche Angriffskampagnen umzusetzen.“ Allein im vergangenen Jahr, 2024, so die Studie, habe ein Anstieg der Phishing-Kit-bezogener Chats in Diskussionsforen um 136 Prozent festgestellt werden können. Ein weiterer Grund: „Weltweit nehmen die geopolitischen Spannungen weiter zu – und damit auch die Aktivitäten halbstaatlicher und staatlicher Akteure im cyber-kriminellen Umfeld, die bereit sind, eine größere Summe Geld zu bezahlen um, zum Beispiel, an geheime Informationen aus der Verteidigungs-, Luft- oder auch Raumfahrt-Industrie eines Landes zu gelangen“.

Dr. Krämer geht auf folgenden Fragestellungen ein: „Doch was, wenn die Angreifer ihren ,Spear Phishing’-Angriffsfokus verschieben? Weg von Fake-Zahlungsaufforderungen und hin zu Versuchen, an die ,Credentials’ für den Zugang zu OT-Systemen zu gelangen?“ Bereits heute hätten Cyber-Sicherheitsabteilungen von Fertigungsunternehmen im Durchschnitt nur einen Bruchteil der OT ihres Unternehmens wirklich im Blick und im Griff – Tendenz sinkend. Die Verzahnung von IT, OT, IoT und IIOT (Industrial Internet of Things) nehme zu und mache so die Absicherung der Produktion zu einer immer komplexeren Angelegenheit. „Kein Wunder, dass die Zahl der Sicherheitsvorfälle seit Jahren steigt!“

Risiko, Opfer eines Phishing- oder „Spear Phishing“-Angriffs zu werden, muss aktiv reduziert werden

Wollten IT-Entscheider der Fertigungsbranche hier effektiv – und effizient – gegensteuern, würden sie deshalb schon vorher ansetzen müssen – am eigentlichen Ansatzpunkt der Angreifer selbst. „Sie werden ihr Risiko, Opfer eines Phishing- oder ,Spear Phishing’-Angriffs zu werden, aktiv reduzieren müssen. Das wird ihnen nur gelingen, wenn sie die ‚Human Risks‘, die Risiken, denen die Unternehmens-IT und -OT naturgemäß jeden Tag durch die eigenen Mitarbeiter ausgesetzt sind, endlich umfassend in den Blick bekommen und zu managen beginnen.“

Menschliche Risiken müssten, genau wie die technischen ja auch, kontinuierlich überwacht, analysiert und ausgewertet, gemanagt und auf das absolute Minimum zurückgefahren werden. Dr. Krämers dringender Rat: „Die eigenen Mitarbeiter, wie in den vergangenen Jahren in vielen Unternehmen vielfach geschehen, nur von Zeit zu Zeit einer Anti-Phishing-Trainingseinheit zu unterziehen, genügt nicht mehr. ,Human Risk Management’ muss professioneller, zielgerichteter, kontinuierlicher erfolgen!“

Weitere Informationen zum Thema:

RELIAQUEST, Gautham Ashok, 11.02.2025
Threat Landscape Report: Uncovering Critical Cyber Threats to Manufacturing Sector

datensicherheit.de, 25.02.2025
Dragos: Starker Anstieg von OT/ICS-Cyberbedrohungen / Gründe sind geopolitischer Konflikte und wachsende Anzahl von Ransomware-Angriffen / Die achte jährliche Ausgabe des Year in Review Reports stellt zwei neue OT-Cyberbedrohungsgruppen vor

datensicherheit.de, 12.02.2025
OT-Geräte: Zwei Drittel der Schwachstellen von Ransomware-Gruppen ausgenutzt / Neuer Claroty-Report zeigt OT-Bedrohungen durch Ransomware und unsichere Verbindungen in Produktion, Transport und Logistik sowie natürliche Ressourcen auf

datensicherheit.de, 11.02.2025
OT-Sicherheit: Klassischer AirGap-Ansatz ist Illusion / Warum physische Separierung für die nicht mehr funktioniert

[datensicherheit.de, 26.02.2025] Ein neuer KnowBe4-Bericht soll die „verborgene Kraft des Informationsaustauschs bei der Gestaltung der Sicherheitskultur eines Unternehmens“ enthüllen – er zeigt demnach auf, wie Schulungen am Arbeitsplatz den Austausch von Informationen über Cyber-Sicherheit unter Kollegen fördern können und warum Unternehmen Hindernisse beseitigen sollten, damit dies auch außerhalb des Arbeitsplatzes geschieht.

Abbildung: KnowBe4

KnowBe4-Bericht „Cybersecurity Information Sharing as an Element of Sustainable Security Culture“ veröffentlicht (s.u.)

Mitarbeiter beschäftigten sich oft bereits im Privatleben mit Cyber-Sicherheitsinformationen

KnowBe4 hat am 26. Februar 2025 die Veröffentlichung des Forschungsberichts „Cybersecurity Information Sharing as an Element of Sustainable Security Culture“ bekanntgegeben, welcher von Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, und Dr. William Seymour, Dozent für Cyber-Sicherheit am King’s College London, verfasst wurde. „Der Bericht untersucht, wie Menschen Informationen über Cyber-Sicherheit konsumieren und weitergeben, und zeigt auf, welche Rolle Schulungen am Arbeitsplatz bei der Förderung des Informationsaustauschs unter Kollegen spielen.“

Viele Mitarbeiter beschäftigten sich bereits in ihrem Privatleben mit Cyber-Sicherheitsinformationen – „und wenn sie diese Informationen proaktiv weitergeben, spiegelt dies eine reife Sicherheitsmentalität wider“. Eine etablierte Sicherheitskultur fördere gute Gewohnheiten, gegenseitige Unterstützung und ein klares Risikobewusstsein. Durch die Untersuchung der Verbreitung von Cyber-Sicherheitsnachrichten könnten Organisationen wertvolle Erkenntnisse gewinnen, um ihre Abwehrkräfte zu stärken und das menschliche Risiko zu minimieren.

