phishing : Wie gezielte Angriffe Ihre Abwehrmaßnahmen umgehen

phishing die präziseste Waffe im Arsenal eines Angreifers. Obwohl es weniger als 0,1 % des gesamten E-Mail-Verkehrs ausmacht, ist es für erschreckende 66 % aller Sicherheitsverletzungen verantwortlich. Der Verizon DBIR 2025 bestätigt, dass phishing in 16 % aller Sicherheitsvorfälle der erste Zugangsweg sind, wobei die durchschnittlichen Kosten pro phishing Sicherheitsverletzung laut dem IBM-Bericht „Cost of a Data Breach bei 4,8 Millionen US-Dollar liegen. Sowohl staatliche Akteure als auch Cyberkriminelle verfeinern ihre Zielauswahl kontinuierlich, und KI beschleunigt diese Bedrohung. Dieser Leitfaden erläutert, wie phishing , was aktuelle Kampagnen über die Vorgehensweisen der Angreifer verraten und wie Sicherheitsteams mehrschichtige Abwehrmechanismen aufbauen können, die Angriffe auch dann erkennen, wenn diese E-Mail-Gateways bereits umgangen haben.

Was ist Speer phishing?

phishing ein gezielter Cyberangriff, bei dem ein Angreifer personalisierte Social-Engineering-Techniken und vorherige Erkundungen nutzt, um überzeugende Nachrichten für bestimmte Personen zu verfassen, die diese dazu verleiten sollen, Zugangsdaten preiszugeben, betrügerische Überweisungen zu autorisieren oder malware auszuführen. Im Gegensatz phishing phishing Präzision vor Quantität.

Diese Definition bringt den wesentlichen Unterschied auf den Punkt: Während phishing generischen phishing Tausende identischer Nachrichten versendet werden, in der Hoffnung, dass ein kleiner Prozentsatz der Empfänger darauf klickt, investieren phishing viel Zeit und Mühe in die Recherche ihrer Ziele, bevor sie auch nur eine einzige E-Mail versenden. Das Ergebnis ist eine Nachricht, die scheinbar von einem vertrauenswürdigen Kollegen, Lieferanten oder Vorgesetzten stammt und sich auf echte Projekte, Fristen oder den organisatorischen Kontext bezieht.

Zu den wichtigsten Merkmalen eines Spear phishing gehören:

• Gezielte Auswahl. Angreifer wählen bestimmte Personen aufgrund ihrer Rolle, ihrer Zugriffsrechte oder ihrer Befugnisse innerhalb einer Organisation aus.
• Individuell angepasste Inhalte. In den Nachrichten werden echte Namen, Projekte, Berichtsstrukturen oder aktuelle Ereignisse erwähnt, um Glaubwürdigkeit zu schaffen.
• Umfassende Erkundung. Angreifer sammeln OSINT-Daten (Open-Source-Informationen) aus LinkedIn, Unternehmenswebsites, SEC-Unterlagen und sozialen Medien, bevor sie ihre Nachrichten verfassen.
• Hochwertige Ziele. Zu den Zielen gehören in der Regel der Diebstahl von Zugangsdaten, Finanzbetrug, malware oder die Erlangung eines ersten Zugriffs, um das Netzwerk weiter zu kompromittieren.

Die Zahlen verdeutlichen, warum phishing besondere Aufmerksamkeit phishing . Eine Analyse von 50 Milliarden E-Mails durch Barracuda ergab, dass phishing zwar weniger als 0,1 % des E-Mail-Aufkommens phishing , jedoch für 66 % aller Sicherheitsverletzungen verantwortlich ist. Der IBM-Bericht „Cost of a Data Breach beziffert die durchschnittlichen Kosten einer phishing Sicherheitsverletzung auf 4,8 Millionen US-Dollar, was diese Methode zum teuersten Vektor für den Erstzugang macht.

