Deepfake-Angriffe: Die unsichtbare Gefahr für Unternehmen

…,um Unternehmen gezielt zu täuschen. Eine der aktuell größten Bedrohungen sind Deepfakes – manipulierte Videos oder Audiodateien, die täuschend echt erscheinen und inzwischen in der Lage sind, Stimmen und Gesichter jeder gewünschten Person nahezu perfekt zu imitieren. Diese Technologie, die ursprünglich für die Unterhaltungsindustrie entwickelt wurde, hat sich in den letzten Jahren zu einem mächtigen Werkzeug für Betrüger und Hackergruppen entwickelt. Die Auswirkungen sind gravierend und gehen weit über herkömmliche Cyberangriffe hinaus. Unternehmen sehen sich mit völlig neuen Herausforderungen konfrontiert, bei denen der klassische Schutz durch Firewalls und Antivirensoftware ins Leere läuft.

Schwachstelle Mensch: Warum sind Deepfakes so gefährlich?

Deepfakes zielen nicht auf technische Schwachstellen ab, sondern nutzen gezielt den „Faktor Mensch“. Ein täuschend echtes Video, in dem der vermeintliche Geschäftsführer dringende Überweisungen anweist, oder ein Telefonanruf mit der Stimme einer vertrauten Führungskraft können Sicherheitsprotokolle umgehen und Mitarbeiter dazu bringen, folgenschwere Entscheidungen zu treffen. Der Schaden ist oft immens, sowohl finanziell als auch in Bezug auf die Unternehmensreputation. Besonders gefährdet sind Unternehmen, die Entscheidungen schnell treffen müssen oder stark auf digitale Kommunikation angewiesen sind.

Ein bekanntes Beispiel verdeutlicht das Ausmaß dieser Bedrohung: In Hongkong wurde ein Finanzmanager durch ein Deepfake-Video seines „Chefs“ dazu gebracht, 25 Millionen US-Dollar an einen angeblichen Geschäftspartner zu überweisen. Das Video war so überzeugend, dass der Mitarbeiter keinen Verdacht schöpfte. Erst später stellte sich heraus, dass der Geschäftsführer nie an dem Gespräch beteiligt war – die Angreifer hatten die Technologie gezielt eingesetzt, um Vertrauen zu missbrauchen und eine schnelle Entscheidung zu erzwingen.

Deepfakes: So einfach zu erstellen wie nie zuvor

Was diese Angriffe so gefährlich macht, ist die Leichtigkeit, mit der sie durchgeführt werden können. Deepfake-Technologie ist längst nicht mehr nur wenigen Experten vorbehalten. Es gibt Open-Source-Software und erschwingliche Tools, die es selbst technisch unerfahrenen Personen ermöglichen, täuschend echte Deepfakes zu erstellen. Die notwendigen Daten, um ein überzeugendes Profil einer Zielperson zu erstellen, sind oft frei im Internet verfügbar. Social-Media-Profile, Interviews oder Reden auf Unternehmensveranstaltungen liefern genügend Material, um die Stimme und das Aussehen einer Person zu simulieren.

Laut BSI ist die Zahl der Deepfake-basierten Betrugsfälle im Jahr 2024 um 80 Prozent gestiegen. Besonders im Bereich des Finanzbetrugs sehen sich Unternehmen mit einer stark zunehmenden Bedrohung konfrontiert. Während klassische Phishing-Angriffe in der Regel an Rechtschreibfehlern oder unprofessionellem Design zu erkennen sind, gibt es bei Deepfakes kaum solche eindeutigen Warnsignale. Die Täuschung ist oft perfekt.

Neue Schutzstrategien sind unumgänglich

Um sich vor dieser Bedrohung zu schützen, sind klassische Sicherheitsmaßnahmen nicht ausreichend. Unternehmen müssen ihre Schutzstrategien an die neuen Gegebenheiten anpassen. Ein zentraler Baustein dabei ist die Sensibilisierung der Mitarbeiter. Jeder Mitarbeiter sollte in der Lage sein, potenzielle Deepfake-Angriffe zu erkennen oder zumindest Verdachtsfälle zu melden. Schulungen zu aktuellen Cyberbedrohungen sollten regelmäßig durchgeführt werden, insbesondere für Mitarbeiter in Schlüsselpositionen wie der Finanzabteilung oder im Management. Praxisnahe Beispiele und echte Deepfake-Demonstrationen können dabei helfen, das Bewusstsein für diese Gefahr zu schärfen.

Ein weiterer entscheidender Schutzfaktor ist die Einführung mehrstufiger Verifizierungsprozesse. Finanztransaktionen oder sensible Entscheidungen sollten niemals ausschließlich auf der Basis von digitalen Anweisungen erfolgen. Rückrufverfahren, bei denen der Anrufer über eine bekannte Nummer kontaktiert wird, können viele Angriffe im Keim ersticken. Ebenso sinnvoll ist die Nutzung von Sicherheitscodes, die nur intern bekannt sind und bei kritischen Entscheidungen abgefragt werden können.

Neben organisatorischen Maßnahmen sollten Unternehmen auch technologische Lösungen in Betracht ziehen. Moderne Erkennungssoftware kann helfen, Deepfakes frühzeitig zu identifizieren. Tools wie „Reality Defender“ analysieren in Echtzeit Video- und Audiodateien und suchen gezielt nach Unstimmigkeiten in Mimik, Stimme oder Hintergrundgeräuschen. Diese Technologien werden stetig weiterentwickelt und bieten eine wertvolle Ergänzung zu klassischen Sicherheitsmaßnahmen.

Nicht zuletzt ist eine konsequente Überwachung und Analyse von Social-Media-Aktivitäten wichtig. Viele Angriffe basieren auf Informationen, die frei im Netz zugänglich sind. Unternehmen sollten regelmäßig prüfen, welche Informationen über ihre Führungskräfte öffentlich verfügbar sind, und gegebenenfalls Maßnahmen ergreifen, um diese Daten zu schützen. Mitarbeiter sollten zudem geschult werden, welche Informationen sie besser nicht öffentlich teilen sollten.