Durchschnittlich 57 Prozent der Befragten erhielten Cyber-Sicherheitsschulung

Der Bericht zeigt laut KnowBe4 auf, dass im Durchschnitt 57 Prozent der Befragten eine Cyber-Sicherheitsschulung erhalten haben – wobei 73 Prozent im Vereinigten Königreich, 60 Prozent in den USA, 55 Prozent in Deutschland und nur 38 Prozent in Frankreich eine solche Schulung erhalten hätten. Die Schulung am Arbeitsplatz habe sich auf den Informationsaustausch ausgewirkt, da 24 Prozent der geschulten Personen ihr Wissen anschließend mit ihren Kollegen geteilt und sich besser an Inhalte über Phishing erinnert hätten.

Weitere wichtige Erkenntnisse lt. KnowBe4:

• 95 Prozent der Befragten hätten mindestens einmal Inhalte zum Thema Cyber-Sicherheit gelesen oder gesehen.
• 77 Prozent hätten Informationen über Cyber-Sicherheit erhalten und 25 Prozent aktiv Informationen über Cyber-Sicherheit mit anderen geteilt.
• 22 Prozent der Arbeitnehmer fanden Informationen zur Cyber-Sicherheit auf Websites und 21 Prozent bei ihrem Arbeitgeber.
• Im Allgemeinen seien Arbeitgeber für alle Altersgruppen eine wichtige Quelle für Informationen über Cyber-Sicherheit, während Soziale Medien für die Altersgruppe der 18- bis 29-Jährigen ein wichtiger Kanal gewesen seien.

Eine Sicherheitskultur schaffen, welche über das Büro hinaus wirkt

„Mitarbeiter kümmern sich um Cyber-Sicherheit – und Unternehmen sollten das auch tun!“, rät Dr. Krämer und erläutert: „Erfolgreiche Programme zur Förderung des Sicherheitsbewusstseins erkennen an, dass engagierte Mitarbeiter eher bereit sind, wichtige Erkenntnisse mit ihren Kollegen zu teilen und so die Sicherheitskultur am Arbeitsplatz zu stärken.“ Durch die Bereitstellung hochwertiger, relevanter Inhalte und die einfache Weitergabe dieser Inhalte könnten Unternehmen ihre Mitarbeiter in die Lage versetzen, „fundierte Entscheidungen zu treffen, Risiken zu mindern und eine Sicherheitskultur zu schaffen, die über das Büro hinausgeht“.

Letztendlich gelte: „Je mehr man sich mit einem Thema beschäftigt, desto mehr möchte man es auch weitergeben.“ Wenn Beschäftigte angemessen für Cyber-Risiken sensibilisiert seien, sei es wahrscheinlicher, „dass sie offen mit anderen über das Thema kommunizieren und eine stärkere Sicherheitskultur am Arbeitsplatz schaffen“. Um eine stärkere Sicherheitskultur aufzubauen, sei es eben wichtig zu verstehen, „wie Mitarbeiter Informationen über Cyber-Sicherheit konsumieren und weitergeben“.

Weitere Informationen zum Thema:

KnowBe4
Thought Leadership Series: Security Behavior Insights / Cybersecurity Information Sharing as an Element of Sustainable Security Culture

datensicherheit.de, 31.10.2024
Trinity-Ransomware: Vorfall zeigt, warum starke Sicherheitskultur unverzichtbar auch für den Gesundheitssektor ist / Häufigkeit von Cyber-Angriffen – insbesondere auf das Gesundheitswesen – nimmt zu

datensicherheit.de, 12.05.2022
Datenschutz als Ausdruck der Kultur / Daniel Fried sieht beim Thema Datenschutz kulturelle Unterschiede immer deutlicher hervortreten

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur / Definition und Umsetzung sind jedoch umkämpft

[datensicherheit.de, 25.02.2025] Laut einer aktuellen Meldung von KnowBe4 warnen Forscher vor einer Phishing-Kampagne gegen hochrangige „X“-Konten – darunter solche von US-Politikern, bekannten Journalisten, großen Technologieunternehmen, „Krypto-Währungs“-Organisationen und Inhabern begehrter Benutzernamen. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, erläutert hierzu: „Die Analyse von SentinelLABS verbindet diese Aktivität mit einer ähnlichen Operation im vergangenen Jahr, bei der mehrere Konten erfolgreich kompromittiert wurden, um betrügerische Inhalte mit finanziellen Zielen zu verbreiten.“

Foto: KnowBe4

Dr. Martin J. Krämer kommentiert: Nur durch eine Kombination aus technologischem Schutz und sensibilisierten Mitarbeitern lassen sich derartige Angriffe – wie derzeit auf „X“-Konten – effektiv abwehren

Beschriebene Aktivität fokussiert auf „X“-Accounts – Täter aber nicht auf eine einzige Soziale Plattform beschränkt

„Während sich die hier beschriebene Aktivität auf ,X’-/,twitter’-Accounts konzentriert, ist der Täter nicht auf eine einzige Soziale Plattform beschränkt und kann auch dabei beobachtet werden, wie er die Aufmerksamkeit auf andere beliebte Dienste lenkt, während er scheinbar die gleichen finanziellen Ziele verfolgt“, berichtet Dr. Krämer.

Der Bedrohungsakteur verwende eine Vielzahl von Ködern, darunter neue Anmelde-Benachrichtigungen und Hinweise auf Urheberrechtsverletzungen. Solche E-Mails enthielten Links zu gefälschten Anmeldeseiten oder Seiten zum Zurücksetzen von Passwörtern, „die dazu dienen, Anmeldedaten zu sammeln“.

Der Angreifer missbrauche auch Googles „AMP-Cache“-Domain, um nicht entdeckt zu werden. Die Forscher stellen demnach fest, dass der Angreifer „extrem anpassungsfähig ist, ständig neue Techniken erforscht und ein klares finanzielles Motiv verfolgt“.

Vorsichtig bei Nachrichten geboten, welche Links zu „X“-Kontowarnungen oder Sicherheitshinweisen enthalten

„Um Ihr ,X’-Konto zu schützen, empfehlen wir Ihnen dringend, ein eindeutiges Passwort zu verwenden, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und die Weitergabe von Anmeldedaten an Drittanbieterdienste zu vermeiden“, schrieben die Forscher weiter.