Spear phishing Kontext der Cybersicherheit

Innerhalb der MITRE ATT&CK… phishing ear phishing unter T1566 (Phishing) als Taktik für den Erstzugang. Es ist die bevorzugte Methode für fortgeschrittene, hartnäckige Bedrohung Gruppen und staatliche Akteure, die zuverlässigen Zugang zu hochrangigen Zielen benötigen, ohne dabei umfassende Sicherheitsalarme auszulösen. Die Verizon DBIR 2025 identifiziert phishing den dritthäufigsten Erstzugangsweg, der für 16 % aller Sicherheitsvorfälle verantwortlich ist, wobei 60 % der Vorfälle auf menschliches Handeln zurückzuführen sind, wie beispielsweise das Anklicken eines bösartigen Links oder die Beantwortung einer betrügerischen Anfrage.

So phishing

phishing verfolgen einen methodischen Ablauf, bei dem öffentlich zugängliche Informationen in äußerst überzeugende Social-Engineering-Angriffe umgewandelt werden. Das Verständnis der einzelnen Phasen eröffnet Sicherheitsteams Möglichkeiten zur Erkennung dieser Angriffe.

Der Lebenszyklus phishing Spear phishing :

1. Wählen Sie das Ziel anhand der Rolle, der Zugriffsebene oder der Finanzbefugnis aus
2. Informationen über OSINT, soziale Medien und Unternehmensverzeichnisse sammeln
3. Gestalten Sie die Botschaft unter Einbeziehung persönlicher Bezüge, Dringlichkeit und Autorität
4. Wählen Sie den Übermittlungskanal (E-Mail, Kollaborationsplattform, SMS oder Sprache)
5. Die Schadsoftware über einen bösartigen Link, einen manipulierten Anhang oder eine betrügerische Anfrage übertragen
6. Maßnahmen nach dem Einbruch durchführen, darunter das Ausspähen von Anmeldedaten, laterale Bewegung und Datenexfiltration

‍

Es ist hilfreich, den Lebenszyklus theoretisch zu verstehen. Wenn man beobachtet, wie sich eine echte phishing über Endgeräte, Identitätssysteme und Wege der lateralen Bewegung hinweg entfaltet, wird deutlich, wo die Erkennung erfolgreich ist und wo sie typischerweise versagt. Eine strukturierte Aufschlüsselung macht diese Wendepunkte deutlich.

Aufklärungstechniken

Die Erkundungsphase ist das, was phishing gewöhnlichem phishing unterscheidet. Angreifer erstellen anhand frei zugänglicher Quellen detaillierte Profile ihrer Ziele:

• LinkedIn und die Erstellung von Profilen in sozialen Medien. Berufsbezeichnungen, Berichtsstrukturen, kürzlich erfolgte Beförderungen, die Teilnahme an Konferenzen und berufliche Interessen fließen alle in die Personalisierung von Nachrichten ein.
• Recherche auf Unternehmenswebsites und in Organigrammen. „Über uns“-Seiten, Pressemitteilungen, Inhalte zum Thema Investor Relations und Mitarbeiterverzeichnisse geben Aufschluss über die Organisationsstruktur und Kommunikationsmuster.
• Erkennung von E-Mail-Mustern. Angreifer suchen nach gängigen Mustern wie firstname.lastname@company.com, um gültige Adressen zu identifizieren und Ziele für Spoofing-Angriffe zu finden.
• Analyse des Kommunikationsstils von Führungskräften. Bei ausgeklügelten Kampagnen analysieren Angreifer den Schreibstil, den Tonfall und die typischen Anfragen der Person, als die sie sich ausgeben wollen.

Laut SecurityWeek war ein KI-Agent im März 2025 beim phishing um 24 % effektiver phishing menschliche Experten, nachdem er 2023 noch um 31 % weniger effektiv gewesen war. Diese rasante Verbesserung zeigt, wie KI jede Phase des Angriffszyklus beschleunigt.

