Die internationale EY-Organisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Mandanten.
So unterstützen wir Sie
-
Die Experten für Datenschutz & Cyber Response von EY können Ihrem Unternehmen dabei helfen, komplexe Cyberangriffe zu bewältigen. Erfahren Sie mehr.
Mehr erfahren
Die neuen Cybertricks 2025 und wie sich Unternehmen wehren können
Die Angriffslandschaft entwickelt sich schnell. Dies sind die wichtigsten Trends, die Unternehmen derzeit beobachten und abwehren müssen:
1. KI-verstärktes Spear-Phishing und automatisierte Social-Engineering-Kampagnen
Angreifer nutzen KI, um aus öffentlich verfügbaren Daten wie Social Media, Firmenprofilen oder Stellenanzeigen hyperpersonalisierte Nachrichten zu erzeugen, inklusive korrekter Rollenbezeichnungen, teilweise sogar korrekter interner Begriffe. Die Nachrichten sind ohne Hilfsmittel kaum noch als Fälschungen zu entlarven.
Gegenmaßnahmen: E-Mails sollten durch mehrstufige Filter mit KI-Erkennung geprüft werden. Phishing-resistente Multi-Faktor-Authentifizierung verhindert die Übernahme von Benutzerkonten. Regelmäßige, praxisnahe Phishing-Trainings erhöhen die Wachsamkeit der Mitarbeitenden.
2. Deepfakes und synthetische Identitäten
Telefonanrufe oder Videokonferenzen mit täuschend echt generierten Stimmen oder naturgetreu anmutenden Fake-Videos werden eingesetzt, um Zahlungsfreigaben oder vertrauliche Informationen zu erlangen. Chatbots imitieren Mitarbeitende im Kundenservice.
Gegenmaßnahmen: Verdächtige Kontaktaufnahmen sollten immer über einen zweiten Kommunikationskanal überprüft werden. Transaktionslimits und Freigabeprozesse mit Vieraugenprinzip schützen vor Fehlüberweisungen. Teams sollten geschult werden, Deepfake-Anzeichen in Sprache und Video zu erkennen.
3. Prompt Injection und KI-Assistenz-Missbrauch
Angreifer manipulieren generative KI-Hilfen wie interne Chatbots oder Dokumentengeneratoren, sodass vertrauliche Daten ausgegeben oder Sicherheitschecks umgangen werden. Das ist besonders gefährlich, wenn die KI direkten Zugriff auf Unternehmensdaten hat.
Gegenmaßnahmen: Alle Ein- und Ausgaben von KI-Systemen sollten auf vertrauliche Inhalte geprüft werden („human in the loop“). Klare Rollen- und Rechtekonzepte begrenzen, wer mit KI-Systemen sensible Daten verarbeiten darf. Regelmäßige Red-Team-Tests helfen, Manipulationen frühzeitig zu erkennen.
4. Supply-Chain-Attacken und Software-Component-Tampering
Statt große Ziele direkt zu hacken, greifen Cyberkriminelle oft Zulieferer oder Partnerfirmen an, etwa Zahlungsdienstleister oder Softwareanbieter. So fließen Kundendaten oder Zahlungsinformationen ab, ohne dass das betroffene Unternehmen es sofort merkt. Besonders an stark frequentierten Tagen wie dem Black Friday kann unbemerkt schnell großer Schaden entstehen.
Gegenmaßnahmen: Zulieferer und Partner sollten regelmäßig auf Sicherheitsrisiken geprüft werden. Eine vollständige Software-Stückliste (SBOM) macht verwendete Komponenten transparent. Drittanbieter und von Externen betriebene Servernetzwerke (Content Delivery Networks, CDNs) müssen kontinuierlich überwacht werden, um Manipulationen zu erkennen.
5. Botnets, Credential Stuffing und Account Takeover in großem Maßstab
Angreifer setzen automatisierte Bot-Farmen ein, um Anmeldeformulare, Rabattaktionen und Check-out-Prozesse zu überfluten (Scalping, Fraud). Viele Kunden verwenden Passwörter mehrfach. Angreifer können daher gestohlene Passwörter aus anderen Datenlecks ausprobieren (Credential Stuffing), um die Kontrolle über Benutzerkonten zu übernehmen (Account Takeover, ATO).