Insbesondere gelte es besonders vorsichtig bei Nachrichten zu sein, „die Links zu Kontowarnungen oder Sicherheitshinweisen enthalten“. Sie rieten zudem: „Prüfen Sie URLs immer, bevor Sie daraufklicken, und wenn Sie Ihr Passwort zurücksetzen müssen, tun Sie dies direkt über die offizielle Website oder App, anstatt unaufgeforderten Links zu folgen.“

Dr. Krämers Empfehlung: „Ein modernes Sicherheits-Bewusstseinstraining kann Ihre Organisation vor Social-Engineering-Angriffen schützen. ,Human Risk Management’ wird damit essenziell, um Sicherheitsrisiken durch gezielte ,Awareness’-Maßnahmen und Schulungen zu minimieren.“ Nur durch eine Kombination aus technologischem Schutz und sensibilisierten Mitarbeitern ließen sich derartige Angriffe effektiv abwehren.

Weitere Informationen zum Thema:

SentinelLABS, Tom Hegel & Jim Walter & Alex Delamotte, 31.01.2025
Security Research / X Phishing | Campaign Targeting High Profile Accounts Returns, Promoting Crypto Scams

KnowBe4
Phishing / More than 90% of successful hacks and data breaches start with phishing scams. Phishing is a threat to every organization across the globe.

[datensicherheit.de, 11.02.2025] „Romance-Scams sind eine perfide Form des Online-Betrugs, bei der Betrüger gezielt die romantischen Hoffnungen ihrer Opfer ausnutzen, um Geld zu erbeuten“, erläutert Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme im Vorfeld des Valentinstags am 14. Februar. Er kommentiert: „Besonders auffällig ist, wie oft sich diese Betrugsmaschen um vermeintlich prominente Persönlichkeiten drehen, die angeblich in einer Notlage stecken und finanzielle Unterstützung benötigen.“ Ein wiederkehrendes Muster laut Dr. Krämer: Die Opfer würden manipuliert, den Betrügern nicht nur Geld zu überweisen, sondern auch jeglichen Zweifeln zu widerstehen.

Foto: KnowBe4

Dr. Martin J. Krämer: Ob KI-generiert oder nicht, wenn die Nachricht unerwartet kommt und auffordert, etwas zu tun, was man noch nie zuvor getan hat – zumindest nicht für diesen Absender – sollte eine andere Methode zur Bestätigung gewählt werden, bevor man die angeforderte Aktion ausführt oder zu emotional reagiert!

KI-Deepfakes als Werkzeug der Täuschung und als Barriere für Aufklärung und Schutz

„Eine Methode, mit der versucht wurde, Betroffene für die Täuschung zu sensibilisieren, war der Vorschlag, den angeblichen Prominenten um einen Beweis in Form eines spezifischen Fotos zu bitten – etwa mit einer aktuellen Zeitung in der Hand oder in einer bestimmten Situation, die schwer zu fälschen ist.“

Während dies noch in der Vergangenheit erfolgreich gewesen sei, hätten technische Fortschritte wie Bildbearbeitungssoftware diesen Ansatz zunehmend wirkungslos gemacht. „Betrüger sind heute in der Lage, täuschend echte Bilder zu erstellen, die die Illusion der Authentizität aufrechterhalten!“, unterstreicht Dr. Krämer.

Dieser Wandel zeige nicht nur, „wie ausgeklügelt die Methoden der Täter inzwischen sind“, sondern auch, wie schwer es für Opfer und Außenstehende geworden sei, Wahrheit von Fälschung zu unterscheiden. Der Einsatz von Technologie werde so nicht nur zum Werkzeug der Täuschung, sondern auch zur Barriere für Aufklärung und Schutz.

KI-gestützte Deepfakes erleichtern Betrügern Romance-Scams

Mit den heutigen KI-gestützten Deepfakes sei es viel einfacher geworden, Romance-Scams zu begehen. Es dauere nur wenige Minuten, um ein realistisch aussehendes Deepfake-Bild, -Video oder -Audio von jemandem zu erstellen, „der alles Mögliche sagt und tut“.

Betrüger nutzten KI-gestützte Deepfake-Tools inzwischen intensiv. „iProov, ein Unternehmen, das sich mit Deepfakes beschäftigt, hat mehr als 60 verschiedene Deepfake-Gruppen gefunden, die sich der Erstellung ,synthetischer Bilder’ widmen.“ Eine Gruppe habe dabei mehr als 114.000 Mitglieder gehabt; es seien mehr als 100 „Gesichtsaustausch-Repositories“ gefunden worden.

„Es gibt bereits Malware, die die Gesichter von Menschen stiehlt und sie dann verwendet, um ihre Identität gegenüber Banken zu fälschen, die Gesichtserkennung verlangen, um große Geldbeträge zu überweisen“, berichtet Dr. Krämer. Die Lage sei so ernst, dass das Marktforschungs- und Beratungsunternehmen Gartner prognostiziere, dass bis zum nächsten Jahr 30 Prozent der Unternehmen kein Vertrauen mehr in biometrische Ein-Faktor-Authentifizierungslösungen haben würden. „Nun die Frage: Was ist mit den anderen 70 Prozent?“

Betrüger nutzen KI-gestützte Deepfakes, um sich als prominent auszugeben, z.B. als Brad Pitt

In den neuen „NIST Digital Identity Guidelines“ schreibe die US-Regierung vor, dass jeder Einsatz biometrischer Authentifizierung mit einem physischen Authentifizierungstoken gekoppelt sein müsse. „Daraus lässt sich schließen, dass der physische Authentifizierungstoken hier der wirklich vertrauenswürdige Authentifikator ist, da er von der US-Regierung selbst anerkannt und akzeptiert wird.“

Natürlich verwendeten Betrüger KI-gestützte Deepfakes, um sich als Prominente auszugeben: „Ein Prominenter, der häufig von Betrügern benutzt wird, ist Brad Pitt.“ Eine Frau sei sogar dazu gebracht worden, sich von ihrem derzeitigen Ehemann scheiden zu lassen und dann 850.000 US-Dollar der Scheidungssumme an den falschen Brad Pitt zu schicken. Ihr seien offenbar einige Bilder zugeleitet worden, auf denen es so ausgesehen habe, als würde es Brad Pitt nicht gutgehen. „Das eignet sich hervorragend, um Mitleid zu erregen und weitere Geldforderungen zu stellen.“