Social-Engineering-Taktiken

Sobald die Erkundung abgeschlossen ist, nutzen Angreifer psychologische Prinzipien aus, um die Vorsicht ihres Ziels zu überwinden:

• Autorität. Sich als CEO, CFO oder vertrauenswürdiger Lieferant ausgeben, um die Ehrerbietung des Opfers gegenüber Vorgesetzten auszunutzen.
• Dringlichkeit. Künstlicher Zeitdruck wird durch Formulierungen wie „Überweisung muss vor Börsenschluss erfolgen“ oder „Aufgrund eines Sicherheitsvorfalls ist eine sofortige Passwortzurücksetzung erforderlich“ erzeugt.
• Vertrautheit. Bezugnahme auf konkrete Projekte, Kollegen, kürzlich stattgefundene Besprechungen oder anstehende Termine, die nur jemand mit Insiderwissen erwähnen würde.
• Ausnutzung von Vertrauensbeziehungen. Dabei werden kompromittierte legitime Konten anstelle gefälschter Adressen verwendet, wodurch die Absenderauthentifizierung vollständig umgangen wird.

Eine Untersuchung von BrightDefense ergab, dass 82,6 % der zwischen September 2024 und Februar 2025 analysierten phishing KI-generierte Inhalte enthielten. Dies deutet darauf hin, dass Angreifer zunehmend große Sprachmodelle einsetzen, um natürlichere, fehlerfreie Nachrichten zu erstellen, die herkömmliche inhaltsbasierte Filter umgehen.

Arten von Spear phishing

phishing mehrere Angriffsvarianten, die sich jeweils durch ihr Ziel, ihre Übertragungsmethode oder ihr Ziel unterscheiden. Das Verständnis der Unterschiede zwischen phishing, phishing und Whaling hilft Sicherheitsteams dabei, ihre Abwehrmaßnahmen anzupassen.

Spear phishing anderen phishing

Tabelle 1: Vergleich der Arten von phishing nach Zielgruppe, Personalisierung, Erfolgsquote und Hauptziel

Zuordnung der MITRE ATT&CK :

• T1566.001 — Anhang bei Spear-Phishing: Manipulierte Dokumente, ausführbare Dateien oder Archive
• T1566.002 — Spear-Phishing-Link: URLs, die auf Seiten zum Abgreifen von Anmeldedaten oder auf Exploit-Seiten führen
• T1566.003 — Spear-Phishing über Dienste: Übermittlung über Kollaborationsplattformen (Teams, Slack, LinkedIn)
• T1566.004 — Spearphishing per Telefon: Anrufe unter Verwendung recherchierter persönlicher Daten, zunehmend mit KI-generierten Deepfakes

Neue Variante — QR-Code phishing (Quishing). Im Januar 2026 gab das FBI eine FLASH-Warnung heraus, in der darauf hingewiesen wurde, dass die nordkoreanische Gruppe „Kimsuky“ phishing mit bösartigen QR-Codes einsetzte, um US-amerikanische Thinktanks und akademische Einrichtungen anzugreifen. QR-Codes leiten Opfer von gesicherten Unternehmensendpunkten auf weniger geschützte Mobilgeräte um und umgehen so effektiv die E-Mail-Sicherheitskontrollen des Unternehmens.

Der Unterschied zwischen BEC und phishing näher erläutert phishing . BEC ist eine Unterform des phishing der Angreifer gezielt ein geschäftliches E-Mail-Konto kompromittiert oder sich als dessen Inhaber ausgibt, um betrügerische Transaktionen zu autorisieren. Alle BEC-Angriffe sind phishing , aber nicht jedes phishing auf die Kompromittierung geschäftlicher E-Mail-Konten phishing . Einige Kampagnen konzentrieren sich auf malware , phishing von Anmeldedaten oder die Einrichtung eines dauerhaften Zugriffs für ransomware .

Spear phishing der Praxis

Beispiele aus der Praxis aus den Jahren 2024 bis 2026 zeigen, wie phishing in Bezug auf Zielgruppenauswahl, Auslieferung und Auswirkungen phishing .