Gegenmaßnahmen: Rate Limiting begrenzt, wie oft jemand in kurzer Zeit zum Beispiel Passwörter ausprobieren darf. Device Fingerprinting erkennt Geräte an ihren technischen Merkmalen und ungewöhnliche Anmeldeversuche. Mit adaptiver Authentifizierung wird die Sicherheitsprüfung an die Situation angepasst und bei verdächtigen Logins ein zusätzlicher Code verlangt. Nicht zuletzt hilft eine gewisse Passwort-Hygiene den Nutzern, starke und einzigartige Passwörter zu verwenden und sie regelmäßig zu ändern.
6. Manipulierte Werbung und versteckte Schadsoftware
Gefälschte Werbenetzwerke oder manipulierte Netzwerke zur Verteilung digitaler Inhalte können beim Aufruf von Shop-Seiten Schadskripte nachladen, die Zahlungsdaten abgreifen oder Sitzungen kapern.
Gegenmaßnahmen: Sicherheitsregeln für Webseiten (Content Security Policy, CSP) legen fest, welche Inhalte geladen werden dürfen, und verhindern, dass Angreifer einen schädlichen Code einschleusen. Subresource Integrity (SRI) prüft externe Dateien und lädt sie nur, wenn sie unverändert und echt sind. Betreiber von Webseiten sollten die sichtbaren Teile wie Skripte, Bilder oder Formulare regelmäßig überwachen, um Manipulationen oder eingeschleusten Schadcode früh zu erkennen.
7. Fehlerhafte Cloud-Einstellungen und unsichere Schnittstellen
Manchmal sind Cloud-Speicher oder Online-Systeme fehlerhaft konfiguriert und erlauben mehr Zugriff, als sie sollten – etwa auf sensible Daten. Angreifer testen Sicherheitslücken in Schnittstellen (APIs) oder nutzen übermäßige Zugriffsrechte aus.
Gegenmaßnahmen: Der Zugriff sollte auf das Nötigste beschränkt werden. Cloud-Einstellungen sind regelmäßig zu überprüfen. Mit der Überwachung von Zugriffsrechten in Echtzeit (Runtime Permission Monitoring) lassen sich ungewöhnliche Aktivitäten erkennen.
8. Verdeckter Datendiebstahl durch Tarntechniken
Manche Angreifer verstecken einen Datendiebstahl, indem sie Informationen in harmlos wirkende Datenströme einbauen. Oder sie nutzen legitime Cloud-Dienste, um Dateien unbemerkt herauszuschmuggeln.
Gegenmaßnahmen: Netzwerk-Flow-Analysen beobachten den gesamten Datenverkehr, um ungewöhnliche Muster zu erkennen. Systeme zur Anomalie-Erkennung melden automatisch abweichendes Verhalten. Unternehmen sollten zudem Regeln festlegen, welche Daten das Firmennetz verlassen dürfen, und alles andere blockieren (Egress-Kontrollen).
9. Quishing
QR-Codes im stationären Handel oder in Paketbenachrichtigungen können auf gefälschte Checkout-Seiten führen, die Zahlungsdaten abgreifen.
Gegenmaßnahmen: Nutzer sollten QR-Codes nur von vertrauenswürdigen Quellen scannen und vor dem Öffnen die Ziel-URL prüfen. Unternehmen sollten sichere QR-Generatoren verwenden, physische Codes regelmäßig kontrollieren und verdächtige oder kurzlebige Links technisch überwachen.
10. Kompromittierte Browser Extensions und Mobile-App-Missbrauch
Manche Browser-Erweiterungen oder gefälschten Apps tun so, als wären sie echte Händler- oder Zahlungs-Apps. In Wirklichkeit lesen sie vertrauliche Daten wie Wallets, Kreditkarteninformationen oder Login-Daten aus.
Gegenmaßnahmen: Nutzer sollten nur vertrauenswürdige Apps und Erweiterungen installieren und auch nur aus offiziellen Quellen (zum Beispiel App Store, Firmenportal). Regelmäßige Integritäts-Checks prüfen, ob eine App oder Erweiterung manipuliert wurde.