Viele KI-Experten hätten darauf hingewiesen, wie schnell sie selbst erkennen könnten, „dass diese Bilder gefälscht sind“, aber die meisten Opfer seien eben keine KI-Experten. Dr. Krämer ergänzt: „Der falsche Brad Pitt schickte dem Opfer auch viele Liebesgedichte, die zweifellos von KI generiert worden waren. Das Opfer gab an, dass der falsche Brad Pitt wirklich wusste, wie man mit Frauen spricht. Wahrscheinlich ist es zutreffender zu sagen, dass die KI, die der Betrüger benutzte, wirklich wusste, wie man mit Frauen spricht.“

KI zunehmend in der Lage, fast in Echtzeit Video-Antworten auf Fragen der Opfer zu liefern

„Man findet in letzter Zeit immer mehr Demos, bei denen die KI in der Lage war, fast in Echtzeit Video-Antworten auf die Fragen eines Opfers zu liefern.“ Es sei also nur eine Frage von Monaten, bis diese Art von KI-gestützten Echtzeitdiensten für jedermann verfügbar sein werde – auch für Betrüger.

„Die meisten von uns würden niemals auf einen Promi-Betrug hereinfallen. Wir würden nie glauben, dass Brad Pitt oder ein anderer Prominenter in uns verliebt ist UND unser Geld braucht…“ Aber jeder sei wohl doch anfällig für irgendeine Art von Betrug – sei es aufgrund des Zeitpunkts, der Umstände oder des Inhalts. „Wir können alle betrogen werden!“, warnt Dr. Krämer.

Er führt weiter aus: „So wie wir gelernt haben, dass wir uns nicht mehr darauf verlassen können, dass eine E-Mail vollständig wahrheitsgemäß ist, und diese Vorsicht auch auf SMS-Nachrichten, Sprachanrufe, Soziale Medien, Chat-Apps wie ,WhatsApp’ und sogar persönliche Treffen ausgeweitet wurde, gilt dies nun auch für unerwartete Audio-, Bild- oder Video-Dateien, die wir erhalten.“

KI-Abwehrstrategie gegen KI-Deepfakes problematisch…

Wenn man nur eine Minute Zeit hätte, um allen zu zeigen, wie man betrügerische Nachrichten jetzt und in Zukunft am besten erkennt, dann wäre es diese: „Wenn Sie unerwartet kontaktiert werden und aufgefordert werden, etwas zu tun, was Sie noch nie zuvor getan haben (zumindest nicht für diesen Absender), sollten Sie innehalten und nachdenken, bevor Sie reagieren!“ Dies funktioniere nicht bei jedem Betrug, aber bei den meisten.

Dr. Krämer rät: „Trainieren Sie sich auf diese Weise! Schulen Sie Ihre Familie auf diese Weise! Trainieren Sie Ihre Mitarbeiter so! Wie gut Sie dies vermitteln und wie gut Ihre Mitarbeiter diese Fähigkeit erlernen und anwenden, wird wahrscheinlich darüber entscheiden, ob Ihre Organisation in einem bestimmten Zeitraum erfolgreich gehackt wird oder nicht.“ Dieser Rat gelte für jeden Betrug, der „Social Engineering“ einsetzt, ob KI-gestützt oder nicht.

Es werde argumentiert, dass KI-gestützte Deepfakes mit Tools bekämpft werden könnten, die KI-gestützte Inhalte erkennen würden. Diese Abwehrstrategie habe jedoch ein Problem. Man könne dem Rat von Perry Carpenter aus seinem kürzlich erschienenen KI-Buch „FAIK: A Practical Guide to Living in a World of Deepfakes, Disinformation, and AI-Generated Deceptions“ folgen…

… ein Tool zur Täuschungserkennung zu fragen, ob etwas KI-generiert ist oder nicht, angesichts der zunehmenden -Verbreitung sinnlos

Carpenter fasst demnach das Hauptproblem der KI wie folgt zusammen: „Praktisch jedes Tool und jeder Dienst, den wir nutzen, wird KI-fähig sein und uns auf die eine oder andere Weise unterstützen. Unsere Social-Media-Kanäle werden KI nutzen, um bessere Versionen von uns selbst mit besseren Texten, Audio-Inhalten, Bildern und Videos zu erstellen. Jedes Audio-, Bild- und Videotool nutzt KI oder wird KI nutzen, um bessere Ergebnisse zu erzielen, die wir alle gerne nutzen werden. Sie tun es bereits. In einer Welt, in der viele, viele legitime Dinge, die wir alle nutzen werden, KI-gestützt oder KI-generiert sind, macht es keinen Sinn, ein Tool zur Täuschungserkennung zu fragen, ob etwas KI-generiert ist oder nicht.“

Die wichtigste Frage, welche man sich stellen sollte, lautet, ob das Erzählte bzw. Gezeigte böswillig und mit einer bestimmten Täuschungsabsicht versehen ist. „Ob der Inhalt echt oder künstlich ist, ist nicht so wichtig wie die Frage, ob versucht wird, Sie böswillig zu täuschen!“ Man möge sich auf den Inhalt konzentrieren – und nicht so sehr darauf, „ob das Bild ein bisschen unecht aussieht oder die Finger verschwommen sind“.

„Konzentrieren Sie sich auf die Nachricht: Jemand, der versucht, Sie zu betrügen, muss Ihnen den Betrug immer noch kommunizieren. Es geht nur darum, wie er den Betrug kommuniziert – per E-Mail, über Soziale Medien oder über einen KI-gestützten Deepfake?“

Fazit zur KI-Deepfake-Abwehr: Alle Audio-, Bild- und Video-Dateien grundsätzlich so kritisch behandeln wie bisher bereits E-Mails und Textnachrichten!

