Die globale Sicherheitslandschaft verändert sich grundlegend: Hochsichere Kommunikationsplattformen wie Signal und Microsoft Teams geraten zunehmend ins Visier professioneller Social-Engineering-Angriffe. Während die Verschlüsselung dieser Dienste nach wie vor robust ist, umgehen Angreifer die technischen Barrieren, indem sie gezielt den Menschen ins Visier nehmen. Künstliche Intelligenz verschärft die Lage zusätzlich – sie senkt die Einstiegshürden für Kriminelle und ermöglicht automatisierte Angriffe in nie dagewesenem Tempo.
Angreifer nutzen immer raffiniertere Methoden, um menschliche Schwachstellen in Unternehmen auszunutzen. Dieser kostenlose Anti-Phishing-Report enthüllt die aktuellen psychologischen Taktiken der Hacker und zeigt Ihnen, wie Sie Ihr Team effektiv schützen. In 4 Schritten zur erfolgreichen Hacker-Abwehr
Signal-Phishing-Welle erreicht Deutschland
Eine groß angelegte Phishing-Kampagne hat in den vergangenen Wochen zahlreiche hochrangige Persönlichkeiten in Deutschland getroffen – darunter Politiker, Diplomaten, Militärangehörige und Journalisten. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Bundesamt für Verfassungsschutz (BfV) bestätigten, dass Angreifer sich als „Signal Support“ ausgeben, um an Nutzerkonten zu gelangen. Bereits im Februar hatte es erste Warnungen gegeben.
Die Masche ist perfide: Die Täter verschicken Nachrichten, die angeblich von einem offiziellen Chatbot stammen, und fordern die Empfänger auf, ihre PIN preiszugeben oder einen QR-Code zu scannen. Gelingt dies, übernehmen die Angreifer das Konto und erhalten Zugriff auf private Chatgruppen.
Die Signal Foundation betont zwar, dass die App selbst nicht gehackt wurde. Doch das Ausmaß der Kampagne hat innerhalb der Bundesregierung eine Beatte über Kommunikationssicherheit ausgelöst. Der Bundestag erwägt offenbar den Umstieg auf europäische Alternativen wie Wire – die IuD-Kommission soll am 5. Mai darüber beraten. Auch die Geheimdienste der Niederlande und der USA beobachten ähnliche Muster. Die deutsche Regierung vermutet russische Staatsakteure hinter der Orchestrierung. Signal selbst kündigte an, in den kommenden Wochen Schutzmaßnahmen zu implementieren, und empfiehlt Nutzern weiterhin, die Registrierungssperre zu aktivieren.
Parallel dazu hat Google Threat Intelligence eine Gruppe namens UNC6692 identifiziert, die Microsoft Teams für Phishing-Angriffe nutzt. Die Täter überschütten ihre Opfer mit Spam-Einladungen und geben sich als IT-Helpdesk-Mitarbeiter aus. Sobald Vertrauen aufgebaut ist, wird das Opfer zur Installation einer angeblichen „Mailbox-Reparatur-Software“ überredet – in Wahrheit ein mehrstufiges Schadsoftware-Paket bestehend aus dem JavaScript-Backdoor SnowBelt, dem Python-basierten Tunnel SnowGlaze und dem Backdoor SnowBasin. Ziel ist es, Zugangsdaten zu stehlen und dauerhaften Zugriff auf Unternehmensnetzwerke zu erlangen.
KI revolutioniert die Angriffslandschaft
Die Entwicklung dieser Social-Engineering-Taktiken fällt mit neuen Erkenntnissen von Google Threat Intelligence über die Auswirkungen Künstlicher Intelligenz auf die Cyberkriegsführung zusammen. Branchenbeobachter stellen fest, dass KI die technische Hürde für komplexe Cyberangriffe drastisch senkt. Durch den Einsatz von KI zur Automatisierung können Angreifer Massenkampagnen mit einer Geschwindigkeit durchführen, die zuvor nur gut finanzierten staatlichen Akteuren vorbehalten war.
Zwar sind vollständig autonome, agentische Massenangriffe in freier Wildbahn noch nicht beobachtet worden – doch die Entwicklung solcher Fähigkeiten schreitet rasant voran. Googles Analyse hebt Werkzeuge wie HexStrike MCP hervor, die die zunehmende Raffinesse KI-gestützter Exploits demonstrieren. Gleichzeitig werden dieselben Technologien zur Verteidigung eingesetzt: Google meldet eine 98-prozentige Trefferquote bei der eigenen KI-gestützten Bedrohungsanalyse von Dark-Web-Daten. Auch bei der Bekämpfung von Proxy-Netzwerken gab es Erfolge – eine jüngste Operation gegen das IPidea-Netzwerk führte zu einer 90-prozentigen Reduzierung seiner Exit-Knoten.
Neben Messaging-Plattformen kämpfen auch Finanzdienstleister mit ähnlichen technischen Manipulationen. Ende April zielte eine Phishing-Kampagne auf Robinhood-Nutzer ab, indem sie eine Kombination aus dem „Gmail-Punkt-Trick“ und einer Schwachstelle im Kontoerstellungsprozess der Plattform ausnutzte. Angreifer nutzten unsauber bereinigte HTML-Eingaben im Feld „Gerätename“, um legitim aussehende E-Mails von der offiziellen Robinhood-Adresse zu versenden. Obwohl das Unternehmen bestätigte, dass keine Systeme kompromittiert und keine Gelder gestohlen wurden, zeigt der Vorfall, wie kleine technische Fehler für hochglaubwürdiges Social Engineering genutzt werden können.
