Warum moderne Angriffe keine Sicherheitslücken mehr brauchen

Während viele Unternehmen ihre Cyberabwehr vor allem auf Schwachstellen und technische Schutzmechanismen ausrichten, verändern Angreifer längst ihre Methoden. Nicht der ungepatchte Server steht zunehmend im Mittelpunkt, sondern der Mensch im normalen Arbeitsalltag. Unsere aktuelle Malware-Analyse belegt dies anhand eines konkreten Beispiels sehr deutlich. 

Im Rahmen einer gezielten Kampagne gegen deutsche Kanzleien kombinierten Angreifer glaubwürdige Bewerbungen, Telefonanrufe und mehrstufige Malware zu einer professionell inszenierten Täuschung. Ein Angriff, der ohne klassische Sicherheitslücke funktionierte. Statt technische Barrieren direkt zu umgehen, nutzten die Täter Vertrauen, eingespielte Routinen und den alltäglichen Geschäftsprozess als Einfallstor.   

Der Bewerbungsprozess wird zum Sicherheitsrisiko 

Im Fokus der Kampagne standen hauptsächlich die HR-Abteilungen der Kanzleien. Die Angreifer gaben sich als Bewerber aus, nutzten reale Identitäten aus dem Internet und führten parallel zum Versand der Unterlagen Telefongespräche mit den Mitarbeitenden. Laut Analyse wirkten die Gespräche, die möglicherweise sogar KI-gestützt waren, professionell und glaubwürdig.   

Die eigentliche Schadsoftware wurde dabei als vermeintlicher Lebenslauf verschickt. Hinter der PDF verbarg sich aber eine digital signierte Windows-Datei, getarnt mit Adobe-Icon und basierend auf einer manipulierten Version eines legitimen Microsoft-Tools. Das Ziel war nicht, technische Schutzmechanismen direkt zu überwinden. Entscheidend war vielmehr, dass der Ablauf plausibel wirkte. 

Das zeigt die eigentliche Veränderung moderner Angriffe: Sie orientieren sich an legitimen Geschäftsprozessen. Bewerbungen zu öffnen, Dateien herunterzuladen oder Rückfragen telefonisch zu klären, gehört zum Arbeitsalltag im HR-Bereich. Diese Normalität nutzen Angreifer gezielt aus. 

Social Engineering wird professioneller 

Besonders auffällig ist der hohe Aufwand hinter der Kampagne. Die Täter arbeiteten mit echten Identitäten, glaubwürdigen Kommunikationsmustern und mehrstufigen Sicherheitsmechanismen innerhalb der Malware. Die Schadsoftware prüfte beispielsweise zunächst, ob professionelle Sicherheitslösungen auf dem System aktiv waren. Wurde eine entsprechende Schutzumgebung erkannt, brach die Malware die Ausführung ab und zeigte lediglich einen harmlosen Lebenslauf an. Diese Vorgehensweise ist bemerkenswert und macht deutlich: Die Angreifer haben es nicht zwingend darauf angelegt, möglichst viele Systeme zu kompromittieren, sondern möglichst lange unentdeckt zu bleiben. 

Auch der Passwortschutz der angeblichen Bewerbungen war Teil der Inszenierung. Während der vermeintliche Kandidat am Telefon blieb, fragte der Mitarbeitende nach dem Passwort für das Dokument und startete damit unwissentlich die nächste Stufe der Malware. Technische Schadfunktion und menschliche Interaktion griffen bewusst ineinander. 

Gezielte Angriffe statt breiter Streuung 

Unsere Analyse deutet darauf hin, dass die Täter selektiv vorgingen. Statt sofort Daten zu stehlen oder Systeme zu verschlüsseln, fertigte die Malware zunächst Screenshots an und übertrug diese an die Angreifer. Das spricht für einen manuellen Auswahlprozess im Hintergrund. Die Angreifer wollten offenbar zunächst verstehen, welches System sie kompromittiert hatten und ob sich weiterer Aufwand lohnt. 

Für Unternehmen ist das eine wichtige Erkenntnis. Viele klassische Sicherheitsstrategien sind auf breit gestreute Angriffe ausgelegt. Gezielte Kampagnen wie diese funktionieren jedoch anders. Sie sind geduldig, leise und deutlich stärker auf glaubwürdige Kommunikation ausgerichtet. 

Was Unternehmen daraus lernen sollten 

Die Untersuchung zeigt vor allem eines: Cyberabwehr darf sich nicht allein auf technische Schwachstellen konzentrieren. Natürlich bleiben Patchmanagement, Endpoint Protection und sichere Konfigurationen unverzichtbar. Gleichzeitig müssen Unternehmen aber auch stärker auf Prozesse schauen, in denen externe Kommunikation auf interne Routinen trifft. Dazu gehören Bewerbungen, Lieferantenbeziehungen, Support-Prozesse oder Dateiübertragungen über Cloud-Dienste. 

Ebenso wichtig ist die Fähigkeit, ungewöhnliche Muster frühzeitig zu erkennen. Moderne Angriffe bewegen sich oft bewusst unterhalb klassischer Alarmgrenzen. Deshalb gewinnen kontinuierliches Monitoring und die Einordnung einzelner Signale im Kontext zunehmend an Bedeutung. 

Fazit 

Moderne Täter brauchen nicht zwingend eine technische Sicherheitslücke. Sie nutzen Vertrauen, zwischenmenschliche Kommunikation und alltägliche Geschäftsprozesse. Sicherheitsstrategien müssen also breiter gedacht werden. Entscheidend ist heute nicht mehr nur, wie gut Systeme geschützt sind. Entscheidend ist, ob Unternehmen erkennen, wenn legitime Prozesse plötzlich Teil eines Angriffs werden. Wer Cyberabwehr weiterhin nur als technisches Problem betrachtet, übersieht eine zunehmend relevante Angriffsfläche.