Deutschland im Fadenkreuz: Wie KI und Cyberkriminalität das digitale Risiko neu definieren
Der im Oktober erschienene Microsoft Digital Defense Report 2025 zeichnet ein alarmierendes Bild der globalen Cybersicherheitslage. Kein EU-Land steht demnach so stark im Visier internationaler Hacker wie Deutschland. Die Botschaft an die Führungsebene der Unternehmen: Cybersicherheit ist ein zentrales Geschäftsrisiko. Und damit Chefsache.
Zum vierzehnten Mal fand im Oktober die europaweite Kampagne European Cybersecurity Month statt, die EU-Bürger für einen sicheren und verantwortungsvollen Umgang mit digitalen Technologien sensibilisieren soll. Unter dem Motto „Think before you click” standen in diesem Jahr die Themen Phishing-Schutz und digitale Resilienz im Mittelpunkt, also die Fähigkeit, sich gegen Social Engineering und Cyberangriffe mittels Phishing-Mails und betrügerischen Websites zu wappnen. Das Thema ist aktueller denn je, wie der ebenfalls im Oktober erschienene Microsoft Digital Defense Report 2025 zeigt. Demnach richteten sich von Januar bis Juni 2025 3,3 Prozent aller weltweit registrierten Cyberangriffe gegen Deutschland. Global betrachtet liegen wir damit hinter den USA (ca. 24,8 %), dem Vereinigten Königreich (ca. 5,6 %) und Israel (ca. 3,5 %) auf Platz vier, doch innerhalb der EU ist die Bundesrepublik das am häufigsten attackierte Land. Welche gigantischen Schäden sich hinter dem vermeintlich geringen Prozentsatz von 3,3 Prozent verbergen, erhellt aus der Bitkom-Studie „Wirtschaftsschutz 2025“, die Mitte September dieses Jahres veröffentlicht wurde. Auf der Grundlage einer repräsentativen Befragung, die von Mitte April bis Anfang Juni unter 1.002 deutschen Unternehmen durchgeführt wurde, beziffern die Autoren den wirtschaftlichen Gesamtschaden durch Datendiebstahl, Industriespionage und Sabotage auf rund 289 Milliarden Euro. Und die Gefahr wächst.
Geld ist der Hauptantrieb
Zwar sind Spionage und Sabotage seit dem russischen Angriff auf die Ukraine in den Fokus der medialen Aufmerksamkeit gerückt, doch ist kriminelles Profitstreben nach wie vor die Hauptantriebsfeder der Angreifer. Mehr als die Hälfte aller Attacken diene der Erpressung mit Ransomware. Hierbei blockiert eine Schadsoftware, die meist über Phishing-Mails oder betrügerische Websites auf den Computer gelangt, binnen Minuten den Zugriff auf Systeme oder ganze IT-Strukturen, bis das Opfer ein Lösegeld bezahlt. Reine Spionage mache dagegen lediglich vier Prozent der Fälle aus. Bedrohungen durch staatliche Akteure seien, so ein Microsoft-Sprecher, weiterhin eine ernsthafte und anhaltende Gefahr, „die meisten unmittelbaren Angriffe, denen Unternehmen heute ausgesetzt sind, gehen jedoch von gewöhnlichen Kriminellen aus, die auf Profit aus sind.“ Auch wenn wegen der hohen Dunkelziffern genaue Angaben nicht möglich sind, gehen viele Experten davon aus, dass sich Cyberkriminalität in den letzten Jahren zum lukrativsten Zweig der weltweiten Schattenwirtschaft entwickelt hat – noch vor Drogen‑, Waffen‑ und Menschenhandel. Es handelt sich um ein globales Geschäftsmodell mit einer eigenen Industrie und unzähligen Akteuren, die hochgradig professionell und arbeitsteilig operieren.
Klassiker in neuem Gewand: Device Code Phishing
Phishing ist und bleibt der Klassiker unter den Angriffsmethoden, allerdings werden die Taktiken immer raffinierter. Selbst für Experten schwer zu erkennen ist das Abgreifen von Gerätecodes, das sogenannte Device Code Phishing. Ein Angreifer kann mit dieser Methode die Multi-Faktor-Authentifizierung (MFA) unterlaufen und sich Zugang zu Microsoft-Konten verschaffen, ohne die MFA technisch aushebeln zu müssen. Stattdessen bringt er das Opfer per Social Engineering dazu, die Authentifizierung selbst durchzuführen. Hierzu stößt er zunächst selbst über einen legitimen Identity Provider (z. B. Microsoft Entra ID) den Device-Code-Flow an. Ein Identity Provider ist ein Dienst, der die digitale Identität eines Nutzers verwaltet und überprüft. Der technische „Türsteher“ dieses Dienstes ist ein sogenannter OAuth-Server: Er prüft die Anmeldung und gibt anschließend digitale Zugriffsschlüssel, sogenannte Access Tokens, an Anwendungen oder Client-Geräte aus. Diese Schlüssel ermöglichen es einer App oder einem Dienst, im Namen des Nutzers auf bestimmte Daten, etwa E-Mails oder Dateien, zuzugreifen, ohne dass das Passwort direkt an die Anwendung weitergegeben werden muss. Nun ist die Vergabe dieser Tokens nicht an eine Geräte- oder Konto-ID gebunden, sondern erfolgt auf Basis der erfolgreichen Nutzerbestätigung über den OAuth-Server an den anfragenden Client. Und genau das nutzt der Device-Code-Phisher aus. Im ersten Schritt erzeugt er einen gültigen Geräte- bzw. User-Code, um die Anmeldung für seine eigene Anwendung oder sein eigenes Gerät zu starten. Mit Phishing- oder Smishing-Nachrichten (betrügerischen SMS) oder gefälschten Systemhinweisen fordert er nun das Opfer auf, diesen Code auf der echten Microsoft-Loginseite einzugeben und den vollständigen Login-Prozess zu durchlaufen, inklusive Passwort und Multi-Faktor-Bestätigung per App oder SMS. Für den Server sieht dies wie eine legitime Anmeldung aus, denn der Benutzer hat den Code ja korrekt bestätigt. Die Authentifizierung erfolgt also mit dem echten Konto des Opfers, aber der Access Token wird an den Client des Angreifers ausgegeben, der den Device Code angefordert hat. Je nach Konfiguration erhält der Angreifer obendrein Refresh Tokens für das Benutzerkonto und kann damit nicht nur unmittelbar auf Dienste wie Outlook, OneDrive oder SharePoint zugreifen, sondern unter Umständen tage- oder wochenlang im Namen des Opfers agieren.