Tabelle 2: Größere Spear phishing , 2024–2026

Die QR-Code-Kampagne der Gruppe „Kimsuky“. In einer Warnmeldung des FBI vom 8. Januar 2026 wurde detailliert beschrieben , wie die nordkoreanische Gruppe „Kimsuky“ phishing mit eingebetteten QR-Codes an Forscher eines US-amerikanischen Thinktanks versandte. Indem sie die Opfer dazu zwangen, die QR-Codes mit ihren Mobilgeräten zu scannen, umgingen die Angreifer die Überprüfung durch E-Mail-Gateways und verlagerten die Angriffsfläche auf weniger gut geschützte Smartphones.

MuddyWater RustyWater. Der iranische Cyberangreifer MuddyWater hat eine neue, auf Rust basierende RAT über phishing eingesetzt, die auf diplomatische und finanzielle Einrichtungen im Nahen Osten abzielten. Der Wechsel von PowerShell zu Rust zeigt, dass die Angreifer in Umgehungsmechanismen investieren, mit denen sie herkömmliche endpoint umgehen können.

BEC-Betrug in Illinois (6,85 Millionen Dollar). Zwischen März und April 2025 verschafften sich Angreifer Zugriff auf das Outlook-Konto des Finanzvorstands im Büro des Sonderverwalters von Illinois und veranlassten acht betrügerische Überweisungen in Höhe von insgesamt rund 6,85 Millionen Dollar, bevor der Vorfall entdeckt wurde.

Arup-Deepfake (25 Millionen Dollar). Anfang 2024 genehmigte ein Finanzmitarbeiter des Ingenieurbüros Arup eine Überweisung in Höhe von 25 Millionen Dollar, nachdem er an einem scheinbar echten Videoanruf mit dem Finanzvorstand des Unternehmens teilgenommen hatte. Bei dem Anruf handelte es sich um einen KI-generierten Deepfake, der verdeutlicht, dass phishing über E-Mails hinaus auch synthetische Medien umfasst.

Durch KI optimierte Spear phishing

KI verwandelt phishing einem arbeitsintensiven Handwerk in eine skalierbare, automatisierte Bedrohung. Untersuchungen von Brightside AI (2024) ergaben, dass KI-gestützte phishing eine Klickrate von 54 % erzielten, während herkömmliche, von Menschen erstellte Kampagnen nur 12 % erreichten. Die Auswirkungen sind erheblich:

• Von KI generierte E-Mail-Inhalte. Große Sprachmodelle erstellen grammatikalisch einwandfreie, kontextgerechte Nachrichten, denen die Rechtschreibfehler und holprigen Formulierungen fehlen, die früher als Warnsignale galten.
• Deepfake-Stimmen- und Video-Imitationen. Durch KI-generierte Audio- und Videodateien ist es möglich, Führungskräfte in Telefonaten und Videokonferenzen zu imitieren, wie der Fall Arup gezeigt hat.
• Durch LLM-Technologie gestützte Nachrichtenoptimierung. Angreifer nutzen KI, um Betreffzeilen im A/B-Test zu prüfen, Dringlichkeitssignale zu verfeinern und Nachrichten an die Profile ihrer Zielgruppen anzupassen.
• Automatisierte Aufklärung. KI-Tools können OSINT-Daten weitaus schneller als menschliche Mitarbeiter erfassen, miteinander in Zusammenhang bringen und zusammenfassen, wodurch sich die Aufklärungsphase von Wochen auf Stunden verkürzt.