Deepfakes – die nächste Herausforderung für die Cybersicherheit

Eines steht fest: Die Entwicklung der Deepfake-Technologie wird in den kommenden Jahren rasant voranschreiten. Was heute noch aufwendig herzustellen und teilweise fehleranfällig ist, wird in wenigen Jahren in Echtzeit und ohne tiefgreifendes technisches Know-how möglich sein. Experten gehen davon aus, dass Deepfakes künftig noch realistischer und dadurch schwerer zu erkennen sein werden – und das sowohl in visuellen als auch auditiven Medien. Dies öffnet der organisierten Cyberkriminalität völlig neue Türen.

Während sich Unternehmen heute überwiegend gegen klassische Cyberbedrohungen wie Phishing oder Ransomware wappnen, müssen in naher Zukunft verstärkt auch der Mensch und dessen Kommunikationsverhalten als Schwachstellen betrachtet werden. Besonders betroffen könnten Branchen sein, die stark auf digitale Interaktionen setzen, etwa Finanzdienstleister, Beratungsfirmen und internationale Unternehmen mit dezentralen Teams.

Gleichzeitig arbeiten Sicherheitsanbieter daran, Erkennungstools zu verbessern und KI-basierte Verteidigungsmechanismen zu entwickeln. Unternehmen, die frühzeitig auf Prävention, Sensibilisierung und innovative Technologien setzen, verschaffen sich einen entscheidenden Vorteil im Kampf gegen die Cyberbedrohungen von morgen.

Drucker galten lange als harmlose Peripheriegeräte. Doch moderne Netzwerkdrucker mit eigener Firmware sind inzwischen ein ernstzunehmendes Einfallstor für Cyberangriffe. Jüngst hat HP eine kritische Schwachstelle in über 200 Druckermodellen bestätigt – mit potenziell schwerwiegenden Folgen für Unternehmensnetzwerke.

Hintergrund: HP warnt vor gravierenden Schwachstellen

Laut Sicherheitswarnungen von HP sind zahlreiche Modelle von Schwachstellen betroffen, die Angreifern ermöglichen, Schadcode auszuführen, den Pufferspeicher zu überlasten (Denial of Service) oder vertrauliche Daten abzugreifen. Die Ursache liegt im Link-Local Multicast Name Resolution (LLMNR)-Protokoll, das zur Netzwerkeinbindung verwendet wird – und eine beliebte Angriffsfläche darstellt.
Eine weitere Warnung betrifft 23 zusätzliche Modelle, bei denen durch unsichere Firmware die Ausführung von Fremdcode und das Ausspähen von Daten möglich ist. Die Updates sind auf der HP-Supportseite verfügbar.

Was ist das Risiko für Unternehmen?

Moderne Drucker sind tief in die IT-Infrastruktur eingebunden – teils sogar mit Cloud-Anbindung oder Remote-Zugriff. Eine kompromittierte Druckereinheit kann daher nicht nur zum Datenverlust führen, sondern:

• Dokumente abfangen, die aktuell oder in der Vergangenheit gedruckt wurden
• Zugriff auf gescannte oder gefaxte Verträge und Unterlagen ermöglichen
• Als Sprungbrett ins Netzwerk dienen – mit Zugriff auf Workstations, Server und andere sensible Systeme

Beispiel aus der Praxis
Bei einem produzierenden Mittelständler wurden über ein veraltetes Druckermodell Dokumente mit technischen Zeichnungen abgegriffen – darunter Patente in Vorbereitung. Die Schwachstelle blieb über sechs Monate unentdeckt. Erst durch ein Incident Response Assessment durch Allgeier CyRis wurde der Angriffsvektor identifiziert.

Schutzmaßnahmen: So sichern Sie Ihre Druckerlandschaft

Viele Sicherheitslücken lassen sich mit gezielten Maßnahmen eindämmen – vorausgesetzt, IT-Verantwortliche handeln proaktiv. Dabei gilt: Nicht nur HP, sondern auch andere Hersteller sind potenziell betroffen. Folgende Empfehlungen gelten daher herstellerunabhängig:

Firmware aktuell halten:

• Regelmäßige Updates der Druckerfirmware prüfen und einspielen
• Automatische Update-Benachrichtigungen aktivieren

Netzwerksegmentierung nutzen:

• Drucker in ein separates VLAN auslagern
• Firewall-Regeln für Druckerverkehr restriktiv setzen
• VPN-Verbindungen für Remote-Druckanbindungen erzwingen

Zugriffsrechte einschränken:

• Hotspot- oder Direktdruck-Funktionen nur gezielt aktivieren
• Rollenbasierten Zugriff auf Druckfunktionen einführen
• Physische Zugriffe auf Drucker absichern (z. B. durch Zutrittskontrollen)

Nur vertrauenswürdiges Zubehör nutzen:

• Verzicht auf Billig-Patronen mit potenziell kompromittierten Chips
• Sicherheitshinweise des Herstellers beachten

Monitoring & Angriffserkennung etablieren:

• Verdächtige Netzwerkaktivitäten analysieren lassen
• Auffällige Druckerzugriffe oder Kommunikationsmuster überwachen

Technische Empfehlung: Frühzeitige Erkennung mit Active Cyber Defense
Angriffe auf Netzwerkdrucker bleiben oft wochenlang unentdeckt – bis ein echter Schaden entstanden ist. Hier setzt der Active Cyber Defense Service von Allgeier CyRis an. Mithilfe kontinuierlicher Analyse von Netzwerkdaten erkennt das System kompromittierte Geräte frühzeitig – auch dann, wenn klassische Antivirenlösungen versagen. Verdächtige Aktivitäten, etwa ungewöhnliche Kommunikationsmuster eines Druckers, werden in Echtzeit gemeldet und bewertet. So kann Ihr IT-Team direkt reagieren – bevor ein Angriff sich ausweitet.