Das Zeitalter der einfachen Deepfakes sei angebrochen und werde immer einfacher und alltäglicher werden. „Wir werden nicht tatenlos zusehen, wie wir immer wieder betrogen werden. Alle unsere Cyber-Abwehr-Tools werden KI-fähig sein und uns besser vor KI-fähigen (und echten) Betrügern schützen.“

Alles, was wir tun müssten, sei, alle Audio-, Bild- und Video-Dateien wie E-Mails und Textnachrichten zu behandeln: „Konzentrieren Sie sich auf den Inhalt der Nachricht, denn wenn jemand versucht, Sie zu betrügen, wird die Nachricht oder der Inhalt auf die eine oder andere Weise bösartig sein…“

Dies ändere sich übrigens nicht, nur weil es aussehe wie jemand Bekanntes oder wie eine Hybridversion von einem vermeintlich Bekannten. Dr. Krämer bringt es abschließend auf den ernüchternden Punkt: „Sie werden immer noch aufgefordert, Ihr Passwort zu schicken, Geld zu überweisen oder etwas zu tun, das Ihren eigenen Interessen schadet!“

Weitere Informationen zum Thema:

Newsweek, Marni Rose McFall, 14.01.2025
A Woman Thought She Was Dating Brad Pitt—Was Tricked Into Giving Him $850K

NIST
Digital Identity Guidelines

KnowBe4
What is Social Engineering?

iProov, 2024
Threat Intelligence Report 2024: The Impact of Generative AI on Remote Identity Verification

KnowBe4, Roger Grimes, 12.11.2024
Security Awareness Training Blog: Step-by-Step To Creating Your First Realistic Deepfake Video in a Few Minutes

Linkedin, Roger Grimes, 28.02.2024
Game-Changer: Biometric-Stealing Malware

WILEY, Perry Carpenter, Oktober 2024
FAIK: A Practical Guide to Living in a World of Deepfakes, Disinformation, and AI-Generated Deceptions

datensicherheit.de, 24.09.2024
Pig Butchering Scams verleiten Opfer zu unseriösen Finanzgeschäften / Schadensvolumen dieser Unterart der „Romance Scams“ hat mittlerweile bemerkenswerte Größenordnung erreicht

datensicherheit.de, 09.09.2024
Funeral Scams auf facebook: Warnung vor neuer Cyber-Betrugsmasche / Risiko eines Internetnutzers, Opfer erfolgreichen Cyber-Betrugs zu werden, bleibt hoch

datensicherheit.de, 04.08.2022
Krypto-Scams: Neue Attacken unter dem Deckmantel der Popularität Prominenter / Krypto-Scam-Opfer im Durchschnitt um über 15.000 Euro betrogen

[datensicherheit.de, 05.02.2025] „Omdia hat vor kurzem die Ergebnisse einer neuen Globalumfrage unter Smartphone-Nutzern vorgestellt. Deren Fazit: auch wenn es um Smartphones geht, stellen Phishing-Angriffe derzeit das mit Abstand größte Sicherheitsrisiko dar.“ Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, geht in seiner aktuellen Stellungnahme auf Ergebnisse einer Studie ein, wonach Phishing auch für den Einsatz von Smartphones „Sicherheitsrisiko Nr. 1“ darstellt. Fast ein Viertel aller Befragten, knapp 24 Prozent, gab demnach in dieser Umfrage zu Protokoll, schon mindestens einmal Opfer eines Phishing-Angriffs auf ihr Smartphone geworden zu sein. An zweiter Stelle folgten Malware und Viren (knapp 20%) – welche in aller Regel in Begleitung von „Social Engineering“-Angriffen in die Systeme ihrer Opfer gelangten.

Foto: KnowBe4

Dr. Martin J. Krämer: Omdia-Forscher raten Smartphone-Herstellern dringend, in Punkto Phishing-Schutz weiter nachzurüsten!

Ergebnisse einer unlängst erschienen Omdia-Untersuchung zu Premium-Smartphones durch Umfrage bestätigt

Diese Umfrage bestätige die Ergebnisse einer unlängst erschienen Omdia-Untersuchung zu Premium-Smartphones. Auch hierbei lautete laut Dr. Krämer das Fazit: „Smartphones aller Hersteller tun sich mit Phishing-Angriffen nach wie vor schwer – wenn auch in unterschiedlicher Qualität.“ So hätten etwa führende Premium-Smartphones, wie z.B. Googles „Pixel 9 Pro“ und Samsungs „Galaxy S24“, in der Untersuchung etwas besser abgeschnitten als Apples „iPhone 16 Pro“ und „Android“-basierte Geräte, wie etwas das „OnePlus 12“, „Xiaomi 14“ und „Honor Magic 6 Pro“.

Nichtsdestotrotz habe allen Geräten in Punkto Anti-Phishing-Schutz nur ein schwaches Zeugnis ausgestellt werden können: „Keinem Smartphone gelang es, alle Phishing-SMS, -Anrufe und -E-Mails erfolgreich abzufangen. Am besten schnitten die Geräte noch bei Phishing-Sprachanrufen ab.“ Eine Untersuchung simulierter Spam-Anrufe habe ergeben, dass alle „Android“-Geräte von Google über Xiaomi, OnePlus und Honor bis hin zu Samsung mutmaßliche Spam-Anrufe erfolgreich markiert hätten, „bevor sie dem Nutzer zur Beantwortung vorgelegt wurden“. Eine Ausnahme habe hierbei lediglich das „iPhone 16“ gebildet. „Anders sah es bei Phishing-E-Mails aus. Keines der getesteten Geräte konnte die simulierten Phishing-E-Mails von Google Mail vollständig als Phishing-Angriff identifizieren. Erkannt wurden sie lediglich als Spam – und das auch nur, wenn sie von Googles SMTP gesendet wurden.“

Smartphones sollten unbedingt mit einem besseren Phishing-Schutz ausgestattet werden!

Immerhin: Geräte mit „Google Safe Browsing“-Schutz hätten erfolgreich das Öffnen von Links blockiert. „Ein Warnbildschirm wurde anzeigt und vom Nutzer eine Bestätigung eingefordert, sollte er den Link tatsächlich anklicken wollen.“ Auch hierbei sei die Schutzqualität aber, abhängig vom verwendeten Browser, unterschiedlich ausgefallen. „Samsung Internet“ beispielsweise, habe effektiv die meisten Links blockiert, einschließlich erweiterter benutzerdefinierter URLs, während die Internetbrowser von Xiaomi Mii und OnePlus ihre Nutzer nicht vor bekannten bösartigen Links gewarnt hätten.