Finanzielle und geschäftliche Auswirkungen

Die Kosten von phishing weit über den unmittelbaren finanziellen Verlust hinaus:

• 4,8 Millionen Dollar – durchschnittliche Kosten einer phishing Datenpanne (IBM Cost of a Data Breach )
• Durchschnittliche Kosten pro phishing : 1,6 Millionen Dollar, in den USA sogar 1,8 Millionen Dollar (Infosecurity Magazine unter Berufung auf Barracuda 2023)
• Im Jahr 2024 wurden dem FBI IC3 direkte phishing in Höhe von 70 Millionen US-Dollar gemeldet – ein Anstieg um 274 % gegenüber 18,7 Millionen US-Dollar im Jahr 2023
• Im Jahr 2024 wurden dem FBI Cyberkriminalitätsschäden in Höhe von insgesamt 16,6 Milliarden US-Dollar gemeldet, was einem Anstieg von 33 % gegenüber dem Vorjahr entspricht

Die Angriffe auf bestimmte Branchen folgen vorhersehbaren Mustern. Organisationen im Gesundheitswesen sind bereits das 13. Jahr in Folge mit den höchsten durchschnittlichen Kosten durch Sicherheitsverletzungen konfrontiert. Finanzdienstleister sind das Ziel direkter Gelddiebstähle. Regierungsbehörden und Thinktanks sehen sich mit Spionagekampagnen staatlicher Akteure konfrontiert. In jedem dieser Fälle phishing als bevorzugte Methode für den ersten Zugriff, da es die Angriffsfläche ausnutzt, deren Schwachstellen Unternehmen am schwersten beheben können: menschliche Entscheidungsfindung.

phishing erkennen und verhindern

phishing wirksame phishing erfordert mehrschichtige Sicherheitsmaßnahmen, die E-Mail-, Netzwerk- und Identitätsbereiche abdecken. Keine einzelne Technologie kann jeden Angriff abwehren, und raffinierte Kampagnen umgehen regelmäßig E-Mail-Gateways.

Maßnahmen zur Vorbeugung (aufgezählte Liste):

1. DMARC-Richtlinie mit der Einstellung „reject“ für alle Domains der Organisation durchsetzen
2. Implementieren Sie einen erweiterten Schutz vor E-Mail-Bedrohungen mit Sandboxing für Links und Anhänge
3. Implementieren Sie eine phishing MFA mithilfe von FIDO2 (Fast Identity Online 2) oder WebAuthn
4. Führen Sie regelmäßig Spear phishing mit steigendem Schwierigkeitsgrad durch
5. Überwachung des Netzwerkverkehrs auf Verhaltensindikatoren nach einem Sicherheitsverstoß
6. Implementieren Sie eine Lösung zur Erkennung und Reaktion auf Identitätsbedrohungen zur Überwachung kompromittierter Anmeldedaten
7. Einführung einer Out-of-Band-Verifizierung für Finanztransaktionen und sensible Anfragen
8. Führen Sie ein dokumentiertes Handbuch für die Reaktion auf phishing

E-Mail-Authentifizierung und -Filterung

E-Mail-Authentifizierungsprotokolle bilden die erste Verteidigungsstufe, weisen jedoch deutliche Einschränkungen auf:

• SPF, DKIM und DMARC überprüfen Absenderdomänen und verhindern direktes Spoofing. CISA, NSA, FBI und MS-ISAC empfehlen gemeinsam, DMARC auf die Richtlinie „reject“ einzustellen. Diese Maßnahmen verhindern jedoch keine Angriffe, die von kompromittierten legitimen Konten ausgehen.
• Der erweiterte Schutz vor Bedrohungen testet Anhänge in Sandbox-Umgebungen und führt Links in kontrollierten Umgebungen aus, um schädliche Inhalte vor der Zustellung zu erkennen.
• Die Absenderreputation und die Erkennung von Anomalien kennzeichnen Nachrichten von neuen oder ungewöhnlichen Absendern, insbesondere solche, die Finanztransaktionen oder Änderungen von Zugangsdaten erfordern.

Schulungen bleiben eine wichtige Ergänzung. Der Verizon DBIR 2025 ergab, dass Mitarbeiter, die kürzlich an einer Sicherheitsschulung teilgenommen haben, simulierte phishing einer Quote phishing 21 % melden, gegenüber einer Basisquote von 5 % – eine vierfache Steigerung. Doch Schulungen allein reichen nicht aus, um gegen KI-gestütztes phishing vorzugehen, phishing nahezu perfektes Social Engineering ermöglicht.