Schritt-für-Schritt: So gehen Sie jetzt vor:

Checkliste für IT-Verantwortliche

• Prüfen Sie, ob Ihre Druckermodelle laut HP-Warnung betroffen sind
• Spielen Sie die verfügbaren Firmware-Updates sofort ein
• Segmentieren Sie die Drucker im Firmennetzwerk
• Überprüfen Sie die Zugriffsrechte und deaktivieren Sie unnötige Funktionen
• Richten Sie ein Monitoring ein – idealerweise mit Managed Detection & Response
• Schulen Sie Ihre Mitarbeitenden im sicheren Umgang mit Peripheriegeräten

Fazit: Drucker sind keine blinden Flecken mehr

Die aktuelle HP-Warnung ist ein Weckruf: Drucker dürfen nicht länger als “sichere Zone” betrachtet werden. Unternehmen sollten sie in ihre Sicherheitsstrategie einbeziehen – von der Patch-Policy über das Netzwerkdesign bis hin zum Monitoring. Je schneller Schwachstellen erkannt werden, desto geringer ist das Risiko für Datenverlust und Netzwerkinfektionen.

Sie möchten prüfen, wie sicher Ihre Drucker- und Netzwerkstruktur wirklich ist?
Unsere IT-Security-Analysten unterstützen Sie bei der Risikobewertung und zeigen Ihnen konkrete Maßnahmen auf.

Sie sind ein wesentlicher Nachweis für Fachkenntnisse, Praxiswissen und strategisches Verständnis im Bereich der IT-Sicherheit. Gerade Unternehmen in kritischen Infrastrukturen oder mit hohen Compliance-Anforderungen verlangen von ihren IT-Verantwortlichen fundierte Qualifikationen.
Doch welche Zertifikate lohnen sich wirklich – und wie finden IT-Entscheider das passende?

In diesem Beitrag geben wir einen praxisnahen Überblick über die weltweit wichtigsten Zertifizierungen im Bereich IT-Security, zeigen deren Relevanz auf und geben konkrete Handlungsempfehlungen zur Auswahl. Zusätzlich erhalten Sie eine Schritt-für-Schritt-Checkliste sowie einen Link zu einer Lösung, mit der Sie sich strategisch für Zertifizierungen und Audits aufstellen können.

Warum Cybersecurity-Zertifizierungen wichtig sind

Angesichts steigender Cyberbedrohungen – wie sie im aktuellen BSI-Lagebericht 2024 erneut betont werden – sind nachweisbare Sicherheitskompetenzen entscheidend. Viele Angreifer nutzen gezielt menschliche Schwächen, Konfigurationsfehler oder veraltetes Know-how aus. Mit aktuellen Zertifizierungen zeigen IT-Verantwortliche, dass sie über praxisrelevantes und aktuelles Wissen verfügen – auch in Hinblick auf neue Standards wie NIS-2 oder das IT-Sicherheitsgesetz 2.0.

Die Top 10 Cybersicherheits-Zertifizierungen 2025

• Microsoft Technology Associate (MTA): Einsteigerfreundlich und ideal für die Spezialisierung auf IT-Infrastruktur, Datenbank- oder Entwicklerkompetenzen. Besonders geeignet für Berufseinsteiger oder Quereinsteiger in die IT Security.
• Offensive Security Certified Professional (OSCP): Der Klassiker für angehende Penetration Tester. Sehr praxisnah und international hoch anerkannt. Wer OSCP besteht, hat echtes Hacking-Know-how bewiesen.
• CompTIA Security+: Herstellerunabhängig und ideal für den Einstieg ins Thema Netzwerksicherheit, Bedrohungserkennung und Risikomanagement. Besonders sinnvoll für Systemadministratoren und IT-Supporter.
• Certified Cloud Security Professional (CCSP): Für alle, die Cloud-Sicherheit strategisch angehen. Deckt Governance, Compliance, Architektur und Risikomanagement in der Cloud ab. Relevant für Cloud-Architekten und SaaS-Anbieter.
• Systems Security Certified Practitioner (SSCP): Für Fachkräfte mit erster Berufserfahrung in der Sicherheitsadministration. Weist Kenntnisse in den Bereichen Zugriffskontrolle, Kryptografie und Sicherheitsarchitektur nach.
• Certified Information Systems Security Professional (CISSP): Der Goldstandard für IT-Sicherheitsmanager und CISOs. Sehr umfangreich, aber international höchst angesehen. Besonders relevant für Governance- und Leadership-Rollen.
• Cisco Certified Network Associate (CCNA): Der Einstieg in die Netzwerksicherheit mit Fokus auf Cisco-Systeme. Ideal für Netzwerkverantwortliche und Administratoren.
• Cisco Certified Network Professional (CCNP): Der nächste Schritt nach CCNA. Vertiefte Kenntnisse in Routing, Switching, Wireless und Netzwerkautomatisierung. Wertvoll für Unternehmen mit komplexen Netzwerkinfrastrukturen.
• Certified Ethical Hacker (CEH): Die CEH-Zertifizierung ist ein Muss für alle, die sich mit Penetration Testing, Schwachstellenscans und realistischen Angriffssimulationen befassen.
• Certified in Risk and Information Systems Control (CRISC): Für alle, die sich mit strategischem Risikomanagement, interner Kontrolle und Governance befassen. Besonders wertvoll für Schnittstellenfunktionen zwischen IT und Management.

Praxisbeispiel: Wie ein Mittelständler durch CEH und CISSP sein Security-Level erhöhte

Ein Logistikunternehmen aus Süddeutschland führte 2024 ein umfassendes Red Teaming mit Allgeier CyRis durch. Dabei zeigten sich gravierende Schwächen in der Endpoint Security und mangelnde Awareness im Team.
Nach gezielten Schulungen und der Zertifizierung zweier IT-Mitarbeiter zum CEH und eines IT-Leiters zum CISSP wurde nicht nur die Sicherheitsarchitektur deutlich verbessert – auch die IT-Risiko-Kommunikation in der Geschäftsleitung wurde gestärkt. Die darauffolgende Re-Zertifizierung im Rahmen eines Full Scope Audits verlief erfolgreich.