Kritische Sicherheitslücken und Infrastrukturrisiken
Während Social Engineering die dominierende Bedrohung bleibt, stellt die Ausnutzung traditioneller Software-Sicherheitslücken weiterhin ein ernstes Risiko für die Sicherheit von Organisationen dar. Microsoft bestätigte kürzlich die aktive Ausnutzung einer Windows-Shell-Sicherheitslücke, die als CVE-2026-32202 identifiziert wurde. Diese Schwachstelle, die von der Bedrohungsgruppe APT28 (auch bekannt als Fancy Bear) genutzt wird, wird von einigen Sicherheitsforschern als Zero-Click-Sicherheitslücke eingestuft. Sie ermöglicht Angreifern das Erfassen von Net-NTLMv2-Hashes und erleichtert so die laterale Bewegung innerhalb eines Netzwerks. Dies folgt auf einen früheren, unzureichenden Patch für eine verwandte Sicherheitslücke im Februar.
Gleichzeitig hat Microsoft einen kritischen Sicherheitsfehler in Entra ID behoben, der als CVE-2026-35431 bezeichnet wird und eine maximale CVSS-Risikobewertung von 10,0 erhielt. Die SSRF-Sicherheitslücke (Server-Side Request Forgery) hätte Spoofing-Angriffe ermöglichen können, obwohl Microsoft erklärte, dass der Fehler vor der Implementierung des Fixes weder öffentlich bekannt noch ausgenutzt wurde.
Die weitreichenden Auswirkungen solcher Sicherheitslücken zeigen sich in der jüngsten Auslieferung von Xu Zewei, einem 34-jährigen mutmaßlichen Auftragshacker des chinesischen Ministeriums für Staatssicherheit. Xu wurde im Juli 2025 in Mailand verhaftet und kürzlich in die USA ausgeliefert, wo er sich in Houston, Texas, vor Gericht verantworten muss. Die Anklage wirft ihm vor, zwischen Februar 2020 und Juni 2021 an Cyberangriffen auf die COVID-19-Impfstoffforschung beteiligt gewesen zu sein und Zero-Day-Sicherheitslücken in Microsoft Exchange-Servern als Teil der Silk-Typhoon-Gruppe ausgenutzt zu haben. Diese Aktivitäten sollen über 12.000 Organisationen in den USA betroffen haben.
Analyse: Der Wandel zur datenzentrierten Erpressung
Die aktuelle Angriffswelle spiegelt einen Wandel in der Strategie der Cyberkriminellen wider, den einige Branchenexperten als „Ransomware 3.0“ bezeichnen. In diesem Modell verlagert sich der Fokus von der bloßen Verschlüsselung von Daten hin zu groß angelegtem Datendiebstahl und mehrstufiger Erpressung. Dieser Trend zeigt sich in jüngsten Sicherheitsverletzungen bei großen Unternehmen. So bestätigte ADT kürzlich einen Datenleck, von dem 5,5 Millionen Kunden betroffen waren, nachdem Angreifer über eine Vishing-Kampagne Zugang zu Okta-Single-Sign-On-Zugangsdaten (SSO) erhalten hatten. Auch Medtronic bestätigte einen Sicherheitsvorfall im Zusammenhang mit seinen IT-Systemen, nachdem die Gruppe ShinyHunters damit gedroht hatte, Millionen von Datensätzen gestohlen zu haben.
Die zunehmende Professionalisierung von Cyberangriffen und neue gesetzliche Anforderungen zur KI-Sicherheit fordern Unternehmen heute massiv heraus. Dieses Gratis-E-Book liefert Ihnen fundierte Strategien, um Sicherheitslücken proaktiv zu schließen und Ihre IT-Infrastruktur langfristig abzusichern. Cyber Security: Bedrohungen abwenden und Ihr Unternehmen schützen
Die Grenzen traditioneller Abwehrmaßnahmen werden zunehmend deutlich. In Japan ergab eine Umfrage Anfang 2026, dass von 222 Unternehmen, die ein Lösegeld zahlten, 63 % ihre Daten nicht wiederherstellen konnten. Darüber hinaus enthalten neue Ransomware-Varianten wie VECT 2.0, die im Februar 2026 entdeckt wurde, kritische Verschlüsselungsfehler, die Dateien größer als 131 KB dauerhaft zerstören – sie wirken also eher als Datenlöscher denn als traditionelle Ransomware. Dies unterstreicht das steigende Risiko, dass selbst die Erfüllung der Forderungen der Angreifer keine Garantie für den Erhalt von Unternehmenswerten bietet.
Ausblick: Souveräne Kommunikation als Antwort
Angesichts der wachsenden Risiken für verschlüsselte Messaging- und Unternehmenskommunikationsdienste zeichnet sich ein Trend zu „souveränen“ Kommunikationslösungen ab. Die mögliche Umstellung der Bundesregierung auf Wire spiegelt einen breiteren europäischen Trend wider, nach Plattformen mit lokalisierter Datenkontrolle zu suchen. In den kommenden Monaten werden Signal und Microsoft voraussichtlich verbesserte Verifizierungsfunktionen einführen, um der Zunahme von Identitätstäuschungs-Phishing entgegenzuwirken.
Das Wettrüsten zwischen KI-gesteuerten Angriffswerkzeugen und defensiven Analysemethoden wird das nächste Jahr der Cybersicherheitsoperationen prägen. Während KI Angreifern hilft, ihre Bemühungen zu skalieren, wird ihre Integration in Sicherheitsoperationszentren zur Notwendigkeit, um die schiere Menge an Bedrohungen zu bewältigen. Organisationen wird zunehmend geraten, sich von backup-basierten Strategien zu lösen und sich stattdessen auf den Schutz von Zugangsdaten und die Echtzeitüberwachung von Kommunikationsplattformen zu konzentrieren, um der sich entwickelnden Bedrohung durch Social Engineering entgegenzuwirken.