Erkennung phishing von Spear phishing auf Netzwerkebene

Dies ist die entscheidende Ebene, die die meisten Unternehmen übersehen. Wenn ein phishing E-Mail-Gateways umgeht – und ausgeklügelte Angriffe tun dies –, erkennen Netzwerküberwachungs- und Reaktionsplattformen die folgenden Verhaltensmuster nach der Kompromittierung:

• Erkennung lateraler Bewegungen. Überwachung auf ungewöhnliche Authentifizierungsmuster, SMB-Scans und Versuche der Remote-Ausführung, die darauf hindeuten, dass ein Angreifer nach dem Erlangen eines ersten Zugriffs seinen Zugriff ausweitet.
• Befehls- und Kontroll- (C2) Callback-Erkennung. Identifizierung von Beaconing-Mustern, DNS-Tunneling und verschlüsselter Kommunikation mit bekannter oder algorithmisch generierter Infrastruktur.
• Ungewöhnliche Datenzugriffsmuster. Es wird eine Warnmeldung ausgegeben, wenn kompromittierte Konten auf Dateifreigaben, Datenbanken oder cloud zugreifen, die außerhalb ihrer normalen Verhaltensbasis liegen.
• Erkennung von Identitätsabweichungen. Aufdeckung von Mustern bei unmöglichen Reisen, der Ausweitung von Zugriffsrechten und der Übernahme von Konten, die auf eine Kompromittierung von Anmeldedaten durch einen erfolgreichen phishing hindeuten.

Die Erkennung von Bedrohungen anhand des Verhaltens bietet eine wichtige zweite Verteidigungslinie, da sie Bedrohungen anhand der Aktivitäten der Angreifer innerhalb des Netzwerks aufspürt und nicht nur anhand dessen, was sie per E-Mail versenden.

Zuordnung zu MITRE ATT&CK

Sicherheitsteams nutzen das MITRE ATT&CK , um die Erfassungsreichweite in Bezug auf bekannte phishing abzubilden. In der folgenden Tabelle wird jede T1566 Untertechnik zur Erkennung von Datenquellen und empfohlene Abhilfemaßnahmen.

Tabelle 3: Zuordnung der MITRE ATT&CK -Subtechnik MITRE ATT&CK mit Hinweisen zur Erkennung und Abwehr

SOC-Reaktionsleitfaden

Wenn phishing erkannt oder gemeldet phishing , sollten SOC-Teams wie folgt vorgehen:

Auslösebedingungen:

• Meldung einer verdächtigen E-Mail oder eines verdächtigen Anrufs durch einen Nutzer
• E-Mail-Gateway-Warnung wegen eines schädlichen Anhangs oder Links
• NDR-Warnung bei C2-Rückruf oder lateraler Bewegung nach E-Mail-Zustellung
• ITDR-Warnmeldung zu einer Anomalie bei den Anmeldedaten, die mit einem E-Mail-Ereignis in Zusammenhang steht

Untersuchungsverfahren:

• E-Mail-Header, Ergebnisse der Absenderauthentifizierung sowie eingebettete URLs oder Anhänge analysieren
• Befragen Sie den betreffenden Nutzer, um festzustellen, ob er geklickt, etwas heruntergeladen oder Anmeldedaten eingegeben hat
• Überprüfen Sie endpoint auf Prozessausführung, Dateischreibvorgänge oder Änderungen an der Registrierung
• Überprüfen Sie die Authentifizierungsprotokolle für die Konten des betreffenden Benutzers bei allen Identitätsanbietern

Maßnahmen zur Eindämmung:

• Sperren Sie das Konto des betroffenen Benutzers bis zum Abschluss der Untersuchung, wenn der Verdacht auf einen Missbrauch von Zugangsdaten besteht
• Betroffene Endpunkte vom Netzwerk trennen
• Blockieren Sie identifizierte bösartige Domains, IP-Adressen und Datei-Hashes über alle Sicherheitskontrollen hinweg
• Aktive Sitzungen beenden und eine erneute Authentifizierung erzwingen

Maßnahmen zur Behebung:

• Zugangsdaten für alle potenziell kompromittierten Konten zurücksetzen
• Betroffene Endgeräte neu installieren, wenn malware bestätigt wird
• Schädliche E-Mails aus allen Postfächern entfernen (Clawback)
• E-Mail-Filterregeln und Indikatoren für Kompromittierung aktualisieren

Nachbetrachtung:

• Dokumentieren Sie den zeitlichen Ablauf des Angriffs, den Angriffsvektor und die Auswirkungen auf die Organisation
• Erkennen Sie Erkennungslücken und aktualisieren Sie die Überwachungsregeln
• Indikatoren an branchenbezogene ISACs und Threat-Intelligence-Communities weitergeben
• Führen Sie eine Nachbesprechung durch und aktualisieren Sie das Leitfaden phishing

phishing Compliance

Regulatorische Rahmenbedingungen schreiben zunehmend spezifische Maßnahmen gegen phishing vor, und Durchsetzungsmaßnahmen verdeutlichen die tatsächlichen Kosten von Versäumnissen bei der Prävention.

Tabelle 4: Zuordnung der Compliance-Rahmenbedingungen für Spear phishing

Die Durchsetzung der HIPAA-Vorschriften liefert hierfür ein konkretes Beispiel. Das Büro für Bürgerrechte des US-Gesundheitsministeriums (HHS) hat mehrere Fälle von Datenschutzverletzungen phishing mit Vergleichszahlungen in Höhe von 600.000 Dollar oder mehr beigelegt und damit gezeigt, dass die Aussage „wir haben unsere Mitarbeiter geschult“ ohne dokumentierte technische Kontrollmaßnahmen und Nachweise für eine kontinuierliche Überwachung der Einhaltung der Vorschriften nicht ausreicht.

phishing gemeinsam mit der NSA, dem FBI und dem MS-ISAC veröffentlichten phishing empfehlen die DMARC-Einstellung „reject“, einephishing MFA als Goldstandard für den Schutz von Anmeldedaten sowie mehrschichtige Erkennungsfunktionen. Organisationen, die der NIS2-Richtlinie unterliegen (Inkrafttreten im Oktober 2024), müssen zudem Verfahren zur Meldung von Vorfällen sowie Nachweise für Risikomanagementmaßnahmen zum Schutz vor phishing vorlegen.

Moderne Ansätze zur phishing Spear phishing

Die Branche entwickelt sich weg von einer auf den Perimeter ausgerichteten E-Mail-Filterung hin zu einer integrierten Erkennung über mehrere Angriffsflächen hinweg:

• KI-gestützte E-Mail-Analyse und Erkennung von Anomalien. Modelle des maschinellen Lernens, die normale Kommunikationsmuster als Referenzwert erfassen und Abweichungen im Verhalten des Absenders, im Inhalt der Nachricht und im Kontext der Anfrage kennzeichnen.
• Erkennung und Reaktion auf Identitätsbedrohungen (ITDR). Plattformen, die kompromittierte Anmeldedaten und identitätsbasierte Angriffe, die aus erfolgreichem phishing resultieren, phishing Echtzeit in Active Directory und bei cloud erkennen.
• Netzwerkerkennung und -reaktion (NDR) für Indikatoren nach einer Kompromittierung. Überwachung von Netzwerk-, cloud und SaaS-Umgebungen auf laterale Bewegung, C2-Rückrufe, Privilegieneskalation und Datenzusammenstellung im Anschluss an einen erfolgreichen phishing .
• Integriert XDR Plattformen für die korrelierte Erkennung. Domänenübergreifende Korrelation, die ein E-Mail-Zustellungsereignis mit einer endpoint und einer Netzwerk-Anomalie verknüpft, wodurch die Zeit bis zur Erkennung und Reaktion verkürzt wird.
• Phishing Authentifizierung. FIDO2 und WebAuthn machen das Ziel des Diebstahls von Anmeldedaten von vornherein zunichte, indem sie anfällige Passwörter durch eine kryptografische Authentifizierung ersetzen, die an bestimmte Ursprungsseiten gebunden ist.
• Neue Funktionen: Verhaltensbiometrie, KI-gestütztes Training, das sich an individuelle Risikoprofile anpasst, sowie Deepfake-Erkennung in Echtzeit für Sprach- und Videoanrufe.