Schritt-für-Schritt: So finden Sie die passende Zertifizierung

• Ziel definieren:
  Wollen Sie Ihre Karriere vorantreiben, eine Führungsrolle übernehmen oder Ihr Team strategisch weiterentwickeln?
• Vorwissen prüfen:
  Welche Kenntnisse sind vorhanden? Für Einsteiger eignen sich MTA oder Security+, für Fortgeschrittene CISSP oder CCSP.
• Branche und Unternehmensgröße berücksichtigen:
  Cloud Security ist für SaaS-Startups relevant, während KRITIS-Betreiber oft CISSP oder CRISC bevorzugen.
• Praxisorientierung bewerten:
  Zertifikate wie OSCP oder CEH setzen auf praxisnahe Prüfungen mit realen Szenarien – besonders sinnvoll für Security Operations.
• Relevanz am Arbeitsmarkt prüfen:
  Ein Blick in Jobportale zeigt schnell, welche Zertifizierungen aktuell besonders gefragt sind.

CyRis-Lösungstipp: Mit docSetMinder perfekt auf Zertifizierungen und Audits vorbereitet

Mit der Lösung docSetMinder von Allgeier CyRis unterstützen wir IT-Verantwortliche bei der systematischen Dokumentation und Steuerung von Sicherheitsmaßnahmen.

Egal ob ISO 27001, NIS-2 oder KRITIS – DocSetMinder ONE hilft Ihnen dabei:

• Sicherheitsprozesse zu strukturieren
• Nachweise für Audits sauber zu führen
• Verantwortlichkeiten und Kontrollpflichten klar zu definieren
• Compliance-Anforderungen effizient umzusetzen

So sind Sie ideal vorbereitet – auch auf anspruchsvolle Zertifizierungen wie CISSP oder CRISC.

Fazit: Investition in Wissen ist Schutz vor Cyberangriffen

Zertifizierungen sind keine Pflicht – aber eine enorme Chance. Sie machen Ihre IT-Abteilung zukunftssicher, stärken die Unternehmensresilienz und erhöhen die Sichtbarkeit von IT-Sicherheit im Unternehmen. Nutzen Sie sie strategisch – nicht als Selbstzweck, sondern als gezielten Schritt in Richtung Cyber-Resilienz.

Jetzt beraten lassen: Welche Zertifizierung ist die richtige für Sie?

Kostenfreie Erstberatung bei Allgeier CyRis sichern:
Unsere Experten helfen Ihnen, die passende Qualifikation für sich oder Ihr IT-Team zu finden – inklusive passender Lösungen wie DocSetMinder ONE für Ihre Auditvorbereitung.

Damit E-Mails aus Layer8-Phishing-Simulationen nicht im Spam- oder Junk-Ordner landen, ist es wichtig, die Server-IP-Adressen von Layer8 zu whitelisten. Diese Anleitung erklärt Schritt für Schritt, wie Sie die IP-Adressen korrekt in Exchange 2013, 2016 und Office 365 eintragen und eine entsprechende Regel im Microsoft Exchange Online Protection (EOP) konfigurieren.

Warum ist eine Whitelist notwendig?

Phishing-Simulationen sind ein zentraler Bestandteil der Security Awareness Trainings. Damit Ihre Mitarbeitenden realistische E-Mails erhalten, ohne dass diese durch Spamfilter blockiert werden, müssen die Layer8-Mailserver in Ihrer Umgebung zugelassen werden.

Vorteile:

• Verhindert, dass Awareness-Mails im Junk-Ordner verschwinden

• Sicherstellt, dass Simulationen unter realistischen Bedingungen laufen

• Erleichtert die Auswertung der Trainings

Schritt 1: IP-Adressen in die Whitelist aufnehmen

So konfigurieren Sie die zugelassenen IPs in Exchange:

1. Melden Sie sich am Admin-Portal Ihres Servers an und klicken Sie auf „Admin“.

2. Wählen Sie in der linken Navigation „Exchange“.

3. Gehen Sie zu „Schutz“ → „Verbindungsfilter“.

4. Klicken Sie auf das Stift-Symbol zur Bearbeitung.

5. Wählen Sie „Verbindungsfilter“ und klicken Sie auf (+).

6. Tragen Sie die folgenden IP-Adressen nacheinander ein und speichern Sie die Regel:

• 18.196.224.233

• 18.197.41.25
  

Schritt 2: Regel für eingehende E-Mails einrichten

Zusätzlich legen Sie eine Transportregel in Exchange Online Protection (EOP) an:

1. Öffnen Sie das Exchange Admin Center.

2. Wählen Sie links „Nachrichtenfluss“ → (+) → Neue Regel erstellen.

3. Geben Sie einen Namen ein, z. B. „Layer8-Filterregel“.

4. Aktivieren Sie „Weitere Optionen…“.

5. Unter „Diese Regel anwenden, wenn…“ wählen Sie:

   „Absender… → IP liegt in einem dieser Bereiche oder stimmt genau überein mit“

   Tragen Sie die IP-Adressen ein:

• 18.196.224.233

• 18.197.41.25
  

6. Unter „Folgendermaßen vorgehen…“:

• „Nachrichteneigenschaften ändern… → Nachrichtenkopf festlegen“

• Kopf: X-MS-Exchange-Organization-BypassClutter

• Wert: true
  

7. Fügen Sie eine weitere Aktion hinzu:

• „Nachrichteneigenschaften ändern… → SCL-Bewertung festlegen“
• Wählen Sie: „Spamfilterung umgehen“

8. Speichern Sie die Regel.

Testen der Konfiguration

• Versenden Sie eine Phishing-Simulation über Layer8 an sich selbst.

• Beachten Sie, dass es bis zu 2 Stunden dauern kann, bis neue Regeln greifen.

• Sollte die Mail dennoch im Spam landen, wiederholen Sie den Test nach kurzer Zeit.

Fazit

Mit der richtigen Konfiguration der IP-Adressen-Whitelist und der EOP-Regel stellen Sie sicher, dass Layer8-Simulationen zuverlässig zugestellt werden. Nur so erzielen Sie den vollen Trainingseffekt Ihrer Security Awareness Maßnahmen und sensibilisieren Ihre Mitarbeitenden wirksam gegen Phishing-Angriffe.

