{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreialwqv6stey4jbz3fwollp32nkdffl77uyu7kc637i2mvplhv6qpe",
"uri": "at://did:plc:rrwxywdlrz5fkwj5g4u4jnrk/app.bsky.feed.post/3mgfdbkf3ze42"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreidcqqzjb5ckh44bmczffrkw7fg7hegxfbfrwtuah36tfvjcu5wt6m"
},
"mimeType": "image/jpeg",
"size": 203950
},
"path": "/article/4139950/europa-im-visier-von-cyber-identitatsdieben.html",
"publishedAt": "2026-03-06T04:00:00.000Z",
"site": "https://www.csoonline.com",
"tags": [
"Cybercrime, Fraud, Identity Theft, Security",
"Shutterstock",
"Threat Report 2026",
"Qilin",
"Multi-Faktor-Authentifizierung"
],
"textContent": "Deutsche Unternehmen müssen sich warm anziehen: Sowohl staatliche als auch „private“ Akteure haben es auf sie abgesehen.\n\nShutterstock\n\nWie die Experten von Darktrace in ihrem aktuellen Threat Report 2026 darstellen, bleiben Cloud- und E-Mail-Konten das Einfallstor Nummer Eins in Europa. Dem Bericht zufolge begannen im vergangenen Jahr in Europa 58 Prozent der Attacken mit kompromittierten Cloud-Accounts oder E-Mail-Zugängen. Klassische netzwerkbasierte Intrusionen machten 42 Prozent aus.\n\nMehr als die Hälfte der registrierten Vorfälle entfiel auf Organisationen in der EMEA-Region, wobei Deutschland das am stärksten ins Visier geratene Land war. Besonders häufig traf es Unternehmen aus dem verarbeitenden Gewerbe.\n\n## Identität als Einfallstor\n\nHintergrund sei, so Darktrace, dass Cloud-Transformation, SaaS-Nutzung und hybride Arbeitsmodelle die traditionelle Netzwerkgrenze aufgelöst hätten. Angreifer müssten deshalb nicht mehr in Systeme eindringen, sondern könnten sich mit gestohlenen Zugangsdaten anmelden. Anschließend bewegten sie sich dann mit legitimen Berechtigungen innerhalb der Infrastruktur.\n\n„Die Bedrohungslage hat sich fundamental verändert. Wir sehen, dass sich Angreifer mit gültigen Accounts anmelden und reguläre Administrationswerkzeuge nutzen. Das erschwert die Erkennung erheblich, weil sich bösartiges Verhalten in legitime Prozesse einbettet“, erklärt Nathaniel Jones, VP Security & AI Strategy bei Darktrace, die Situation.\n\n## KRITIS in Gefahr\n\nDen Experten von Darktrace zufolge zeigt sich der identitätsbasierte Angriffsansatz in sensiblen Sektoren besonders: Demnach richteten sich 33 Prozent der Phishing-Mails im Gesundheitswesen, 30 Prozent im Finanzsektor und 20 Prozent im Energiesektor gezielt an privilegierte Nutzer. Darktrace dokumentierte zudem europäische Vorfälle, bei denen kompromittierte SaaS-Accounts als Ausgangspunkt für weitergehende Aktivitäten in operativen Umgebungen dienten.\n\nAls Hintermänner dieser Angriffe vermuten die Security-Fachleute staatlich unterstützte und hybride Akteure. Diese würden verstärkt auf strategische Vorpositionierung setzen, insbesondere in der Telekommunikation, dem Energiesektor und anderen systemrelevanten Bereichen.\n\nBesonders heben die Studienmachen hier die Gruppen Lazarus aus Nord-Korea und ShadowPad aus China hervor. Im „privaten“ Sektoren wird vor den Ransomware-as-a-Service-Experten von Akira gewarnt. Alle drei Gruppen sollen sich verstärkt auf den Manufacturing-Sektor konzentrieren.\n\nWeitere Player im Bereich Ransomware, die es zu beobachten gilt, sind laut Darktrace Qilin, RansomHub, Lynx und INC.\n\n## Auch Cloud- und SaaS-Kompromittierungen\n\nEine weitere Erkenntnis: Mit der Verlagerung geschäftskritischer Prozesse in Cloud- und SaaS-Umgebungen wächst die Abhängigkeit von Identitäts- und Zugriffsmechanismen. Kompromittierte Accounts könnten damit als Ausgangspunkt für laterale Bewegungen in komplexen, vernetzten Umgebungen dienen.\n\nDarktrace verweist auf Honeypot-Daten, wonach 43,5 Prozent der beobachteten Malware-Samples auf Microsoft Azure zielten, 33,2 Prozent auf Google Cloud Platform und 23,2 Prozent auf AWS.\n\nDocker-Umgebungen standen bei etwas mehr als der Hälfte der erfassten Angriffsversuche im Fokus.\n\n## Bestehende Schwachstellen ausgenutzt\n\nNeben gezielten Angriffen auf Mail- und Cloud-Accounts machen sich Kriminelle immer häufiger technische Schwachstellen zunutze. Und davon gibt es zunehmend mehr, so Darktrace: 2025 wurden insgesamt 48.185 CVEs registriert – ein Anstieg um 20,6 Prozent gegenüber dem Vorjahr.\n\nDie Sicherheitsforscher beobachtete dabei in mehreren Fällen auffällige Exploitation-Aktivitäten Tage bis Wochen vor der offiziellen Offenlegung, unter anderem bei SAP NetWeaver und Ivanti.\n\n## Besonderes Augenmerk auf Privilegierte\n\nDas Fazit von Darktrace: Wer ausschließlich auf Perimeter-Kontrollen oder bekannte Signaturen setzt, erkennt Angriffe häufig erst spät. Entscheidend sei die Fähigkeit, Abweichungen im Verhalten von Nutzern, Systemen und Workloads frühzeitig zu identifizieren und einzugrenzen.\n\nDementsprechend raten die Experten Organisationen, privilegierte Konten kontinuierlich zu überwachen. Gibt es Informationen darüber, dass sich neue Admins auf Servern angemeldet haben, sei das ein Warnsignal.\n\nZusätzlich raten sie, externe VPN-Anmeldungen an Rechenzentren als Vorboten schwerwiegender Sicherheitsvorfälle zu behandeln. Diese Vorkehrungen sollten mit Maßnahmen zur Härtung der Multi-Faktor-Authentifizierung (MFA) sowie Geräte-Baselines kombiniert werden.",
"title": "Europa im Visier von Cyber-Identitätsdieben"
}