Die Zwei-Faktor-Authentifizierung (2FA) zählte lange Zeit als nahezu unüberwindbare Barriere gegen Phishing-Angriffe. Doch Cyberkriminelle haben ihre Methoden weiterentwickelt und schaffen es mittlerweile, auch diese zusätzliche Sicherheitsstufe zu umgehen und in Netzwerke und Systeme zu gelangen. Wie funktionieren diese neuen Angriffsmethoden und wie können Unternehmen sich effektiv davor schützen?
Viele Mitarbeiterinnen und Mitarbeiter in Unternehmen haben inzwischen Erfahrung mit Cybersecurity-Schulungen. Besonders das Thema Phishing wurde in den letzten Jahren durch Trainings und der Einführung von Sicherheitsmaßnahmen wie 2FA gezielt adressiert. Dennoch zeigt eine aktuelle Bitkom-Studie, dass die Gefahr nach wie vor hoch ist: Auch im Jahr 2024 waren rund 25 % der befragten Unternehmen von Schäden durch Phishing betroffen. Der Grund: Die verstärkte Absicherung zwingt Angreifer dazu, ihre Strategien weiterzuentwickeln. Das Ergebnis sind neue, ausgeklügelte Phishing-Techniken, die selbst geschulte Mitarbeitende täuschen können und für Unternehmen immense Herausforderungen darstellen.
Aktuelle Phishing-Methoden: Neue Herausforderungen für die Cybersicherheit
Browser-in-the-Browser-Angriffe
Angriffe mittels sogenannter Browser-in-the-Browser-Technik simulieren täuschend echt aussehende Anmeldefenster, wie sie etwa von Zahlungsdiensten wie PayPal bekannt sind. Sie sind darauf ausgelegt, die üblichen Sicherheitsmaßnahmen zu umgehen, die in Awareness-Trainings vermittelt werden. Sogar erfahrene Nutzer haben oft Schwierigkeiten, solche Angriffe zu erkennen und alle eingegebenen Daten inklusive 2FA-Codes landen direkt in den Händen der Cyberkriminellen.
Evilginx
Eine weitere Bedrohung ist Evilginx, ein Open-Source-Framework, das Hackern ermöglicht, sich zwischen den Benutzer und den Zielserver zu schalten. Dabei werden Anmeldedaten und sogenannte Access Tokens abgefangen – selbst bei aktivierter Zwei-Faktor-Authentifizierung. Mit einem erbeuteten Access Token erhalten Angreifer dementsprechende Berechtigungen des Users und können als authentifizierter Nutzer agieren, beispielsweise E-Mails in seinem Namen versenden oder Malware auf Unternehmensplattformen wie SharePoint hochladen. Ein solcher Angriff öffnet die Türen für interne Angriffe und die Verbreitung von Malware.
Device Code Phishing
Auch das Device Code Phishing ist eine zunehmend verbreitete Technik. Angreifer täuschen hier Authentifizierungsprozesse vor, die für Geräte ohne Tastatur wie Smart-TVs gedacht sind. Durch die Kombination mit Social Engineering, etwa indem sie sich als IT-Support ausgeben, gewinnen sie das Vertrauen des Opfers und bringen es dazu, einen Code auf einer offiziellen Login-Seite einzugeben. Damit autorisiert das Opfer unwissentlich den Zugriff des Angreifers, der so Zugang zum Benutzerkonto erhält – ohne jemals einen Benutzernamen oder ein Passwort zu benötigen.
Im Vergleich zu älteren Techniken sind diese fortschrittlichen Phishing-Methoden sehr viel schwieriger zu erkennen. Klassische Sicherheitsmaßnahmen wie Einmalpasswörter (OTP) oder Push-Benachrichtigungen bieten oft keinen ausreichenden Schutz mehr, da sie von Angreifern leicht umgangen werden können. Welche Strategien und Technologien können Unternehmen jetzt ergreifen, um diesen neuen Bedrohungen effektiv zu begegnen?
Wie sich Unternehmen jetzt schützen können
Um Phishing-Angriffen wirksam entgegenzutreten, ist ein ganzheitlicher Ansatz erforderlich. Neben technischen Schutzmaßnahmen spielt die Sensibilisierung der Mitarbeiter eine zentrale Rolle. Regelmäßige, praxisnahe Schulungen, die moderne Phishing-Methoden simulieren und den Teilnehmenden reale Bedrohungsszenarien vor Augen führen, schaffen ein tiefes Bewusstsein für die Gefahr. Solche Simulationen erzeugen wichtige Aha-Momente, die dazu beitragen, das Erlernte gezielt im Alltag anzuwenden.