Tipp: Abonnieren Sie unseren Newsletter und erhalten Sie regelmäßig praktische Cybersecurity-Insights direkt in Ihr Postfach.

Cyberangriffe werden immer raffinierter – und bleiben häufig lange unentdeckt. Datenverschlüsselung, Systemausfälle und Produktionsstillstände sind oft die Folge. Um solche Szenarien zu verhindern, braucht moderne IT-Security mehr als klassische Schutzmechanismen.
Ein zentraler Baustein ist heute die Anomalie-Früherkennung im Netzwerk.

Was versteht man unter Anomalieerkennung?

Anomalieerkennung bezeichnet das Identifizieren ungewöhnlicher Aktivitäten, die vom normalen Netzwerkverhalten abweichen und auf einen Angriff hindeuten können.

Typische Anomalien sind zum Beispiel:

• unbekannte Geräte im Netzwerk

• Zugriffe von ungewöhnlichen oder externen IP-Adressen

• Nutzung atypischer Protokolle

• plötzliche Spitzen im Datenverkehr

• Logins außerhalb üblicher Zeiten

Solche Auffälligkeiten sind häufig erste Hinweise auf Ransomware oder APT-Angriffe.

Warum Anomalien Angriffe früh sichtbar machen

Viele Cyberangriffe verlaufen nicht sofort destruktiv. Angreifer bewegen sich oft wochenlang unauffällig im Netzwerk, analysieren Strukturen und bereiten den eigentlichen Angriff vor.

Die Anomalieerkennung:

• erkennt Abweichungen vom Normalverhalten

• funktioniert auch bei unbekannten Angriffsmustern

• ermöglicht Reaktionen, bevor Schaden entsteht

Laut der Allianz für Cybersicherheit ist sie deshalb ein entscheidender Bestandteil moderner Angriffserkennung.

Netzwerkmonitoring als technische Grundlage

Grundlage jeder Anomalie-Früherkennung ist ein kontinuierliches Netzwerkmonitoring. Dabei werden unter anderem erfasst:

• Netzwerkverbindungen und Datenströme

• Protokolle und Systemaktivitäten

• Auslastung von Servern und Diensten

• lokale, drahtlose und Cloud-Netzwerke

Wichtig: Monitoring allein reicht nicht aus. Erst die Analyse und schnelle Bewertung von Warnmeldungen macht ein Frühwarnsystem wirksam.

Besonderes Risiko: ICS- und KRITIS-Netzwerke

Industrie- und Produktionsnetze (ICS) verfügen häufig über:

• proprietäre Protokolle

• kaum integrierte Sicherheitsmechanismen

• enge Kopplung an klassische IT-Netzwerke

Gerade in kritischen Infrastrukturen (KRITIS) sind Anomalien oft der einzige frühe Hinweis auf unbefugte Zugriffe. Viele Angriffe auf Steuerungssysteme erfolgen nicht direkt, sondern über das angebundene IT-Netz.

Welche Aktivitäten gelten als kritisch?

Moderne, teils KI-gestützte Systeme bewerten automatisch, ob Aktivitäten auffällig sind. Dazu zählen u. a.:

• ungewöhnliche Login-Muster

• seitliche Bewegungen im Netzwerk

• Port- und Netzwerkscans

• Abweichungen vom normalen Kommunikationsverhalten

Gerade bei gezielten Angriffen sind es diese kleinen Unregelmäßigkeiten, die entscheidend sind.

Warum Managed Services sinnvoll sind

Ein effektives IT-Security-Frühwarnsystem erfordert:

• kontinuierliche Überwachung

• schnelle Analyse

• sofortige Reaktion

Ein eigenes Security Operations Center (SOC) ist für viele Unternehmen jedoch kaum realisierbar.

Mit Managed Detection and Response (MDR) bietet Allgeier CyRis eine praktikable Alternative. Der Active Cyber Defense Service übernimmt:

• Netzwerkmonitoring und Anomalieerkennung

• Bewertung durch erfahrene Security-Experten

• Reaktion in Echtzeit bei verdächtigen Ereignissen

So lassen sich Angriffe stoppen, bevor Systeme verschlüsselt oder lahmgelegt werden.

Gesetzliche Vorgaben erhöhen den Druck

Mit dem IT-Sicherheitsgesetz 2.0 ist für KRITIS-Betreiber eine aktive Angriffserkennung verpflichtend. Gefordert werden unter anderem:

• kontinuierliche Datenerfassung

• automatisierte Auswertung

• Reaktionsfähigkeit in Echtzeit

Auch für andere Unternehmen sind diese Vorgaben ein klares Signal.

Fazit: Früh erkennen statt reagieren

Anomalie-Früherkennung schafft Transparenz dort, wo klassische Sicherheitslösungen an ihre Grenzen stoßen. Sie ist ein zentraler Baustein moderner IT-Sicherheitsstrategien – insbesondere gegen Ransomware und APTs.

Wie gut erkennt Ihre IT ungewöhnliche Aktivitäten?
Lassen Sie Ihre Sicherheitsstrategie prüfen – wir beraten Sie gerne.

Cyberangriffe sind in den vergangenen Jahren nicht nur häufiger geworden, sondern auch strategischer, komplexer und folgenreicher. Besonders Supply-Chain-Angriffe, Zero-Day-Exploits und staatlich motivierte Kampagnen haben gezeigt, wie verwundbar selbst gut abgesicherte Organisationen sein können.

Ein Blick auf die prägendsten IT-Sicherheitsvorfälle der letzten zehn Jahre verdeutlicht, warum klassische Schutzmaßnahmen heute nicht mehr ausreichen – und welche Lehren Unternehmen daraus ziehen sollten.

