Im Mai hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) seinen aktuellen Cybersicherheitsmonitor veröffentlicht. Daraus geht ein deutlicher Trend hervor: Cyberangriffe erfolgen heute deutlich seltener durch direkte, aggressive Versuche, Firewalls zu überwinden, sondern vielmehr durch den gezielten Missbrauch des Vertrauens in scheinbar offizielle Quellen.

Quelle: Forenova

 

In vielen mittelständischen Unternehmen beruhte das Sicherheitsverständnis lange Zeit auf drei Grundannahmen: Die Firewall bietet ausreichenden Schutz, die Belegschaft ist entsprechend sensibilisiert, und Software aus offiziellen Quellen kann bedenkenlos eingesetzt werden. Im Jahr 2026 zeigt sich jedoch, dass diese Sichtweise nicht mehr ausreicht. Angreifer haben erkannt, dass es wesentlich effektiver ist, sich als vertrauenswürdige Instanz auszugeben und Unternehmen dazu zu bringen, ihnen selbst Zugang zu gewähren.

 

„Offiziell“ ist nicht gleich „sicher“

 

Der Begriff „offiziell“ ist inzwischen selbst zum Angriffsziel geworden. Die potenzielle Angriffsfläche erstreckt sich heute über sämtliche Bereiche des digitalen Alltags, darunter App-Stores, Ökosysteme für KI-Plugins, Entwicklerplattformen wie GitHub oder Hugging Face sowie sogar Treiber-Updates. Dabei nutzen Angreifer gezielt ein psychologisches Grundmuster: Alles, was professionell oder seriös erscheint, wird automatisch als sicher eingeschätzt. Genau dieses Vertrauen bildet jedoch die Grundlage für besonders gefährliche Supply-Chain-Angriffe.

 

Ein aktuelles Beispiel wurde am 11. Mai bekannt, als auf einer KI-Plattform ein angeblich offizielles Datenschutz-Tool von OpenAI auftauchte. Innerhalb weniger Tage wurde es über 244.000-mal heruntergeladen. Eine nachfolgende technische Analyse zeigte jedoch, dass der eigentliche Zweck nicht der Schutz von Daten war, sondern das Abgreifen von Browser-Tokens und Zugangsdaten. Solche Angriffe sind besonders heimtückisch, da sie keine auffälligen Systemfehler verursachen, sondern stattdessen legitime Benutzeridentitäten übernehmen und so sogar Multi-Faktor-Authentifizierung umgehen können.

 

DLL Side-Loading ist immer mehr im Trend

 

Ein weiterer beobachteter Trend betrifft sogenannte parasitäre Angriffe in Form von DLL Side-Loading, wie es etwa beim Auftreten der Malware TCLBANKER am 10. Mai der Fall war. Dabei führen Angreifer nicht mehr direkt erkennbare Schadprogramme aus, sondern schleusen sich in bestehende, vertrauenswürdige Anwendungen ein – zum Beispiel in weit verbreitete Logitech-Treiber.

 

Da in solchen Fällen scheinbar legitime Software ausgeführt wird, stoßen klassische Antivirenlösungen, die vor allem auf Signaturen basieren, schnell an ihre Grenzen. Sobald die Schadsoftware aktiv ist, kann sie etwa auf Outlook oder WhatsApp zugreifen und im Namen des betroffenen Unternehmens täuschend echte Phishing-Nachrichten an Kunden verschicken. Dadurch gerät insbesondere eines der wichtigsten Güter eines Unternehmens in Gefahr: seine Reputation.

 

Hochgefahr durch sogenannte „Schatten-IT“

 

Ein besonders großes Risiko stellt inzwischen die sogenannte Schatten-IT dar. Häufig installieren Mitarbeitende eigenständig KI-basierte Browser-Erweiterungen oder Software-as-a-Service-Tools, um ihre Arbeit effizienter zu gestalten, ohne dies mit der IT-Abteilung abzustimmen. Wenn dabei das Vertrauen allein auf der Tatsache basiert, dass ein Tool offiziell verfügbar ist, wird die klassische Schutzfunktion der Firewall weitgehend ausgehebelt.

 

Im Jahr 2026 endet der Sicherheitsbereich eines Unternehmens nicht mehr an den Grenzen des eigenen Netzwerks. Stattdessen erstreckt er sich bis in die Browser, E-Mail-Postfächer und letztlich bis zu den Eingaben jedes einzelnen Mitarbeitenden.

 

Weshalb Sie NovaMDR™ brauchen:

 

Um identitätsbasierte Angriffe effektiv abzuwehren, reichen herkömmliche, statische Sicherheitsmechanismen nicht mehr aus. Firewalls sind zwar weiterhin in der Lage, bekannte Bedrohungen zu blockieren, doch sie können nicht beurteilen, welche Absichten hinter einem scheinbar legitimen Prozess stehen. Mit anderen Worten: Nur weil eine Quelle vertrauenswürdig erscheint, bedeutet das noch lange nicht, dass ihr Verhalten unbedenklich ist.

 

Genau an diesem Punkt setzt der Managed Detection & Response Service NovaMDR™ von unserem Partner Forenova an. Der zentrale Ansatz besteht darin, nicht nur zu prüfen, welches Programm ausgeführt wird, sondern kontinuierlich zu überwachen, wie es sich verhält.

 

Dabei analysiert NovaMDR™ Verhaltensmuster in Echtzeit und erkennt unabhängig von der Herkunft eines Programms, wenn dieses versucht, auf sensible Zugangsdaten zuzugreifen oder unautorisierte Verbindungen aufzubauen. Gleichzeitig kombiniert der Ansatz moderne Technologie mit menschlicher Expertise, um jene Lücken zu schließen, die automatisierte Systeme allein nicht erkennen können. Insbesondere bei moderner Schadsoftware, die häufig in Sprachen wie Rust entwickelt wird und gezielt klassische Erkennungsmechanismen umgeht.

 

Ein weiterer Fokus liegt auf der schnellen Eindämmung von Angriffen. Ziel ist es, innerhalb von Millisekunden einzugreifen – noch bevor Schadsoftware wie TCLBANKER erste betrügerische Nachrichten versendet. Dadurch werden nicht nur operative Abläufe geschützt, sondern auch das Vertrauen von Kunden und Geschäftspartnern bewahrt.

 

Zusammenfassend lässt sich sagen, dass das Sicherheitsumfeld im Jahr 2026 es nicht mehr zulässt, sich darauf zu verlassen, dass Plattformbetreiber sämtliche Prüfungen übernehmen. Der Grundsatz „Always Verify“ ist längst keine bloße Empfehlung mehr, sondern eine grundlegende Voraussetzung für den Schutz von Unternehmen und Marken. In einer digitalen Welt voller Vertrauensfallen ist kontinuierliches, proaktives Monitoring der entscheidende Faktor, um Risiken frühzeitig zu erkennen und wirksam zu begegnen.

 

Mehr dazu erfahren Sie gerne persönlich bei uns: https://www.oberberg.net/partner/fore-nova/.