Gefährlich bequem: So treiben professionelle Phishing-Dienste die Bedrohung in die Höhe
Ein neuer Bericht zeigt: Ransomware-Bedrohungen haben sich im letzten Jahr vervierfacht – vor allem durch den Boom krimineller Ransomware-as-a-Service-Angebote. Auch Phishing-Attacken nehmen wieder deutlich zu, ebenfalls angetrieben durch diese „Cybercrime-as-a-Service“-Modelle.
Im Jahr 2024 gehörten Phishing-E-Mails, die tatsächlich in den Posteingängen der Empfänger landeten, laut aktueller Barracuda-Studie zu den fünf häufigsten Cyberbedrohungen. Der Grund für den Anstieg liegt laut IT-Sicherheitsexperten in der Verbreitung von sogenannten Phishing-as-a-Service-Angeboten. Diese ermöglichen es selbst unerfahrenen Angreifern, Phishing-Attacken durchzuführen – ganz ohne eigenes technisches Know-how. Gegen Bezahlung übernehmen spezialisierte Dienstleister die Durchführung oder stellen fertige Phishing-Kits bereit. Die Angreifer müssen sich nur noch ihre Ziele aussuchen, den Rest erledigen die Dienstleister.
Diese kriminellen Dienste werden dabei immer professioneller. Mit dem Geld ihrer Kunden verbessern sie ihre Angebote ständig, entwickeln neue Angriffsmethoden und passen sich gezielt an Abwehrmaßnahmen an. Hinzu kommt: Durch den Einsatz von Künstlicher Intelligenz lassen sich Phishing-E-Mails automatisiert optimieren und sogar in großer Zahl individuell anpassen. Damit steigt nicht nur die Wahrscheinlichkeit, Opfer einer Phishing-Attacke zu werden, sondern auch das Risiko, dass ein Angriff tatsächlich erfolgreich ist.
Um dem entgegenzuwirken, rät die Studie Unternehmen zu umfassenden Sicherheitsmaßnahmen – vor allem solchen, die Angriffe bereits in einer sehr frühen Phase erkennen und stoppen können. Dazu gehören nicht nur technische Schutzlösungen, sondern auch regelmäßige Schulungen der Mitarbeitenden.
Allerdings reichen einfache Cybersicherheitstrainings heute nicht mehr aus. Professionelle Phishing-Dienstleister erkennen gängige Abwehrstrategien und passen ihre Taktiken laufend an. Unternehmen müssen daher strukturiert, kontinuierlich und gezielt handeln. Besonders wichtig: Sie sollten das sogenannte „Human Risk“ – also das Risiko, das von den eigenen Mitarbeitenden ausgeht – systematisch überwachen und aktiv managen.
Dank KI lassen sich Phishing-Trainings heute personalisieren, abgestimmt auf die individuellen Schwächen einzelner Mitarbeitender, und automatisiert bereitstellen. Moderne Anti-Phishing-Lösungen kombinieren dabei Künstliche Intelligenz mit Crowdsourcing-Techniken, um selbst neue, noch unbekannte Bedrohungen schnell zu erkennen und zu blockieren – bevor sie überhaupt im Posteingang landen. Mit solchen Lösungen können Unternehmen die alltäglichen Risiken durch menschliches Fehlverhalten gezielt reduzieren und dauerhaft auf ein vertretbares Maß begrenzen.
Dr. Martin J. Krämer, Security Awareness Advocate bei KnowBe4