1. SolarWinds – der folgenschwerste Supply-Chain-Angriff der letzten Dekade

Der Angriff auf die Netzwerkmanagement-Software SolarWinds Orion gilt als einer der gravierendsten Cybervorfälle überhaupt. Über ein manipuliertes Software-Update mit dem Namen Sunburst verschafften sich Angreifer unbemerkt Zugriff auf die Netzwerke von rund 18.000 Organisationen, darunter Großunternehmen und US-Behörden.

Besonders kritisch war dabei, dass die Schadsoftware über einen vertrauenswürdigen Update-Mechanismus ausgeliefert wurde. Selbst Organisationen mit hohen Sicherheitsstandards waren betroffen. Teile der eingesetzten Angriffsvektoren gelten bis heute als nicht vollständig bereinigt – ein klassisches Beispiel für eine langfristig persistente Bedrohung (APT).

2. EternalBlue, WannaCry und NotPetya – Ransomware mit globalen Auswirkungen

Mit dem EternalBlue-Exploit wurde 2017 eine Schwachstelle in Windows öffentlich bekannt, die sich rasant für die Verbreitung der Ransomware WannaCry und NotPetya nutzen ließ. Innerhalb kürzester Zeit waren weltweit tausende Systeme kompromittiert – besonders im Gesundheitswesen, in der Industrie und bei staatlichen Einrichtungen.

Obwohl Microsoft zeitnah einen Patch bereitstellte, sind auch heute noch zahlreiche Systeme ungepatcht. Das zeigt deutlich: Technisch verfügbare Updates schützen nur dann, wenn sie auch konsequent umgesetzt werden – andernfalls bleiben selbst Jahre alte Schwachstellen ein erhebliches Risiko.

3. Shellshock – eine jahrzehntelang unentdeckte Schwachstelle

Die Sicherheitslücke Shellshock betraf die Bash-Shell, ein zentrales Element nahezu aller Linux- und Unix-Systeme. Besonders brisant: Der zugrunde liegende Fehler existierte über 30 Jahre, bevor er entdeckt wurde.

Angreifer konnten über manipulierte Umgebungsvariablen beliebigen Code ausführen und vollständige Kontrolle über betroffene Systeme erlangen – ganz ohne Authentifizierung. Obwohl Shellshock seit 2014 als geschlossen gilt, wurde die Schwachstelle auch später noch gezielt in Angriffskampagnen missbraucht.

4. BlueKeep – Remote Desktop als unterschätztes Einfallstor

Die Schwachstelle BlueKeep rückte 2019 das Thema Remote Desktop Protocol (RDP) massiv in den Fokus. Sie ermöglichte Angreifern, aus der Ferne Schadcode auszuführen und sich ohne Zutun der Nutzer weiterzuverbreiten.

Gerade im Zuge von Homeoffice und Remote Work erwies sich BlueKeep als besonders gefährlich. Trotz veröffentlichter Updates sind laut öffentlichen Scans bis heute zehntausende Systeme verwundbar – ein klares Zeichen dafür, dass externe Zugänge häufig unzureichend abgesichert sind.

5. Sandworm & die OLE-Schwachstelle – gezielte Angriffe auf kritische Infrastrukturen

Die sogenannte OLE-Schwachstelle wurde 2014 von der russischen Hackergruppe Sandworm für gezielte Angriffe auf NATO-nahe Organisationen, staatliche Stellen und Unternehmen aus dem Energiesektor genutzt.

Über präparierte Microsoft-Office-Dokumente konnte Schadcode unbemerkt in sensible Systeme eingeschleust werden. Der Vorfall gilt als frühes Beispiel für staatlich gesteuerte Cyberangriffe, bei denen nicht finanzielle Gewinne, sondern geopolitische Ziele im Vordergrund standen.

Proaktive Angriffserkennung mit Allgeier CyRis

Mit Managed Detection and Response (MDR) unterstützt Allgeier CyRis Unternehmen dabei, verdächtige Aktivitäten frühzeitig zu erkennen – auch dann, wenn klassische Schutzmechanismen versagen.

Durch kontinuierliches Threat Hunting, Angriffserkennung in Echtzeit und fundierte Handlungsempfehlungen lassen sich Sicherheitsvorfälle identifizieren, analysieren und stoppen, bevor es zu größeren Schäden kommt.

Kurz gesagt

Die größten Cyberangriffe der letzten Jahre waren kein Zufall – sondern das Ergebnis unzureichender Sichtbarkeit und fehlender Prävention. Unternehmen, die heute in kontinuierliche Überwachung und Angriffserkennung investieren, schaffen die Basis für nachhaltige Cyber-Resilienz.

Fazit: Patch Management ist Pflicht – reicht aber nicht aus

Die bedeutendsten IT-Sicherheitsvorfälle der letzten zehn Jahre zeigen deutlich:
Reaktive Sicherheitsmaßnahmen greifen zu kurz.

Selbst wenn Patches zeitnah eingespielt werden, bleiben Risiken bestehen – etwa durch:

• unbekannte Schwachstellen

• vergessene Altsysteme

• fehlende Transparenz im Netzwerk

Genau hier setzen proaktive Sicherheitsansätze an.

Ransomware gehört zu den größten Bedrohungen für Unternehmen weltweit. Besonders kritisch ist dabei nicht nur die steigende Zahl der Angriffe, sondern vor allem die hohe finanzielle Belastung für betroffene Organisationen. Allein im ersten Halbjahr 2021 wurden in den USA laut Zeit.de Lösegeldzahlungen in Höhe von 590 Millionen US-Dollar gemeldet – bereits deutlich mehr als im gesamten Vorjahr.

Der entscheidende Faktor: Cyberangriffe werden häufig viel zu spät erkannt.

Cyberangriffe sind kein Ausnahmefall mehr

Die Annahme, dass Cyberattacken nur große Konzerne betreffen, ist längst überholt. Heute gilt: Jedes Unternehmen kann Ziel eines Angriffs werden.

Laut einer Studie des Digitalverbands Bitkom waren bis 2021:

• 9 von 10 Unternehmen bereits von Cyberangriffen betroffen

• rund 50 % mit Ransomware oder anderer Schadsoftware konfrontiert

• 29 % der Angriffe der organisierten Kriminalität zuzuordnen

Die Bedrohung ist damit nicht mehr theoretisch, sondern real und allgegenwärtig.

