Frau entsperrt Smartphone mit PIN

Die vier Phasen eines Cyberangriffs

Arten von Cyberangriffen: Wie sich Kriminelle den Weg ins Unternehmen bahnen

Autoren

  • Anton Moser

    Director, Forensics & Integrity Services, Assurance | Österreich

  • Robert Pölzelbauer

    Senior Manager, Forensics & Integrity Services, Assurance | Österreich

8 Minuten Lesezeit 15. September 2025

Cyberangriffe bedrohen Unternehmen zunehmend: Im Fokus des Artikels stehen die Vorgehensweisen von Cyberkriminellen und ihre Ausbreitungsstrategien im IT-Netzwerk.

Überblick

  • Cyberangriffe stellen ein allgegenwärtiges Problem für Unternehmen unterschiedlicher Größe, Sektoren und Branchen dar.
  • Bei sogenannten Ransomware-Angriffen wenden Cyberkriminelle eine mehrstufige Erpressung an: Erst entwenden und verschlüsseln sie Unternehmensdaten, später drohen sie mit der Veröffentlichung.
  • Analysen im Rahmen von Cyber Incident Response Projekten zeigen wiederkehrende Angriffsmuster und häufig genutzte Einfallstore in IT-Netzwerke von Unternehmen.

Regelmäßig erreichen uns nationale und internationale Schlagzeilen über Unternehmen und Organisationen, die von Cyberangriffen getroffen wurden. Berichtet wird über exorbitante Lösegeldzahlungen sowie über den Diebstahl sensibler und zugleich wertvoller Informationen wie Passwörtern, Sozialversicherungsnummern oder Gesundheitsdaten. Und die Dunkelziffer jener Angriffe, die nicht publik werden, ist unserer Erfahrung nach nochmals wesentlich höher.

Die meisten Unternehmen und Organisationen haben deswegen über die vergangenen Jahre ihre Abwehrmaßnahmen gegen Cyberangriffe stetig erhöht. Aber auch Cyberkriminelle entwickeln immer raffiniertere Methoden und Techniken, um in Unternehmensnetzwerke einzudringen und möglichst großen (monetären) Schaden anzurichten – ein typisches Katz-und-Maus-Spiel.

Aber wie läuft ein solcher Cyberangriff eigentlich ab? Genau diese Frage beantworten wir in dieser Artikelserie – und stellen Möglichkeiten vor, wie Unternehmen sich effizient und nachhaltig gegen Cyberattacken schützen können. In diesem ersten Teil fokussieren wir uns auf die Anfänge jeder Attacke: wie Cyberkriminelle an jene Daten kommen, mit denen sie Unternehmen später erpressen.

Der erste Schritt von Angreifergruppen: Zugang zum IT-Netzwerk der Opfer

Als ersten und initialen Schritt versuchen Cyberkriminelle unbemerkt in das IT-Netzwerk eines Unternehmens einzudringen. Dafür nutzen sie unterschiedliche Methoden und Wege:

Phishing: Der Klassiker

Das von Cyberkriminellen am häufigsten genutzte Einfallstor sind sogenannte Phishing-Angriffe, die die „Schwachstelle Mensch“ ausnutzen. Bei diesen schon seit Jahrzehnten praktizierten Cyberangriffen versenden Angreifer:innen gefälschte E-Mails oder Nachrichten, die oft täuschend echt wirken. Diese Nachrichten enthalten meist Links oder Anhänge, die die Empfänger:innen, im konkreten Fall die Mitarbeitenden betroffener Unternehmen, dazu verleiten sollen, ihre Zugangsdaten bekanntzugeben oder schadhafte Software herunterzuladen.

Schon Mitte der 1990er Jahre kamen die ersten betrügerischen E-Mails auf, die schnell unter dem Begriff „Phishing“ zusammengefasst wurden. In den ersten Jahren waren diese noch relativ leicht zu erkennen. Heute ist das nicht mehr ganz so einfach: Im Rahmen unserer IT-forensischen Analysen und Cyber Incident Response Projekte sehen wir heute immer wieder täuschend echt gestaltete E-Mails, die zum Teil mit Hilfe von künstlicher Intelligenz erstellt werden, sowie Phishing-Versuche über verschiedene Plattformen wie LinkedIn und andere soziale Medien. Auch als Absenderadressen werden vermeintlich „echte“ Adressen von bekannten Unternehmen verwendet – eine Manipulation, die für Laien oft nur schwer erkennbar ist.


