Hacker dringen nicht mehr nur mit einfachen Phishing-Mails in Systeme ein – sie manipulieren die Infrastruktur großer Dienstleister, um Sicherheitsfilter zu umgehen und automatisierte Angriffe durchzuführen. Von Finanzplattformen bis zu Gesundheitskonzernen: Die aktuelle Angriffswelle markiert einen strategischen Wandel hin zu sogenannten „agentischen“ Attacken.
Hacker nutzen immer raffiniertere Methoden wie den „Punkt-Alias“-Trick, um selbst offizielle Sicherheitswarnungen täuschend echt zu fälschen. In diesem kostenlosen Report erfahren Sie, wie Sie Passkeys bei Amazon, Microsoft und WhatsApp einrichten und sich so effektiv vor Phishing schützen. Was hinter Passkeys steckt – jetzt gratis nachlesen
Sicherheitslücken in Robinhood und GitHub: Wenn vertraute Absender täuschen
Erst Anfang der Woche entdeckten Sicherheitsforscher eine schwerwiegende Schwachstelle im Anmeldeverfahren der Finanzplattform Robinhood. Angreifer nutzten eine HTML-Injection-Lücke, um systemgenerierte E-Mails zu manipulieren. Der Trick: Sie verwendeten Gmail’s „Punkt-Alias“-Funktion – Punkte in E-Mail-Adressen werden vom Anbieter ignoriert, von der Zielplattform aber als eindeutig behandelt. So umgingen die Hacker die Sicherheitschecks SPF und DKIM und versendeten Phishing-Links von einer offiziellen Robinhood-Adresse. Die betrügerischen Nachrichten waren von echten Sicherheitswarnungen kaum zu unterscheiden. Zwar patchte das Unternehmen den Fehler sofort und betonte, dass keine Kundengelder geflossen seien – der Vorfall zeigt jedoch, wie riskant blindes Vertrauen in offizielle Kommunikationswege sein kann.
Noch brisanter: Eine kritische Schwachstelle in GitHub Enterprise, bekannt als CVE-2026-3854, ermöglicht Fernzugriff auf Server durch einen simplen Befehlseinschleusungsangriff beim „git push“-Prozess. Entdeckt Anfang März, detailliert beschrieben Ende April: Die Lücke könnte zu einer vollständigen Serverübernahme führen. GitHub schloss das Leck innerhalb weniger Stunden – doch Berichten zufolge blieb die Mehrheit der Unternehmensinstanzen zum Zeitpunkt der Veröffentlichung ungepatcht. Millionen von Repositorys waren potenziell automatisierten Angriffen ausgesetzt.
BlobPhish und die unsichtbare Gefahr im Browser-Speicher
Parallel dazu erreichte die Kampagne „BlobPhish“, die seit Ende 2024 aktiv ist, im Februar 2026 ihren Höhepunkt. Laut Berichten vom 28. April nutzt diese Kampagne Browser-Blob-URLs, um Zugangsdaten von Microsoft-365-Nutzern und Finanzinstituten in den USA und Europa zu stehlen. Da diese Phishing-Seiten nur im temporären Speicher des Browsers existieren und keine statischen Dateien auf der Festplatte hinterlassen, umgehen sie mühelos traditionelle URL-Reputationsscanner und E-Mail-Gateways. Die gestohlenen Daten werden häufig über kompromittierte WordPress-Websites abtransportiert – eine Spur, die Ermittler kaum verfolgen können.
Gezielte Angriffe auf Führungsetagen: Deepfakes und falsche Steuerprüfungen
Doch nicht nur die Infrastruktur ist bedroht – spezialisierte Gruppen setzen auf maßgeschneiderte Köder. Die mit Nordkorea verbundene Gruppe BlueNoroff, ein Ableger der berüchtigten Lazarus-Organisation, hat eine massive Spear-Phishing-Kampagne gegen über 100 Kryptowährungsfirmen in mehr als 20 Ländern gestartet. Seit Ende Januar 2026 setzen die Hacker auf Deepfake-Videos und typosquatted Links für Plattformen wie Zoom und Microsoft Teams, um Top-Manager zu täuschen. Die Forschung zeigt: 45 Prozent der Ziele waren CEOs – ein hochfokussierter Angriff auf die Entscheidungsträger der digitalen Asset-Branche.
In Asien ist die China-nahe Gruppe „Silver Fox“ aktiv. Sie nutzt gefälschte Steuerprüfungen und Software-Updates, um Schadsoftware zu verbreiten. Seit Jahren aktiv, zeigt die Gruppe seit Anfang 2026 einen erneuten Fokus auf Spionage. Ihre Ziele: Gesundheits- und Finanzsektor in Taiwan, Japan und Südostasien. Ihre Taktik umfasst Python-basierte Datendiebstahler und die „Bring Your Own Vulnerable Driver“-Technik (BYOVD), um lokale Sicherheitssoftware auf den Opferrechnern zu deaktivieren.
Selbst private Kommunikation bleibt nicht verschont. Eine aktuelle Welle von Phishing-Angriffen nutzt gefälschte Party-Einladungen von Plattformen wie Paperless Post und Evite. Diese Nachrichten stammen oft von kompromittierten Konten bekannter Bekannter und nutzen die Angst, etwas zu verpassen, um Nutzer zur Installation von Malware oder zur Eingabe von Passwörtern zu bewegen. Experten raten: Vage Formulierungen in solchen Einladungen sind ein klares Warnsignal.