Warum Angriffe oft unbemerkt bleiben

Moderne Angriffe – insbesondere Advanced Persistent Threats (APT) – setzen nicht auf Geschwindigkeit, sondern auf Unauffälligkeit. Angreifer bleiben oft über Wochen oder Monate im Netzwerk aktiv, bevor sie zuschlagen.

Typische Aktivitäten in dieser Phase:

• Ausspähen von Netzwerkstrukturen

• Erlangen erweiterter Benutzerrechte

• Seitliche Bewegung zwischen Systemen

• Vorbereitung der Ransomware-Verteilung

Die eigentliche Datenverschlüsselung erfolgt erst am Ende – dann jedoch innerhalb kürzester Zeit.

Die Folgen verspäteter Angriffserkennung

Wird ein Angriff zu spät erkannt, sind die Auswirkungen für Unternehmen erheblich. Laut Bitkom erleiden 86 % der betroffenen Unternehmen konkrete Schäden.

Dazu zählen unter anderem:

• Produktions- und Betriebsausfälle

• Stillstand ganzer Geschäftsprozesse

• Datenverlust und Wiederherstellungskosten

• Reputationsschäden gegenüber Kunden und Partnern

Ein bekanntes Praxisbeispiel zeigt, wie dramatisch die Folgen sein können: Beim Ransomware-Angriff auf das Unternehmen Pilz im Jahr 2019 stand die Produktion mehrere Wochen still. Die forensische Analyse ergab, dass die Angreifer bereits monatelang unentdeckt im Netzwerk aktiv waren.

Hohe Kosten – lange Erholungszeiten

Cyberangriffe verursachen nicht nur unmittelbare Schäden, sondern binden Unternehmen oft über Wochen hinweg.

Studien des Ponemon Institute zeigen:

• durchschnittlich 23 Tage Recovery-Zeit nach Ransomware-Angriffen

• über 50 Tage bei komplexen Angriffen mit bösartigem Code

• deutlich kürzere Erholungszeiten bei klassischen Malware-Vorfällen

Gerade Ransomware-Angriffe hinterlassen somit langfristige Spuren im Geschäftsbetrieb.

151 Tage bis zur Entdeckung – ein enormes Risiko

Ein zentrales Problem ist die fehlende Transparenz in vielen IT-Umgebungen. Klassische Sicherheitslösungen erkennen verdächtige Aktivitäten häufig nicht – insbesondere dann, wenn Angreifer mit legitimen Zugangsdaten arbeiten.

Laut der „Cost of a Data Breach“-Studie von IBM Security dauert es im Durchschnitt:

• 151 Tage, bis unbefugte Aktivitäten entdeckt werden

• mehrere Wochen, bis der Angriff vollständig verstanden ist

• noch länger, bis Gegenmaßnahmen greifen

151 Tage, in denen Angreifer ungestört Schaden vorbereiten können.

Angriffsfrüherkennung: Der entscheidende Hebel

Wirksamer Schutz vor Ransomware beginnt nicht bei der Verschlüsselung, sondern deutlich früher. Ziel der Angriffsfrüherkennung ist es, verdächtige Aktivitäten zu erkennen, bevor es zum Schaden kommt.

Wichtige Bausteine sind:

• kontinuierliche Analyse von Logdaten

• Erkennung von Abweichungen vom Normalverhalten

• schnelle Alarmierung bei verdächtigen Mustern

• sofortige Reaktion durch Security-Experten

So lässt sich die Verweildauer von Angreifern im Netzwerk drastisch reduzieren.

Wie Allgeier CyRis Unternehmen unterstützt

Nicht jedes Unternehmen kann ein eigenes Security Operations Center betreiben. Mit Managed Detection and Response (MDR) bietet Allgeier CyRis eine skalierbare Lösung zur Angriffsfrüherkennung.

Unternehmen profitieren unter anderem von:

• 24/7-Überwachung kritischer Systeme

• aktivem Threat Hunting

• frühzeitiger Erkennung von Ransomware-Vorbereitungen

• klaren Handlungsempfehlungen für IT-Teams

Ziel ist es, Cyberangriffe frühzeitig zu stoppen, bevor sie den Geschäftsbetrieb beeinträchtigen.

Fazit: Früh erkennen statt teuer reagieren

Ransomware bleibt eine der größten Cyberbedrohungen für Unternehmen. Die größten Schäden entstehen nicht durch die Lösegeldforderung selbst, sondern durch Ausfallzeiten, Datenverluste und Betriebsunterbrechungen.

Unternehmen, die Angriffe frühzeitig erkennen, verschaffen sich einen entscheidenden Vorteil – und schützen nicht nur ihre IT, sondern ihr gesamtes Geschäftsmodell.

Jetzt IT-Sicherheitsstrategie prüfen lassen – wir beraten Sie gerne.

In Bahnhöfen, Cafés, Hotels oder Flughäfen gehören öffentliche WLAN-Hotspots inzwischen zur Grundausstattung. Was viele unterschätzen: Wer sich sorglos mit einem offenen Netzwerk verbindet, riskiert den Verlust sensibler Daten – vom Passwort bis zur geschäftskritischen Information.

Gerade für Berufstätige, die regelmäßig unterwegs sind oder im Homeoffice arbeiten, ist das Risiko besonders hoch. Denn mobile Geräte sind meist nicht so abgesichert wie stationäre Arbeitsplätze im Unternehmen.