„Die Omdia-Forscher rieten Smartphone-Herstellern deshalb dringend, in Punkto Phishing-Schutz weiter nachzurüsten!“ Dem könne nur zugestimmt werden. „Smartphones sollten unbedingt mit einem besseren Phishing-Schutz ausgestattet werden, der sowohl SMS und Sprachanrufe, als auch E-Mails erfolgreich abdecken kann!“

Auch Verbraucher sollten aktiv zur Stärkung der Datensicherheit bei Smartphones beitragen!

Doch nicht nur die Hersteller, auch die Endverbraucher müssten mehr tun. Eine stärkere Sensibilisierung der Nutzer sei nötig und möglich. „Gerade dann, wenn es nicht nur um das private, sondern auch um das Firmenhandy geht. Leicht können Angreifer einen Phishing-Angriff auf das Smartphone nutzen, um sensible Daten zum Unternehmen, seiner Mitarbeiter- und Prozessstruktur oder auch zu Credentials abzugreifen.“

Schulungen, Trainings und Tests seien unerlässlich, wollten Unternehmen die Anfälligkeit ihrer Mitarbeiter für solche und ähnliche Phishing-Angriffe reduzieren. Eine weitere wichtige Maßnahme, an der in den kommenden Jahren kaum ein IT-Entscheider herumkommen werde, sei die Einführung einer modernen „Anti-Phishing & Incident Response Management“-Lösung. KI-gestützt und gefüttert über einen „Global Threat Feed“, ermöglichten diese eine automatische Bedrohungserkennung und -beseitigung, mit der Unternehmen auch und gerade E-Mail-basierte Phishing-Angriffe endlich in den Griff bekommen könnten.

Weitere Informationen zum Thema:

PR Newswire, Omdia, 20.01.2025
Omdia survey finds phishing attacks top smartphone security concern for consumers

datensicherheit.de, 21.06.2023
Urlaubszeit: Dienst-Smartphones können unterwegs zur Gefahr für Unternehmen werden / Laut Umfrage von G DATA nutzen über 80 Prozent der Deutschen auf Reisen freies WLAN mit ihrem Firmen-Smartphone

datensicherheit.de, 23.06.2021
Blindes Vertrauen: Deutschen vernachlässigen Smartphone-Sicherheit / Neue McAfee-Studie zeigt, dass die Deutschen zu wenig für ihre Smart-Device-Sicherheit tun

[datensicherheit.de, 23.01.2025] KnowBe4 hat sich nach eigenen Angaben umfassend mit dem Management menschlicher Risiken befasst und hierzu am 22. Januar 2025 die Veröffentlichung eines detaillierten Forschungspapiers mit dem Titel „Cyber Insurance and Security: Meeting the Rising Threat“ bekanntgegeben. Diese Studie befasst sich demnach mit der immer wichtiger werdenden Schnittstelle zwischen Cyber-Sicherheit sowie -Versicherung und beschreibt die Untersuchung der sich ständig weiterentwickelnden Bedrohungslandschaft, mit der Unternehmen weltweit konfrontiert sind.

Foto: KnowBe4

Stu Sjouwerman: Cyber-Sicherheit darf keine isolierte IT-Funktion bleiben!

Insbesondere in den USA, im Nahen Osten und in Europa alarmierender Anstieg der Schwere und Häufigkeit von Cyber-Schäden

Da die digitale Infrastruktur für den Geschäftsbetrieb immer wichtiger werde, könne ein mangelnder Schutz dieser Systeme katastrophale Folgen haben. Das Forschungspapier hebt hervor, dass die durchschnittlichen Kosten einer Datenpanne bis 2024 auf 4,88 Millionen US-Dollar gestiegen seien, wobei es erhebliche regionale Unterschiede gebe. Insbesondere in den Vereinigten Staaten von Amerika, dem Nahen Osten und in Europa sei ein alarmierender Anstieg der Schwere und Häufigkeit von Cyber-Schäden zu beobachten, was auf ein globales Problem hinweise, das sofortige Aufmerksamkeit und Maßnahmen erfordere.

„Die Studie untersucht die Beziehung zwischen Cyber-Sicherheitspraktiken und Cyber-Versicherungen und stellt fest, dass die Versicherer bei der Festlegung von Deckung und Prämien zunehmend auf starke Sicherheitsmaßnahmen achten.“ Sie unterstreiche die Wirksamkeit kontinuierlicher Schulungen zum Sicherheitsbewusstsein, um die Anfälligkeit eines Unternehmens für Angriffe zu verringern.

„Cyber Insurance and Security: Meeting the Rising Threat“ – wichtigste Ergebnisse:

Eskalierende Kosten von Cyber-Angriffen
Die Kosten von Cyber-Angriffen stiegen rapide an und gingen über unmittelbare Betriebsunterbrechungen hinaus – und umfassten auch Rechtskosten, Geldbußen und Reputationsschäden. IBM habe von einem deutlichen Anstieg der Kosten für Sicherheitsverletzungen berichtet, was die dringende Notwendigkeit eines robusten Risikomanagements unterstreiche.

Komplexe Bedrohungslandschaft
Cyber-Bedrohungen stünden heute weltweit an erster Stelle, wobei „Social Engineering“ und Phishing den Ton angäben. Dieser Trend unterstreiche die Notwendigkeit, die menschliche Abwehr gegen diese gezielten Angriffe zu stärken.

Herausforderungen für KMU
Kleine und mittlere Unternehmen seien unverhältnismäßig stark von Cyber-Vorfällen betroffen. Ihre durchschnittlichen Kosten seien zwar geringer, aber die finanziellen Folgen könnten verheerend sein und erforderten maßgeschneiderte Sicherheitsstrategien.

Zunehmende rechtliche Komplexität
Die Ausweitung der Datenschutzgesetze führe zu einer Zunahme von Sammelklagen, vor allem in den USA, mit potenziellem Wachstum in Europa, was Unternehmen weltweit dazu veranlasse, der Einhaltung von Vorschriften Priorität einzuräumen.

