Wer heute angegriffen wird, merkt es oft erst spät – nicht weil die Technik so spektakulär wäre, sondern weil sie so unauffällig ist. Aktuelle Kampagnen setzen auf glaubwürdige Anmeldeabläufe, verschlüsselten Datenverkehr und Werkzeuge, die wie Routinearbeit von IT-Teams aussehen. Auf dem Papier kann ein Unternehmen „aktuell“ sein – und trotzdem überrascht werden.
Mehrere Sicherheitsberichte der vergangenen Wochen zeichnen ein klares Bild: Phishing entwickelt sich zur schwer früh erkennbaren Unternehmensbedrohung, weil es zunehmend auf vertrauenswürdige Infrastruktur und legitime Login-Prozesse baut. Parallel werden Schwachstellen aktiv ausgenutzt – etwa bei Cisco im Produkt Catalyst SD-WAN Manager. Die Botschaft dahinter ist unbequem: Es braucht kein Hollywood-Szenario. Eine Kette aus scheinbar banalen Schritten reicht.
OAuth Trap: Wenn „Anmelden“ in Wahrheit „Zugriff erlauben“ bedeutet
Bei „OAuth Trap“ geht es nicht um dubiose Anhänge, sondern um psychologische Routine: klicken, bestätigen, weiterarbeiten. Angreifer lotsen Nutzer in Anmelde- und Freigabeprozesse, die wie alltägliches Single-Sign-on (SSO) wirken – inklusive vertrauter Berechtigungsfenster und Einwilligungsdialoge. Genau diese Glaubwürdigkeit senkt die Wachsamkeit.
Der entscheidende Punkt: Moderne Phishing-Varianten müssen nicht mehr offensichtlich „falsch“ aussehen. E-Mails verweisen auf seriös wirkende Domains, die Login-Seite passt optisch, der Datenverkehr ist verschlüsselt – und der kritische Moment liegt in der Zustimmung zu einer App-Berechtigung. Der Nutzer glaubt, er melde sich an, erteilt er Zugriff.
Das Risiko endet nicht beim kompromittierten Konto. OAuth-Mechanismen arbeiten mit Tokens und delegierten Rechten: Hat ein Angreifer eine Autorisierung erlangt, kann der Zugriff unter Umständen bestehen bleiben, selbst wenn Passwörter geändert werden. Deshalb rücken in vielen Unternehmen die Freigaberichtlinien und die Kontrolle von Drittanbieter-Apps in den Fokus.
Abhilfe gibt es nicht mit einer einzelnen „goldenen Regel“. Sinnvoll ist eine Kombination aus regelmäßiger Prüfung autorisierter Anwendungen, Alarmen bei ungewöhnlichen Einwilligungen und bedingtem Zugriff (Conditional Access). Gleichzeitig gilt: Zu viel Reibung bremst Arbeitsabläufe und fördert Umgehung. In der Praxis bewährt sich, Nutzerfreigaben zu begrenzen, sensible Berechtigungen über einen Genehmigungsprozess laufen zu lassen und OAuth-/Token-/SSO-Ereignisse eng zu protokollieren.
EDR-Killer und BYOVD: Erst die Alarmanlage ausschalten, dann zuschlagen
„EDR Killer“ steht für eine Strategie, die viele Ransomware-Gruppen inzwischen fest einplanen: Sicherheitssoftware vor dem eigentlichen Angriff sabotieren. Häufig kommt dabei BYOVD zum Einsatz („Bring Your Own Vulnerable Driver“) – Angreifer nutzen verwundbare Treiber, um hohe Rechte zu erlangen und Endpoint-Detection-and-Response-Systeme (EDR) zu deaktivieren oder zu umgehen.
Brisant ist, dass die Angriffskette wie legitime Administration aussehen kann: privilegierte Aktionen, signierte Komponenten, „saubere“ Befehle in den Logs. Wenn Angreifer ihre Werkzeuge geschickt wählen, verliert selbst ein gutes EDR in Teilen der Sequenz die Sicht – und damit die Fähigkeit, automatisch zu reagieren.
In deutschen Unternehmen entspricht das einem bekannten Muster: Es wird viel in Erkennung investiert, aber zu wenig in die Verhinderung von Manipulation. Wirksame Gegenmaßnahmen sind Härtung (nur freigegebene Treiber zulassen), Regeln zur Reduzierung der Angriffsfläche und Monitoring auf typische Sabotage-Indikatoren. Denn wenn Telemetrie verschwindet, wird Incident Response sofort langsamer – und teurer.