Datenlecks und Erpressung: Die neue Welle der Ransomware
Die Folgen erfolgreicher Angriffe werden immer gravierender – aus Datendiebstahl wird mehrdimensionale Erpressung. Der Medizintechnikkonzern Medtronic bestätigte am 28. April 2026 einen Sicherheitsvorfall, nachdem die Hackergruppe ShinyHunters behauptete, neun Millionen Datensätze gestohlen zu haben. Zwar betonte das Unternehmen, dass Patientensicherheit und Produktionsbetrieb nicht betroffen seien – die Entfernung von der Leak-Seite der Hacker lässt jedoch auf eine mögliche Einigung oder Lösegeldzahlung schließen.
ShinyHunters steht auch hinter weiteren Großvorfällen dieses Monats: ein Datenleck bei Pitney Bowes mit 25 Millionen angeblich kompromittierten Datensätzen nach einem Phishing-Angriff auf ein Mitarbeiterkonto Anfang April. Zudem traf es den Bildungsverlag McGraw Hill und die Videoplattform Vimeo – letztere über einen Drittanbieter-Vorfall. Im Fall Vimeo forderten die Angreifer die Herausgabe technischer Metadaten und Kunden-E-Mails, während Kernvideoinhalte und Zahlungsdaten sicher blieben.
Diese Ära des „Ransomware 3.0″ konzentriert sich stark auf Datendiebstahl statt bloßer Verschlüsselung. In Indien beobachten Analysten, dass fast alle aktuellen Ransomware-Angriffe auf Backupsysteme abzielen – mit hoher Erfolgsquote. Der finanzielle Druck auf kriminelle Gruppen scheint sich zu verschieben: Während die Zahl der Angriffe im Vorjahr um 50 Prozent stieg, sank der Gesamtwert der Kryptowährungszahlungen an Ransomware-Akteure tatsächlich. Ein Zeichen, dass Unternehmen widerstandsfähiger werden oder Strafverfolgungsbehörden das traditionelle Geschäftsmodell der Cyberkriminalität stören.
Angesichts massiver Datenlecks bei Großkonzernen und gezielter Hacker-Attacken müssen Unternehmen ihre IT-Sicherheit ohne teure Investitionen stärken. Dieses Gratis-E-Book enthüllt, wie Sie Sicherheitslücken schließen und proaktiv Bedrohungen abwenden, bevor es zu spät ist. IT-Sicherheits-Checkliste jetzt kostenlos herunterladen
KI als Waffe und Schutzschild
Als Reaktion auf diese eskalierenden Bedrohungen integrieren große Technologieanbieter zunehmend künstliche Intelligenz in ihre Verteidigungsstrategie. Sandra Joyce, Vizepräsidentin von Google Threat Intelligence, warnte Ende April: KI senkt die technische Einstiegshürde für Angreifer und ermöglicht größere Skalierung und Geschwindigkeit bei Kampagnen. Zwar wurden „agentische“ Massenangriffe – bei denen KI-Agenten autonom Schwachstellen suchen und ausnutzen – noch nicht in großem Maßstab beobachtet, doch Google berichtet, dass die Entwicklung solcher Fähigkeiten rasant voranschreitet. Zur Abwehr setzt Google seine Gemini-KI-Modelle für Dark-Web-Analysen ein – mit einer gemeldeten Treffergenauigkeit von 98 Prozent bei der Identifizierung neuer Bedrohungen.
Auch die regulatorische Landschaft verschärft sich. In Indien erhöht das Digital Personal Data Protection (DPDP) Act von 2023 den Druck auf Organisationen, robuste Sicherheitsrahmen zu schaffen. Der FBI-Bericht von 2025 zeigte, dass Amerikaner innerhalb eines Jahres über 20 Milliarden Dollar durch Betrug verloren – das Bureau führte daraufhin eine eigene Kategorie für KI-gestützten Betrug ein. Diese neue Kategorie verzeichnet bereits fast 900 Millionen Dollar an gemeldeten Verlusten.
Ausblick: Der Wettlauf zwischen Angriff und Abwehr
Die Cybersicherheitslandschaft für den Rest des Jahres 2026 wird voraussichtlich vom Wettstreit zwischen KI-gesteuerten Offensivwerkzeugen und automatisierten Abwehrsystemen geprägt sein. Kommende Branchenberichte, darunter eine detaillierte Analyse der Phishing-Trends für Anfang Mai 2026, deuten darauf hin, dass der Diebstahl von Zugangsdaten für Microsoft 365 und Angriffe auf Kollaborationstools wie Microsoft Teams dreistellige Wachstumsraten verzeichnen.
Sicherheitsexperten betonen: Traditionelle Schutzmaßnahmen wie SMS-basierte Zwei-Faktor-Authentifizierung sind gegen moderne Taktiken zunehmend unzureichend. Die Branche bewegt sich hin zu einer breiteren Einführung von Passkeys, DNS-basiertem Filtern und „Kaltstart“-Protokollen für Hardware – wie in aktuellen Warnungen zu kompromittierten Cisco-Firewalls zu sehen, die eine vollständige Stromunterbrechung erfordern, um persistente Hintertüren zu beseitigen. Da Angreifer ihre Fähigkeit, vertrauenswürdige Systeme zu imitieren, ständig verfeinern, muss der Fokus der Unternehmenssicherheit von der Perimeter-Verteidigung zur kontinuierlichen Überprüfung jeder internen und externen Kommunikation wechseln.