Ein wichtiger und nicht zu vernachlässigender Aspekt in dem Zusammenhang ist das, was Mitarbeitende und Unternehmen über sich selbst auf diversen Online-Plattformen preisgeben oder im Sinne der Öffentlichkeitsarbeit preisgeben müssen. Solche öffentlich zugänglichen Informationen können Cyberkriminellen wertvolle Hinweise liefern und Mitarbeitende anfälliger für Angriffe machen, da persönliche Daten und Informationen, etwa zu Urlauben oder Familie, gezielt ausgenutzt werden können.

So unterstützen wir Sie

Technische Schwachstellen: Die Nadel im Heuhaufen

Neben E-Mails, Nachrichten und Co. ist auch bestehende technische Infrastruktur ein beliebtes Ziel von Angreifer:innen: Existierende Schwachstellen in Software und/oder Hardware werden gezielt genutzt, um in das IT-Netzwerk des Unternehmens einzudringen. Bei diesen Schwachstellen kann es sich um bereits bekannte (sogenannte „Common Vulnerabilities and Exposures“, abgekürzt als „CVE“) oder gänzlich neue und bis dato unbekannte Probleme (sogenannte „Zero-Day-Schwachstellen“) handeln. CVEs sind bekannte Schwachstellen, für welche ggf. schon entsprechende Updates oder adäquate Remedierungsmaßnahmen zur Verfügung gestellt werden. Zero-Day-Schwachstellen hingegen können von Cyberkriminellen selbst entdeckt (technisch anspruchsvoll) oder über das Darknet gekauft werden.

 

Cyberkriminelle suchen gezielt nach solchen offenen Schwachstellen und nutzen diese aus, um unbefugten Zugriff zu den IT-Systemen ihrer Opfer zu erlangen. Dazu kommen oft noch Fehlkonfigurationen oder die Verwendung von Standard-Zugangsdaten zu internen Systemen, die Angreifer:innen den Zugang erleichtern. Diese einfachen, aber immer wieder übersehenen Sicherheitslücken können verheerende Folgen für Unternehmen haben.

 

In der Regel werden hauptsächlich die Schwachstellen von Netzwerkgeräten und Server-Systemen ausgenutzt. Aber auch Laptops können ins Visier von Cyberkriminellen geraten – dies geschieht häufig dann, wenn von Mitarbeitenden vom Unternehmen nicht zugelassene Software installiert und in weiterer Folge nicht mit den neuesten Updates versorgt wird.

Kauf von Zugangsdaten: Shoppen im Darknet

Ein weiterer Weg, wie sich Angreifergruppen Zugang zum IT-Netzwerk ihrer Opfer verschaffen, ist der Kauf von Zugangsdaten im Darknet. In Filmen und Serien wird dieser Bereich des Internets gerne als rechtsfreier Raum voller Drogen und Mordaufträge dargestellt – und tatsächlich ist das Darknet teilweise ein Ort, an dem illegale Waren und Dienstleistungen gehandelt werden und in dem spezielle oder rechtswidrige Inhalte zu finden sind, für die im allgemein zugänglichen Internet kein Platz ist. Das Darknet kann aber auch für Zwecke genutzt werden, die in unserer westlichen Kultur als moralisch akzeptabel gelten, wie beispielsweise für Journalismus oder kritische Informationsbeschaffung in repressiven Staaten.

Teilbereiche des Internets

Eisberg, dessen sichtbarer Bereich für das Clear Web und dessen im Wasser verborgener Bereich für das Deep Web und Darknet steht.

Warum aber wird das Darknet so häufig für Cyberangriffe genutzt? Das liegt insbesondere an der Art und Weise, wie Daten übertragen werden. Auf ihrem Weg durch das Darknet werden Informationen nämlich mehrfach verschlüsselt, sodass nur die empfangende Stelle sie wieder entschlüsseln kann. Und während es zwar Möglichkeiten für Strafverfolgungsbehörden gibt, das Darknet zu überwachen, sind diese nur begrenzt – und in den meisten Fällen wenig effektiv.

