Die Bedrohungslage für Unternehmen hat sich in den letzten 12 Monaten grundlegend verändert. Nicht, weil es mehr Angriffe gibt, sondern weil die Angriffe besser geworden sind. AI-generierte Phishing-Mails sind grammatisch perfekt, Deepfake-Anrufe klingen wie der Geschäftsführer, und Angriffe auf Software-Lieferketten treffen Unternehmen, die dachten, sie seien zu klein für Hacker.
Dieser Artikel beschreibt die wichtigsten neuen Angriffsvektoren und was KMUs konkret dagegen tun können. Kein Enterprise-Budget erforderlich.
1. AI-gestütztes Phishing: Das Ende der Tippfehler
Die klassische Phishing-Mail mit schlechtem Deutsch und verdächtigen Links ist Geschichte. Aktuelle Phishing-Kampagnen nutzen Sprachmodelle, um Nachrichten zu generieren, die kontextbezogen, grammatisch einwandfrei und personalisiert sind.
Was das in der Praxis bedeutet:
- Spear-Phishing auf Steroiden: Angreifer scrapen LinkedIn-Profile, Firmenwebsites und Pressemitteilungen, um Mails zu generieren, die auf konkrete Projekte oder Kollegen Bezug nehmen
- Mehrsprachig und lokalisiert: Eine Mail an ein Münchner Unternehmen klingt bayerisch, nicht wie aus Google Translate
- Zeitlich abgestimmt: Phishing-Mails landen zu Stoßzeiten (Montagmorgen, kurz vor Feierabend), wenn die Aufmerksamkeit niedrig ist
Gegenmaßnahmen
- E-Mail-Authentifizierung einrichten: SPF, DKIM und DMARC sind Pflicht, nicht Kür
- Zwei-Faktor-Authentifizierung für alle Accounts, die geschäftskritisch sind
- Mitarbeiterschulungen, die nicht auf Tippfehler-Erkennung setzen, sondern auf Prozesse ("Rufe bei Zahlungsanweisungen immer zurück")
2. Deepfake Voice & Video: Der falsche Chef am Telefon
Voice-Cloning benötigt heute wenige Sekunden Audiomaterial. Ein kurzes YouTube-Interview des Geschäftsführers reicht, um eine synthetische Stimme zu erzeugen, die dessen Tonfall, Dialekt und Sprechgewohnheiten nachahmt.
Dokumentierte Szenarien:
- CEO-Fraud per Anruf: "Hier ist der Thomas, überweise bitte sofort 45.000 Euro an den neuen Lieferanten, ich bin grad im Meeting." Die Stimme klingt echt, die Nummer ist gespooft
- Fake-Videokonferenzen: In Echtzeit generierte Deepfake-Videos in Zoom-Calls, die Geschäftspartner oder Vorgesetzte imitieren
Gegenmaßnahmen
- Rückruf-Protokoll für alle Zahlungsanweisungen über einem Schwellwert: immer auf einer bereits bekannten Nummer, nie auf der Nummer aus dem Anruf
- Interne Code-Wörter für telefonische Freigaben
- Sensibilisierung: Wenn ein Anruf ungewöhnlich dringend ist, ist das ein Warnsignal, kein Grund zur Eile
3. Supply-Chain-Angriffe: Das schwächste Glied
Warum ein Unternehmen direkt angreifen, wenn man seinen Softwareanbieter kompromittieren kann? Supply-Chain-Angriffe zielen auf die Werkzeuge und Dienste, die KMUs täglich nutzen.
- Kompromittierte Updates: Ein manipuliertes Software-Update installiert eine Hintertür. Das betroffene Unternehmen hat nichts falsch gemacht. Es hat lediglich seinem Anbieter vertraut
- Abhängigkeiten in Open Source: Ein einzelnes npm- oder pip-Paket, das Millionen Projekte einbindet, wird von einem neuen Maintainer übernommen, der Schadcode einfügt
- Cloud-Dienste als Einfallstor: Wenn ein SaaS-Anbieter kompromittiert wird, sind alle seine Kunden betroffen
Gegenmaßnahmen
- Vendor-Bewertung: Wie handhabt Ihr Softwareanbieter Sicherheit? Gibt es SOC-2-Zertifizierung oder vergleichbare Nachweise?