Menschliche Faktoren
Menschliche Faktoren seien nach wie vor der am meisten verwundbare Aspekt der Cyber-Sicherheit, da sie für 75 Prozent der Datenschutzverletzungen verantwortlich seien.

Notwendigkeit eines mehrschichtigen Ansatzes, welcher modernste Cyber-Sicherheitsmaßnahmen mit umfassendem Versicherungsschutz kombiniert

„In der heutigen vernetzten Welt nehmen die Komplexität und die Häufigkeit von Cyber-Bedrohungen in einem noch nie dagewesenen Ausmaß zu“, betont Stu Sjouwerman, „CEO“ von KnowBe4. Er kommentiert: „Diese neueste Studie zeigt deutlich, dass Unternehmen, unabhängig von ihrer Größe, einen proaktiven und umfassenden Ansatz zur Cyber-Sicherheit verfolgen müssen. Cyber-Sicherheit darf keine isolierte IT-Funktion bleiben! Vielmehr muss sie als eine zentrale Komponente der Unternehmensstrategie verstanden werden, die sicherstellt, dass das technologische Risikomanagement durch solide menschliche Abwehrmaßnahmen und umfassende Risikomanagementpraktiken, einschließlich Cyber-Versicherungen, unterstützt wird.“

Um diesen wachsenden Herausforderungen erfolgreich zu begegnen, unterstreiche die vorliegende Studie die Notwendigkeit eines mehrschichtigen Ansatzes, welcher modernste Cyber-Sicherheitsmaßnahmen mit umfassendem Versicherungsschutz kombiniere. Ein Schwerpunkt auf Prävention, Sicherheitskultur und Bildung in Verbindung mit strategischen Partnerschaften zwischen Unternehmen, Versicherern und Cyber-Sicherheitsexperten sei von entscheidender Bedeutung.

Weitere Informationen zum Thema:

KnowBe4
Cyber Insurance and Security: Meeting the Rising Threat

[datensicherheit.de, 22.01.2025] „Kürzlich haben Forscher von Malwarebytes in einem Blog-Beitrag eine neue Phishing-Kampagne vorgestellt, die auf Gamer abzielt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Die Opfer seien dabei mit dem Angebot, sogenannter Beta-Tester eines neuen Videospiels werden zu können, geködert worden. „Laden sie sich eine Archivdatei, die das vermeintliche Spiel enthält, auf ihr System herunter, befinden sich ,Infostealer’ unter den Daten.“ Deren Ziel sei das Abgreifen von Finanzdaten – sowie der Kontaktdaten etwaiger Gaming-Freunde.

Foto: KnowBe4

Dr. Martin J. Krämer rät zu regelmäßigen Phishing-Tests und Schulungen zur Erweiterung des digitalen Sicherheitsbewusstseins

Phishing-Angreifer setzen neben herkömmlichen E-Mails und Textnachrichten auf Direktnachrichten der Gaming-Chat-App „Discord“

Um mit ihren potenziellen Opfern in Kontakt zu treten, setzten die Angreifer, neben herkömmlichen E-Mails und Textnachrichten, auf Direktnachrichten der Gaming-Chat-App „Discord“. Die Angeschriebenen würden gefragt, ob sie Interesse daran hätten, Beta-Tester für ein neues Videospiel werden. „Um die Anfrage möglichst realistisch erscheinen zu lassen, geben sich die Angreifer dabei oft als Spiele-Entwickler aus.“

Signalisiert ein Opfer Interesse, würden ihm ein Passwort und ein Download-Link zu einem Archiv geschickt, auf dem sich das Installationsprogramm des Spiels befinden solle. Der Download erfolge dabei in aller Regel über typische Filehosting-Dienste, wie „Dropbox“ und „Catbox“, oder auch das „Discord Content Delivery Network“ (CDN). Häufig kämen hierbei kompromittierte Nutzerkonten zum Einsatz, um die vermeintliche Glaubwürdigkeit dieses Angebots zu unterstreichen.

Lädt ein Phishing-Opfer das Archiv herunter, befindet sich unter den Dateien auch Malware

Dr. Krämer warnt: „Lädt sich ein Opfer dann das Archiv herunter, befindet sich unter den Dateien auch Malware. Um sie zu tarnen, bringen die Angreifer NSIS-Installer und MSI-Installer zum Einsatz. Drei unterschiedliche Infostealer haben die Experten von Malwarebytes ausgemacht: ,Nova Stealer’, ,Ageo Stealer’ und ,Hexon Stealer’.“

Bei „Nova Stealer“ und „Ageo Stealer“ handele es sich um Malware-as-a-Service-Stealer. „Diese sind spezialisiert auf den Diebstahl von Anmeldeinformationen, die in Browsern abgespeichert werden, von Sitzungs-Cookies – von Plattformen wie ,Discord’ und ,Steam’ – sowie von Informationen, die in Zusammenhang mit Krypto-Währungs-Wallets stehen.“ Ein Teil der „Nova Stealer“-Infrastruktur sei ein „Discord“-Webhook, der es Cyber-Kriminellen ermögliche, über den Server Daten an den Client senden zu lassen, sobald ein bestimmtes Ereignis eintritt. So müssten die Angreifer nicht regelmäßig nach den erhofften Informationen suchen, sondern würden automatisch benachrichtigt, sobald diese eintreffen.

Eines der Hauptinteressen der Phishing-Kriminellen scheint die Kompromittierung weiterer „Discord“-Nutzerkonten zu sein

Der „Hexon“-Stealer sei relativ neu. Er basiere auf dem Code von „Stealit Stealer“ und sei in der Lage, „Discord“-Token, 2FA-Backup-Codes, Browser-Cookies, Autofill-Daten, gespeicherte Passwörter, Kreditkartendaten und sogar Informationen zu Krypto-Währungs-Wallets zu exfiltrieren.

