Attacken über E-Mail, Kollaborationsplattformen, Chat und Telefon zielen es immer häufiger direkt auf Menschen ab. Der Mimecast-Report zeigt, wie Phishing, ClickFix, Business Email Compromise und der Missbrauch vertrauenswürdiger Dienste technische Abwehrstrategien außer Kraft setzten.
Laut Mimecast nutzen Angreifer verstärkt Dienste wie DocSend, Signaturplattformen, Cloud-Speicher und Kollaborationsumgebungen und kombinieren sie mit bösartigen Scalable-Vector-Graphics-Dateien, um den Mensch als Schwachstelle auszunutzen.
Der „Global Threat Intelligence Report 2025“ von Mimecast zeigt einen starken Anstieg von Angriffen, die auf Menschen abzielen: Angreifer nutzen Kommunikationskanäle, die direkt am Menschen ansetzen. Über E-Mail, Kollaborationsplattformen, Chat und Telefon treten sie in Kontakt. Für den Report analysierte Mimecast mehr als 24 Billionen Datenpunkte für seine rund 43.000 Kunden, wobei über 9,13 Milliarden Bedrohungen identifiziert wurden.
Phishing macht laut Report 77 Prozent aller Attacken aus. 2024 waren es noch 60 Prozent. Künstliche Intelligenz (KI) senkt die Schwelle für überzeugende Köder. Angreifer imitieren Lieferanten, Partner und Kolleginnen, bauen glaubwürdige Mail-Threads auf und ergänzen sie um Deepfake-Stimmen oder Audio-Nachrichten.
Aber auch die „ClickFix“-Masche kommt vermehrt zum Einsatz. Hier setzen Angreifer auf gefälschte Fehlermeldungen oder vermeintliche Verifizierungsdialoge. Nutzer sollen Skripte kopieren und in Kommandozeilen wie PowerShell einfügen und installieren damit Infostealer, Remote-Access-Trojaner oder Ransomware selbst. Die ClickFix-Aktivität stieg laut Mimecast in den ersten sechs Monaten des Jahres 2025 um mehr als 500 Prozent und findet inzwischen in fast acht Prozent der gemeldeten Angriffe statt. Auch hier kommt KI zum Einsatz, aber auch vertrauenswürdige Dienste und Multichannel-Taktiken.
Parellel hierzu enwickeln sich Business Email Compromise (BEC) weiter. Die Kampagnen nutzen automatisierte Konversationsketten, um den Eindruck legitimer Kommunikation zwischen Finanzabteilung, Lieferanten und Management zu erzeugen. Im Fokus stehen Überweisungen, Änderungen von Bankverbindungen und Zahlungsprozesse. Giftkarten und Gutscheine spielen nur noch eine Nebenrolle.
Die Auswertung bestätigt den Trend „Living off Trusted Services“. Angreifer migrieren ihre Infrastruktur auf Dienste, die Unternehmen ohnehin nutzen. Dazu zählen Adobe Sign, DocuSign, PayPal, Intuit oder Salesforce ebenso wie Kollaborationsplattformen und Cloud-Speicher. Besonders sticht DocSend hervor: Der virtuelle Meeting- und Hosting-Dienst ist 2025 der Dienst, der laut Mimecast am meisten missbraucht wurde.
Attacken verstecken sich zunehmend hinter legitimen Schutzmechanismen. Mimecast verzeichnet monatlich Tausende bösartige Captcha-geschützte URLs. Die Gruppe Scattered Spider setzte diese Technik allein in den USA und Großbritannien über 900.000 Mal ein.
Parallel steigt der Missbrauch von Scalable Vector Graphics: Zwischen Mitte Februar und Mitte März 2025 entdeckte Mimecast mehr als zwei Millionen bösartige SVG-Dateien mit eingebettetem JavaScript-Code, häufig kombiniert mit mehrstufigen Weiterleitungen und QR-Codes. SVG-Dateien (Scalable Vector Graphics) sind ein Dateiformat für zweidimensionale Vektorgrafiken. Im Kontext von Phishing-Angriffen liegt die Gefahr darin, dass SVG-Dateien auch aktiven Code enthalten können.