Die Konsequenz ist eine Prioritätenverschiebung: Perfekte Ransomware-Erkennung hilft wenig, wenn der Angreifer das EDR vorher „blind“ macht. Resiliente Organisationen setzen auf zusätzliche Schichten wie zentrale Protokollierung außerhalb der Endgeräte, Integritätsprüfungen, Segmentierung – und sie testen realistisch den Ernstfall „EDR down“.
Phishing ĂĽber Signal: VerschlĂĽsselt heiĂźt nicht automatisch sicher
Phishing verlagert sich zunehmend weg von der E-Mail – hin zu Messengern. Signal, in Deutschland als datenschutzfreundlicher Dienst bekannt, wird dabei als Kanal für Social Engineering missbraucht. Die Transportverschlüsselung schützt die Nachricht auf dem Weg – nicht aber vor Manipulation durch glaubwürdige Absendergeschichten.
Typische Szenarien: ein vermeintlich interner Kontakt, eine „dringende“ Bitte, ein Link zu einer Login-Seite oder eine angebliche IT-Prozedur, die sofort bestätigt werden soll. In Chats wird schneller gelesen, seltener geprüft, häufiger im Fluss reagiert. Öffnet der Link dann einen plausiblen Authentifizierungsprozess, greifen dieselben Mechanismen wie bei OAuth- und klassischem Phishing.
Für die Abwehr ist das unangenehm: Viele etablierte E-Mail-Schutzmaßnahmen – Filter, Sandbox, DMARC – greifen hier nicht. Unternehmen brauchen deshalb klare Nutzungsregeln: keine Anmelde-Links per Chat, keine Abfrage von Codes, zweite Bestätigung bei sensiblen Aktionen. Das ist weniger „Tooling“, aber oft kurzfristig wirksamer.
Gleichzeitig muss die Praxis funktionieren: Wer alles verbietet, treibt Teams auf andere Kanäle. Besser sind verifizierte offizielle Kommunikationswege, einfache Identitätschecks und Schulungen mit aktuellen Beispielen – inklusive Übungen, die Automatismen brechen.
Zombie ZIP: Der alte Dateitrick bleibt gefährlich – gerade im Alltag
„Zombie ZIP“ steht für präparierte Archive, die harmlos wirken, aber gefährliche Inhalte verstecken. ZIP-Dateien passieren häufig Basisprüfungen, sind im Arbeitsalltag normal und werden deshalb schnell geöffnet. Neu ist weniger das Format als die Täuschung: Dateinamen, Ordnerstrukturen und nachgeladene Komponenten können Nutzer – und teils auch Schutzsysteme – in die Irre führen.
In Unternehmen zirkulieren Archive ständig: Dokumentpakete, Exporte, Anhänge, Ablagen. Angreifer können die schädliche Datei in tiefen Verzeichnissen „verstecken“ oder Bezeichnungen wählen, die wie PDFs wirken. Wird die eigentliche Nutzlast später über verschlüsselte Verbindungen nachgeladen, entstehen zusätzliche blinde Flecken.
Das erhöht den Druck auf die Arbeitsplatz-Strategie. Wer Ausführungen aus dem Download-Ordner oder aus temporären Verzeichnissen unkontrolliert zulässt, spielt Risiko-Lotterie. Wirksam sind Anwendungssteuerung, Einschränkungen für Skripte und Makros sowie Verhaltensüberwachung nach dem Öffnen (Prozessstarts, ausgehende Verbindungen, Persistenzversuche).
Auch hier gilt: Zu strikte Filter blockieren legitime Arbeit – etwa in Bereichen, die täglich mit Archiven umgehen. Praktikable Ansätze sind definierte Ausnahmen, geprüfte Upload-Bereiche und serverseitiges Entpacken statt Entpacken auf dem Endgerät.
Cisco Catalyst SD-WAN Manager: Aktiv ausgenutzte Schwachstellen erhöhen den Patch-Druck
Neben Social Engineering bleibt die klassische Schwachstelle ein Einfallstor – vor allem, wenn sie „in freier Wildbahn“ ausgenutzt wird. Cisco hat mitgeteilt, dass zwei Sicherheitslücken im Catalyst SD-WAN Manager (früher vManage) aktiv angegriffen werden. Eine davon: CVE-2026-20122 mit einem CVSS-Score von 7,1. Beschrieben wird eine Schwachstelle, die es einem entfernten, authentifizierten Angreifer erlaubt, beliebige Dateien auf dem lokalen System zu überschreiben.