Wenn das Opfer mit dem Täter unwissentlich kooperiert: ClickFix
Mit „ClickFix“ zeichnete sich laut Microsoft seit November 2024 ein weiterer, gefährlicher Trend ab. Der Name dieser neuartigen Social-Engineering-Technik leitet sich von der Kombination aus „Click“ und „Fix“ (Lösung) ab: die Angreifer gaukeln den Opfern auf manipulierten oder gekaperten Webseiten vor, sie könnten ein technisches Problem durch einen einfachen Klick oder Befehl „fixen“. Auf diese Weise bringen sie ihre Zielpersonen dazu, den bösartigen Code unwissentlich selbst auszuführen – ein Vorgehen, das als „Human-in-the-Loop Execution“ bezeichnet wird, weil hier Menschen statt automatisierter Malware-Installer die Infektion auslösen. Die Kriminellen manipulieren oder kapern hierzu Webseiten, oft im Stil von Diensten wie Google, Booking.com oder Microsoft Teams. Auf diesen werden die Opfer aufgefordert, mit einem Befehl, der z. B. in ein gefälschtes Popup-Fenster oder eine Support- Nachricht eingebettet ist, eine harmlose „Korrekturmaßnahme“ auszuführen, indem sie z. B. mit der Tastenkombination „Windows + R“ den Windows-Ausführungsdialog öffnen, die PowerShell starten und dann den vorgegebenen Befehl einfügen. PowerShell dient eigentlich zur Automatisierung und Systemverwaltung, kann aber auch genutzt werden, um Schadcode nachzuladen oder Sicherheitsmechanismen zu umgehen. Für Hacker ist sie besonders attraktiv, weil sie ein mächtiges, vertrauenswürdiges und auf jedem Windows-System vorinstalliertes Tool ist, das tiefe Systemzugriffe ermöglicht. Und weil bei dieser Art von Angriff keine externen Schadprogramme, sondern eben ein vorhandenes Systemtool und legitime Prozesse für die Schadaktionen eingesetzt werden, bleibt der Angriff für herkömmliche Sicherheitstools oft unsichtbar. Laut Microsoft wurde und wird ClickFix „sowohl von Cyberkriminellen als auch von staatlichen Akteuren verwendet, um Malware zu verbreiten, darunter Infostealer, Fernzugriffstrojaner (RATs) und Würmer. Erfolgreiche Kampagnen führten mit nur wenigen Tastenanschlägen des Benutzers zu Identitätsdiebstahl, Malware-Staging und dauerhaftem Zugriff.“
Der menschliche Faktor entscheidet
Moderne Sicherheitsmechanismen wie Conditional Access, Token-Überwachung oder Geräte-Compliance-Richtlinien in Microsoft Entra ID können den Missbrauch gestohlener Zugangsdaten erheblich erschweren. Auch Lösungen wie Microsoft Defender, AMSI, EDR-Systeme und Zero-Trust-Modelle tragen dazu bei, verdächtige Aktivitäten frühzeitig zu erkennen und zu blockieren. Dennoch zeigen ausgefeilte Angriffstaktiken wie Device Code Phishing und ClickFix, dass technische Maßnahmen allein nicht ausreichen. In beiden Fällen operieren die Angreifer unter aktiver Mitwirkung des Nutzers, sei es durch die Eingabe eines manipulierten Gerätecodes oder die manuelle Ausführung eines vorgegebenen Befehls. Der Microsoft Digital Defense Report warnt, dass insbesondere Device Code Phishing trotz vorhandener Schutzmechanismen eine wachsende Bedrohung für Unternehmen aller Branchen darstelle. Besonders aktiv seien derzeit cyberkriminelle Gruppen und staatlich unterstützte Akteure aus Russland, dem Iran und China, die diese Methode gezielt einsetzen, um Zugang zu IT-Dienstleistern, Behörden, NGOs und Unternehmen zu erhalten. 93 Prozent der in den vergangenen zwölf Monaten beobachteten Fälle entfielen laut Microsoft auf die zweite Jahreshälfte, was auf eine schnelle Ausbreitung dieser Angriffstechnik hindeute. Damit steht und fällt der Schutz mit dem Bedrohungsbewusstsein und der Aufmerksamkeit der Mitarbeitenden. Entscheidend ist, dass sie die diversen Angriffstaktiken verstehen und verdächtige Aufforderungen kritisch hinterfragen. Phishing-resistente Multi-Faktor-Authentifizierung, klare Zugriffsrichtlinien und regelmäßige Awareness-Trainings bilden daher die wirksamste Verteidigung. Denn Cybersicherheit steht und fällt mit dem Menschen.
Sie möchten weitere spannende Artikel wie diesen lesen? Dann abonnieren Sie doch einfach kostenfrei unser Kundenmagazin VIEW!