Laut dem IBM- Bericht „Cost of a Data Breach verkürzten Unternehmen, die KI-gestützte Sicherheitstools einsetzen, die Dauer eines Datenlecks um 80 Tage und sparten im Durchschnitt 1,9 Millionen US-Dollar ein, verglichen mit Unternehmen ohne KI-Sicherheitsfunktionen.

Wie Vectra AI phishing Vectra AI

Vectra AI phishing Vectra AI , indem es sich darauf konzentriert, was geschieht, nachdem ein Angriff die E-Mail-Gateways umgangen hat. Während herkömmliche Lösungen darauf abzielen, bösartige Nachrichten zu blockieren, erkennt die KI-gestützte Plattform Vectra AI die verhaltensbezogenen Folgen erfolgreicher phishing Netzwerk-, cloud und Identitäts-Angriffsflächen phishing . Durch die Überwachung von Indikatoren nach einer Kompromittierung – laterale Bewegung, Privilegieneskalation, ungewöhnlicher Datenzugriff und Command-and-Control-Callbacks – Attack Signal Intelligence eine entscheidende zweite Verteidigungslinie, die raffinierte Angriffe abfängt, die von herkömmlichen E-Mail-Sicherheitslösungen übersehen werden.

Schlussfolgerung

phishing , weil es die einzige Schwachstelle ausnutzt, die durch Technologie allein nicht vollständig behoben werden kann: das Vertrauen der Menschen. Da KI die Klickraten auf über 50 % treibt und Deepfake-Technologie eine Identitätsfälschung in Echtzeit ermöglicht, vergrößert sich die Kluft zwischen dem, was E-Mail-Gateways abfangen, und dem, was die Nutzer tatsächlich erreicht, immer weiter.

Die Unternehmen, die sich am besten gegen phishing behaupten, phishing einen mehrschichtigen Ansatz. Sie setzen E-Mail-Authentifizierung am Gateway durch, schulen ihre Mitarbeiter darin, verdächtige Nachrichten zu erkennen und zu melden, und setzen Verhaltenserkennung im gesamten Netzwerk, in cloud und auf Identitätsoberflächen ein, um die Angriffe abzufangen, die unvermeidlich durchkommen. Sie ordnen ihre Abwehrmaßnahmen Rahmenwerken wie MITRE ATT&CK zu T1566 und bewährte Vorgehensanleitungen für die Reaktion auf Vorfälle bereithalten, damit der Schaden im Falle eines erfolgreichen phishing schnell eingedämmt werden kann.

Die Bedrohungslage wird sich weiterentwickeln. Sicherheitsteams, die von einer Kompromittierung ausgehen und in die Erkennung nach einer Kompromittierung investieren, sind jedoch in der Lage, Angreifer schneller aufzuspüren, entschlossener zu reagieren und die geschäftlichen Auswirkungen selbst der raffiniertesten gezielten Angriffe zu minimieren.

Erfahren Sie, wie Vectra AIAttack Signal Intelligence von Vectra AI Verhaltensmuster nach einer Kompromittierung über Netzwerk-, cloud und Identitätsoberflächen hinweg erkennt, oder fordern Sie eine Demo an, um die Erkennung von Verhaltensbedrohungen in Aktion zu erleben.