- Abhängigkeiten minimieren: Weniger externe Dienste bedeutet weniger Angriffsfläche
- Self-Hosting für geschäftskritische Systeme: Volle Kontrolle über Updates und Datenflüsse
- Regelmäßige Überprüfung der eingesetzten Softwarebibliotheken auf bekannte Schwachstellen
4. Prompt Injection: Angriffe auf AI-Systeme
Wer AI-Systeme in Geschäftsprozesse integriert, schafft eine neue Angriffsfläche. Prompt Injection beschreibt Angriffe, bei denen ein Angreifer die Eingaben eines Sprachmodells manipuliert, um es zu unerwünschtem Verhalten zu bringen.
- Indirekte Prompt Injection: Ein Angreifer platziert versteckte Anweisungen in einer Website, einem Dokument oder einer E-Mail. Wenn ein AI-Assistent dieses Material verarbeitet, folgt er den eingebetteten Anweisungen statt den ursprünglichen
- Datenexfiltration über Chatbots: Ein Kundensupport-Bot, der auf interne Datenbanken zugreift, wird durch geschickte Fragen dazu gebracht, vertrauliche Informationen preiszugeben
Gegenmaßnahmen
- AI-Systeme grundsätzlich mit minimalen Berechtigungen betreiben (Principle of Least Privilege)
- Eingaben validieren und filtern, bevor sie an das Sprachmodell weitergereicht werden
- Kritische Aktionen (Zahlungen, Datenzugriff) nie vollständig automatisieren: immer einen menschlichen Freigabeschritt einbauen
- Regelmäßige Sicherheitstests der eigenen AI-Integrationen
5. Ransomware 2.0: Doppelte Erpressung als Standard
Ransomware ist nicht neu. Neu ist, dass Angreifer heute zuerst die Daten kopieren und dann verschlüsseln. Selbst wer ein Backup hat, steht vor dem Problem: "Zahlen Sie, oder wir veröffentlichen Ihre Kundendaten."
Für KMUs ist das besonders gefährlich, weil sie oft weder die Ressourcen für umfassende Incident Response haben noch die rechtlichen Folgen eines Datenlecks abfedern können (DSGVO-Bußgelder, Vertrauensverlust).
Gegenmaßnahmen
- 3-2-1-Backup-Regel: 3 Kopien, 2 verschiedene Medien, 1 Kopie offline/off-site
- Netzwerksegmentierung: Wenn ein Rechner kompromittiert wird, darf nicht das gesamte Netzwerk zugänglich sein
- Daten klassifizieren: Was ist wirklich sensibel? Diese Daten besonders schützen und den Zugriff begrenzen
- Incident-Response-Plan vorbereiten, bevor der Ernstfall eintritt
Was KMUs konkret tun sollten: eine Checkliste
Man muss kein Enterprise-Budget haben, um die grundlegenden Dinge richtig zu machen:
- E-Mail-Sicherheit: SPF, DKIM, DMARC einrichten. Kosten: Null
- 2FA überall: Für E-Mail, Cloud-Dienste, Banking, Admin-Zugänge
- Backups testen: Nicht nur erstellen, sondern regelmäßig prüfen, ob die Wiederherstellung funktioniert
- Updates zeitnah einspielen: Die meisten erfolgreichen Angriffe nutzen bekannte, bereits gepatchte Schwachstellen
- Mitarbeiter schulen: Kurze, regelmäßige Awareness-Sessions statt einmaliger Pflichtschulung
- Externe Dienste prüfen: Welche Cloud-Dienste nutzen Sie? Wer hat Zugriff auf was?
- Notfallplan erstellen: Wer ist zuständig, wenn es passiert? Welche Nummer rufen Sie an?
IT-Sicherheit ist kein Projekt mit Enddatum. Es ist ein fortlaufender Prozess, der mit den Grundlagen beginnt, nicht mit teuren Tools.
Unsicher, wo Sie stehen?
Wir analysieren Ihre IT-Infrastruktur und identifizieren Schwachstellen, bevor es jemand anderes tut.
Kostenlose Erstberatung anfragen