Das Wort „authentifiziert“ wird in der Praxis oft verharmlost. Doch Zugangsdaten werden gestohlen, wiederverwendet oder über bereits kompromittierte Konten erlangt. Gerade ein SD-WAN-Managementsystem ist ein Hochwertziel: Es steuert Netzverbindungen und Richtlinien – und kann damit als Sprungbrett für weitere Kontrolle oder gezielte Störungen dienen.
Der Fall passt in ein größeres Muster: Sicherheitsupdates kommen in Wellen, teils mit Dutzenden Lücken, darunter immer wieder aktiv ausgenutzte „Zero Days“. Die Zeit zwischen Veröffentlichung und Ausnutzung schrumpft. Wenn IT-Teams unter Zeitdruck stehen, wird falsch priorisiert oder zu spät aktualisiert – oft aus Mangel an Testkapazität und Wartungsfenstern.
Realistisch ist daher nicht „alles sofort patchen“, sondern strukturiert vorgehen: sauberes Inventar, Bewertung der tatsächlichen Exponierung, Segmentierung und Monitoring auf Ausnutzungsindikatoren bei kritischen Systemen. Und ein Update-Plan, der nicht erst greift, wenn der Alarm schon läuft – denn dann zeigt sich häufig, dass Zuständigkeiten und Systemübersichten fehlen.
Wichtige Punkte
- Modernes Phishing imitiert legitime Abläufe, insbesondere über OAuth und verschlüsselte Flows.
- EDR-Killer- und BYOVD-Techniken zielen darauf ab, die Abwehr vor dem Hauptangriff zu neutralisieren.
- Messenger wie Signal werden zu einem eigenständigen Kanal für Social Engineering.
- Manipulierte Archive wie Zombie ZIP bleiben dank der Alltäglichkeit der Formate wirksam.
- Aktiv ausgenutzte Schwachstellen, wie CVE-2026-20122 bei Cisco, verringern den Reaktionsspielraum.
Häufig gestellte Fragen
Warum ist OAuth Trap schwerer zu erkennen als klassisches Phishing?
Weil der Angriff auf Authentifizierungsabläufen basiert, die wie normale Anmeldungen wirken – mit glaubwürdigen Seiten und teils legitimer Infrastruktur. Das schwache Signal liegt in der erteilten Zustimmung und in der Nutzung der Tokens, nicht in einer offensichtlich bösartigen Datei.
Was ist ein BYOVD-Angriff gegen ein EDR?
BYOVD bedeutet „Bring Your Own Vulnerable Driver“. Der Angreifer bringt einen verwundbaren Treiber mit oder nutzt ihn aus, um hohe Rechte auf dem System zu erlangen, und versucht anschließend, das EDR zu deaktivieren oder zu umgehen. Ziel ist es, die Sichtbarkeit zu reduzieren und automatische Reaktionen zu verhindern.
SchĂĽtzt die VerschlĂĽsselung von Signal vor Phishing?
Die Verschlüsselung schützt den Transport der Nachrichten, nicht die Entscheidung des Nutzers. Wenn eine Nachricht dich dazu bringt, auf einen Link zu klicken oder eine Aktion zu bestätigen, bleibt das Risiko bestehen. Die Abwehr beruht auf Nutzungsregeln, Identitätsprüfung und internen Prozessen.
Warum kann ein ZIP-Archiv in Unternehmen gefährlich sein?
Weil es täuschende Dateien verbergen kann, Verzeichnisstrukturen, die das gefährliche Element „untergehen“ lassen, oder nach dem Öffnen eine Ausführungskette auslösen kann. Kontrollen sollten Analyse, die Einschränkung der Ausführung aus risikoreichen Ordnern und verhaltensbasierte Überwachung abdecken.
Ist eine „authentifizierter Angreifer“-Schwachstelle weniger dringend zu beheben?
Nicht unbedingt. Zugangsdaten können gestohlen, wiederverwendet oder nach einer ersten Kompromittierung erlangt werden. Bei kritischen Komponenten wie einem SD-WAN-Manager kann eine authentifizierte Ausnutzung erhebliche Auswirkungen haben. Die Priorität hängt von der Exponierung, den Zugriffskontrollen und Hinweisen auf aktive Ausnutzung ab.
Quellen
En tant que jeune média indépendant, The Inquirer 🇫🇷 a besoin de votre aide. Soutenez-nous en nous suivant et en nous ajoutant à vos favoris sur Google News. Merci !