Kollaborationsplattformen geraten ebenfalls in den Fokus. In Microsoft-Teams-, SharePoint- und OneDrive-Umgebungen dominiert laut Report Malware als Angriffsmethode, dahinter folgen Phishing und unsichere Links. Besonders riskant sind Inhalte der Kategorie Schulung und Tools: 96 Prozent der dort erfassten URLs gelten als hoch oder mittel riskant.
Welche Branchen treffen die Kampagnen besonders hart?
Die Angriffe folgen branchenspezifischen Mustern. In der Immobilienwirtschaft sehen Beschäftigte deutlich mehr Phishing-Angriffe als andere Sektoren. Hohe Transaktionsvolumina, enge Fristen und viele Kommunikationspartner bieten einen idealen Anknüpfungspunkt für Social Engineering. Reise- und Gastgewerbe sind davon überdurchschnittlich betroffen.
Im verarbeitenden Gewerbe und im Bereich Kunst und Unterhaltung stehen Malware-Kampagnen im Vordergrund. Hier zielen es Angreifer auf Produktionsunterbrechungen, geistiges Eigentum und komplexe Lieferketten ab. Hotel- und Gastgewerbe-Fachkräfte geraten dagegen ins Visier von Phishing-Kampagnen, die sich Zugriff auf Konten bei Plattformen wie Expedia oder Cloudbeds verschaffen.
Was bedeutet der Report für Verteidigungsstrategien?
Der Report betont, dass Cybersecurity nicht mehr nur als technisches Problem zu betrachten ist. Sicherheitslücken in Anwendungen bleiben relevant, doch Angreifer nutzen vor allem menschliche Schwachstellen, Schatten-IT und unverwaltete Systeme. Verteidiger sollen deshalb Security-Hygiene, Awareness-Programme und robuste Governance in den Mittelpunkt stellen.
Die Telemetrie zeigt auch den Druck, unter dem die Teams stehen, die für das Schließen von Schwachstellen zuständig sind. 2024 meldete die „National Vulnerability Database“ knapp 40.000 Schwachstellen, das entspricht etwa 768 pro Woche. 2025 bewegt sich die Zahl in Richtung 900 neuer Einträge pro Woche. Nur rund 8,4 Prozent gelten als hoch riskant, der Rest erzeuge laut Mimecast Rauschen und erschwere die Priorisierung.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Mimecast plädiert im „Global Threat Intelligence Report“ vor diesem Hintergrund für mehrschichtige Verteidigung, klare Prozesse für Finanz- und Freigabeflüsse sowie für eine stärkere Nutzung von KI in der Verteidigung, sozusagen als Gegenstück zu KI-gestützten Phishing-Kampagnen. Mitarbeitende sollten sich hierbei als erste Verteidigungslinie verstehen und technische Kontrollen eng mit Schulung und Governance verzahnen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b0/cd/b0cd6ad0db8b7b584295c04c4084023d/0125494472v2.jpeg "Am 3. Juli waren auf einmal die Webseiten des Distributors Ingram Micro nicht mehr erreichbar. Schnell wurde von Mitarbeitern und Kunden ein Cyberangriff vermutet. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/6c/dd/6cddbcf249f31748feae7096189632a2/0128612351v1.jpeg "Um die sich schnell ändernden Bedrohungen der KI-Technologie effektiv zu adressieren, sollten Unternehmen im Zuge einer aggressiven Cloud-Strategie ihre Sicherheitsvorkehrungen überdenken und konsolidieren. (Bild: © Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/69/4069a9f596e9cdf246bbe3be2ece1c72/0128896554v2.jpeg "Der WEF Global Cybersecurity Outlook 2026 zeigt, dass Unternehmen ihre Sicherheitsstrategien anpassen müssen, indem sie sich auf KI-bezogene Risiken konzentrieren, den Schutz kritischer Infrastrukturen stärken und die Resilienz von Lieferketten verbessern, um mit der Bedrohungslage Schritt zu halten. Auch Quantensicherheit sollte dringend eine Rolle spielen. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/1b/bc/1bbce1be24cc1385f75c3807304a159a/0128961828v2.jpeg "Vom 13. bis 16 Januar 2026 fand in Lissabon die Sharp Inspire Expo statt. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/4d/da/4dda0e5edf9ddd0c31363f92becb045e/0127807026v1.jpeg "Proaktive IT-Wartung: Unified Endpoint Management und Digital Employee Experience sollen Fehler erkennen, bevor sie den Betrieb beeinträchtigen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0b/22/0b22469f85709c1d30f4fa6db4f832f4/0129015808v2.jpeg "Unternehmen verlieren den Überblick über ihre Daten. Um sensible Informationen angemessen schützen zu können, müssen sie alle ihre Daten erst sorgfältig klassifizieren. (Bild: © mnirat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/d0/cfd05fb7d685daeef671838eb3edf725/0128875949v2.jpeg "Drei teils kritische Schwachstellen betreffen lokale Windows-Versionen von Trend Micro Apex Central. Sie ermöglichen eine vollständige Systemübernahme durch Remote-Code-Ausführung sowie Denial-of-Service-Angriffe. (Bild: Melinda Nagy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/09/1e/091ed8cb9e5ff2018767a38d5f3e6c01/0128644514v2.jpeg "In Europa werden vor allem Infostealer, Spyware und Backdoors eine zunehmende Bedrohung für Unternehmen. (Bild: Neuropixel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6a/73/6a73ccb768416b1a5682e4dcaef48d84/0128975429v1.jpeg "Die Sicherheitsarchitektur von SAP S/4HANA entsteht in der Startphase aus Rollenmodellen, Schnittstellenkontrollen, Protokollierung und klaren Betriebsprozessen. (Bild: © BalanceFormCreative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/72/71/7271b0453616e6a77ea96a8ddcd96be0/0122594338v2.jpeg "Erst bombardieren sie Mitarbeiter mit E-Mails, dann geben sie sich als Helfer aus: So gehen die Cyberkriminellen, die den russischen Hackergruppen Fin7 und Storm-1811 zugeordnet werden, vor. (Bild: psdesign1 - Fotolia.com)")
:quality(80)/p7i.vogel.de/wcms/3d/79/3d798e3e3fee34ae9172880cb1d56a90/0122440131v2.jpeg "Um die Cyberresilienz ihres Unternehmens zu stärken, sollten Führungskräfte mit gutem Beispiel vorangehen. (Bild: jamesteohart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/22/ec/22ec2b80564ed9c550b29af2bd2362f9/0124655719v2.jpeg "Laut Xorlab-Report erreichen KI-gestützte Phishing-Attacken trotz zusätzlicher Sicherheitsfilter noch immer in 40 Prozent der Fälle die Postfächer der Empfänger. (Bild: © sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c5/20/c520d821ae4fde4ea79c62f16645e417/0122725183v1.jpeg "Egal, welche Größe und egal, welche Branche: Auch deutsche Unternehmen sind vor Cyberkriminellen nicht sicher. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/75/46/7546293875581d188a4baa5d90f50b93/0122913182v2.jpeg "Auch im ersten Monat des Jahres 2025 war es in der Cybersecurity-Welt nicht ruhig. Cyberkriminelle haben über den Jahreswechsel gezielt Unternehmen, Regierungsoragnisationen und kritische Sektoren angegriffen. (Bild: Rax Qiu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9d/27/9d276abf2c520995f2a970034330a902/0127971770v2.jpeg "Schatten-KI entsteht durch unkontrollierte Nutzung externer KI-Tools und kann Sicherheits- sowie Compliance-Risiken verursachen, wenn Prozesse und Richtlinien fehlen. (Bild: © tadamichi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/02/6b/026b8e74ab52a461200667f858d3512e/0124726704v2.jpeg "PDF-Dateien sind weiterhin die meistgenutzten bösartigen Anhänge mit einem Anteil von 36 Prozent. Neu und bemerkenswert ist jedoch der rasante Anstieg von SVG-Dateien auf 34 Prozent. (Bild: © Joerg Habermeier - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/81/89/81890b36687c62e9157f66abd04db998/0125976719v2.jpeg "Vipre hat den E-Mail Threat Trends Report Q2 2025 veröffentlicht und zeigt, wie die Cyberkriminellen im zweiten Quartal ticken. (Bild: © sitthiphong - stock.adobe.com)")