Doch Schulungen allein genügen nicht. Unternehmen benötigen zusätzlich robuste technische Schutzvorkehrungen. Neben optimierten Anti-Phishing-Filtern gehören unter anderem auch klare Richtlinien für den E-Mail-Verkehr dazu. Besonders wirksam sind moderne Authentifizierungsmethoden wie FIDO2 (Fast Identity Online) und Passkeys, die eine passwortfreie Anmeldung ermöglichen. Diese Technologien nutzen kryptografische Schlüsselpaarungen, die sicher auf einem Gerät gespeichert und durch biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung geschützt sind. Der entscheidende Vorteil von FIDO2 ist die Immunität gegenüber Man-in-the-Middle-Angriffen: Die Schlüssel sind fest an die Domain des jeweiligen Dienstes gebunden. Versucht ein Angreifer, den Nutzer auf eine gefälschte Seite zu locken, schlägt der Login fehl, da die Schlüsselpaare nur mit der korrekten Domain kompatibel sind. Zudem verbleibt der private Schlüssel immer auf dem Gerät und wird nicht übertragen, wodurch auch Datenlecks bei Diensteanbietern keine Gefahr darstellen. Neben der erhöhten Sicherheit überzeugen diese Verfahren durch Benutzerfreundlichkeit: Sie sind schneller, unkomplizierter und erhöhen dadurch die Akzeptanz bei den Nutzern.
Falls ein Angriff dennoch erfolgreich sein sollte, kommt es auf eine schnelle Reaktion an. Ein leistungsfähiges Security Operations Center (SOC) ist in der Lage, sämtliche Logdaten zentral über ein Security Incident & Event Management-System (SIEM) zu erfassen. In Kombination mit SOAR (Security Orchestration, Automation and Response) wird die gesamte IT-Umgebung kontinuierlich überwacht, sodass verdächtige Aktivitäten in Echtzeit erkannt und gestoppt werden können.
Effektive Abwehr mit Expertenunterstützung
Für viele mittelständische Unternehmen ist der Aufbau eines eigenen Security Operations Centers (SOC) aufgrund begrenzter Ressourcen oft nicht realisierbar. Der Mangel an Fachkräften, die wachsende Komplexität moderner Sicherheitsmanagementsysteme und die Vielzahl an Sicherheitswarnungen bewirken, dass Sicherheitsvorfälle häufig zu spät erkannt werden. Um diese Herausforderungen zu meistern, können Unternehmen auf die Unterstützung eines Managed Security Service Providers (MSSP) wie indevis zurückgreifen, der Managed Detection and Response (MDR) anbietet. Damit stellt ein MSSP Unternehmen ein umfassendes Sicherheits-Toolset sowie ein professionell betriebenes SOC mit hochqualifizierten Analysten zur Verfügung. Er übernimmt die Integration und Überwachung der Log-Quellen, sorgt für den reibungslosen Betrieb der Sicherheitslösung und aktualisiert Playbooks fortlaufend, um auf neue Bedrohungsszenarien vorbereitet zu sein.
Zeigen sich Anzeichen für einen sicherheitsrelevanten Vorfall, benachrichtigen die Analysten des MSSP das Unternehmen und arbeiten eng mit ihm zusammen, um den Vorfall zu analysieren und konkrete Gegenmaßnahmen zur Eindämmung zu empfehlen.
Bei Bedarf werden auch Expertinnen und Experten wie IT-Forensiker konsultiert, um komplexe Angriffe aufzuklären. Darüber hinaus unterstützt der MSSP bei der Umsetzung von Schutzmaßnahmen und ermöglicht durch Pentesting die Validierung der eingesetzten Sicherheitslösungen.
Fazit: Mehrschichtige Abwehrstrategien für einen wirksamen Schutz
Die Bedrohung durch Phishing bleibt hoch, da Angreifer ihre Methoden stetig weiterentwickeln. Um diesen Angriffen wirksam zu begegnen, ist eine Defense-in-Depth-Strategie unerlässlich – eine aus mehreren Schichten bestehende Sicherheitsstrategie. Unternehmen sollten auf regelmäßige Schulungen zur Sensibilisierung der Mitarbeitenden, moderne Authentifizierungsmethoden wie FIDO2 und Passkeys sowie auf SIEM- und SOC-gestützte Sicherheitssysteme setzen, die Bedrohungen frühzeitig erkennen und abwehren können.
Für kleine und mittelständische Unternehmen, die ein eigenes SOC nicht wirtschaftlich betreiben können, bieten MSSPs eine attraktive Lösung. Mit MDR-Services wie von indevis profitieren sie von umfassendem Fachwissen und modernster Technologie, ohne den Aufwand und die Kosten eines eigenen SOC tragen zu müssen. So können auch kleinere Unternehmen Zugang zu einem Sicherheitsniveau erhalten, das mit dem großer Konzerne vergleichbar ist. Damit machen sie es Phishing-Angreifern erheblich schwerer, erfolgreich zu sein, und schützen ihre sensiblen Daten zuverlässig.