Wie funktioniert der Datenkauf im Darknet?

Man kann sich den Datenhandel im Darknet wie einen Marktplatz vorstellen – nur, dass statt Waren sensible Informationen gehandelt werden, oft zu überschaubaren Preisen. Diese kommen meist aus vorangegangenen Cyberangriffen oder Datenabflüssen: Immer wieder werden Benutzernamen, Passwörter oder Kreditkarteninformationen von bekannten Onlineplattformen entwendet sowie umfangreiche Datenbestände von Unternehmen exfiltriert. Für Cyberkriminelle sind diese Informationen daher leicht zugänglich, ohne selbst die notwendigen technischen Fähigkeiten für einen initialen Datendiebstahl, Phishing oder sonstige Methoden mitbringen zu müssen. Im Zusammenhang mit dem initialen Einfallstor in ein Unternehmensnetzwerk sind gestohlene und zum Verkauf angebotene Benutzernamen und Passwörter für Cyberkriminelle besonders interessant: Viele Benutzer:innen nutzen nämlich dasselbe Passwort für verschiedenste Online-Dienste und -Services, unter anderem aber auch für die Anmeldung zum Firmennetzwerk. Diese Tatsache machen sich Cyberkriminelle zu Nutze und erhalten auf diese Weise schnell und einfach gültige Zugangsdaten zu Unternehmensnetzwerken.

Malicious Insiders: Die Gefahr von innen

Eine weitere Möglichkeit für Angreifer:innen, an sensible Daten zu kommen, sind sogenannte „malicious insiders“. Hierbei handelt es sich um (ehemalige) Mitarbeitende, die absichtlich oder unabsichtlich interne Informationen preisgeben oder Sicherheitsvorkehrungen umgehen. Solche Insider können aus verschiedenen Motiven heraus handeln, sei es aus Gier, Unzufriedenheit oder einfach aus Unkenntnis. Ihr Wissen über interne Abläufe und Systeme sowie vorhandene (technische) Berechtigungen machen sie zu einer Bedrohung für die Sicherheit des Unternehmens.

Um die komplexen Zusammenhänge zwischen Motivation, Gelegenheit und Rationalisierung im Kontext von Betrugsrisiken zu verstehen, ziehen wir im Rahmen unserer Untersuchungen das sogenannte „Fraud Triangle“ heran. Als Unternehmen hat man direkt Einfluss auf die „Gelegenheit“ – also etwa auf technische oder prozessuale Vorgaben und Schwachstellen –, während die „Motivation“ und die „Rationalisierung“ zum Teil unternehmensunabhängig oder völlig losgelöst vom Unternehmen sein können. Präventive Maßnahmen sollten also auf die Analyse bzw. Absicherung der möglichen „Gelegenheiten“ abzielen.

Generell sollte aber für die Erhöhung der Informationssicherheit in Unternehmensumgebungen das etablierte Konzept „Least Privilege“ zur Anwendung kommen. Dieses Prinzip besagt, dass Mitarbeitende lediglich Zugriff auf jene Ressourcen erhalten, die für ihre Aufgaben unbedingt erforderlich sind, um das Risiko eines Missbrauchs zu minimieren.

Egal, wie sich Cyberkriminelle Zugang zu Daten verschaffen: Die Folgen für Unternehmen können gravierend sein. Umso wichtiger ist es, rechtzeitig vorzusorgen – etwa mit einer umfassenden „Cyber Incident Response”-Strategie, welche sämtliche Maßnahmen und Aktivitäten zur Bekämpfung und Bewältigung von Cyberangriffen umfasst.

So unterstützen wir Sie

Wie schütze ich mich als Unternehmen vor Cyberangriffen?