Die fünf größten Gefahren bei der Nutzung öffentlicher WLAN-Netze

1. Man-in-the-Middle-Angriffe (MITM)
   Cyberkriminelle klinken sich unbemerkt zwischen das Endgerät und den WLAN-Router ein und lesen so sensible Daten mit – vom Login über E-Mails bis zu Geschäftsunterlagen. Laut BSI-Berichten zählt MITM zu den häufigsten Angriffsmethoden im öffentlichen Raum.
2. Verbreitung von Schadsoftware
   Einmal verbunden, können Angreifer Malware wie Ransomware oder Keylogger einschleusen. Die Folge: Datenklau, Identitätsdiebstahl oder vollständige Kompromittierung des Endgeräts.
3. Nutzung unverschlüsselter Netzwerke
   Viele öffentliche WLANs sind nur unzureichend abgesichert oder setzen veraltete Verschlüsselungstechnologien ein. Ohne aktuelle Verschlüsselung (z. B. WPA3) ist es für Dritte leicht, den gesamten Datenverkehr mitzuschneiden.
4. Gefälschte Netzwerknamen (Evil Twin Attacks)
   Cyberkriminelle richten täuschend echte WLAN-Zugänge ein, etwa mit dem Namen „Hotel_WiFi_Guest“. Nutzer verbinden sich versehentlich mit dem falschen Netz – und liefern ihre Daten direkt aus.
5. WLAN-Sniffing und Tracking
   Über Tools wie Wireshark oder Hardware-Sniffer zeichnen Angreifer Netzwerkaktivitäten auf – inklusive Passworteingaben, aufgerufener Webseiten oder sogar Zugriff auf interne Tools.

Fallbeispiel: Datenleck durch „Hotel-WLAN“

Ein Außendienstmitarbeiter eines IT-Systemhauses nutzte im Ausland ein offenes Hotelnetzwerk. Unbemerkt loggte sich sein Gerät in ein gefälschtes WLAN ein. Binnen Minuten wurden Kundendaten, Mails und CRM-Zugänge abgegriffen. Erst durch die Analyse mit dem Active Cyber Defense Service von Allgeier CyRis wurde die Attacke erkannt und gestoppt.

Sieben Maßnahmen für mehr Sicherheit im öffentlichen WLAN

• VPN einsetzen: Ein Virtual Private Network (VPN) verschlüsselt den gesamten Datenverkehr und schützt zuverlässig vor MITM-Angriffen. Viele Unternehmen stellen ihren Mitarbeitenden bereits VPN-Clients zur Verfügung – diese sollten konsequent genutzt werden.
• HTTPS-Verbindungen erzwingen: Nutzen Sie stets verschlüsselte Webseiten („https://“) – viele Browser bieten Add-ons, die automatisch unsichere Verbindungen blockieren. E-Mails sollten über SSL-verschlüsselte Verbindungen abgerufen werden.
• Dateifreigaben deaktivieren: Sperren Sie Dateifreigaben auf mobilen Geräten im öffentlichen Netz. Bei Windows und macOS lässt sich dies unter den Netzwerkeinstellungen anpassen („öffentliches Netzwerk“ auswählen).
• Automatische Netzwerkanmeldung deaktivieren: Lassen Sie Ihre Geräte nicht automatisch bekannte Netzwerke auswählen – Kriminelle können diese gezielt nachahmen. Die Option lässt sich in den WLAN-Einstellungen Ihres Systems deaktivieren.
• Verzicht auf vertrauliche Vorgänge: Vermeiden Sie Online-Banking, Passwortänderungen oder den Zugriff auf interne Systeme, solange Sie mit einem öffentlichen WLAN verbunden sind.
• WLAN und Bluetooth bei Nichtgebrauch ausschalten: Selbst im inaktiven Zustand tauschen viele Geräte regelmäßig Daten mit Netzwerken in Reichweite aus. Deaktivieren Sie beide Schnittstellen, wenn keine Verbindung benötigt wird.
• Zero Trust denken – auch mobil: Vertrauen Sie keinem Netzwerk pauschal – selbst nicht in Business-Lounges oder Hotels. Zero Trust bedeutet: Jede Verbindung und jedes Gerät wird konsequent überprüft, bevor Zugriff erlaubt wird.

Technische Lösung: Mobile Sicherheit mit EMILY von Allgeier CyRis

Mit der Lösung EMILY bietet Allgeier CyRis eine zentral steuerbare Plattform für den sicheren mobilen Datenzugriff. EMILY kombiniert sicheren VPN-Tunnel, granulare Rechtevergabe und Geräte-Management. Unternehmen können Richtlinien festlegen, um Zugriffe im öffentlichen WLAN zu kontrollieren oder automatisch zu blockieren.

Dank Echtzeit-Überwachung und Device Compliance lässt sich definieren, welche Anwendungen im öffentlichen WLAN überhaupt aktiv sein dürfen – und welche gesperrt werden. Das schützt Daten, selbst wenn Mitarbeitende unterwegs auf fremde Netzwerke angewiesen sind.

Checkliste: So machen Sie öffentliche WLANs sicher(er)

• Aktivieren Sie einen sicheren VPN-Tunnel für alle mobilen Geräte
• Erzwingen Sie HTTPS und SSL-Verbindungen in Browsern und Mail-Clients
• Deaktivieren Sie automatische WLAN-Verbindungen und Dateifreigaben
• Vermeiden Sie vertrauliche Aktionen im öffentlichen WLAN (Logins, Banking)
• Nutzen Sie mobile Sicherheitslösungen wie EMILY zur Netzwerk- und Zugriffssteuerung
• Schulen Sie Ihre Mitarbeitenden im sicheren Umgang mit öffentlichen WLANs
• Führen Sie regelmäßige Audits und Sicherheitsüberprüfungen durch

Fazit: Öffentliche WLANs mit Zero Trust begegnen

Sichere Unternehmenskommunikation endet nicht am Bürotisch – sie muss auch unterwegs gewährleistet sein. Die Nutzung öffentlicher WLANs ist oft unvermeidlich, muss aber bewusst und mit den richtigen Schutzmaßnahmen erfolgen. Tools wie VPN, EMILY und eine Zero-Trust-Strategie helfen, sensible Daten auch im unsichersten Netz zu schützen.

Sie wollen wissen, wie Sie Ihre mobile Infrastruktur absichern können
Unsere Experten analysieren Ihr Sicherheitskonzept und zeigen auf, wie Sie Mitarbeitende im öffentlichen Raum effektiv schützen – inkl. Teststellung von EMILY.