„Eines der Hauptinteressen der Kriminellen scheint die Kompromittierung weiterer ,Discord’-Nutzerkonten zu sein. Um erfolgreich in großem Stil Phishing, ,Spear Phishing’ und ,Social Engineering’ betreiben zu können, sind sie auf eine möglichst große Zahl kompromittierter Nutzerkonten angewiesen, über die sie mit ihren potenziellen Opfern interagieren können.“ „Discord“-Konten von Gamern seien da sehr interessant, da viele Opfer mit ihren Freunden über diese Chat-App verbunden seien. Mit den kompromittierten Konten könnten die Angreifer ihren Opfern vorgaukeln, Gamer-Freunde zu sein – und sie dann, zum Beispiel, zu Details ihres Arbeitsplatzes ausfragen.

Angriffskampagne zeigt, dass Phishing, „Spear Phishing“- und „Social Engineering“ immer tiefer in unseren Alltag vordringen

Diese Angriffskampagne zeigt demnach, dass Phishing, „Spear Phishing“- und „Social Engineering“ immer tiefer in unseren Alltag vordringen. Angreifer nutzten mittlerweile jeden sich bietenden Ansatzpunkt, um an Daten zu gelangen, die ihnen für weitere Angriffe dienlich sein könnten. „‚Compromise now, benefit later‘ lautet die Devise. Unternehmen müssen hier stärker gegensteuern. Sie müssen ihr Human Risk Management (HRM) ausbauen und erweitern!“

Regelmäßige Phishing-Tests und Schulungen zur Erweiterung des digitalen Sicherheitsbewusstseins hätten dabei ebenso im Fokus zu stehen, wie der Ausbau der Sicherheit der E-Mail-Kommunikation – zum Beispiel durch die Implementierung KI-gestützter E-Mail-Sicherheitslösungen. „Anders wird der sich stetig verschlechternden Bedrohungslage in Punkto Mitarbeiter-Kompromittierung kaum beizukommen sein“, so Dr. Krämer abschließend.

Weitere Informationen zum Thema:

Malwarebytes LABS, Pieter Arntz, 03.01.2025
“Can you try a game I made?” / Fake game sites lead to information stealers

[datensicherheit.de, 17.12.2024] Nahezu alle Hacker seien der Ansicht, dass durch KI-Tools ein neuer Angriffsvektor entstanden sei. Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, meldet in seiner aktuellen Stellungnahme, dass eine neue Umfrage unter Hackern demnach zeigt, dass KI nicht nur diesen hilft, effizienter zu werden, sondern dass KI selbst „reif für die Ausbeutung“ ist. Nur selten könne man einen Hacker zu seinen Gedanken hinsichtlich Cyber-Angriffen, Cyber-Sicherheitsbemühungen und seiner erwarteten Zukunft befragen – der Bugcrowd-Bericht „2024 Inside the Mind of a Hacker Report“, für den 1.300 Hacker befragt worden seien, enthalte indes eine Fülle von Daten darüber, „wie Hacker KI sehen und welchen Wert sie für sie hat“.

Foto: KnowBe4

Dr. Martin J. Krämer rät, menschliche Komponente zu einer aktiven Schutzschicht gegen Hacker-Angriffe zu machen

Nutzung Generativer KI zur Beschleunigung des Geschäfts hat Schattenseite

• 74 Prozent der Hacker glaubten, dass KI Hacken zugänglicher gemacht habe.
• 86 Prozent glaubten, dass KI ihre Herangehensweise ans Hacken grundlegend verändert habe.
• 77 Prozent nutzten KI-Technologien zum Hacken.

Die letzten beiden Punkte stechen laut Dr. Krämer besonders hervor:

• 82 Prozent glaubten, dass sich die KI-Bedrohungslandschaft zu schnell entwickele, um sich angemessen schützen zu können.
• 93 Prozent glaubten, dass KI-Tools einsetzende Unternehmen Hackern einen neuen Angriffsweg eröffnet hätten.

Die beiden letztgenannten Statistiken würden durch beobachtete Trends bei so einfachen Dingen wie der Zunahme von „gpt“-Betrug, gefälschten Domains und Phishing-Angriffen untermauert, welche allesamt auf das wachsende Interesse von Unternehmen an der Nutzung Generativer KI zur Beschleunigung ihres Geschäfts zurückzuführen seien.

Human Risk Management angesichts neuer Risiken durch KI-basierte Angriffsvektoren der Hacker zunehmend wichtiger

Da Bedrohungsakteure gezielt KI-zentrierte Angriffsvektoren ausnutzten, könne bereits eine Phishing-E-Mail, kombiniert mit dem Interesse des Empfängers an Generativer KI, zu einem erfolgreichen Angriff führen. Unternehmen müssten daher ihre Mitarbeiter durch Sicherheitsschulungen auf diese neuen Bedrohungen vorbereiten und ihre Wachsamkeit fördern.

„Human Risk Management“ werde angesichts neuer Risiken durch KI-basierte Angriffsvektoren immer wichtiger. Dr. Krämer betont: „Während KI-Tools einerseits Hackern neue Möglichkeiten bieten, Sicherheitslücken auszunutzen, bleiben Mitarbeiter oft die erste und effektivste Verteidigungslinie gegen solche Angriffe!“ KI könne durch gezielte Phishing-Attacken, Deepfake-Technologien oder die Automatisierung von Social-Engineering-Angriffen direkt auf die „Schwachstelle Mensch“ abzielen.

Genau dort setze das „Human Risk Management“ an: Durch kontinuierliche Schulungen und Sensibilisierungsmaßnahmen würden Mitarbeiter in die Lage versetzt, KI-basierte Bedrohungen zu erkennen und proaktiv darauf zu reagieren. So werde die menschliche Komponente zu einer aktiven Schutzschicht, „die verhindert, dass Hacker Generative KI und andere Technologien erfolgreich für ihre Angriffe ausnutzen“.

Weitere Informationen zum Thema:

Bugcrowd
2024 Inside the Mind of a Hacker Report / Step inside the minds of 1300 hackers and see your organization from a new perspective – with the latest analysis on security researchers, their transformative use of AI, and the rise of hardware hacking

KnowBe4, Stu Sjouwerman, 29.07.2024
Security Awareness Training Blog / Scammers Exploit Interest in Generative AI Tools

KnowBe4
Phishing / More than 90% of successful hacks and data breaches start with phishing scams. Phishing is a threat to every organization across the globe. Get the information you need to prevent attacks. / 2023 Phishing Benchmarking Report