Insgesamt verdeutlicht die erste Phase eines Cyberangriffs vor allem eines: wie komplex die heutige Bedrohungslandschaft ist. Unternehmen stehen einer Vielzahl an internen und externen Herausforderungen gegenüber, die jeweils unterschiedliche Maßnahmen erfordern. Durch proaktive technische Ansätze und organisatorische Sicherheitskonzepte können Organisationen ihre Widerstandsfähigkeit gegenüber solchen Angriffen stärken und ihre Systeme besser schützen. Exemplarische Maßnahmen haben wir nachfolgend aufgelistet:

 

  • Schulung der Mitarbeitenden: Gegen Phishing-Angriffe in den unterschiedlichsten Ausprägungen hilft neben der technischen Absicherung nur die laufende Weiterbildung der Mitarbeitenden. Durch Awareness-Schulungen und Phishing-Simulationen wird Ihr Team angehalten, sich laufend mit dem Thema und der zugehörigen Bedrohungslage zu beschäftigen.
  • Sicherheitsupdates und Patch-Management: ein essenzieller Schritt, um technische Schwachstellen rechtzeitig zu identifizieren. Hersteller-Updates sollten regelmäßig und zeitnah eingespielt werden, um mögliche Sicherheitslücken umgehend zu schließen.
  • Monitoring und Erkennung von Anomalien: Durch die laufende Überwachung der IT-Systeme und IT-Netzwerke im Unternehmen (zum Beispiel mittels SIEM, SOC und/oder EDR-Lösungen ) können Unregelmäßigkeiten schnell erkannt und mitigiert werden.
  • Darknet-Screening: Proaktive Überwachung bzw. Monitoring der Vorgänge auf bekannten Darknet-Marktplätzen und Verkaufsseiten von Cyberkriminellen ermöglicht eine umgehende Reaktion auf mögliche Exfiltrationen oder Leaks von internen Informationen oder Zugangsdaten.

Glossar

Fazit: Proaktives Handeln ist essenziell

Der erste Schritt eines Cyberangriffs beginnt meist unscheinbar – mit einer gefälschten E-Mail, einer ungepatchten Softwarelücke oder dem Verkauf von Zugangsdaten im Darknet. Doch dieser Einstieg kann gravierende Folgen haben: Ist der Zugang erst geschafft, bahnen sich Cyberkriminelle unbemerkt ihren Weg ins Unternehmensnetzwerk. Phishing, technische Schwachstellen, Insider und gekaufte Logins zählen dabei zu den häufigsten Angriffswegen. Umso wichtiger ist es, dass Unternehmen mit Schulungen, technische Schutzmaßnahmen und klaren Sicherheitsprozessen auf allen Ebenen präventiv agieren – bevor aus einem Klick ein flächendeckender Angriff wird.

In unserem nächsten Artikel erfahren Sie, was bei einem Cyberangriff passiert, nachdem sich Cyberkriminelle erfolgreich Zugriff auf die IT-Systeme eines Unternehmens verschafft haben.

Mehr zum Thema

Was passiert bei einem Cyberangriff? Wie sich Cyberkriminelle in IT-Netzwerken einnisten.

Wie sich Cyberkriminelle in IT-Netzwerken einnisten: alles zu Privilege Escalation & Persistenz • Schutzmaßnahmen ➜ Mehr erfahren!

Anton Moser + 1

Ransomware-Angriffe: So erpressen Cyberkriminelle Unternehmen

Wie Cyberkriminelle Unternehmen erpressen: alles zu Exfiltration & Verschlüsselung sensibler Daten • Schutzmaßnahmen ➜ Mehr erfahren!

Anton Moser + 1

Cyber Incident Response: Was Unternehmen im Falle eines Cyberangriffs tun können

Unternehmen vs. Cyberangriffe: Was tun bei digitaler Geiselnahme? • So funktioniert die Cyber Incident Response ➜ Mehr erfahren!

Anton Moser + 1

    Über diesen Artikel

    Autoren

    • Anton Moser
      Director, Forensics & Integrity Services, Assurance | Österreich
    • Robert Pölzelbauer
      Senior Manager, Forensics & Integrity Services, Assurance | Österreich
    Verwandte Themen
    Cybersecurity
    Forensic & Integrity Services
    Neue Technologien
    CIO-Agenda
    CISO-Agenda

    Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden.